As tragédias e a avaliação de riscos

tragedy

Quando acontecem as tragédias, o que mais se fala é sobre a avaliação de riscos. Segundo a NBR ISO/IEC 31010 de 04/2012 – Gestão de riscos – Técnicas para o processo de avaliação de riscos, a avaliação de riscos consiste em comparar os níveis estimados de risco com critérios de risco definidos quando o contexto foi estabelecido, a fim de determinar a significância do nível e do tipo de risco. Essa é uma norma de apoio à NBR ISO 31000 e fornece orientações sobre a seleção e aplicação de técnicas sistemáticas para o processo de avaliação de riscos.

O processo de avaliação de riscos conduzido de acordo com esta norma contribui para outras atividades de gestão de riscos. A aplicação de uma série de técnicas é introduzida, com referências específicas a outras normas onde o conceito e a aplicação de técnicas são descritos mais detalhadamente. Esta norma não se destina à certificação, uso regulatório ou contratual.

Assim, a avaliação de riscos utiliza a compreensão do risco, obtida durante a análise de riscos, para tomar decisões sobre as ações futuras. Considerações éticas, legais, financeiras e outras, incluindo as percepções do risco, são também dados de entrada para a decisão. As decisões podem incluir: se um risco necessita de tratamento; as prioridades para o tratamento; se uma atividade deve ser realizada; e qual de um número de caminhos alternativos deve ser seguido.

A natureza das decisões que necessitam ser tomadas e os critérios que serão utilizados para tomar essas decisões foram decididos no estabelecimento do contexto, mas precisam ser revistos em mais detalhes nesta fase, agora que se sabe mais sobre os riscos identificados em particular. A estrutura mais simples para a definição dos critérios de risco é um nível único que divide os riscos que necessitam de tratamento daqueles que não necessitam. Isso fornece resultados atrativamente simples, porém não reflete as incertezas envolvidas na estimativa de riscos e na definição da fronteira entre aqueles que necessitam de tratamento e aqueles que não necessitam.

A decisão sobre se e como tratar o risco pode depender dos custos e benefícios de assumir o risco e os custos e benefícios da implementação de controles melhorados. Uma abordagem comum é dividir os riscos em três faixas: uma faixa superior, onde o nível de risco é considerado intolerável quaisquer que sejam os benefícios que possam trazer à atividade, e o tratamento de risco é essencial qualquer que seja o seu custo; uma faixa intermediária (ou área cinzenta) onde os custos e benefícios são levados em consideração, e oportunidades são comparadas com potenciais consequências; uma faixa inferior, onde o nível de risco é considerado desprezível ou tão pequeno que nenhuma medida de tratamento de risco seja necessária.

O sistema de critérios tão baixo quanto for razoavelmente praticável ou ALARP (As Low As Reasonably Practicable) utilizado em aplicações de segurança segue esta abordagem, onde, na faixa intermediária, há uma escala móvel para baixos riscos − onde os custos e benefícios podem ser diretamente comparados −, enquanto que para altos riscos o potencial de danos tem que ser reduzido até que o custo de redução adicional seja inteiramente desproporcional ao benefício de segurança adquirido.

A norma diz que convém que o processo de avaliação de riscos seja documentado juntamente com os resultados do processo de avaliação. Convém que os riscos sejam expressos em termos compreensíveis, e convém que as unidades em que o nível de risco é expresso sejam claras. A extensão do relatório dependerá dos objetivos e do escopo da avaliação.

Exceto para avaliações muito simples, a documentação pode incluir: objetivos e escopo; descrição de partes pertinentes do sistema e suas funções; um resumo dos contextos externo e interno da organização e como eles se relacionam com a situação, sistema ou circunstâncias que estão sendo avaliados; os critérios de risco aplicados e sua justificativa; limitações, premissas e justificativa de hipóteses; metodologia de avaliação; resultados da identificação de riscos; dados, premissas e suas fontes e validação; resultados da análise de riscos e sua avaliação; análise de sensibilidade e de incerteza; premissas críticas e outros fatores que necessitam ser monitorados; discussão dos resultados; conclusões e recomendações; e referências.

Se o processo de avaliação de riscos apoia um processo sistemático de gestão de riscos, convém que seja realizado e documentado de tal forma que possa ser mantido durante o ciclo de vida do sistema, organização, equipamento ou atividade. Convém que a avaliação seja atualizada sempre que novas informações significativas estejam disponíveis e o contexto se altere, de acordo com as necessidades do processo de gestão.

O processo de avaliação de riscos pode ser conduzido em vários graus de profundidade e detalhe e utilizando um ou muitos métodos que vão do simples ao complexo. Convém que a forma de avaliação e sua saída sejam compatíveis com os critérios de risco, desenvolvidos como parte do estabelecimento do contexto. O Anexo A ilustra a relação conceitual entre as amplas categorias das técnicas para o processo de avaliação de riscos e os fatores presentes numa determinada situação de risco e fornece exemplos ilustrativos de como as organizações podem selecionar as técnicas apropriadas para o processo de avaliação de riscos para uma situação em particular.

Em termos gerais, convém que as técnicas apropriadas apresentem as seguintes características: convém que sejam justificáveis e apropriadas à situação ou organização em questão; convém que proporcionem resultados de uma forma que amplie o entendimento da natureza do risco e de como ele pode ser tratado; convém que sejam capazes de utilizar uma forma que seja rastreável, repetível e verificável. Convém que as razões para a escolha das técnicas sejam dadas com relação à pertinência e adequação.

Ao integrar os resultados de diferentes estudos, convém que as técnicas utilizadas e as saídas sejam comparáveis. Uma vez que a decisão tenha sido tomada para realizar um processo de avaliação de riscos e os objetivos e o escopo tenham sido definidos, convém que as técnicas sejam selecionadas com base em fatores aplicáveis.

Os objetivos do processo de avaliação de riscos terão uma influência direta sobre as técnicas utilizadas. Por exemplo, se um estudo comparativo entre as diferentes opções está sendo realizado, pode ser aceitável utilizar modelos menos detalhados de consequência para partes do sistema não afetadas pela diferença. Em alguns casos, um alto nível de detalhe é necessário para tomar uma boa decisão, em outros um entendimento mais geral é suficiente.

Deve-se levar em conta o tipo e a gama de riscos que estão sendo analisados e a magnitude potencial das consequências. Convém que a decisão sobre a profundidade em que o processo de avaliação de riscos é conduzido reflita a percepção inicial das consequências (embora isto possa ter que ser modificado uma vez que uma avaliação preliminar foi concluída).

Outro fator seria o grau de conhecimento especializado, recursos humanos e outros recursos necessários. Um método simples e bem feito pode fornecer melhores resultados do que um procedimento mais sofisticado e mal feito, contanto que atenda aos objetivos e o escopo do processo de avaliação. Normalmente, convém que o esforço aplicado ao processo de avaliação seja compatível com o nível potencial de risco que está sendo analisado.

Outra questão seria a disponibilidade de informações e dados. Algumas técnicas requerem mais informações e dados do que outras. Por fim, a necessidade de modificação/atualização do processo de avaliação de riscos. O processo de avaliação pode necessitar ser modificado/atualizado no futuro e algumas técnicas são mais ajustáveis do que outras a este respeito, além de quaisquer requisitos regulatórios e contratuais. O Anexo B da norma (informativo) inclui as técnicas para o processo de avaliação de risco.

Clique na tabela para uma melhor visualização

Aplicabilidade das ferramentas utilizadas para o processo de avaliação de riscos

riscos

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s

%d bloggers like this: