Os riscos são erros conhecidos...

... ou pelo menos muitos deles são, especialmente aqueles mais intimamente ligados à tecnologia e à infraestrutura que sustentam os serviços. Então, veja como é bom, temos dois em um, gerenciamento de riscos e gerenciamento de problemas (mais ou menos) pelo mesmo preço.

Não vou me aprofundar em um gerenciamento de riscos realmente maduro, como os usados nas certificações ISO27000 ou os desenvolvidos para uma boa implementação do ENS. Esse gerenciamento de riscos é como deve ser, e não contribuirei muito para isso.

Mas fora do escopo acima, quantas organizações não fazem nada relacionado ao gerenciamento de riscos, nem os detectam, nem os analisam, nem tentam fazer nada para mitigá-los? Infelizmente, acho que são muitas, e um dos motivos pelos quais elas não fazem nada talvez seja o medo de introduzir uma nova estrutura específica de gerenciamento de riscos, mais um novo processo....

A boa notícia é que, se você não tiver um processo específico para o gerenciamento de riscos, a primeira abordagem pode ser muito simples, baseada simplesmente no gerenciamento de problemas (e erros conhecidos). Será um processo incipiente e imaturo, mas será um bom primeiro passo para que você ganhe confiança e o aperfeiçoe no futuro.

E quais são os riscos?

Sem entrar em detalhes técnicos, e com a permissão dos puristas, é um perigo, algo "não totalmente bom" que pode acontecer e que pode nos causar dificuldades (lembre-se de que estou me concentrando nos riscos negativos, não nos positivos, que também existem). Esse "algo ruim" é algo que você conhece, que você sabe que existe e que deve ser resolvido, mas que, enquanto isso, você tem de conviver com ele e ficar mais ou menos estressado. menos preparados para agir se ele se tornar realidade. Com esse raciocínio, o risco ainda é um erro conhecido sob o escopo do gerenciamento (proativo) de problemas, com uma solução alternativa correspondente (de preferência documentada no banco de dados de conhecimento) para que você saiba o que fazer caso ele se concretize. Para identificar facilmente quais erros conhecidos realmente correspondem a riscos, basta brincar com a classificação e criar uma série de categorias e atributos específicos para esses registros (com uma ferramenta de ITSM moderadamente configurável, isso não deve ser muito difícil).

E é isso, nada mais, um raciocínio bastante simples para promover o Gerenciamento proativo de problemas como suporte ao processo de Gerenciamento de riscos (pelo menos em sua primeira versão, insisto, que deve continuar a evoluir...).

É verdade que estamos perdendo uma parte fundamental do gerenciamento de riscos, que são as ações de mitigação. Mas se os riscos são problemas, o que você acha que serão as ações de mitigação...? 😉 Outro processo reutilizado (caso você não tenha notado, é o processo de gerenciamento do soibmac -escrito em código-)