Este tópico fornece informações sobre o USR e mostra como ele é utilizado em eventos no módulo Workflow.
Os eventos utilizam o USR como uma medida de prioridade baseada em sua urgência (U), severidade (S) e relevância (R). Essas métricas possuem valores entre 1 e 5, cujos respectivos significados estão estabelecidos na tabela abaixo:
|
Valor |
Urgência |
Severidade |
Relevância |
Nível do USR |
|
5 |
Imediato |
Extremamente prejudicado |
Pode afetar toda a organização e o impacto será extremamente alto. |
Muito Alto |
|
4 |
Urgente |
Muito severamente prejudicado |
Pode afetar um ou mais aspectos da organização e o impacto será muito alto. |
Alto |
|
3 |
Assim que possível |
Severamente prejudicado |
Pode afetar parte da organização e o impacto será substancial. |
Médio |
|
2 |
Não é urgente |
Menos prejudicado |
Pode afetar uma parte pequena e localizada da organização e o impacto será baixo. |
Baixo |
|
1 |
Não há pressa |
Quase nenhum prejuízo |
Pode afetar uma parte muito pequena e localizada da organização e o impacto será insignificante. |
Muito Baixo |
O USR é uma métrica similar ao PSR e seu cálculo é obtido multiplicando-se a urgência pela severidade e pela relevância. Cada uma dessas é pontuada com base em uma escala de 1 a 5 (1 = Muito Baixa e 5 = Muito Alta), que pode ser customizada na seção Escalas do módulo Administração. A tabela abaixo exibe os únicos valores possíveis para o USR e os níveis correspondentes de USR para cada valor:
|
Nível de USR |
Valores de USR possíveis |
|
Muito Alto |
60, 64, 75, 80, 100, 125 |
|
Alto |
32, 36, 40, 45, 48, 50 |
|
Médio |
18, 20, 24, 25, 27, 30 |
|
Baixo |
8, 9, 10, 12, 15, 16 |
|
Muito Baixo |
1, 2, 3, 4, 5, 6 |
Observe que o sistema irá sugerir valores de USR para cada tipo de evento com base nos critérios descritos abaixo. Esses valores podem ser modificados sempre que as propriedades do evento forem editadas.
Eventos padrão e próprios: são criados manualmente no módulo Workflow e não estão ligados a projetos. Os valores padrão sugeridos pelo sistema para o USR são 3, 3 e 3 para um total de 27 (Nível de USR = Médio).
Eventos de tratamento de riscos: os eventos de tratamento de riscos se dividem em dois subtipos: controles e vulnerabilidades. Esses eventos são gerados na fase Avaliar dos projetos de riscos, onde os controles não implementados e as vulnerabilidades são listados para que os gestores de riscos possam decidir quais tratar ou aceitar. Os eventos podem tratar esses riscos individualmente ou de maneira consolidada. Você também pode criar um evento pai para cada ativo e eventos subordinados para cada vulnerabilidade ou controle não implementado relacionado ao ativo.
Existem três opções ao criar eventos de tratamento de riscos relacionados a controles.
•Criar um evento para cada controle: nos eventos que tratam controles não implementados individualmente, o cálculo do USR baseia-se no PSR do controle. Dessa forma, as pontuações de relevância e severidade são mantidas, enquanto a pontuação da probabilidade se torna a pontuação da urgência.
•Criar um evento para todos os controles: para eventos de tratamento de riscos consolidados, um evento é criado para todos os controles e o cálculo do USR considera o controle associado ao ativo com maior nível de relevância. Caso o valor desse nível se repita em mais de um controle, o desempate é feito com base no nível de severidade desses controles. Por exemplo, caso três controles apresentem valores de probabilidade, severidade e relevância iguais a 1 x 2 x 5 / 1 x 3 x 5 / 5 x 5 x 4 respectivamente, os valores do último controle serão desconsiderados, por sua relevância ser a menor. Como o valor da relevância é igual nos dois primeiros controles, o valor da severidade será a referência. Portanto, o USR (1 x 3 x 5) será assumido como valor do USR do evento. Observe que a probabilidade do controle torna-se a urgência do evento e caso o valor da severidade também fosse igual nos dois primeiros controles, o valor da urgência seria o critério de desempate.
•Criar um evento pai para cada ativo e eventos filhos para os controles associados: além dos eventos de tratamento de riscos consolidados, há eventos de tratamento cujo evento pai é criado para um ativo e eventos filhos são criados para cada controle não implementado relacionado a esse ativo. O cálculo do USR para esses eventos se assemelha ao cálculo feito quando um evento é criado para todos os controles. No entanto, como a relevância dos controles origina-se dos ativos e um evento é criado para cada ativo, a relevância para eventos filhos será a mesma relevância de seus eventos pais. Assim, o cálculo do USR considera o evento filho com o maior nível de severidade e, caso o valor de severidade seja o mesmo para mais de um evento filho, o valor da urgência será o critério de desempate.
Existem também três opções ao criar eventos de tratamento de riscos baseados em vulnerabilidades.
•Criar um evento para cada vulnerabilidade: no caso dos eventos criados para tratar uma única vulnerabilidade, o valor padrão do USR é calculado da seguinte forma:
|
Urgência |
Medida de Risco / Severidade da vulnerabilidade x Relevância do ativo (1 a 5) |
|
Severidade |
Nível da vulnerabilidade (1 a 5) |
|
Relevância |
Relevância do ativo (1 a 5) |
Nota: caso a fórmula para a Medida de Risco seja customizada no módulo de Administração, o valor da urgência poderá ser superior a cinco, mas o valor máximo considerado para definir uma medida USR não será maior que cinco. Assim, se o valor encontrado for superior a cinco, o valor considerado para o cálculo do USR será cinco. Qualquer valor contendo casas decimais será arredondado para baixo ou para cima.
•Criar um evento para todas as vulnerabilidades: no caso dos eventos consolidados que tratam vulnerabilidades e dos eventos de tratamento em que um evento pai foi criado para cada ativo e eventos subordinados foram criados para cada vulnerabilidade relacionada a esses ativos, o cálculo do USR dos eventos se assemelha ao cálculo do USR dos eventos de tratamento de controles consolidados. Dessa forma, o valor do USR calculado individualmente para cada vulnerabilidade será tomado como base e serão escolhidas, para cálculo do USR do evento de tratamento, as métricas do evento subordinado com maior nível de relevância. Caso exista mais de um evento com o mesmo valor de relevância, será considerado como critério de desempate o valor da severidade e, em último caso, será considerado para critério de desempate o valor da urgência.
•Criar um evento pai para cada ativo e eventos filhos para as vulnerabilidades associadas: nesse caso, um evento pai é criado para um ativo e eventos filhos são criados para cada vulnerabilidade associada a esse ativo. Como a relevância de uma vulnerabilidade origina-se de um ativo, a relevância para eventos filhos será a mesma relevância de seus eventos pais. Assim, o cálculo do USR considera o evento filho com o maior nível de severidade e, caso o valor de severidade seja o mesmo para mais de um evento filho, o valor da urgência será o critério de desempate.
Eventos de tratamento de não conformidade: são gerados na fase Avaliar dos projetos de compliance, onde requisitos não conformes são listados para que os gestores de compliance possam decidir quais tratar ou aceitar. As não conformidades podem ser tratadas por requisito não atendido (individualmente) ou em grupos (consolidado).
Em um evento que trata não conformidades individualmente, os valores de urgência e severidade, usados para calcular o USR, são baseados no Compliance Index e no Nível de Compliance, de acordo com as tabelas abaixo. Já o valor da relevância será sempre igual a 3.
|
Compliance Index |
Valor da Urgência (U) |
|
0 a 19% |
5 |
|
20 a 39% |
4 |
|
40 a 59% |
3 |
|
60 a 79% |
2 |
|
80 a 100% |
1 |
|
Nível de Compliance |
Valor da Severidade (S) |
|
Não Atendido |
5 |
|
Parcialmente Atendido |
3 |
|
Atendido |
1 |
No caso dos eventos consolidados, o USR é obtido com base no requisito que tenha maior nível de urgência. Caso o valor desse nível se repita em mais de um requisito, o desempate será feito com base nos valores de severidade desses requisitos. O valor da relevância será sempre igual a 3. Por exemplo, caso seja criado um evento consolidado para tratar três requisitos não conformes, cujos valores de urgência, severidade e relevância sejam, respectivamente, 3 x 5 x 5 / 4 x 1 x 1 / 4 x 2 x 1, os valores do primeiro requisito já serão descartados, visto que a sua urgência é menor comparada aos demais requisitos. O desempate entre os dois últimos requisitos, então, será feito com base nos valores de severidade. Como esse valor é maior no caso do último requisito, os seus valores de urgência e severidade serão considerados para o cálculo do USR do evento, que será igual a 4 x 2 x 3.
Eventos associados a riscos corporativos: eventos padrão ou customizados cuja associação com riscos corporativos esteja habilitada são utilizados para tratar riscos corporativos e podem ser criados manualmente na solução ERM.
Quando os eventos são criados, os valores sugeridos pelo sistema para o USR variam de acordo com o nível da Medida de Risco Qualitativa, que é obtida ao multiplicar-se o Nível de Probabilidade Inerente com o Nível de Impacto Inerente do risco corporativo associado.
Os níveis de Probabilidade Inerente e de Impacto Inerente variam de 1 a 5 e, sendo o resultado de sua multiplicação, o Nível da Medida de Risco Qualitativa varia de 1 a 25. Esses níveis são determinados por escalas configuradas na seção Escalas no módulo de Administração.
Os níveis padrões para urgência, severidade e relevância do evento serão iguais ao Nível da Medida de Risco Qualitativa do risco corporativo associado. Por exemplo, um risco corporativo com um Nível da Medida de Risco Qualitativa classificado como Muito Baixo terá um evento associado com nível de urgência, severidade e relevância também classificado como Muito Baixo e uma medida USR de 8 (2x2x2).
Eventos associados a planos: eventos padrão ou customizados cuja associação com planos de continuidade esteja habilitada são utilizados para tratar planos e podem ser criados manualmente no módulo de Continuidade. Os valores padrão sugeridos pelo sistema para esses eventos serão um USR de 3,3 e 3, totalizando 27 (nível de USR = Médio).
Eventos do aplicativo Workflow: eventos criados a partir do aplicativo Workflow podem ser gerenciados no módulo Workflow e não estão vinculados a projetos. Os valores padrão para a severidade e a relevância desses eventos são definidos quando o aplicativo é registrado como uma aplicação autorizada no módulo Administração. Os valores corresponderão àqueles selecionados nos campos Severidade e Relevância na opção "Administrar eventos do módulo Workflow" na aba Funcionalidades Disponíveis da seção Aplicações Autorizadas. A urgência padrão é configurada no aplicativo Workflow durante a criação do evento e será igual a urgência do evento no módulo Workflow.