O risco comercial vem de informações imperfeitas. As consequências potenciais do risco são principalmente perdas financeiras devido a investimentos em produtos, crescimento, aquisições ou ações que falham. No entanto, a existência de risco é também o que gera lucro, e maiores riscos e maiores recompensas potenciais andam de mãos dadas. O risco é igual à probabilidade de falha vezes as conseqüências da falha, o que nos permite ter uma abordagem quantitativa na medição de risco. Realize uma avaliação de risco antes de fazer esses investimentos, para que você entenda os possíveis pontos negativos e possa colocar estratégias de mitigação para funcionar.
Crie uma matriz de análise de risco. Esta é uma planilha que inclui linhas para as áreas de risco, incluindo Produtos, Mercados, Finanças e Execução ou Operações, e colunas para cada componente da análise, incluindo Atividades ou Aspectos dessas atividades, Ameaça, Nível de Risco Não-mitigado, Probabilidade de Ocorrência de Ameaças, Estratégia de Mitigação e Nível de Risco Mitigado.
Liste as atividades específicas em cada uma das áreas de risco que você analisará. Por exemplo, na área de risco do Produto, a atividade pode ser Desenvolvimento de Novos Produtos e o risco de Operações pode estar contratando um novo fornecedor para um de seus componentes críticos. Você pode ter várias atividades para cada área de risco.
Para cada atividade, determine a ameaça, a probabilidade de ocorrer e o resultado, se não for mitigado. Por exemplo, se sua atividade está implantando uma nova peça de software em toda a empresa, uma ameaça pode ser que ela falhe enquanto você está trocando o software antigo. A probabilidade dessa falha, de acordo com o fabricante, é de 5%, e as conseqüências, supondo que você não tenha estratégias de mitigação, são 2 horas de trabalho perdido para todos na empresa enquanto você coloca o software antigo novamente online. Calcule que 2 horas em termos de seu impacto financeiro total sobre a empresa e multiplicá-lo multiplicam a probabilidade de 5%. Liste esse número como o Nível de risco não mitigado. (Se não houver um valor monetário quantificável, use uma escala de 1 a 5, sendo 1 incidental e 5 desastroso).
Descreva a Estratégia de Mitigação para cada atividade e calcule seu impacto no nível de risco. No exemplo acima, você pode fazer com que seu departamento de TI crie um sistema de backup automatizado que possa restaurar o software antigo em cinco minutos, em vez de duas horas. Ou você pode comprar um pacote de suporte adicional que reduza a probabilidade de falha catastrófica para 0,1%. Calcule o custo para a organização desses 5 minutos, mais o custo de criação do backup automatizado ou o pacote de suporte, além do novo valor de 2 horas vezes 0,01%. Este é o seu nível de risco mitigado.
Depois de calcular os Níveis de Risco Mitigados para cada uma das suas atividades, adicione os níveis de risco para cada atividade dentro de uma área de risco para chegar ao risco para essa área da empresa. Você deve então ser capaz de ver se o seu risco é maior em Produto, Finanças, Operações e assim por diante. Isso deve permitir que você determine qual área da sua empresa precisa de mais atenção para aliviar e / ou diminuir o risco.
