Conheça a ferramenta Estudo de Perigos e Operabilidade (HAZOP)

Em inglês, HAZOP quer dizer Hazard and Operability Study e é um exame estruturado e sistemático de um produto, processo, procedimento ou sistema existente ou planejado. É uma técnica para identificar os riscos para pessoas, equipamentos, ambiente e/ou objetivos organizacionais. Espera-se também que a equipe de estudo, sempre que possível, forneça uma solução para o tratamento do risco.processo HAZOP é uma técnica qualitativa baseada no uso de palavras-guia as quais questionam como a intenção do projeto ou as condições de operação podem não ser atingidas a cada etapa do projeto, processo, procedimento ou sistema. É geralmente conduzido por uma equipe multidisciplinar ao longo de uma série de reuniões. Bastante similar ao FMEA enquanto se identificam os modos de falha de um processo, sistema ou procedimento bem como as suas causas e consequências, a diferença é que a equipe considera os resultados indesejáveis e os seus desvios e condições pretendidas e os trabalha de trás para a frente até chegar aos modos de falha e causas possíveis, enquanto que a FMEA começa por identificar os modos de falha.

A técnica HAZOP foi inicialmente desenvolvida para analisar sistemas de processo químico, porém foi estendida para outros tipos de sistemas e operações complexas. Estes incluem sistemas mecânicos e eletrônicos, procedimentos e sistemas de software, e até mesmo alterações organizacionais e concepção e análise crítica de contratos legais. Assim, o processo HAZOP pode tratar de todas as formas de desvio da intenção do projeto devido a deficiências no projeto, componente(s), procedimentos planejados e ações humanas. Ele é utilizado para análise crítica de projeto de software. Quando aplicado ao controle de instrumentos críticos de segurança e a sistemas de computador, ele pode ser conhecido como CHAZOP ou ContraI Hazards and Operability Analysis (análise de perigo e operabilidade de computadores). Um estudo HAZOP é geralmente realizado no estágio de detalhamento do projeto, quando um diagrama completo do processo pretendido está disponível, porém enquanto as alterações de projeto ainda sejam praticáveis. Ele pode, entretanto, ser conduzido em uma abordagem gradual com diferentes palavras-guia para cada estágio à medida em que os detalhes do projeto são desenvolvidos. Um estudo HAZOP também pode ser realizado durante a operação, porém alterações requeridas podem ser caras neste estágio.

As entradas essenciais para um estudo HAZOP incluem informações atuais sobre o sistema, o processo ou procedimento a serem analisados criticamente e a intenção e as especificações de desempenho do projeto. As entradas podem incluir: desenhos, folhas de especificação, diagramas de fluxo, diagramas de controle de processo e lógicos, desenhos de leiaute, procedimentos de operação e manutenção e procedimentos de resposta a emergência. Para HAZOP não relacionado a hardware, as entradas podem ser qualquer documento que descreva funções e elementos do sistema ou procedimento em estudo. Por exemplo, as entradas podem ser diagramas organizacionais e descrições de funções, uma minuta de contrato ou mesmo uma minuta de procedimento.

O HAZOP considera o projeto e a especificação do processo, procedimento ou sistema a serem estudados e analisados criticamente cada parte dele para descobrir quais desvios do desempenho pretendido podem ocorrer, quais são as causas potenciais e quais são as consequências prováveis de um desvio. Isto é conseguido examinando sistematicamente como cada parte do sistema, processo ou procedimento responderá às alterações nos parâmetros-chave, utilizando palavras-guia adequadas. As palavras-guia podem ser personalizadas para um sistema, processo ou procedimento específico ou palavras genéricas podem ser utilizadas que englobem todos os tipos de desvio. A tabela abaixo fornece exemplos de palavras-guia comumente utilizadas para sistemas técnicos. Palavras-guia similares tais como, ‘muito cedo’, ‘muito tarde’, ‘muito’, ‘muito pouco’, ‘muito grande’, ‘muito curto’, ‘sentido errado’, ‘objeto errado’ ou ‘ação errada’ podem ser utilizadas para identificar os modos de erro humano. As etapas normais em um estudo HAZOP incluem: a nomeação de uma pessoa com a responsabilidade e a autoridade necessárias para conduzir o estudo e assegurar que quaisquer ações decorrentes do estudo sejam concluídas; a definição dos objetivos e o escopo do estudo; o estabelecimento de um conjunto de chaves ou palavras-guia para o estudo; a definição de uma equipe de estudo HAZOP; esta equipe é geralmente multidisciplinar e convém que inclua pessoal de projeto e de operações com conhecimento técnico especializado apropriado para avaliar os efeitos de desvios do projeto pretendido ou em curso. É recomendado que a equipe inclua pessoas que não estejam diretamente envolvidas no projeto ou no sistema, processo ou procedimento em análise critica; e a coleta da documentação requerida.

Dentro de uma oficina de trabalho com a equipe de estudo: dividir o sistema, processo ou procedimento em elementos menores ou subsistemas ou subprocessos ou subelementos para tornar a análise crítica tangível; acordar a intenção do projeto para cada subsistema, subprocesso ou subelemento e, em seguida, para cada item naquele subssistema ou elemento, aplicar as palavras-guia, uma após a outra, para postular possíveis desvios que teriam resultados indesejáveis; quando um resultado indesejável for identificado, concordar com a causa e a consequência, em cada caso, e sugerir como eles podem ser tratados para evitar que eles ocorram ou atenuar as consequências se ocorrerem; e documentar a discussão e acordar ações específicas para tratar os riscos identificados.

Exemplo de palavras-guia HAZOP possíveis

Uma saída da metodologia inclui ata(s) de reunião(ões) do HAZOP com itens para cada ponto de análise critica registrado. Convém que isto inclua: a palavra-guia utilizada, o(s) desvio(s), as possíveis causas, as ações para tratar dos problemas identificados e a pessoa responsável pela ação. Para qualquer desvio que não possa ser corrigido, então convém que o risco para o desvio seja avaliado. Seus pontos fortes e limitações incluem algumas vantagens, como fornecer os meios para sistemática e totalmente analisar um sistema, processo ou procedimento; envolver uma equipe multidisciplinar, incluindo aquela com experiência operacional na vida real e aquela que pode ter que realizar ações de tratamento; gerar soluções e ações de tratamento de riscos; pode ser aplicável a uma ampla gama de sistemas, processos e procedimentos; permitir a consideração explícita das causas e consequências de erro humano; criar um registro escrito do processo que pode ser utilizado para demonstrar devido zelo. Suas limitações incluem: uma análise detalhada pode ser muito demorada e, portanto, cara; uma análise detalhada requer um alto nível de documentação ou especificação do sistema/processo e procedimento; pode focar em encontrar soluções detalhadas, ao invés de questionar premissas fundamentais (entretanto, isto pode ser atenuado por uma abordagem gradual); a discussão pode ser focada em questões de detalhe do projeto, e não em questões mais amplas ou externas; é limitada pelo projeto (esboço) e o intuito do projeto, e o escopo e objetivos dados à equipe; o processo se baseia fortemente no conhecimento especializado dos projetistas que podem achar difícil ser suficientemente objetivos na procura de problemas em seus projetos. (fonte NBR ISO/IEC 31010:2012)

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado

Anúncios

O que priorizar para manter a empresa segura?

A certificação ISO 9001 e o controle da documentação
Lançada pela ISO em 19 de março de 1987, a norma foi publicada no Brasil em 1994, depois de ter sido submetida à primeira revisão pelo organismo internacional. Ocorreram ainda novas versões em 2000 e em 2008, que procuraram um maior detalhamento de seus requisitos e melhorar a compatibilidade com a ISO 14001 e outras normas de gestão. O ponto central da norma é que qualquer organização pode melhorar a forma na qual opera, quer isto signifique melhorar a sua participação no mercado, reduzir os custos, gerenciar o risco mais eficazmente ou melhorar a satisfação dos clientes. Um sistema de gestão dá a estrutura necessária para monitorar e melhorar o desempenho em qualquer área de seu interesse. Clique para mais informações.

Umberto Rosti

É fato que a preocupação com Segurança da Informação aumentou entre as empresas e seus executivos. De acordo com o Estudo da IBM Global em 2010 sobre Riscos de TI, realizado com aproximadamente 700 gerentes e diretores de TI de âmbito mundial, a segurança (vulnerabilidade a ataques e acesso/uso não autorizado de sistemas da empresa) é a preocupação número um de 78% dos profissionais de TI entrevistados. Porém, vivemos hoje um período de recessão econômica internacional, e o que está ocorrendo na maioria das empresas é o corte ou retenção de investimento para a área de Segurança da Informação. Segundo o NIC.br (Núcleo de Informação e Coordenação do Ponto BR), os ciberataques triplicaram no início de 2011 em relação a 2010. A preocupação também aumentou, porém, apesar de reconhecer que a gestão de riscos de TI traz vantagens a empresa, já que uma boa administração de riscos e continuidade de negócios garantem oportunidade de crescimento e redução de custos, ainda assim, conquistar o apoio do primeiro escalão da empresa continua sendo o grande problema para gestores de TI. Neste cenário, as empresas são motivadas pela sua situação financeira e não sobre os riscos que a companhia gera, ou seja, os riscos aumentaram para empresas.

Segundo um estudo realizado pela Frost & Sullivan, a média de crescimento do mercado de segurança da informação deve ser de 14% até 2016, quando o mercado brasileiro deve alcançar um faturamento anual de R$ 794 milhões. Mas, ainda é muito pouco se comparamos ao PIB do Brasil, uma vez que este investimento representa apenas 0,015%, muito menor que países ditos desenvolvidos. Como sede de dois grandes eventos mundiais, a falta de investimento em segurança no Brasil pode comprometer o país com repercussões negativas na imprensa mundial. É mais que necessário, faz-se obrigatório, que o país esteja preparado para receber seus visitantes com segurança tanto em ambientes físicos quanto online. Outros dados do estudo realizado pela IBM mostram a realidade das empresas no mundo como, por exemplo, embora cerca da metade dos entrevistados tenha dito que sua empresa tem um setor de gerenciamento de riscos, apenas 22% dos entrevistados acreditam que suas organizações estejam bem preparadas em termos de segurança de TI e 23% pensam o mesmo sobre a empresa estar preparada frente a falhas de equipamentos e sistemas.

O grande desafio das corporações, evidenciados também nesta pesquisa, é manter todos os funcionários informados sobre as normas, políticas e problemas que o setor de SI enfrenta. Um dado, que não é surpresa, mas que pode ser responsável pelos constantes incidentes que as empresas vem sofrendo, está em que somente 22% dos gerentes de TI disseram que políticas de gestão de riscos são parte do treinamento formal de todo funcionário. E menos de 15% incorporaram um plano integrado de gestão de riscos na infraestrutura física e técnica de suas empresas. As cobranças nos setores de SI só tendem a aumentar, uma vez que os riscos cresceram e a vulnerabilidade das empresas está estampada em noticiários de todo o mundo. E, em contrapartida, ainda nos dias atuais, qualquer problema no orçamento de uma empresa, seja ele interno ou advindo de uma recessão econômica global, a grande vítima é o setor de SI, que tem seu investimento cortado.

Mas, sem verba o que é possível fazer? O que precisamos é ter em mãos um bom Plano Diretor de Segurança da Informação alinhado as necessidades das áreas de negócio, onde seja possível mitigar os riscos, e deixar de lado, uma vez por todas, a ação reativa aos incidentes, no intuito de apagar o “fogo”. Com isso será mais fácil sensibilizar os executivos através das necessidades das áreas de negócio e provar o Retorno sobre Investimento das ações de SI. Em momentos como esse é possível também aplicarmos a velha regra de Paretto, consolidando projetos pelo risco operacional e assim “tentarmos” com 20% do esforço/investimento mitigarmos 80% do risco operacional. É possível manter-se seguro, mitigando grande parte de seu risco de TI, trabalhando com um bom planejamento, governança e ações voltadas ao negócio, mesmo com baixo orçamento.

Umberto Rosti é administrador, sócio fundador da SafeWay Consultoria, com MBA em Tecnologia pela FGV, possui mais de 13 anos de experiência atuando principalmente com Segurança da Informação em consultoria e auditoria.

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado