Como usar a matriz de probabilidade/consequência na avaliação dos riscos

Também chamada de matriz de riscos ou mapa de calor, pode-se dizer que os riscos incluem os efeitos de qualquer uma das formas de incerteza nos objetivos. Essa técnica está descrita na NBR IEC 31010 de 08/2021 – Gestão de riscos – Técnicas para o processo de avaliação de riscos que fornece orientações para a seleção e aplicação de técnicas para o processo de avaliação de riscos em uma ampla série de situações. As técnicas são usadas para auxiliar na tomada de decisões em que haja incerteza e fornece as informações sobre riscos específicos e como parte do processo para a gestão de riscos.

Esse documento fornece resumos de uma série de técnicas, com referências a outros documentos em que as técnicas são descritas com mais detalhes. A incerteza pode levar a consequências positivas ou negativas, ou a ambas. O risco é frequentemente descrito em termos de fontes de risco, eventos potenciais, suas consequências e suas probabilidades.

Um evento pode ter múltiplas causas e levar a múltiplas consequências. As consequências podem ter um número de valores discretos, ser variáveis contínuas ou ser desconhecidas. As consequências podem não ser discerníveis ou mensuráveis no início, mas podem se acumular ao longo do tempo.

As fontes de risco podem incluir a variabilidade inerente ou incertezas, relacionadas a uma série de fatores, incluindo comportamento humano e estruturas organizacionais ou influências sociais, para as quais pode ser difícil prever qualquer evento específico que possa ocorrer. Nem sempre é possível tabular o risco facilmente como um conjunto de eventos, suas consequências e suas probabilidades.

A probabilidade pode ser definida como a medida da chance de ocorrência, expressa como um número entre 0 e 1, onde 0 é impossibilidade e 1 é a certeza absoluta. Na terminologia de gestão de riscos, a palavra probabilidade é usada para se referir à chance de algo acontecer, não importando se definida, medida ou determinada, ainda que objetiva ou subjetivamente, qualitativa ou quantitativamente, e se descrita utilizando-se termos gerais ou matemáticos (como probabilidade ou uma frequência durante um determinado período de tempo).

O termo em inglês likelihood não tem um equivalente direto em alguns idiomas e, em vez disso, o equivalente do termo probability é frequentemente usado. Entretanto, em inglês, probability é muitas vezes interpretado estritamente como uma expressão matemática. Portanto, na terminologia de gestão de riscos, convém que likelihood seja utilizado com a mesma ampla interpretação que o termo probability tem em muitos outros idiomas, além do inglês.

Quanto à incerteza, pode-se categorizar os seus tipos: incerteza que reconhece a variabilidade intrínseca de alguns fenômenos e que não é possível que seja reduzida por pesquisas adicionais, por exemplo, jogar dados (às vezes se refere a incertezas aleatórias); incerteza que geralmente resulta da falta de conhecimento e que, portanto, pode ser reduzida ao se reunirem mais dados, refinar modelos, aprimorar técnicas de amostragem, etc. (às vezes referida como incerteza epistêmica).

Outras comumente reconhecidas formas de incerteza incluem: a incerteza linguística, que reconhece a imprecisão e a ambiguidade inerente à linguagem falada; incerteza da decisão, que tem relevância particular nas estratégias de gestão de riscos e que identifica a incerteza associada aos sistemas de valores, julgamento profissional, valores das companhias e normas sociais.

Exemplos de incerteza incluem: a incerteza quanto à verdade das premissas, incluindo presunções sobre como as pessoas ou sistemas podem se comportar; variabilidade nos parâmetros nos quais a decisão está baseada; a incerteza na validade ou precisão dos modelos que foram estabelecidos para fazer previsões sobre o futuro; os eventos (incluindo mudanças em circunstâncias ou condições) cuja ocorrência, caráter ou consequência sejam incertos; a incerteza associada a eventos disruptivos; os resultados incertos de questões sistêmicas, como escassez de pessoal competente, que podem ter uma ampla gama de impactos, que não é possível determinar claramente; a falta de conhecimento que surge quando a incerteza é reconhecida, mas não totalmente compreendida; a imprevisibilidade; a incerteza resultante das limitações da mente humana, por exemplo, em compreender dados complexos, prever situações com consequências de longo prazo ou fazer julgamentos sem preconceitos.

A matriz de probabilidade/consequência (também conhecida como matriz de riscos ou mapa de calor) é uma maneira de exibir os riscos de acordo com suas consequências e probabilidades e combinar estas características para exibir uma classificação para a significância do risco. Escalas personalizadas para consequência e probabilidade são definidas para os eixos da matriz.

As escalas podem ter qualquer número de pontos – escalas de três, quatro ou cinco pontos são mais comuns – e podem ser qualitativas, semiquantitativas ou quantitativas. Se forem usadas descrições numéricas para definir as etapas das escalas, convém que elas sejam consistentes com os dados disponíveis e convém que as unidades sejam fornecidas.

Geralmente, para ser consistente com os dados, cada ponto de escala nas duas escalas precisa ser uma ordem de magnitude maior que o anterior. A escala (ou escalas) de consequência pode retratar consequências positivas ou negativas. Convém que escalas sejam diretamente conectadas aos objetivos da organização e convém que se estendam da máxima consequência crível à menor consequência de interesse. Um exemplo parcial de consequências adversas é mostrado na figura abaixo.

As categorias das consequências adicionais ou a menos podem ser usadas e as escalas podem ter menos ou mais que cinco pontos, dependendo do contexto. A coluna de classificação da consequência pode ser em palavras, números ou letras.

Convém que a escala de probabilidade abranja o intervalo pertinente aos dados para os riscos a serem classificados. A escala de classificação de probabilidade pode ter mais ou menos que cinco pontos e as classificações podem ser dadas como palavras, numerais ou letras.

Convém que a escala de probabilidade seja personalizada à situação e pode precisar cobrir uma faixa diferente para consequências positivas ou negativas. Se a consequência mais alta for considerada tolerável em uma baixa probabilidade, convém que o degrau mais baixo na escala de probabilidade represente uma probabilidade aceitável para a consequência mais alta definida (caso contrário, todas as atividades com a consequência mais alta são definidas como intoleráveis e não é possível torná-las toleráveis).

Ao decidir a probabilidade tolerável para um único risco, de alta consequência, convém que o fato de que múltiplos riscos possam levar à mesma consequência seja considerado. Uma matriz é desenhada com consequência em um eixo e probabilidade no outro correspondendo às escalas definidas.

Uma classificação de prioridade pode ser vinculada a cada célula. No exemplo fornecido, existem cinco classificações de prioridade, indicadas por algarismos romanos. Tipicamente, as células são coloridas para indicar a magnitude do risco. As regras de decisão (como o nível de atenção da direção ou a urgência da resposta) podem ser vinculadas às células da matriz.

Essas dependerão das definições usada para as escalas e da atitude da organização em relação ao risco. Convém que a concepção permita que a prioridade de um risco seja baseada na extensão em que o risco leve a resultados que estejam fora dos limites de desempenho definidos pela organização para seus objetivos. A matriz pode ser configurada para dar peso extra às consequências (como mostrado na figura abaixo) ou à probabilidade, ou pode ser simétrica, dependendo da aplicação.

Uma matriz de probabilidade/consequência é usada para avaliar e comunicar a magnitude relativa dos riscos com base em um par probabilidade/consequência que está tipicamente está associado a um evento focal. Para classificar um risco, o usuário primeiro encontra o descritor de consequência que melhor se adapta à situação e depois define a probabilidade com a qual se acredita que a consequência ocorrerá.

Um ponto é colocado na célula que combina estes valores, e o nível de risco e a regra de decisão associada são lidos da matriz. Os riscos com consequências potencialmente altas são frequentemente mais preocupantes para tomadores de decisão mesmo quando a probabilidade for muito baixa, porém um risco frequente, mas de baixo impacto pode ter consequências cumulativas grandes ou de longo prazo.

Pode ser necessário analisar ambos os tipos de riscos, pois os tratamentos de risco pertinentes podem ser bem diferentes. Onde um intervalo de diferentes valores de consequência é possível a partir de um evento, a probabilidade de qualquer consequência específica será diferente da probabilidade do evento que produz essa consequência.

Geralmente é usada a probabilidade da consequência especificada. Convém que a maneira como a probabilidade é interpretada e usada seja consistente em todos os riscos sendo comparados. A matriz pode ser usada para comparar riscos com diferentes tipos de consequência potencial e tem aplicação em qualquer nível em uma organização.

É comumente usada como uma ferramenta de triagem quando muitos riscos foram identificados, por exemplo, para definir quais riscos precisam ser encaminhados a um nível gerencial mais alto. Também pode ser usado para ajudar a determinar se um dado risco é amplamente aceitável ou não aceitável, de acordo com a zona onde que está localizado na matriz.

Pode ser usado em situações onde há dados insuficientes para análise detalhada ou a situação não permite tempo e esforço para uma análise mais detalhada ou quantitativa. Uma forma de matriz de probabilidade/consequência pode ser usada para análise de criticidade na análise de modos, efeitos e criticidade de falha (FMECA) ou para definir prioridades após os estudos de perigo e operabilidade (HAZOP) ou na técnica estruturada “E se” (SWIFT).

Como entradas, uma matriz de probabilidade/consequência precisa ser desenvolvida para se adequar ao contexto. Isso requer que alguns dados estejam disponíveis para estabelecer escalas realistas. As matrizes de esboço precisam ser testadas para assegurar que as ações sugeridas pela matriz correspondam à atitude da organização em relação ao risco e que os usuários entendam corretamente a aplicação das escalas. O uso da matriz precisa de pessoas (idealmente uma equipe) com um entendimento dos riscos que estão sendo classificados e dos dados que estejam disponíveis para ajudar no julgamento das consequências e de sua probabilidade.

A saída é uma apresentação que ilustra a probabilidade da consequência relativa e o nível do risco para diferentes riscos e uma classificação de significância para cada risco. Os pontos fortes da técnica incluem o seguinte: é relativamente fácil de utilizar; fornece uma classificação rápida dos riscos em diferentes níveis de significância; fornece uma clara apresentação visual da significância pertinente do risco por consequência, probabilidade ou nível de risco; pode ser usada para comparar riscos com diferentes tipos de consequências.

As suas limitações incluem o descrito a seguir: requer boa expertise para delinear uma matriz válida; pode ser difícil definir escalas comuns que se apliquem a toda uma série de circunstâncias pertinentes a uma organização; é difícil definir as escalas sem ambiguidade para permitir que os usuários ponderem consequências e probabilidades de forma consistente; a validade das classificações do risco depende de quão bem as escalas foram desenvolvidas e calibradas; requer um único valor indicativo para que seja definida consequência, enquanto em muitas situações são possíveis uma gama de valores de consequência e a classificação do risco depende de qual é escolhido; uma matriz devidamente calibrada envolverá níveis de probabilidade muito baixos para muitos riscos individuais que são difíceis de conceituar; sua utilização é muito subjetiva e diferentes pessoas frequentemente alocam classificações muito diferentes ao mesmo risco. Isto a deixa aberta à manipulação; não é possível agregar riscos diretamente (por exemplo, não é possível definir se um número específico de riscos baixos ou um risco baixo identificado um número específico de vezes é equivalente a um risco médio).

Dessa maneira, é difícil combinar ou comparar o nível de risco para diferentes categorias de consequências. Uma classificação válida requer uma formulação consistente de riscos (o que é difícil de alcançar) e cada classificação depende da maneira como um risco é descrito e do nível de detalhe fornecido (por exemplo, quanto mais detalhada for a identificação, maior será o número de cenários registrados, cada um com uma probabilidade menor). Convém que a maneira pela qual os cenários são agrupados na descrição de risco seja consistente e definida antes da classificação.

A aplicação das técnicas para o processo de avaliação de riscos

Os critérios para determinar a natureza e a extensão de um risco que podem ser aceitos na busca de objetivos, algumas vezes referenciados como apetite pelo risco, podem ser estabelecidos ao se especificar uma técnica para determinar a magnitude do risco, ou um parâmetro relacionado ao risco, junto com um limite após o qual o risco se torna inaceitável. O limite estabelecido para um risco adverso inaceitável pode depender das recompensas potenciais.

A aceitabilidade do risco pode também ser determinada ao se especificar a variação aceitável em medidas de desempenho específicas vinculadas aos objetivos. Os critérios diferentes podem ser especificados de acordo com o tipo de consequência. Por exemplo, os critérios de uma organização para aceitar um risco financeiro podem divergir daqueles definidos para risco à vida humana.

A seguir são apresentados exemplos de considerações usadas ao determinar se um risco pode ser aceito. A capacidade de suportar um risco (CSR) (também chamada de capacidade de risco) é usualmente definida em termos do capital de risco, que está disponível para absorver os efeitos adversos dos riscos.

Para uma firma comercial, a capacidade pode ser especificada em termos da capacidade máxima de retenção coberta pelos ativos, ou a maior perda financeira que a companhia poderia suportar antes de declarar falência. A CSR estimada deve ser razoavelmente testada por cenários de testes de estresse para prover um nível fiável de confiança. O apetite pelo risco de uma organização reflete a disposição gerencial de utilizar a CSR.

ALARP/ALARA e SFAIRP, em algumas jurisdições, são critérios legislativos para decisões sobre tratamento de segurança relacionado a risco e envolvem garantir que o risco de lesão ou de problemas de saúde seja tão baixo quanto razoavelmente praticável (as low as is reasonably practicable – ALARP), tão baixo quanto razoavelmente atingível (as low as reasonably achievable – ALARA) ou demonstrando que controles minimizam o risco na medida do possível (so far as is reasonably practicable – SFAIRP).

Globalmente ao menos equivalente (globally at least equivalent – GALE) ou (globalement au moins équivalent – GAME) é considerado aceitável incrementar riscos com consequências adversas de uma fonte particular, se puder ser demonstrado que esses riscos de outras fontes decresceram em quantidade equivalente ou maior. Deve-se considerar os critérios de custo/benefício, como preço por vida salva ou retorno do investimento (return on investment – ROI).

Os critérios de risco (os termos de referência sob os quais a significância do risco é determinada) podem ser expressos em termos que envolvam qualquer uma das características e medidas de risco. As considerações éticas, culturais, legais, sociais, de reputação, ambientais, contratuais, financeiras e outras também podem ser pertinentes. Uma avaliação da significância de um risco em comparação com outros riscos frequentemente é baseada em uma estimativa da magnitude do risco em comparação com critérios diretamente relacionados aos limites estabelecidos em torno dos objetivos da organização.

A comparação com esses critérios pode informar uma organização sobre quais riscos convém focar no tratamento, com base em seu potencial de direcionar resultados fora dos limites estabelecidos em torno dos objetivos. A magnitude do risco raramente é o único critério pertinente para as decisões sobre a significância do risco.

Outros fatores pertinentes podem incluir sustentabilidade (por exemplo, triple bottom line – tripé da sustentabilidade) e resiliência, critérios éticos e legais, eficácia dos controles, impacto máximo se os controles não estiverem presentes ou falharem, tempo das consequências, custos dos controles e opiniões das partes interessadas. As técnicas são usadas para desenvolver uma compreensão do risco como uma contribuição para decisões em que há incerteza, incluindo decisões sobre se e como tratar os riscos.

As técnicas de avaliação podem ser usadas para identificar riscos; determinar as causas, as fontes e os fatores de risco e o nível de exposição a eles; investigar a eficácia geral dos controles e o efeito modificador dos tratamentos de riscos propostos; entender as consequências e a probabilidade; analisar interações e dependências; e fornecer uma medida de risco. Em geral, a análise pode ser descritiva (como um relatório de uma análise crítica de literatura, uma análise de cenários ou uma descrição das consequências) ou quantitativa, em que os dados são analisados para produzir valores numéricos.

Em alguns casos, as escalas de classificação podem ser aplicadas para comparar riscos específicos. A maneira pela qual o risco é avaliado e a forma do resultado devem ser compatíveis com algum critério. Por exemplo, os critérios quantitativos requerem uma técnica de análise quantitativa que produza uma saída em unidades apropriadas.

As operações matemáticas devem ser usadas apenas se as métricas escolhidas permitirem. Em geral, as operações matemáticas não devem ser usadas com escalas ordinais. Mesmo em situação de análise totalmente quantitativa, os valores de entrada são geralmente estimativos.

Um nível de exatidão e precisão não deve ser atribuído a resultados além daquele consistente com os dados e métodos empregados. A identificação de riscos permite que a incerteza seja explicitamente levada em consideração. Todas as fontes de incerteza e tanto os efeitos benéficos como os prejudiciais podem ser pertinentes, dependendo do contexto e do escopo da avaliação.

As técnicas para identificar riscos geralmente fazem uso do conhecimento e da experiência de uma variedade de partes interessadas e incluem considerar que a incerteza existe e quais podem ser os seus efeitos; quais circunstâncias ou condições (tangíveis ou intangíveis) têm potencial para futuras consequências; quais fontes de risco estão presentes ou podem se desenvolver; quais controles estão em vigor e se são eficazes; o que, como, quando, onde e por que eventos e consequências podem ocorrer; o que aconteceu no passado e como isso pode se relacionar razoavelmente com o futuro; quais os aspectos humanos e fatores organizacionais podem ser aplicados.

As pesquisas físicas também podem ser úteis para identificar fontes de risco ou sinais precoces de alertas de potenciais consequências. A saída da identificação de riscos pode ser registrada como uma lista de riscos, com eventos, causas e consequências especificados ou usando outros formatos adequados. Quaisquer que sejam as técnicas usadas, a identificação de riscos deve ser abordada metodicamente e iterativamente, para que seja completa e eficiente.

O risco deve ser identificado com antecedência suficiente para permitir que ações sejam tomadas sempre que possível. No entanto, há ocasiões em que é possível que alguns riscos não sejam identificados durante um processo de avaliação de riscos. Por conseguinte, deve ser criado um mecanismo para capturar os riscos emergentes e reconhecer precocemente os sinais de alerta de sucesso ou fracasso em potencial.

Pode-se dizer que a escolha da técnica e a maneira como ela é aplicada devem ser adaptadas ao contexto e uso, e forneçam informação do tipo e forma necessitados pelas partes interessadas. Em termos gerais, o número e o tipo de técnica selecionados devem ser dimensionados de acordo com a significância da decisão e levem em conta as restrições de tempo e outros recursos, e os custos de oportunidade.

Ao decidir se é mais apropriada uma técnica qualitativa ou quantitativa, os principais critérios a serem considerados são a forma de saída mais útil para as partes interessadas e a disponibilidade e confiabilidade dos dados. Para fornecer resultados significativos, técnicas quantitativas geralmente requerem dados de alta qualidade.

Contudo, em alguns casos em que os dados não são suficientes, o rigor necessário para aplicar uma técnica quantitativa pode fornecer uma melhor compreensão do risco, embora o resultado do cálculo possa ser incerto. Geralmente, há uma escolha de técnicas pertinentes para uma dada circunstância. Várias técnicas podem necessitar ser consideradas, e a aplicação de mais de uma técnica pode algumas vezes fornecer uma compreensão adicional útil.

As técnicas diferentes também podem ser apropriadas na medida em que mais informação se torne disponível. Portanto, na seleção de uma técnica ou técnicas, deve-se levar em consideração o propósito do processo de avaliação; as necessidades das partes interessadas; quaisquer requisitos legais, regulamentares e contratuais; o ambiente e cenário operacionais; a importância da decisão (por exemplo, as consequências se uma decisão errada for tomada); quaisquer critérios de decisão estabelecidos e suas formas; o tempo disponível antes que uma decisão tenha que ser tomada; a informação que está disponível ou que pode ser obtida; a complexidade da situação; e a expertise disponível ou que pode ser obtida.

A NBR IEC 31010 de 08/2021 – Gestão de riscos – Técnicas para o processo de avaliação de riscos, em sua nova edição, fornece orientações para a seleção e aplicação de técnicas para o processo de avaliação de riscos em uma ampla série de situações. As técnicas são usadas para auxiliar na tomada de decisões em que haja incerteza, fornecer informações sobre riscos específicos e como parte do processo para a gestão de riscos. Este documento fornece resumos de uma série de técnicas, com referências a outros documentos em que as técnicas são descritas com mais detalhes.

Este documento fornece orientação para a seleção e aplicação de várias técnicas que podem ser usadas para ajudar a melhorar o modo como a incerteza é considerada e ajudar a entender o risco. As técnicas são usadas: onde uma maior compreensão é necessária sobre qual risco existe ou sobre um risco particular; em uma decisão em que uma série de opções, cada uma envolvendo risco, precisa ser comparada ou otimizada; no processo de gestão de riscos, levando a ações para tratar o risco.

As técnicas são usadas nas etapas do processo de avaliação de riscos de identificação, análise e avaliação de riscos, como descrito na NBR ISO 31000, e de forma geral quando há necessidade de entender a incerteza e os seus efeitos. As técnicas descritas neste documento podem ser usadas em uma ampla série de situações, embora a maioria seja originária do campo técnico.

Algumas técnicas são similares em conceito, mas possuem diferentes nomes e metodologias que refletem a história do seu desenvolvimento em diferentes setores. As técnicas evoluíram ao longo do tempo, e muitas podem ser usadas em uma grande série de situações fora de sua aplicação original.

As técnicas podem ser adaptadas, combinadas e aplicadas de novas maneiras, ou ampliadas para satisfazer as necessidades atuais ou futuras. Este documento é uma introdução às técnicas selecionadas e compara as suas possíveis aplicações, benefícios e limitações. Também fornece referências às fontes de informação mais detalhadas.

O público potencial para este documento é: qualquer pessoa envolvida no processo de avaliação ou na gestão de riscos; as pessoas que estão envolvidas no desenvolvimento de orientação que determine como os riscos serão avaliados em contextos específicos; as pessoas que precisam tomar decisões onde há incerteza, incluindo: aquelas que encomendam ou avaliam os processos de avaliação de riscos, aquelas que necessitam compreender os resultados dos processos de avaliação, e aquelas que precisam escolher técnicas de avaliação que satisfaçam uma necessidade particular.

As organizações que precisam conduzir processos de avaliação de riscos para propósitos de compliance ou conformidade podem se beneficiar do uso de técnicas formais, padronizadas e apropriadas para o processo de avaliação de riscos. A incerteza é um termo que abrange vários conceitos subjacentes. Muitas tentativas foram feitas, e continuam sendo desenvolvidas, para categorizar os tipos de incertezas, incluindo: a incerteza que reconhece a variabilidade intrínseca de alguns fenômenos e que não é possível que seja reduzida por pesquisas adicionais, por exemplo, jogar dados (às vezes se refere a incertezas aleatórias); a incerteza que geralmente resulta da falta de conhecimento e que, portanto, pode ser reduzida ao se reunirem mais dados, refinar modelos, aprimorar técnicas de amostragem etc. (às vezes referida como incerteza epistêmica).

Outras comumente reconhecidas formas de incerteza incluem: a incerteza linguística, que reconhece a imprecisão e a ambiguidade inerente à linguagem falada; incerteza da decisão, que tem relevância particular nas estratégias de gestão de riscos e que identifica a incerteza associada aos sistemas de valores, julgamento profissional, valores das companhias e normas sociais.

Exemplos de incerteza incluem: as incerteza quanto à verdade das premissas, incluindo presunções sobre como as pessoas ou sistemas podem se comportar; a variabilidade nos parâmetros nos quais a decisão está baseada; a incerteza na validade ou precisão dos modelos que foram estabelecidos para fazer previsões sobre o futuro; os eventos (incluindo mudanças em circunstâncias ou condições) cuja ocorrência, caráter ou consequência sejam incertos; a incerteza associada a eventos disruptivos; os resultados incertos de questões sistêmicas, como escassez de pessoal competente, que podem ter uma ampla gama de impactos, que não é possível determinar claramente; a falta de conhecimento que surge quando a incerteza é reconhecida, mas não totalmente compreendida; a imprevisibilidade; a incerteza resultante das limitações da mente humana, por exemplo, em compreender dados complexos, prever situações com consequências de longo prazo ou fazer julgamentos sem preconceitos.

Não é possível compreender toda incerteza e a significância da incerteza pode ser difícil ou impossível de determinar ou influenciar. Contudo, o reconhecimento de que a incerteza existe em um contexto específico, permite que sistemas de alerta precoce sejam implementados para detectar mudanças de maneira proativa e oportuna, e para tomar as providências para criar uma resiliência para lidar com as circunstâncias inesperadas.

Os riscos incluem os efeitos de qualquer uma das formas de incerteza nos objetivos. A incerteza pode levar a consequências positivas ou negativas, ou a ambas. O risco é frequentemente descrito em termos de fontes de risco, eventos potenciais, suas consequências e suas probabilidades. Um evento pode ter múltiplas causas e levar a múltiplas consequências.

As consequências podem ter um número de valores discretos, ser variáveis contínuas ou ser desconhecidas. As consequências podem não ser discerníveis ou mensuráveis no início, mas podem se acumular ao longo do tempo. As fontes de risco podem incluir a variabilidade inerente ou incertezas, relacionadas a uma série de fatores, incluindo comportamento humano e estruturas organizacionais ou influências sociais, para as quais pode ser difícil prever qualquer evento específico que possa ocorrer.

Nem sempre é possível tabular o risco facilmente como um conjunto de eventos, suas consequências e suas probabilidades. As técnicas para o processo de avaliação de riscos visam ajudar as pessoas a entender a incerteza e o risco associado neste contexto amplo, complexo e diversificado, com o propósito de apoiar decisões e ações mais bem informadas.

As técnicas descritas neste documento fornecem um meio para melhorar a compreensão da incerteza e suas implicações para decisões e ações. A NBR ISO 31000 descreve os princípios para a gestão de riscos e os fundamentos e arranjos organizacionais que permitem que os riscos sejam gerenciados. Ela especifica um processo que permite que o risco seja reconhecido, compreendido e modificado conforme necessário, de acordo com critérios estabelecidos como parte do processo.

As técnicas do processo de avaliação de riscos podem ser aplicadas nessa abordagem estruturada, que envolve o estabelecimento do contexto, o processo de avaliação de riscos e o tratamento de riscos, juntamente com monitoramento, a análise crítica, a comunicação e consulta, registro e relato contínuos. Este processo é ilustrado na figura abaixo, que também mostra exemplos de onde as técnicas podem ser aplicadas no processo.

No processo da NBR ISO 31000, o processo de avaliação de riscos envolve a identificação dos riscos, sua análise e o uso do entendimento obtido com a análise para avaliar riscos, tirando conclusões sobre a sua significância comparativa em relação aos objetivos e limites de desempenho da organização. Este processo fornece entradas para as decisões sobre se um tratamento é requerido, as prioridades de tratamento e as ações destinadas a tratar os riscos.

Na prática, uma abordagem iterativa é aplicada. As técnicas do processo de avaliação de riscos descritas neste documento são usadas onde é necessário um entendimento maior sobre quais riscos existem ou sobre um risco específico; dentro de um processo de gestão de riscos, levando a ações para tratar os riscos; dentro de uma decisão em que uma gama de opções, cada uma envolvendo riscos, precise ser comparada ou otimizada.

Em particular, as técnicas podem ser usadas para: fornecer informações estruturadas para apoiar decisões e ações em que haja incerteza; esclarecer as implicações das premissas sobre o atingimento dos objetivos; comparar múltiplas opções, sistemas, tecnologias ou abordagens etc. em que haja incertezas multifacetadas em torno de cada opção; auxiliar na determinação de objetivos estratégicos e operacionais realistas; ajudar a determinar os critérios de risco de uma organização, como limites de risco, apetite pelo risco ou capacidade de suportar riscos; levar em conta o risco ao especificar ou analisar criticamente as prioridades; reconhecer e entender os riscos, incluindo os riscos que podem ter resultados extremos; entender quais incertezas são mais importantes para os objetivos de uma organização e fornecer uma justificativa para o que convém que seja feito sobre elas; reconhecer e explorar as oportunidades com mais sucesso; articular os fatores que contribuem para o risco e por que eles são importantes; identificar as ações de tratamento de riscos eficazes e eficientes; determinar o efeito modificador dos tratamentos de risco propostos, incluindo qualquer alteração na natureza ou magnitude do risco; comunicar sobre riscos e suas implicações; aprender com fracassos e sucessos, a fim de melhorar a maneira como os riscos são gerenciados; e demonstrar que os requisitos regulatórios e outros requisitos foram atendidos.

A maneira pela qual o risco é avaliado depende da complexidade e novidade da situação e do nível de conhecimento e entendimento pertinentes. No caso mais simples, quando não há nada de novo ou de incomum em uma situação, o risco é bem entendido, sem grandes implicações para as partes interessadas ou com consequências não significativas, então as ações serão provavelmente decididas de acordo com regras e procedimentos estabelecidos e com avaliações anteriores de risco.

Para questões muito novas, complexas ou desafiadoras, nas quais haja alta incerteza e pouca experiência, há pouca informação sobre em qual basear a avaliação, e as técnicas convencionais de análise podem não ser úteis ou significativas. Isto também se aplica às circunstâncias em que as partes interessadas mantêm opiniões fortemente divergentes.

Nesses casos, várias técnicas podem ser usadas para obter uma compreensão parcial do risco, com julgamentos feitos no contexto de valores organizacionais e sociais e opiniões das partes interessadas. As técnicas descritas neste documento têm grande aplicação em situações entre esses dois extremos em que a complexidade é moderada e há alguma informação disponível na qual basear-se a avaliação.

O propósito do processo de avaliação deve ser estabelecido, incluindo a identificação das decisões ou ações às quais está relacionado, os tomadores de decisão, as partes interessadas e o tempo e natureza do resultado requerido (por exemplo, se é requerida informação qualitativa, semiquantitativa ou quantitativa). O escopo, a profundidade e o nível de detalhe do processo de avaliação devem ser definidos, com uma descrição do que está incluído ou excluído.

Os tipos de consequência a serem incluídos no processo de avaliação devem ser definidos. Convém que quaisquer condições, premissas, restrições ou recursos necessários pertinentes para a atividade do processo de avaliação sejam especificados. Ao realizar um processo de avaliação de riscos, convém que aqueles envolvidos estejam cientes de circunstâncias mais amplas em que serão tomadas as decisões e ações com base no seu processo de avaliação.

Isso inclui compreender as questões internas e externas que contribuem para o contexto da organização, bem como os aspectos sociais e ambientais mais amplos. Convém que qualquer declaração de contexto pertinente seja analisada criticamente e verificada, para ver se é corrente e apropriada. Compreender o contexto geral é particularmente importante quando há complexidade significativa.

Convém que as partes interessadas e aquelas passíveis de estarem aptas a contribuir com conhecimento útil ou visões pertinentes sejam identificadas e suas perspectivas consideradas, estejam elas incluídas ou não como participantes no processo de avaliação. O envolvimento apropriado das partes interessadas ajuda a garantir que a informação na qual o processo de avaliação de riscos é baseado seja válida e aplicável, e que as partes interessadas compreendam as razões por trás das decisões.

O envolvimento das partes interessadas pode: fornecer a informação que permita compreender o contexto do processo de avaliação; juntar diferentes áreas do conhecimento e expertise para identificação e compreensão mais efetivas do risco; fornecer expertise pertinente para o uso das técnicas; permitir que os interesses das partes interessadas sejam compreendidos e considerados; fornecer entradas ao processo de determinação de se um risco é aceitável, em particular quando as partes interessadas são impactadas; cumprir qualquer requisito para que pessoas sejam informadas e consultadas; obter apoio para saídas e decisões oriundas do processo de avaliação de riscos; identificar lacunas no conhecimento que precisem ser tratadas antes do e/ou durante o processo de avaliação de riscos.

Convém que seja decidido como as saídas e resultados do processo de avaliação de riscos podem ser comunicados às partes interessadas pertinentes de forma confiável, precisa e transparente. As técnicas para estimular a visão de partes interessadas e especialistas são descritas na Seção B.1. Convém que os objetivos do sistema ou processo específico para o qual haverá um processo de avaliação de risco sejam definidos e, quando possível, documentados.

Isso irá facilitar a identificação do risco e a compreensão de suas implicações. Convém que, na medida do possível, os objetivos sejam: específicos ao assunto do processo de avaliação; mensuráveis tanto qualitativamente quanto quantitativamente; alcançáveis dentro das restrições impostas pelo contexto; pertinentes para os objetivos maiores ou contexto da organização; alcançáveis dentro do prazo estipulado. Os fatores humanos, organizacionais e sociais devem ser explicitamente considerados e levados em conta conforme apropriado.

Os aspectos humanos são pertinentes no processo de avaliação de riscos nas seguintes maneiras: por meio de influências na maneira em que as técnicas são selecionadas e aplicadas; como uma fonte de incerteza; como a informação é interpretada e usada (por exemplo, por causa das diferentes percepções de risco). O desempenho humano (seja acima ou abaixo do esperado) é uma fonte de risco que pode também afetar a efetividade dos controles.

Convém que o potencial de desvio dos comportamentos esperados ou presumidos seja especificamente considerado, quando do processo de avaliação de risco. As considerações do desempenho humano são frequentemente complexas e opiniões de especialistas podem ser requisitadas para identificar e analisar os aspectos humanos do risco.

Os fatores humanos também influenciam a seleção e o uso de técnicas, em particular quando julgamentos precisam ser feitos ou abordagens de equipe são usadas. A facilitação qualificada é necessária para minimizar estas influências. Convém que tendências, como pensamentos de grupo e excesso de confiança (por exemplo, em estimativas ou percepções), sejam tratadas. Convém que a opinião de especialistas seja informada por evidências e dados sempre que possível e que esforços sejam feitos para evitar ou minimizar preconceitos cognitivos.

Os objetivos e os valores das pessoas podem variar e ser diferentes daqueles da organização. Isto pode resultar em diferentes percepções acerca do nível de risco e diferentes critérios a partir dos quais os indivíduos tomam decisões. Convém que a organização se esforce para atingir uma compreensão comum do risco internamente e leve em conta as diferentes percepções das partes interessadas.

Os aspectos sociais, incluindo posição socioeconômica, etnia e cultura de raça, gênero, relações sociais e contexto residencial e da comunidade, podem afetar o risco tanto direta quanto indiretamente. Os impactos podem ser de longo termo e não visíveis imediatamente, e podem requerer uma perspectiva de planejamento de longo termo.

Convém que os critérios, incluindo os critérios de risco, que precisam ser levados em conta quando da tomada de decisões, sejam analisados criticamente antes de se iniciar qualquer processo de avaliação. Os critérios podem ser qualitativos, semiquantitativos ou quantitativos. Em alguns casos, pode não haver critérios explícitos especificados, e as partes interessadas podem utilizar seu julgamento para responder aos resultados da análise.

As técnicas para o processo de avaliação de riscos

A NBR IEC 31010 de 08/2021 – Gestão de riscos – Técnicas para o processo de avaliação de riscos, em sua nova edição, fornece orientações para a seleção e aplicação de técnicas para o processo de avaliação de riscos em uma ampla série de situações. As técnicas são usadas para auxiliar na tomada de decisões em que haja incerteza, fornecer informações sobre riscos específicos e como parte do processo para a gestão de riscos. Este documento fornece resumos de uma série de técnicas, com referências a outros documentos em que as técnicas são descritas com mais detalhes.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais são os critérios para decidir se um risco pode ser aceito?

Por que gerenciar as informações e desenvolver modelos?

Como deve ser o desenvolvimento e a aplicação de modelos na avaliação de riscos?

Como aplicar as técnicas para o processo de avaliação de riscos?

Este documento fornece orientação para a seleção e aplicação de várias técnicas que podem ser usadas para ajudar a melhorar o modo como a incerteza é considerada e ajudar a entender o risco. As técnicas são usadas: onde uma maior compreensão é necessária sobre qual risco existe ou sobre um risco particular; em uma decisão em que uma série de opções, cada uma envolvendo risco, precisa ser comparada ou otimizada; no processo de gestão de riscos, levando a ações para tratar o risco.

As técnicas são usadas nas etapas do processo de avaliação de riscos de identificação, análise e avaliação de riscos, como descrito na NBR ISO 31000, e de forma geral quando há necessidade de entender a incerteza e os seus efeitos. As técnicas descritas neste documento podem ser usadas em uma ampla série de situações, embora a maioria seja originária do campo técnico.

Algumas técnicas são similares em conceito, mas possuem diferentes nomes e metodologias que refletem a história do seu desenvolvimento em diferentes setores. As técnicas evoluíram ao longo do tempo, e muitas podem ser usadas em uma grande série de situações fora de sua aplicação original.

As técnicas podem ser adaptadas, combinadas e aplicadas de novas maneiras, ou ampliadas para satisfazer as necessidades atuais ou futuras. Este documento é uma introdução às técnicas selecionadas e compara as suas possíveis aplicações, benefícios e limitações. Também fornece referências às fontes de informação mais detalhadas.

O público potencial para este documento é: qualquer pessoa envolvida no processo de avaliação ou na gestão de riscos; as pessoas que estão envolvidas no desenvolvimento de orientação que determine como os riscos serão avaliados em contextos específicos; as pessoas que precisam tomar decisões onde há incerteza, incluindo: aquelas que encomendam ou avaliam os processos de avaliação de riscos, aquelas que necessitam compreender os resultados dos processos de avaliação, e aquelas que precisam escolher técnicas de avaliação que satisfaçam uma necessidade particular.

As organizações que precisam conduzir processos de avaliação de riscos para propósitos de compliance ou conformidade podem se beneficiar do uso de técnicas formais, padronizadas e apropriadas para o processo de avaliação de riscos. A incerteza é um termo que abrange vários conceitos subjacentes. Muitas tentativas foram feitas, e continuam sendo desenvolvidas, para categorizar os tipos de incertezas, incluindo: a incerteza que reconhece a variabilidade intrínseca de alguns fenômenos e que não é possível que seja reduzida por pesquisas adicionais, por exemplo, jogar dados (às vezes se refere a incertezas aleatórias); a incerteza que geralmente resulta da falta de conhecimento e que, portanto, pode ser reduzida ao se reunirem mais dados, refinar modelos, aprimorar técnicas de amostragem etc. (às vezes referida como incerteza epistêmica).

Outras comumente reconhecidas formas de incerteza incluem: a incerteza linguística, que reconhece a imprecisão e a ambiguidade inerente à linguagem falada; incerteza da decisão, que tem relevância particular nas estratégias de gestão de riscos e que identifica a incerteza associada aos sistemas de valores, julgamento profissional, valores das companhias e normas sociais.

Exemplos de incerteza incluem: as incerteza quanto à verdade das premissas, incluindo presunções sobre como as pessoas ou sistemas podem se comportar; a variabilidade nos parâmetros nos quais a decisão está baseada; a incerteza na validade ou precisão dos modelos que foram estabelecidos para fazer previsões sobre o futuro; os eventos (incluindo mudanças em circunstâncias ou condições) cuja ocorrência, caráter ou consequência sejam incertos; a incerteza associada a eventos disruptivos; os resultados incertos de questões sistêmicas, como escassez de pessoal competente, que podem ter uma ampla gama de impactos, que não é possível determinar claramente; a falta de conhecimento que surge quando a incerteza é reconhecida, mas não totalmente compreendida; a imprevisibilidade; a incerteza resultante das limitações da mente humana, por exemplo, em compreender dados complexos, prever situações com consequências de longo prazo ou fazer julgamentos sem preconceitos.

Não é possível compreender toda incerteza e a significância da incerteza pode ser difícil ou impossível de determinar ou influenciar. Contudo, o reconhecimento de que a incerteza existe em um contexto específico, permite que sistemas de alerta precoce sejam implementados para detectar mudanças de maneira proativa e oportuna, e para tomar as providências para criar uma resiliência para lidar com as circunstâncias inesperadas.

Os riscos incluem os efeitos de qualquer uma das formas de incerteza nos objetivos. A incerteza pode levar a consequências positivas ou negativas, ou a ambas. O risco é frequentemente descrito em termos de fontes de risco, eventos potenciais, suas consequências e suas probabilidades. Um evento pode ter múltiplas causas e levar a múltiplas consequências.

As consequências podem ter um número de valores discretos, ser variáveis contínuas ou ser desconhecidas. As consequências podem não ser discerníveis ou mensuráveis no início, mas podem se acumular ao longo do tempo. As fontes de risco podem incluir a variabilidade inerente ou incertezas, relacionadas a uma série de fatores, incluindo comportamento humano e estruturas organizacionais ou influências sociais, para as quais pode ser difícil prever qualquer evento específico que possa ocorrer.

Nem sempre é possível tabular o risco facilmente como um conjunto de eventos, suas consequências e suas probabilidades. As técnicas para o processo de avaliação de riscos visam ajudar as pessoas a entender a incerteza e o risco associado neste contexto amplo, complexo e diversificado, com o propósito de apoiar decisões e ações mais bem informadas.

As técnicas descritas neste documento fornecem um meio para melhorar a compreensão da incerteza e suas implicações para decisões e ações. A NBR ISO 31000 descreve os princípios para a gestão de riscos e os fundamentos e arranjos organizacionais que permitem que os riscos sejam gerenciados. Ela especifica um processo que permite que o risco seja reconhecido, compreendido e modificado conforme necessário, de acordo com critérios estabelecidos como parte do processo.

As técnicas do processo de avaliação de riscos podem ser aplicadas nessa abordagem estruturada, que envolve o estabelecimento do contexto, o processo de avaliação de riscos e o tratamento de riscos, juntamente com monitoramento, a análise crítica, a comunicação e consulta, registro e relato contínuos. Este processo é ilustrado na figura abaixo, que também mostra exemplos de onde as técnicas podem ser aplicadas no processo.

No processo da NBR ISO 31000, o processo de avaliação de riscos envolve a identificação dos riscos, sua análise e o uso do entendimento obtido com a análise para avaliar riscos, tirando conclusões sobre a sua significância comparativa em relação aos objetivos e limites de desempenho da organização. Este processo fornece entradas para as decisões sobre se um tratamento é requerido, as prioridades de tratamento e as ações destinadas a tratar os riscos.

Na prática, uma abordagem iterativa é aplicada. As técnicas do processo de avaliação de riscos descritas neste documento são usadas onde é necessário um entendimento maior sobre quais riscos existem ou sobre um risco específico; dentro de um processo de gestão de riscos, levando a ações para tratar os riscos; dentro de uma decisão em que uma gama de opções, cada uma envolvendo riscos, precise ser comparada ou otimizada.

Em particular, as técnicas podem ser usadas para: fornecer informações estruturadas para apoiar decisões e ações em que haja incerteza; esclarecer as implicações das premissas sobre o atingimento dos objetivos; comparar múltiplas opções, sistemas, tecnologias ou abordagens etc. em que haja incertezas multifacetadas em torno de cada opção; auxiliar na determinação de objetivos estratégicos e operacionais realistas; ajudar a determinar os critérios de risco de uma organização, como limites de risco, apetite pelo risco ou capacidade de suportar riscos; levar em conta o risco ao especificar ou analisar criticamente as prioridades; reconhecer e entender os riscos, incluindo os riscos que podem ter resultados extremos; entender quais incertezas são mais importantes para os objetivos de uma organização e fornecer uma justificativa para o que convém que seja feito sobre elas; reconhecer e explorar as oportunidades com mais sucesso; articular os fatores que contribuem para o risco e por que eles são importantes; identificar as ações de tratamento de riscos eficazes e eficientes; determinar o efeito modificador dos tratamentos de risco propostos, incluindo qualquer alteração na natureza ou magnitude do risco; comunicar sobre riscos e suas implicações; aprender com fracassos e sucessos, a fim de melhorar a maneira como os riscos são gerenciados; e demonstrar que os requisitos regulatórios e outros requisitos foram atendidos.

A maneira pela qual o risco é avaliado depende da complexidade e novidade da situação e do nível de conhecimento e entendimento pertinentes. No caso mais simples, quando não há nada de novo ou de incomum em uma situação, o risco é bem entendido, sem grandes implicações para as partes interessadas ou com consequências não significativas, então as ações serão provavelmente decididas de acordo com regras e procedimentos estabelecidos e com avaliações anteriores de risco.

Para questões muito novas, complexas ou desafiadoras, nas quais haja alta incerteza e pouca experiência, há pouca informação sobre em qual basear a avaliação, e as técnicas convencionais de análise podem não ser úteis ou significativas. Isto também se aplica às circunstâncias em que as partes interessadas mantêm opiniões fortemente divergentes.

Nesses casos, várias técnicas podem ser usadas para obter uma compreensão parcial do risco, com julgamentos feitos no contexto de valores organizacionais e sociais e opiniões das partes interessadas. As técnicas descritas neste documento têm grande aplicação em situações entre esses dois extremos em que a complexidade é moderada e há alguma informação disponível na qual basear-se a avaliação.

O propósito do processo de avaliação deve ser estabelecido, incluindo a identificação das decisões ou ações às quais está relacionado, os tomadores de decisão, as partes interessadas e o tempo e natureza do resultado requerido (por exemplo, se é requerida informação qualitativa, semiquantitativa ou quantitativa). O escopo, a profundidade e o nível de detalhe do processo de avaliação devem ser definidos, com uma descrição do que está incluído ou excluído.

Os tipos de consequência a serem incluídos no processo de avaliação devem ser definidos. Convém que quaisquer condições, premissas, restrições ou recursos necessários pertinentes para a atividade do processo de avaliação sejam especificados. Ao realizar um processo de avaliação de riscos, convém que aqueles envolvidos estejam cientes de circunstâncias mais amplas em que serão tomadas as decisões e ações com base no seu processo de avaliação.

Isso inclui compreender as questões internas e externas que contribuem para o contexto da organização, bem como os aspectos sociais e ambientais mais amplos. Convém que qualquer declaração de contexto pertinente seja analisada criticamente e verificada, para ver se é corrente e apropriada. Compreender o contexto geral é particularmente importante quando há complexidade significativa.

Convém que as partes interessadas e aquelas passíveis de estarem aptas a contribuir com conhecimento útil ou visões pertinentes sejam identificadas e suas perspectivas consideradas, estejam elas incluídas ou não como participantes no processo de avaliação. O envolvimento apropriado das partes interessadas ajuda a garantir que a informação na qual o processo de avaliação de riscos é baseado seja válida e aplicável, e que as partes interessadas compreendam as razões por trás das decisões.

O envolvimento das partes interessadas pode: fornecer a informação que permita compreender o contexto do processo de avaliação; juntar diferentes áreas do conhecimento e expertise para identificação e compreensão mais efetivas do risco; fornecer expertise pertinente para o uso das técnicas; permitir que os interesses das partes interessadas sejam compreendidos e considerados; fornecer entradas ao processo de determinação de se um risco é aceitável, em particular quando as partes interessadas são impactadas; cumprir qualquer requisito para que pessoas sejam informadas e consultadas; obter apoio para saídas e decisões oriundas do processo de avaliação de riscos; identificar lacunas no conhecimento que precisem ser tratadas antes do e/ou durante o processo de avaliação de riscos.

Convém que seja decidido como as saídas e resultados do processo de avaliação de riscos podem ser comunicados às partes interessadas pertinentes de forma confiável, precisa e transparente. As técnicas para estimular a visão de partes interessadas e especialistas são descritas na Seção B.1. Convém que os objetivos do sistema ou processo específico para o qual haverá um processo de avaliação de risco sejam definidos e, quando possível, documentados.

Isso irá facilitar a identificação do risco e a compreensão de suas implicações. Convém que, na medida do possível, os objetivos sejam: específicos ao assunto do processo de avaliação; mensuráveis tanto qualitativamente quanto quantitativamente; alcançáveis dentro das restrições impostas pelo contexto; pertinentes para os objetivos maiores ou contexto da organização; alcançáveis dentro do prazo estipulado. Os fatores humanos, organizacionais e sociais devem ser explicitamente considerados e levados em conta conforme apropriado.

Os aspectos humanos são pertinentes no processo de avaliação de riscos nas seguintes maneiras: por meio de influências na maneira em que as técnicas são selecionadas e aplicadas; como uma fonte de incerteza; como a informação é interpretada e usada (por exemplo, por causa das diferentes percepções de risco). O desempenho humano (seja acima ou abaixo do esperado) é uma fonte de risco que pode também afetar a efetividade dos controles.

Convém que o potencial de desvio dos comportamentos esperados ou presumidos seja especificamente considerado, quando do processo de avaliação de risco. As considerações do desempenho humano são frequentemente complexas e opiniões de especialistas podem ser requisitadas para identificar e analisar os aspectos humanos do risco.

Os fatores humanos também influenciam a seleção e o uso de técnicas, em particular quando julgamentos precisam ser feitos ou abordagens de equipe são usadas. A facilitação qualificada é necessária para minimizar estas influências. Convém que tendências, como pensamentos de grupo e excesso de confiança (por exemplo, em estimativas ou percepções), sejam tratadas. Convém que a opinião de especialistas seja informada por evidências e dados sempre que possível e que esforços sejam feitos para evitar ou minimizar preconceitos cognitivos.

Os objetivos e os valores das pessoas podem variar e ser diferentes daqueles da organização. Isto pode resultar em diferentes percepções acerca do nível de risco e diferentes critérios a partir dos quais os indivíduos tomam decisões. Convém que a organização se esforce para atingir uma compreensão comum do risco internamente e leve em conta as diferentes percepções das partes interessadas.

Os aspectos sociais, incluindo posição socioeconômica, etnia e cultura de raça, gênero, relações sociais e contexto residencial e da comunidade, podem afetar o risco tanto direta quanto indiretamente. Os impactos podem ser de longo termo e não visíveis imediatamente, e podem requerer uma perspectiva de planejamento de longo termo.

Convém que os critérios, incluindo os critérios de risco, que precisam ser levados em conta quando da tomada de decisões, sejam analisados criticamente antes de se iniciar qualquer processo de avaliação. Os critérios podem ser qualitativos, semiquantitativos ou quantitativos. Em alguns casos, pode não haver critérios explícitos especificados, e as partes interessadas podem utilizar seu julgamento para responder aos resultados da análise.

A operação de organismos de conformidade que realizam validação/verificação

É importante conhecer os princípios gerais e requisitos para a competência, a operação coerente e a imparcialidade de organismos que realizam validação/verificação como atividades de avaliação da conformidade.

A NBR ISO/IEC 17029 de 01/2021 – Avaliação da conformidade – Princípios gerais e requisitos para organismos de validação e verificação contém princípios gerais e requisitos para a competência, a operação coerente e a imparcialidade de organismos que realizam validação/verificação como atividades de avaliação da conformidade. Os organismos que operam de acordo com este documento podem prover validação/verificação como atividade de primeira, segunda e terceira partes. Os organismos podem ser somente organismos de validação, somente organismos de verificação ou prover ambas as atividades.

Este documento é aplicável a organismos de validação/verificação em qualquer setor provendo confirmação de que alegações são plausíveis em relação ao uso pretendido futuro (validação) ou são afirmadas veridicamente (verificação). Todavia, resultados de outras atividades de avaliação da conformidade (por exemplo, ensaios, inspeção e certificação) não são considerados sujeitos a validação/verificação de acordo com este documento. Também não o são as situações em que atividades de validação/verificação são realizadas como etapas em outro processo de avaliação da conformidade.

Este documento é aplicável a qualquer setor, em conjunto com programas de setor específico que contenham requisitos para processos e procedimentos de validação/verificação. Este documento pode ser usado como uma base para a acreditação por organismos de acreditação, avaliação por pares em grupos de avaliação por pares ou outras formas de reconhecimento de organismos de validação/verificação por organizações internacionais ou regionais, governos, autoridades regulamentadoras, proprietários de programas, organismos da indústria, companhias, clientes ou consumidores.

Confira algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Qual deve ser a estrutura organizacional e da alta direção?

Qual deve ser o requisito para o pessoal?

Por que o organismo deve ter um processo de gestão para a competência do pessoal?

Por que aplicar um programa de validação/verificação?

Como deve ser feita a contratação dos serviços?

A validação e a verificação como avaliação da conformidade são compreendidas como sendo uma confirmação da confiabilidade de informações declaradas em alegações. Outros termos em uso para o objeto da avaliação por validação e verificação são “declaração”, “afirmação”, “previsão” ou “relatório”. Essas atividades se distinguem de acordo com a linha de tempo da alegação avaliada.

A validação é aplicada a alegações relativas a um uso futuro pretendido ou resultado projetado (confirmação da plausibilidade), enquanto a verificação é aplicada a alegações relativas a eventos que já ocorreram ou a resultados que já foram obtidos (confirmação da veracidade). Uma vez que os requisitos neste documento são de natureza genérica, é necessário operar um programa para a validação/verificação específica. Abaixo uma figura que ilustra a abordagem funcional para avaliação da conformidade, adaptado para os termos e conceitos definidos por este documento.

O programa para a validação/verificação especifica definições, princípios, regras, processos e requisitos adicionais para etapas do processo de validação/verificação, assim como para a competência de validadores/verificadores para um setor específico. Os programas podem ser estruturas legais, normas internacionais, regionais ou nacionais, iniciativas globais, aplicações setoriais, assim como acordos individuais com clientes do organismo de validação/verificação. A validação/verificação provê segurança e dá confiança às partes interessadas na alegação.

O programa pode definir níveis de confiança, por exemplo, um nível de confiança razoável ou limitado. De acordo com a NBR ISO/IEC 17000, a abordagem funcional para a demonstração de que os requisitos especificados são atendidos descreve a avaliação da conformidade como uma série das três funções: seleção; determinação; análise crítica e atestação.

A relação entre os termos e conceitos genéricos definidos pela NBR ISO/IEC 17000 e os termos e conceitos definidos por este Documento é dada na Tabela B.1 da norma. De acordo com essa abordagem funcional, validação e verificação como avaliação da conformidade incluem uma decisão sobre a confirmação da alegação. A decisão sobre se a alegação é conforme (ou não) com os requisitos especificados inicialmente é então emitida pelo organismo de validação/verificação como a declaração de validação/verificação.

Os requisitos especificados podem ser gerais ou detalhados, por exemplo, a alegação ser livre de afirmações distorcidas materiais. O programa aplicável pode definir etapas adicionais no processo de validação/verificação. Ao determinar se a alegação de um cliente pode ser confirmada, organismos de validação/verificação necessitam coletar informações e desenvolver uma compreensão completa relacionadas ao atendimento dos requisitos especificados.

Isso pode incluir uma avaliação apropriada de dados e planos, analisar criticamente a documentação, realizar cálculos alternativos, visitar locais ou entrevistar pessoas. Os requisitos especificados por este documento são comuns para ambas as atividades, validação e verificação. Sempre que um requisito se aplica a somente uma atividade, ele está identificado.

Os organismos de validação/verificação podem ser organismos internos da organização que provê a alegação (primeira parte), organismos que tenham interesse de usuário na alegação (segunda parte) ou organismos que sejam independentes da pessoa ou da organização que provê a alegação e não tenham interesse de usuário naquela alegação (terceira parte). Definindo-se validação/verificação como confirmação, essas atividades se diferenciam de outras ferramentas de avaliação da conformidade, por não resultarem em uma caracterização (ensaio), nem proverem um exame (inspeção) ou um atestado de conformidade para um período definido (certificação).

Todavia, pretende-se que a validação/verificação corresponda a aplicações do sistema de avaliação da conformidade. Tal como relatórios de ensaio de um laboratório podem ser incluídos para propósitos de inspeção, ou a auditoria do sistema de gestão do produtor pode ser usada como uma entrada para a certificação de produto, declarações de validação/verificação podem ser usadas como uma entrada para outra atividade de avaliação da conformidade. Igualmente, os resultados de outras atividades de avaliação da conformidade podem ser usados como uma entrada quando se realizam atividades de validação/verificação.

As próprias declarações de conformidade, emitidas como resultado de outra atividade de avaliação da conformidade, não são consideradas objetos de validação/verificação de acordo com este documento. Isso inclui, por exemplo, a declaração da conformidade de um fornecedor com relação a especificações de produto de acordo com a NBR ISO/IEC 17050, certificados de acordo com a NBR ISO/IEC 17021-1 ou exame e verificação de projeto no contexto de inspeção de acordo com a NBR ISO/IEC 17020.

Além disso, este documento não se aplica a situações em que atividades de validação/verificação são realizadas como etapas no processo de ensaio (NBR ISO/IEC 17025, NBR ISO 15189), inspeção (NBR ISO/IEC 17020) ou certificação (NBR ISO/IEC 17021-1, NBR ISO/IEC 17065) e quando requisitos específicos necessitam ser aplicados para estruturar e realizar esses processos. Exemplos são a validação de método como uma etapa de um ensaio realizado de acordo com a NBR ISO/IEC 17025 e a validação/verificação de projeto no contexto da implementação de um sistema de gestão de acordo com a NBR ISO 9001.

Exemplos atuais para validação/verificação como atividades de avaliação da conformidade incluem alegações relacionadas com emissões de gases de efeito estufa (por exemplo, de acordo com a NBR ISO 14064-3), rotulagem ambiental, declarações de produtos e pegadas (por exemplo, de acordo com a NBR ISO 14020 e a NBR ISO 14040, como declaração ambiental de produto), relatórios ambientais e de sustentabilidade (por exemplo, de acordo com a ISO 14016). Aplicações novas em potencial podem incluir alegações relacionadas com tecnologia de construção, gestão de energia, gestão financeira, sistemas de automação industrial, engenharia de software e de sistemas, inteligência artificial, tecnologia da informação, produtos para saúde e dispositivos médicos, segurança de máquinas, engenharia de segurança e de projeto e responsabilidade social.

Os princípios descritos devem prover a base para os requisitos especificados neste documento. Convém que esses princípios sejam aplicados como orientação para decisões que algumas vezes necessitem ser tomadas para situações imprevistas. Princípios não são requisitos. A intenção geral da validação/verificação é dar confiança para todas as partes de que uma alegação validada/verificada atende aos requisitos especificados.

O valor da validação/verificação é a confiança que é estabelecida por uma avaliação imparcial por um organismo de validação/verificação competente. Partes que têm um interesse em validação/verificação incluem, mas não são limitadas a: clientes dos organismos de validação/verificação; proprietários de programas; usuários das alegações validadas/verificadas; autoridades regulamentadoras.

Um dos princípios para os processos de validação/verificação é a abordagem com base em evidência para tomada de decisão. O processo implementa um método para alcançar conclusões confiáveis e reprodutíveis de validação/verificação e é baseado em evidência objetiva suficiente e apropriada. A declaração de validação/verificação é baseada na evidência coletada por meio de uma validação/verificação objetiva da alegação.

O processo de validação/verificação é documentado e estabelece a base para a conclusão e a decisão relativas à conformidade da alegação com os requisitos especificados. As atividades de validação/verificação, achados, conclusões e declarações, incluindo obstáculos significativos encontrados durante o processo, assim como opiniões divergentes não resolvidas entre o organismo de validação/verificação e o cliente são espelhadas com veracidade e exatidão.

Outro princípio é a imparcialidade em que as decisões são baseadas em evidência objetiva obtida por meio do processo de validação/verificação e não são influenciadas por outros interesses ou partes. Ameaças à imparcialidade podem incluir, mas não são limitadas ao seguinte: interesse próprio: ameaças que resultam de um organismo ou pessoa agindo em seu próprio interesse. Uma preocupação relacionada com validação/verificação, como uma ameaça à imparcialidade, é o interesse financeiro próprio.

Outra ameaça é a autoanálise crítica, em que as ameaças que resultam de um organismo ou pessoa que analisa criticamente o trabalho feito por ele (a) mesmo (a). A familiaridade (ou confiança) é uma ameaça que resulta de um organismo ou pessoa ser demasiadamente familiarizado com ou confiante em outra pessoa ao invés ao invés de procurar evidência para a validação/verificação.

A intimidação é uma ameaça que resulta de um organismo ou pessoa que tem uma percepção de ser coagido (a) aberta ou secretamente, tal como uma ameaça de ser substituído (a) ou relatado (a) a um supervisor. Quanto à competência, o pessoal deve ter o conhecimento, as habilidades, a experiência, o treinamento, a infraestrutura de apoio e a capacidade necessários para realizar eficazmente atividades de validação/verificação.

As informações confidenciais obtidas ou criadas durante as atividades de validação/verificação são salvaguardadas e não são divulgadas inapropriadamente. Um organismo de validação/verificação necessita prover o acesso público ou a divulgação de informações apropriadas sobre o seu processo de validação/verificação. O cliente do organismo de validação/verificação, e não o organismo de validação/verificação, tem a responsabilidade pela alegação e sua conformidade com os requisitos especificados aplicáveis.

O organismo de validação/verificação tem a responsabilidade de basear uma declaração de validação/verificação em evidência objetiva suficiente e apropriada. As partes que tenham um interesse na validação/verificação têm a oportunidade de fazer reclamações. Essas reclamações são adequadamente gerenciadas e resolvidas. Assim, a capacidade de resposta a reclamações é necessária para demonstrar integridade e credibilidade para todos os usuários dos resultados da validação/verificação.

Quanto à abordagem baseada em risco, os organismos de validação/verificação necessitam levar em conta os riscos associados com a provisão de validação/verificação competente, consistente e imparcial. Riscos podem incluir, mas não são limitados àqueles associados com: os objetivos da validação/verificação e os requisitos do programa; competência, coerência e a imparcialidade real, assim como a percebida; questões legais, regulamentares e de responsabilidade civil; a organização cliente onde a validação/verificação esteja sendo realizada e seu sistema de gestão, ambiente operacional, localização geográfica, etc.; a suscetibilidade de qualquer parâmetro incluído na alegação gerar uma afirmação distorcida material, até mesmo se houver um sistema de controle implementado; o nível de confiança a ser alcançado e a correspondente coleta de evidência usada no processo de validação/verificação; a percepção de partes interessadas; as alegações enganosas ou o uso indevido de marcas pelo cliente; o controle de riscos e de oportunidades para melhoria.

O organismo de validação/verificação deve ser uma entidade legal, ou uma parte definida de uma entidade legal, que possa ser responsabilizada legalmente por todas as suas atividades de validação/verificação. Um organismo de validação/verificação governamental é uma entidade legal com base em seu status governamental. O organismo de validação/verificação deve ser responsável e reter autoridade por suas declarações de validação/verificação.

As atividades de validação/verificação devem ser realizadas imparcialmente. O organismo de validação/verificação deve ser responsável pela imparcialidade de suas atividades de validação/verificação e não pode permitir que pressões comerciais, financeiras ou outras comprometam a imparcialidade.

O organismo de validação/verificação deve monitorar suas atividades e seus relacionamentos para identificar ameaças a sua imparcialidade. Esse monitoramento deve incluir os relacionamentos de seu pessoal. Embora os requisitos de imparcialidade neste Documento sejam os mesmos para organismos de primeira, segunda e terceira partes, as entradas e os resultados pertinentes da respectiva avaliação de riscos podem diferir.

A identificação de ameaças à imparcialidade pode incluir a consulta equilibrada com partes interessadas apropriadas, não predominando interesse particular, para aconselhamento sobre assuntos que afetem a imparcialidade, incluindo transparência e a percepção pública. Uma maneira de consulta é pelo uso de um comitê dessas partes interessadas. O programa pode tornar mandatório o requisito de consulta com partes interessadas apropriadas para aconselhamento sobre assuntos que afetem a imparcialidade.

Um relacionamento pode ser baseado em propriedade, governança, gestão, pessoal, recursos compartilhados, finanças, contratos, marketing (incluindo marcas). Tais relacionamentos não necessariamente apresentam a um organismo de validação/verificação uma ameaça à imparcialidade. Se uma ameaça à imparcialidade for identificada, seu efeito deve ser eliminado ou minimizado de modo que a imparcialidade não seja comprometida.

O organismo de validação/verificação deve ter o compromisso da Alta Direção com a imparcialidade. O organismo de validação/verificação deve ter um compromisso disponível publicamente de que ele compreende a importância da imparcialidade ao realizar suas atividades de validação/verificação e de que ele gerencia conflitos de interesse e assegura objetividade.

A análise crítica (9.6) e a decisão (9.7) devem ser feitas por pessoal diferente daquele que realiza a execução da validação/verificação (9.5). Quando o organismo de validação/verificação provê validação e verificação a um mesmo cliente, ele deve considerar a ameaça potencial à imparcialidade (por exemplo, autoanálise crítica e familiaridade) e deve gerir esse risco convenientemente. O organismo de validação/verificação não pode oferecer ou prover consultoria e validação/verificação para a mesma alegação de um mesmo cliente.

Quando o relacionamento entre um organismo que provê consultoria e o organismo de validação/verificação representa uma ameaça inaceitável para a imparcialidade do organismo de validação/verificação, o organismo de validação/verificação não pode prover atividades de validação/verificação para clientes que recebam consultoria relacionada com a mesma alegação. Isso inclui clientes potenciais com os quais o organismo de validação/verificação esteja pré-contratado.

As atividades do organismo de validação/verificação não podem ser comercializadas ou oferecidas como se fossem ligadas às atividades de qualquer organização que provê consultoria. O organismo de validação/verificação deve tomar ação quando lhe for dada ciência (por exemplo, via uma reclamação) de ligações inapropriadas com, ou anúncios por, qualquer organização de consultoria que declare ou deixe implícito que a validação/verificação seria mais simples, mais fácil, mais rápida ou menos custosa se o organismo de validação/verificação fosse usado.

Um organismo de validação/verificação não pode declarar ou deixar implícito que a validação/verificação seria mais simples, mais fácil, mais rápida ou menos custosa se uma organização de consultoria especificada fosse usada. O organismo de validação/verificação deve tomar ação para responder a quaisquer ameaças a sua imparcialidade resultantes das ações de outras pessoas, organismos ou organizações. Isso inclui as ações daqueles organismos para os quais as atividades de validação/verificação forem terceirizadas.

A gestão de qualidade na fabricação de preservativos

Saiba quais são as orientações para o uso das NBR ISO 4074 e NBR ISO 23409 e sobre as questões de qualidade a serem consideradas durante o desenvolvimento, fabricação, verificação da qualidade e aquisição de preservativos.

A NBR ISO 16038 de 11/2020 – Preservativos masculinos — Orientação para o uso das NBR ISO 4074 e NBR ISO 23409 na gestão da qualidade de preservativos fornece orientação para o uso das NBR ISO 4074 e NBR ISO 23409, e aborda questões de qualidade a serem consideradas durante o desenvolvimento, fabricação, verificação da qualidade e aquisição de preservativos. Este documento engloba os aspectos de sistemas de gestão da qualidade no projeto, fabricação e entrega de preservativos, com ênfase no desempenho, segurança e confiabilidade.

Os preservativos masculinos são feitos essencialmente de látex de borracha natural e, neste caso, são aplicáveis os requisitos da NBR ISO 4074, ou de materiais sintéticos e/ou misturas de materiais sintéticos e de látex de borracha natural e, neste caso, são aplicáveis os requisitos da NBR ISO 23409. Este documento delineia os aspectos aplicáveis para os dois tipos de preservativos, com esclarecimentos específicos onde indicado.

Confira algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Por que controlar o nível de nitrosaminas?

Quais as especificações para a qualidade na aquisição?

Quais os requisitos para as dimensões dos preservativos?

O que deve ser feito em relação à compatibilidade de materiais?

Os preservativos são dispositivos médicos usados para contracepção e para prevenção de infecções transmitidas sexualmente. A NBR ISO 4074 é uma norma de qualidade para preservativos de látex de borracha natural, e a NBR ISO 23409, para preservativos feitos de materiais sintéticos. Elas são documentos de referência para protocolos normalizados de ensaio de qualidade do produto final e uma especificação de linha de base para atributos críticos que afetam a segurança e a eficiência do preservativo.

Elas são aplicadas por fabricantes, setores de compra, organismos reguladores e laboratórios de ensaio. O uso da NBR ISO 4074 e/ou NBR ISO 23409 não garante consistência em qualidade por si só. Alta qualidade consistente no custo de produção mais baixo possível só é obtido por meio de um regime denominado gestão da qualidade, pelo qual a qualidade é incorporada ao produto e garantida em todos os momentos dos processos de projeto, planejamento, produção e compra.

Assim, convém que este documento leve à melhoria constante na fabricação, aquisição e processos de ensaio. Convém que os requisitos especiais de compradores e consumidores também recebam a consideração devida ao se aplicar a NBR ISO 4074 ou NBR ISO 23409, pois elas são gerais por conceito e não cobrem todas as circunstâncias de forma completa.

Este documento apresenta orientação para fabricantes, compradores e laboratórios de ensaio terceirizados sobre a implementação e aplicação da NBR ISO 4074 na fabricação de preservativos, e para compradores sobre como aplicar a NBR ISO 4074 ou NBR ISO 23409 e verificar se os preservativos entregues estão em conformidade com a especificação, como indicado. Os preservativos considerados aceitáveis atendem ou superam os requisitos mínimos especificados pela NBR ISO 4074 ou NBR ISO 23409, conforme aplicável.

Não é possível, nem requerido, sujeitar preservativos a ensaios de usuários lote por lote. Por esta razão, certas avaliações somente são executadas no caso de uma validação pré-venda; por exemplo, no caso de modelos novos ou com modificações significativas. Os requisitos de validação de projeto normalmente incluem todos os requisitos de validação das boas práticas de fabricação (BPF) e os requisitos de validação das NBR ISO 9001 e NBR ISO 13485; no momento, estes não estão cobertos pelas NBR ISO 4074 e NBR ISO 23409, mas são geralmente incluídos pelas autoridades regulatórias como pré-requisitos de registro de novos projetos de dispositivos médicos.

No entanto, considerações de projeto, como ensaio de estabilidade etc., são cobertas pela NBR ISO 4074 e a avaliação de propriedades de barreira por experimentos clínicos e a determinação de propriedades de ruptura é coberta pela NBR ISO 23409. As NBR ISO 4074 e NBR ISO 23409 se preocupam primeiramente com o ensaio de produtos acabados realizados para monitorar ou verificar se os preservativos foram fabricados com um nível adequado de consistência na qualidade.

Para tal propósito, foram projetados ensaios que podem ser realizados de forma rápida e econômica. Os requisitos das NBR ISO 4074 e NBR ISO 23409 são baseados nas propriedades que, como se acredita com base no conhecimento atual, são relevantes para o desempenho de preservativos em uso normal. Ainda assim, algumas propriedades importantes de preservativos são difíceis de definir em termos quantitativos, por falta de estudos controlados, pela ausência de ensaios práticos e econômicos, e pela necessidade de especificações diferentes que se ajustem a usuários diferentes. Portanto, a NBR ISO 4074 e a NBR ISO 23409 têm o foco nas propriedades essenciais em que limites são claramente definidos. Outras propriedades são discutidas somente em termos gerais e são destinadas a serem expandidas por meio de registros de fabricação apropriados, certificação pelo fabricante ou especificações de consumidores. Este documento também discute como lidar com outras questões importantes relacionadas, não cobertas pelas NBR ISO 4074 e NBR ISO 23409. Este documento tem o intuito de auxiliar o usuário das NBR ISO 4074 e NBR ISO 23409 a compreender quaisquer riscos que possam ser associados ao uso de preservativos.

Também ajuda a decidir se estes riscos são aceitáveis quando comparados aos benefícios recebidos pelo usuário de preservativos. A NBR ISO 4074 e a NBR ISO 23409 também ajudam a avaliar se os produtos são comprovadamente seguros e se oferecem proteção à saúde. Uma boa comunicação entre o comprador e o fabricante resulta na entrega de produtos satisfatórios e seguros, evitando assim ensaios desnecessários ou especificações inadequadas, e então minimizando o custo de ensaios de conformidade.

Sendo dispositivos médicos, os preservativos estão sujeitos a regulamentações em muitos países. Os requisitos para gestão da qualidade são apresentados em normas como NBR ISO 9001 e NBR ISO 13485. A NBR ISO 9001 tem base na abordagem de se alcançar excelência empresarial por meio da gestão da qualidade. Pelo fato de o preservativo ser um dispositivo médico, é apropriado que a NBR ISO 13485 seja aplicada para gestão da qualidade como parte da conformidade com requisitos regulatórios.

O preservativo é um dispositivo médico de uso único cujo desempenho e segurança dependem do projeto e do processo de fabricação. Novos projetos de preservativos podem requerer ensaio clínico, diversos outros ensaios e análise em uma base limitada para propósitos de validação, como determinação do prazo de validade (ensaio de tipo) e avaliação de riscos.

Estes requisitos são geralmente prescritos por autoridades de licenciamento e os dados gerados se tornam parte do arquivo principal do produto. Diretrizes estão disponíveis na NBR ISO 13485 e nos requisitos das Boas Práticas de Fabricação (BPF). Quando novos produtos são desenvolvidos, convém que o projeto esteja em conformidade com os requisitos de controle de projeto, como determinado na NBR ISO 13485, e nos requisitos BPF aplicáveis.

Convém que os princípios de controle de projeto sejam aplicáveis aos parâmetros, incluindo o formato do preservativo; as dimensões; os componentes críticos na formulação, como materiais de base, antioxidantes, vulcanizadores, estabilizadores, corantes, etc.; os lubrificantes e aditivos como sabor; os lubrificantes adicionais, etc.; e os materiais de embalagem. Convém que a segurança dos materiais usados seja analisada criticamente e garantida em conformidade com requisitos aplicáveis.

Convém que atividades de controle de projeto sejam documentadas como parte do sistema de gestão da qualidade, analisadas criticamente e atualizadas quando agências reguladoras e/ou necessidades de consumidores justificarem mudanças. Sempre que mudanças significativas forem feitas à formulação ou processo que possa afetar substancialmente o desempenho e/ou a segurança dos preservativos, convém que estas mudanças sejam avaliadas, validadas e documentadas. Exemplo: mudanças nos tipos de formulação, mudanças no lubrificante, mudanças no material de embalagem (individual) primária, mudanças no processo de percolação.

Uma mudança significativa é descrita como qualquer mudança feita no projeto ou processo aprovado com o escopo para materiais, incluindo embalagem, formulação, processo de fabricação, instalações ou equipamento, que podem impactar o desempenho, utilização destinada, prazo de validade ou outros aspectos de segurança, e que não é possível que sejam claramente excluídos por uma análise de risco. Convém que as validações de processos sejam executadas em conformidade com os requisitos da NBR ISO 9001 e NBR ISO 13485.

O projeto de preservativos sintéticos e os materiais usados resultam da consideração da variedade de materiais possíveis e da necessidade de atender aos requisitos de eficiência, propriedades adequadas de barreira e força mecânica. A eficiência é avaliada por meio de ensaios com vírus substitutos, usando Phi-X174 bacteriófago, e então por experimentos clínicos, usando comparação com preservativos de látex de borracha natural como referência.

Orientação sobre condução de ensaios de penetração viral in vitro é apresentada em documentos como as Diretrizes USFDA e em literatura publicada. Convém que a penetração do Phi-X174 bacteriófago no projeto de ensaio de preservativo seja avaliada com referência ao projeto aprovado e a níveis publicados na literatura. O nível da mediana da penetração foi reportado como 7 × 10 (−4) mL. Detalhes sobre condução de ensaios de penetração viral, incluindo o limite de detecção do método e interpretação estatística dos resultados, são apresentados na NBR ISO 23409:2017, Anexo G.

Convém que a validação de projeto seja usada como a base para assegurar que parâmetros de projeto, como dimensões, formulação, segurança de componentes e biocompatibilidade, estabilidade e alegações de prazo de validade, materiais de embalagem e de finalização etc., sejam adequados. Convém que os estudos de biocompatibilidade sejam feitos de acordo com os requisitos da NBR ISO 10993-1, ISO 10993-5 e ISO 10993-10, e convém que os relatórios sejam avaliados por um toxicologista qualificado.

Quando apropriado ou necessário, como quando houver uma alteração significativa na formulação, convém que estudos de irritação de pele e uma avaliação de segurança sejam realizados e documentados como parte das atividades de controle de projeto. Convém que os compradores, incluindo agências de aquisição, além de se assegurarem que os preservativos estejam em conformidade com a NBR ISO 4074 ou NBR ISO 23409, interajam com fabricantes na especificação de parâmetros, caso os métodos especificados na NBR ISO 4074 e NBR ISO 23409 não sejam aplicáveis.

Os parâmetros incluem dimensões, tipo e quantidade de lubrificante, tolerância na quantidade de lubrificante acordada entre o fabricante e as agências de aquisição, método de determinação de lubrificante, tipo de embalagem, configuração de embalagem secundária e terciária, e rotulagem específica. Convém que a forma, cor e funcionalidades adicionais, se houver, também sejam declaradas pela agência de aquisição e acordadas com o fabricante.

Convém que quaisquer especificações adicionais sejam comunicadas aos laboratórios de ensaio para que as especificações corretas sejam aplicadas nos ensaios dos produtos. Uma vez que preservativos são dispositivos médicos, pode ser adequada a condução de experimentos clínicos em vez de depender de dados laboratoriais quando mudanças significativas forem feitas no projeto, tipo de lubrificante, etc., e/ou quando novos materiais forem usados e novas alegações forem feitas.

Experimentos clínicos também podem ser conduzidos para comparar características específicas de diferentes produtos. Tais características podem incluir estudos sobre a colocação do preservativo, escorregamento e ruptura, e outros parâmetros que podem afetar a eficiência dos preservativos. Convém que experimentos clínicos sejam conduzidos sob um protocolo escrito para monitorar os objetivos claramente declarados em conformidade com as ISO 14155 e ISO 29943-1.

Convém que seja dada a devida consideração à inclusão adequada de preservativos de referência. Convém que o gerenciamento de risco seja realizado conforme especificado na NBR ISO 14971. A NBR ISO 16037 é um documento de orientação que recomenda parâmetros físicos. Convém que estes sejam medidos antes que se conduzam os experimentos clínicos. Convém que os dados clínicos assim gerados sejam analisados criticamente, conforme for necessário, para garantir segurança e conformidade contínuas com os requisitos de desempenho dos preservativos.

No caso de preservativos feitos de materiais sintéticos, os valores das propriedades físicas medidas formam a base para atingir os critérios de aceitação para ensaios de lote como parte da verificação da qualidade, conforme apresentado na NBR ISO 23409. Uma vez que o material sintético pode variar de projeto para projeto, os limites para se chegar aos requisitos mínimos aceitáveis de propriedades físicas são derivados com base nos resultados do ensaio de tipo dos lotes que estão sujeitos à investigação clínica.

Convém que os requisitos mínimos sejam especificados com base em valores percentuais de preservativos individuais. Percentis representam o valor de parâmetros abaixo dos quais uma determinada porcentagem das observações recai.

Convém que fabricantes executem o gerenciamento de risco conforme especificado na NBR ISO 14971 e disponibilizem o relatório de gerenciamento de risco para compradores institucionais e agências reguladoras conforme solicitação dentro de um quadro de referência de confidencialidade. Convém que quaisquer alegações de funcionalidades adicionais tenham dados substanciados bem definidos de desempenho e de segurança, e que sejam devidamente documentados (por exemplo, para preservativos extra resistentes).

Convém que, como um componente importante do gerenciamento de risco, o fabricante informe ao usuário, na rotulagem, sobre quaisquer propriedades do produto ou substâncias contidas dentro deste que possam causar irritação, sensibilização ou reação alérgica. Diretrizes para rotulagem são especificadas na NBR ISO 4074 e NBR ISO 23409, como indicado.

Convém que seja dada atenção para uma escolha apropriada de cores e aditivos aprovados por agências reguladoras ou certificados como seguros para uso em seres humanos. Convém que o usuário seja alertado do potencial de alergia em casos raros, devido ao látex ou outras substâncias químicas presentes na formulação.

Os preservativos feitos de látex de borracha natural ou de uma mistura liberam quantidades menores de proteína do que luvas de látex, pois possuem filmes mais finos e duração de uso mais curta. No entanto, convém que os fabricantes de preservativos de látex se esforcem para manter o nível de proteína de látex mínimo.

O controle de proteínas extraíveis é uma questão de gestão da qualidade e convém que o fabricante esteja ciente e controle o conteúdo e a liberação de substância alergênicas, como proteínas extraíveis, por meio de passos e controles adequados de processo; convém que os passos de processo e os controles façam parte do sistema de gestão da qualidade do fabricante. Os métodos para determinar níveis de proteína em produtos de látex são apresentados na ASTM D5712-99.

Estes métodos podem ser adaptados para determinar níveis de proteína em preservativos. Os níveis de proteína também podem ser determinados pelo método ELISA, especificado pela ASTM D6499-03. Nenhum limite para níveis de proteína é especificado na NBR ISO 4074 e NBR ISO 23409.

Apesar de preservativos serem dispositivo médico não estéreis, convém que cuidado seja empregado durante as operações de fabricação para minimizar contaminação microbiológica, particularmente com patógenos específicos que afetem a pele e a mucosa. Por exemplo, várias espécies de pseudomonas, estafilococos e E. coli. Convém que potenciais causas de contaminação sejam identificadas, controladas e monitoradas pelo sistema de gestão da qualidade.

A NBR ISO 4074 requer que os fabricantes estabeleçam procedimentos para o monitoramento periódico de contaminação microbiana (biocarga) como parte de seu sistema de gestão da qualidade. Convém que o procedimento seja baseado na análise de risco feita pelo fabricante no que diz respeito à contaminação microbiana, de forma que o método para determinar níveis de biocarga, a periodicidade de monitoramento e os limites para contagens totais viáveis sejam estabelecidos para garantir a segurança dos preservativos fabricados.

Sugere-se que a determinação da biocarga seja feita nos preservativos em diferentes etapas da fabricação e em diferentes condições ambientais predominantes em áreas críticas de fabricação e de armazenamento, e que limites e frequência adequados de monitoramento sejam estabelecidos. Dados de análise de tendências regulares serão úteis no monitoramento efetivo e para tomar os passos preventivos e corretivos requeridos para evitar a contaminação.

A NBR ISO 4074 requer que patógenos específicos estejam ausentes. Os métodos para determinar os níveis de biocarga são apresentados na NBR ISO 4074:2020, Anexo G. O princípio subjacente da gestão da qualidade é que não é possível que a qualidade seja alcançada efetiva e consistentemente apenas por meio de ensaios do produto final. Ao contrário, convém que esteja incorporado em todos os estágios do processo e nas atividades relacionadas que tenham impacto direto na qualidade do produto.

A avaliação para o gerenciamento de documentos de arquivo

Pode-se descrever os procedimentos sobre como realizar a avaliação para o gerenciamento de documentos de arquivo.

A ABNT ISO/TR 21946 de 10/2020 – Informação e documentação — Avaliação para gestão de documentos de arquivo fornece orientação sobre como realizar a avaliação para o gerenciamento de documentos de arquivo. Ele descreve alguns dos produtos e benefícios que podem ser alcançados usando os resultados da avaliação. Como tal, este documento descreve uma aplicação prática do conceito de avaliação delineado na NBR ISO 15489-1. Este documento lista alguns dos principais propósitos da avaliação; descreve a importância do estabelecimento de escopo para avaliação; explica como analisar as funções do negócio e compreender seu contexto; explica como identificar requisitos de documentos de arquivo; descreve as relações entre os requisitos de documentos de arquivo, as funções de negócio e os processos de trabalho; explica como usar a avaliação de risco para tomar decisões relacionadas aos documentos de arquivo; lista opções para documentar os resultados da avaliação; descreve usos possíveis para os resultados da avaliação; e explica a importância do monitoramento e revisão da execução das decisões de avaliação. Este documento pode ser usado por todas as organizações, independentemente do tamanho, da natureza de suas atividades de negócio ou da complexidade de suas funções e estrutura.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como executar a determinação do escopo da avaliação?

Como realizar o levantamento da informação?

Como realizar a análise do contexto tecnológico?

Como fazer a identificação de agentes?

A avaliação de documentos de arquivo é o processo recorrente de avaliar as atividades de negócio para determinar quais documentos de arquivo precisam ser produzidos e capturados, assim como e por quanto tempo precisam ser mantidos. Ela combina um entendimento das atividades de negócio e seus contextos com a identificação das necessidades de negócio, requisitos regulatórios e expectativas da sociedade em relação aos documentos de arquivo, e a análise de oportunidades e riscos associadas à produção e gestão de documentos de arquivo.

A avaliação regular e sistemática para a gestão de documentos de arquivo tem uma série de benefícios, incluindo a conformidade dos requisitos legais/regulatórios para documentos de arquivo; a satisfação das necessidades de negócio na gestão de documentos de arquivo, e a provisão da tempestiva destinação dos documentos de arquivo; a identificação de requisitos para a contínua retenção de documentos como arquivos; a implementação de medidas para proteger e gerenciar documentos de arquivo de acordo com seu nível de criticidade para a organização e/ou seus requisitos de retenção; a melhoria da eficiência organizacional por meio do uso adequado de recursos; a gestão eficaz do risco relacionado aos documentos de arquivo; uma maior responsabilidade pelas decisões sobre a produção, captura e gestão de documentos de arquivo.

Em algumas tradições de gestão de arquivo e de documentos de arquivo, a avaliação é usada exclusivamente como um instrumento para identificar requisitos de retenção ou para instituir uma autoridade de destinação. O conceito de avaliação, como descrito na NBR ISO 15489-1, é, no entanto, destinado a ser usado de uma forma mais ampla. Ele pode ser usado para identificar diferentes tipos de requisitos relacionados à produção, captura e gestão de documentos de arquivo ao longo do tempo e implementá-los de maneira adequada às mudanças de contextos.

Desta forma, a avaliação pode apoiar a responsabilização do negócio de forma mais eficiente. Os resultados da avaliação podem ser usados no desenvolvimento de políticas, sistemas e processos, bem como para desenvolver uma variedade de controles de documentos de arquivo. Esses controles incluem esquemas de metadados, plano de classificação, regras de acesso e permissões e autoridades de destinação. Em algumas jurisdições, a avaliação para gerenciar documentos de arquivo, ou partes deles, pode ser exigida por lei ou regulamento como um precursor para o desenvolvimento de tais ferramentas.

A avaliação é uma abordagem estratégica e proativa para a produção, captura e gerenciamento de documentos de arquivo, em vez de uma abordagem reativa. A avaliação é responsável e consultiva e, em certos casos, recomenda-se que seja realizada em parceria com as partes interessadas na produção, captura e gerenciamento de classes específicas de documentos de arquivo.

As recomendações da avaliação para o gerenciamento de documentos de arquivo neste documento podem ser usadas se uma organização estiver implementando um sistema de gestão de documentos de arquivo (GDA) seguindo a NBR ISO 30301. Na abordagem de padrões de normas de sistema de gestão, a avaliação pode ajudar a atender aos requisitos relacionados ao Contexto da organização e Planejamento operacional.

A avaliação para a gestão de documentos de arquivo envolve a análise do (s) contexto (s) em que as atividades de negócio ocorrem, a fim de determinar os requisitos de documentos de arquivo, compreender quais áreas de negócio são consideradas, pelas partes interessadas, críticas para alcançar as metas acordadas em uma organização, e identificar e avaliar os riscos relacionados aos documentos de arquivo. Recomenda-se que os resultados do processo de avaliação sejam usados para desenvolver proativamente controles e processos de documentos de arquivo para melhor apoiar as atividades e tecnologias utilizadas no negócio, a fim de assegurar que os requisitos de documentos de arquivo definidos sejam utilizados ao longo do tempo.

A avaliação no gerenciamento de documentos de arquivo considera as necessidades dos agentes diretamente envolvidos nas atividades do negócio, mas também as partes interessadas relacionadas internas e externas, bem como as necessidades sociais mais amplas. Dessa forma, a gestão de documentos de arquivo para ambos, o negócio e outros fins, pode ser desenvolvida de forma coesa. O contexto em que os negócios são conduzidos, suas próprias atividades, bem como seus requisitos de documentos de arquivo e a identificação de riscos, mudará ao longo do tempo.

Como resultado, a avaliação para o gerenciamento de documentos de arquivo é uma atividade necessariamente recorrente. A representação das atividades de avaliação mostradas na figura abaixo reflete o ciclo contínuo deste trabalho, conforme as mudanças ao longo do tempo das necessidades e circunstâncias que afetam a produção, a captura e o gerenciamento de documentos de arquivo.

Os resultados do processo de avaliação podem ser usados para obter benefícios em diversas áreas, como na conformidade legal, gerenciamento de riscos, segurança da informação, proteção da privacidade, reutilização de informações ou proteção de documentos de arquivo. Eles também podem ser usados como um meio para determinar quais documentos de arquivo podem ser disponibilizados ao público, em apoio à implementação de leis e regulamentos de divulgação de informações públicas. Alguns eventos podem desencadear a avaliação para gestão de documentos de arquivo.

Por exemplo, quando há novas entidades estabelecidas, novos requisitos legais e regulatórios, alterações na prática jurídica e na aplicação da lei, ou obrigações contratuais, novas tecnologias e sistemas, ou novas providências para gerenciar documentos de arquivo, como colaborações jurisdicionais cruzadas em projetos compartilhados. Ou mudanças como as estruturas organizacionais ou fusões, os requisitos regulatórios novos ou alterados, funções ou atividades de negócio novas ou alteradas, ou as alterações nas expectativas do público em relação à gestão de documentos de arquivo da organização em questão, incluindo novas expectativas em relação ao acesso e usabilidade.

Os problemas relacionados à produção e gestão de documentos de arquivo, como ausência de documentos de arquivo (convém que tenham sido produzidos), acesso não autorizado ou eliminação não autorizada de documentos de arquivo, também podem ser desencadeadores de um processo de avaliação. A frequência e a escala em que a avaliação é realizada para gestão de documentos de arquivo variam de um caso para o outro. Por exemplo, uma organização com modelo regulatório e negócio muito estável, que raramente mudam, pode realizar uma avaliação com menor frequência do que uma que está sujeita a alterações frequentes.

O processo de avaliação pode ser modificado em escala ou escopo, dependendo do resultado desejado. A avaliação para a gestão de documentos de arquivo é conduzida de maneira consistente e responsável. Isso significa realizar a avaliação com determinação e autorizações claras; manter documentação da pesquisa, análise e consultas realizadas com as partes interessadas como parte do processo, como um documento de arquivo; ser consistente nas decisões e usar decisões anteriores para verificar precedentes; e justificar as decisões tomadas e manter documentação de tais justificativas.

O processo de avaliação compreende vários tipos de análise, que podem ser executados consecutiva ou simultaneamente. Esses tipos de análise incluem a obtenção de uma compreensão do contexto em que o trabalho de avaliação está sendo conduzido, incluindo aspectos organizacionais, tecnológicos e relacionados aos negócios; a análise das próprias funções do negócio; a análise de requisitos para documentos de arquivo de um ponto de vista de negócio, legal e societário; a identificação e análise de riscos associados à produção, captura e gestão de documentos de arquivos.

Alguns tipos de análise, como uma análise do contexto de negócios, podem já ter sido realizados por outras disciplinas da organização, como segurança da informação. Recomenda-se verificar se a análise necessária já foi realizada e se os resultados obtidos podem ser reutilizados para fins de avaliação. É importante observar que a identificação do risco ocorre durante todo o processo de avaliação de três formas diferentes. Ao examinar o contexto organizacional em que o processo está ocorrendo, podem ser identificados riscos internos e externos que afetem a organização e suas partes interessadas.

Durante a análise da atividade de negócio em relação às funções, atividades ou processos de trabalho específicos durante a sua própria análise. Por exemplo, os riscos associados à má gestão de documentos de serviços públicos centrados no cidadão ou nas informações de identificação pessoal podem ser maiores do que os associados a outras atividades administrativas. Durante a identificação dos riscos que podem ser gerenciados pelo cumprimento dos requisitos dos documentos de arquivo identificados.

Após a identificação dos riscos, recomenda-se fazer uma análise e avaliação (de acordo com as práticas de gestão de risco da organização, caso estas existam). Isso ajuda a tomar decisões sobre como convém que os requisitos sejam atendidos e o investimento apropriado de recursos para isso. Este aspecto da avaliação e tratamento do risco é descrito no item análise e tratamento de riscos associados à implementação de requisitos de documentos de arquivo. Os resultados da análise conduzida na avaliação podem ser usados para desenvolver outras ferramentas e recursos que são valiosos na produção, captura e gestão de documentos de arquivo.

A segurança dos alimentos para animais e rações

Deve-se entender os parâmetros para estabelecer, implementar e manter programas de pré-requisitos (PPR), de forma a ajudar no controle de perigos à segurança de alimentos para animais e rações e dos materiais destinados à produção de alimentos para animais e rações.

A ABNT ISO/TS22002-6 de 09/2020 – Programa de pré-requisitos na segurança de alimentos – Parte 6: Produção de alimentos para animais e rações especifica os requisitos para estabelecer, implementar e manter programas de pré-requisitos (PPR), de forma a ajudar no controle de perigos à segurança de alimentos para animais e rações e dos materiais destinados à produção de alimentos para animais e rações. Os perigos à segurança de alimentos para animais, neste contexto, referem-se aos atributos que têm um potencial para afetar adversamente a saúde animal e/ou humana. Os programas de pré-requisitos são destinados a assegurar a segurança de alimentos para animais e para prevenir, controlar e detectar possíveis contaminações, incluindo a contaminação cruzada que pode ocorrer sob a responsabilidade da organização.

É aplicável a todas as organizações (que desejam implementar um PPR), independentemente do porte, localização ou complexidade envolvidos na fabricação e/ou fornecimento de alimentos para animais e rações, e que desejam implementar um PPR. As operações de alimentos para animais e rações são de natureza diversa e nem todos os requisitos detalhados nesta especificação técnica se aplicam necessariamente a uma organização ou processo individual. Onde são feitas exclusões ou implementadas medidas alternativas, estas precisam ser justificadas por uma avaliação de perigo e verificadas como eficazes. Não convém que quaisquer exclusões ou medidas alternativas adotadas afetem a capacidade de uma organização de cumprir outros requisitos contidos nesta especificação técnica.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como devem ser os dispositivos de medição e dosagem?

Como deve ser gerenciada a seleção e o gerenciamento de fornecedores?

Quais os requisitos para a limpeza e desinfecção?

Como deve ser executado o controle de pragas?

A NBR ISO 22000 estabelece os requisitos específicos de segurança de alimentos para organizações da cadeia alimentar. Um desses requisitos é que as organizações estabeleçam, implementem e mantenham programas de pré-requisitos (PPR) para auxiliar no controle de perigo à segurança de alimentos. Esta especificação técnica não duplica os requisitos dados na NBR ISO 22000 e se destina a ser usada para estabelecer, implementar e manter os PPR específicos da (s) organização (ões) em conjunto com a NBR ISO 22000.

Dessa forma, os estabelecimentos devem ser projetados, construídos e mantidos de forma que: facilitem o desempenho satisfatório de todas as operações, eliminem ou minimizem a um nível aceitável os perigos à segurança de alimentos para animais associados a essas operações, e previnam a contaminação proveniente do ambiente. Os estabelecimentos devem ser mantidos em boas condições. A vegetação deve ser cuidada, removida ou gerenciada de forma que aborde os perigos à segurança de alimentos para animais.

Os estabelecimentos devem ser projetados, construídos e mantidos para permitir drenagem e limpeza adequadas que previnam a contaminação. Os limites do estabelecimento devem ser definidos e documentados. O acesso ao estabelecimento deve ser gerenciado para abordar os perigos à segurança de alimentos para animais. O acesso de visitantes deve ser controlado de maneira proporcional ao perigo à segurança das rações.

Quando não for viável controlar o acesso ao estabelecimento, devem ser tomadas medidas para prevenir a contaminação. Os pontos de acesso às linhas de recebimento de materiais a granel devem ser identificados e protegidos contra uso e contaminação não intencionais. Devem ser consideradas as fontes potenciais de contaminação do ambiente local. E as medidas tomadas para proteção contra possíveis fontes de contaminação devem ser documentadas e revisadas quanto à sua eficácia. Os processos e áreas de trabalho devem ser projetados, construídos e mantidos para controlar os perigos à segurança das rações. O estabelecimento deve ser projetado de modo que a movimentação de materiais, produtos e pessoas não contribua para a contaminação.

As áreas de ensaio e laboratórios devem ser projetadas, localizadas e operadas para impedir a contaminação de materiais e das áreas de produção do estabelecimento. As paredes, pisos e rodapés devem ser laváveis e resistentes ao sistema de limpeza aplicado. A água parada deve ser evitada e/ou removida. As aberturas devem ser projetadas e gerenciadas para prevenir a entrada de matérias estranhas, chuva e pragas.

Isso inclui aberturas externas para a transferência de materiais para o interior do estabelecimento. Os telhados nas áreas de produção e armazenamento devem ser autodrenantes e não podem gotejar. Os tetos e instalações aéreas devem ser projetados e mantidos de modo que impeçam danos, acúmulo de sujidades e condensações.

Os equipamentos devem ser projetados e localizados para permitir o acesso para operação, limpeza e manutenção. Todo o equipamento utilizado para a produção ou processamento de alimentos para animais e rações deve ser adequado para a finalidade para a qual é destinado. As estruturas e equipamentos móveis, incluindo aqueles que são usados temporariamente, devem ser gerenciados para prevenir a contaminação.

O armazenamento deve fornecer proteção contra poeira, condensação, resíduos, pragas e outras fontes de contaminação. As condições de armazenamento devem ser apropriadas para o uso pretendido do material. A temperatura e a umidade devem ser controladas quando necessário. As áreas de armazenamento de materiais secos devem ser mantidas secas e apropriadamente ventiladas.

Medidas devem ser tomadas para prevenir a contaminação quando os materiais forem armazenados diretamente no piso. Deve ser mantido espaço suficiente entre os materiais embalados e as paredes para permitir a inspeção e a realização de atividades de controle de pragas. A embalagem deve ser adequada ao seu propósito.

Os compostos perigosos que não são destinados à inclusão em alimentos para animais e rações devem ser segregados e protegidos quando não estiverem em uso. Materiais com uso restrito devem ser armazenados separadamente para evitar contaminação cruzada ou uso não intencional. As linhas de fornecimento e distribuição de utilidades para processamento e armazenamento e os seus entornos devem ser projetadas para prevenir a contaminação.

Todas as formas de água que entram em contato direto com superfícies do produto, ou que estão incluídas nos alimentos para animais e rações, não podem introduzir perigos à segurança das rações. Quando disponível, convém que água potável seja utilizada. A utilização de água recuperada ou reciclada deve ser justificada por uma avaliação de risco. A água recuperada ou reciclada deve ter um sistema de fornecimento separado, identificado e não conectado, ou com medidas que evitem o refluxo nos sistemas de água primária ou potável.

As instalações para armazenamento e distribuição de água devem ser projetadas para atender aos requisitos específicos de qualidade da água. As áreas de produção e armazenamento devem ser adequadamente ventiladas para prevenir contaminação. Devem ser tomadas medidas apropriadas ao tipo de instalação para remover o excesso de umidade. Os sistemas de ventilação, incluindo portas de entrada e filtros, devem ser inspecionados e mantidos.

Ar e gases que entram em contato direto com alimentos para animais e rações, incluindo aqueles usados para transferir, soprar ou secar, não podem comprometer a segurança das rações. Os gases de combustão destinados ao contato direto com alimentos para animais e rações não podem comprometer a segurança das rações. O combustível usado como fonte de combustão deve ser adequado ao propósito.

A iluminação deve permitir que o pessoal cumpra as responsabilidades de segurança das rações. As luminárias devem ser projetadas de modo a prevenir a contaminação em caso de quebra. Os sistemas devem estar instalados de forma que os resíduos sejam identificados, coletados, removidos e descartados para prevenir a contaminação. Os resíduos devem ser gerenciados de forma a não atrair nem abrigar pragas.

Os recipientes para resíduos devem ser claramente identificados para o uso pretendido, localizado em uma área designada, e projetado para ser totalmente esvaziado. Providências devem ser tomadas para a segregação, armazenamento e remoção de resíduos. As frequências de remoção das áreas de produção devem ser gerenciadas para evitar acúmulo.

O acúmulo de resíduos deve ocorrer somente em áreas designadas. Os materiais designados como resíduos devem ser descartados de uma forma que impeça o uso não autorizado. Os drenos devem ser projetados, construídos e mantidos de modo que a contaminação seja prevenida. Os drenos devem ter capacidade suficiente para lidar com as cargas esperadas.

Não convém que os drenos sejam localizados de tal forma que os materiais possam ser contaminados se ocorrer um vazamento. A direção de drenagem aberta não pode ser de uma área contaminada para uma área limpa. Não convém que a direção de drenagem fechada seja de uma área contaminada para uma área limpa. O equipamento deve ser adequado à finalidade, instalado, mantido e gerenciado para facilitar a limpeza e a manutenção. As ferramentas e superfícies que possam ter contato com o produto devem ser construídas com materiais adequados e ser capazes de resistir a limpezas repetidas e, quando aplicável, à sanitização.

A inspeção por meio de alternating current field measurement (ACFM)

Essa técnica é aplicada na detecção de trincas ou outras descontinuidades lineares, abertas na superfície, em materiais metálicos. O princípio desta técnica envolve a indução de um campo magnético por corrente alternada na superfície do material por meio do Yoke magnético contido na sonda.

A NBR 15248 de 09/2020 – Ensaios não destrutivos — Inspeção por ACFM — Procedimento estabelece os requisitos mínimos para detecção, localização e dimensionamento de trincas superficiais em materiais eletricamente condutores na inspeção por meio de alternating current field measurement (ACFM).

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser o bloco de referência?

Como deve ser executado o ajuste de sensibilidade ou a varredura sobre o bloco de referência?

Como deve ser realizada a sobreposição?

Como devem ser registrados os resultados da inspeção por ACFM?

Essa técnica é aplicada na detecção de trincas ou outras descontinuidades lineares, abertas na superfície, em materiais metálicos. O princípio desta técnica envolve a indução de um campo magnético por corrente alternada na superfície do material por meio do Yoke magnético contido na sonda, o qual causa um fluxo uniforme de corrente alternada no material. A profundidade de penetração desta corrente varia com o tipo de material e frequência.

As descontinuidades na superfície ou próximas à superfície distorcem ou interrompem o fluxo de corrente, criando uma alteração no campo magnético superficial, a qual é detectada por bobinas sensoras na sonda. A alternating current field measurement (ACFM) é uma técnica de medição de campo de corrente alternada, utilizada para detectar e dimensionar trincas abertas para a superfície em equipamentos, tubulações e estruturas metálicas. A pessoa que executa o ensaio de ACFM deve atender à NBR NM ISO 9712.

Quando aplicável, recomenda-se que o operador da sonda possua qualificação em inspeção visual submarina ou visual de solda. O procedimento de ensaio deve conter no mínimo as variáveis citadas na tabela abaixo.

As instruções ao operador de sonda devem fazer referência no mínimo aos seguintes aspectos: as características físicas do equipamento e das sondas; as instruções de segurança; o detalhamento da inspeção inicial; a marcação do componente; a inspeção visual na região a ser inspecionada; o modo de comunicação com o operador na superfície; o detalhamento do modo de varredura para detecção de trincas, incluindo velocidade, sobreposição e varredura suave; os fatores de interferência nos resultados; o detalhamento do modo de varredura para dimensionamento de trincas. O procedimento é considerado qualificado quando, aplicando-se os requisitos do procedimento da executante, forem detectadas e dimensionadas descontinuidades existentes em corpos de prova com defeitos dimensionalmente conhecidos.

Sempre que quaisquer das variáveis citadas na tabela acima forem alteradas, deve ser emitida uma revisão do procedimento. Sempre que as variáveis identificadas na tabela acima forem alteradas, o procedimento deve ser requalificado. O instrumento de ACFM e o software devem ser capazes de operar nas faixas de frequência de 1 kHz a 50 kHz. O mostrador deve apresentar individualmente, em função do tempo ou distância, a componente x do campo magnético Bx, paralela ao deslocamento da sonda, a componente z do campo Bz, perpendicular à superfície ensaiada, e a combinação das componentes Bx e Bz (por exemplo, gráfico da borboleta).

A frequência nominal da sonda deve ser de 5 kHz, a menos que outras variáveis, como materiais, condição superficial ou revestimento, requeiram o uso de outras frequências. O modelo da sonda deve ser selecionado de acordo com a sua aplicação: acesso; efeito de borda; acurácia; e a condição superficial. A periodicidade de manutenção da aparelhagem depende da frequência e das condições de utilização. Recomenda-se seguir as instruções do fabricante do aparelho. O equipamento deve ser calibrado eletronicamente após reparo elétrico eletrônico, manutenção e avaria.

O item do sistema de medição que deve ser periodicamente calibrado é o bloco de referência, e realizado por laboratórios que atendam aos requisitos apresentados na NBR ISO/IEC 17025. Os resultados satisfatórios são geralmente obtidos quando as superfícies são soldadas, laminadas, fundidas e forjadas. Todavia, a preparação da superfície por esmerilhamento pode mascarar a indicação e, quando possível, deve ser minimizada.

A limpeza pode ser executada por qualquer método que não afete a peça a ser ensaiada. A superfície a ser ensaiada (inclusive a superfície de deslocamento da sonda) deve apresentar condições apropriadas para um deslocamento suave da sonda de ACFM e estar livre de incrustações marinhas, respingos, revestimento solto e alvéolos. As camadas de revestimentos que não prejudiquem o deslocamento da sonda não precisam ser removidas, desde que seja demonstrado que a indicação pode ser detectada na maior espessura de revestimento.

Deve-se avaliar a existência de revestimentos eletricamente condutores (pigmentos metálicos, sulfetos, revestimentos metálicos) que possam mascarar as indicações. A presença de magnetismo residual pode interferir no resultado do ensaio. Se houver suspeita de magnetismo residual, verificar se o valor é menor que 2 Gauss. Se for maior, providenciar a desmagnetização.

Os avisos públicos nos incidentes

Deve-se conhecer as diretrizes para o desenvolvimento, gestão e implementação de avisos públicos antes, durante e após incidentes. É aplicável a qualquer organização responsável por avisos públicos.

A NBR ISO 22322 de 06/2020 – Segurança da sociedade – Gestão de emergências – Diretrizes para aviso público fornece as diretrizes para o desenvolvimento, gestão e implementação de avisos públicos antes, durante e após incidentes. É aplicável a qualquer organização responsável por avisos públicos. É aplicável a todos os níveis, de local até internacional. Antes de planejar e implementar o sistema de alerta público, são avaliados riscos e consequências de possíveis perigos. Este processo não faz parte desta norma.

Acesse algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Qual é a visão geral do processo de aviso público?

Como deve ser feita a tomada de decisão operacional?

Qual o objetivo do alerta e da notificação?

Qual é função da disseminação de aviso público?

Os desastres, ataques terroristas e outros incidentes consideráveis precisam de uma resposta eficaz a incidentes para salvar vidas, mitigar prejuízos e danos. As organizações de resposta a emergências precisam responder rapidamente a uma situação de emergência em desenvolvimento. O tempo para se comunicar é limitado e, frequentemente, uma mensagem específica envolvendo ação prática deve ser disseminada para um grande grupo.

Procedimentos simples que enviam a mensagem de forma eficiente e criam a resposta desejada podem salvar vidas, proteger a saúde e impedir grandes disrupções. A proteção de pessoas em risco de danos é uma parte importante de uma resposta a incidentes. O aviso público possibilita que as organizações de resposta alertem suas equipes de resposta e permite que as pessoas em risco tomem medidas de segurança para reduzir o impacto de incidentes.

Um aviso público eficaz que consiste em alerta e notificação pode prevenir reações de pânico e apoiar as organizações de resposta a otimizar suas respostas e mitigar o impacto. A resposta eficaz a incidentes precisa de um aviso público estruturado e pré-planejado. O aviso público é baseado em duas funções: monitoramento de perigos e disseminação de avisos.

Também é necessário estabelecer um mecanismo para identificação de riscos, monitoramento de perigos, tomada de decisões, disseminação de avisos, e avaliar e melhorar. A organização deve estabelecer, documentar, implementar, manter e melhorar continuamente um sistema de aviso público (ver figura abaixo), com base em uma política de aviso público descrita na Seção 4. Esta norma não descreve a política de aviso público.

Convém que a organização avalie os perigos potenciais que podem ocorrer dentro de uma área definida e o nível de risco potencial que cada um apresenta. Convém que os resultados desta avaliação determinem o tipo de aviso público que pode ser necessário e que sejam documentados para referência futura. Convém que o sistema de aviso público desenvolvido pela organização: atenda aos requisitos legais e a outros requisitos aplicáveis, forneça a estrutura para definir e analisar criticamente os objetivos de aviso público, seja planejado com antecedência, seja documentado, implementado e mantido, disponha de recursos humanos e técnicos para planejar, implementar, manter e melhorar o sistema de aviso público, seja comunicado a todas as pessoas que trabalham para ou em nome da organização, forneça treinamento adequado para as equipes de resposta, esteja disponível e seja comunicado ao público em geral e especialmente às pessoas em risco potencial, envolva consulta apropriada com representantes ou órgãos da comunidade preocupados com interesses públicos, e inclua um comprometimento com a melhoria contínua.

Convém que a organização projete uma estrutura com base em duas funções: monitoramento de perigos e disseminação de avisos. Convém que a responsabilidade de emitir aviso público seja atribuída às partes interessadas que são especialistas individuais, grupos de especialistas ou organizações no setor público ou privado no nível local, até o nível internacional. Convém que aqueles que contribuem para ambas as funções sejam familiarizados com as capacidades e competências do sistema de aviso público, a fim de disseminar avisos pertinentes, precisos, confiáveis e oportunos, façam esforços contínuos para aumentar e manter a conscientização do público, e especifiquem ações de segurança dentro do aviso.

O monitoramento de perigos é baseado na avaliação de riscos realizada para determinar os perigos a serem monitorados. Os envolvidos na função de monitoramento de perigos são responsáveis pelo seguinte: entender as operações de monitoramento de perigos das agências locais até as internacionais e ter canais para se comunicar com elas; monitorar continuamente os riscos identificados dentro de uma área definida e na sua gama de conhecimento; fornecer informações antecipadas sobre riscos emergentes; fornecer informações sobre mudanças no nível de risco; definir as medidas de emergência a serem tomadas; notificar a função de disseminação de avisos; cooperar com autoridades públicas para aumentar a conscientização pública.

Convém que o monitoramento seja baseado em dados científicos e/ou evidências confiáveis. A função de monitoramento de perigos monitora os riscos potenciais que os perigos apresentam. A função de disseminação de avisos é responsável pelo seguinte: acionar prontamente os procedimentos para disseminar avisos públicos; transformar informações baseadas em evidências em mensagens de notificação e alerta; especificar procedimentos para disseminar mensagens de aviso; considerar as necessidades de informação das pessoas em risco e a diversidade de grupos vulneráveis; coordenar com outras organizações responsáveis pelo aviso público; disseminar prontamente avisos públicos.

Convém que a organização identifique o indivíduo ou grupo responsável por autorizar o aviso público de acordo com os regulamentos nacionais ou locais ou com a própria estrutura de responsabilidade da organização. Convém que a autorização seja baseada nos requisitos da política e nos objetivos públicos de aviso e na entrada da função de monitoramento de perigos e da função de disseminação de avisos, bem como de outras fontes pertinentes. Convém que um indivíduo ou grupo de indivíduos treinados e nomeados sejam designados para usar as informações de monitoramento de perigos para tomar decisões oportunas, pertinentes e precisas sobre a disseminação pública de avisos.

Convém que a organização identifique objetivos para o sistema de aviso público com base na política de aviso público. Convém que estes objetivos sejam considerados ao usar as informações da função de monitoramento de perigos para identificar as pessoas em risco e o impacto potencial de um incidente em uma área. Convém que a organização implemente um processo de aviso público de acordo com a Seção 5. Convém que a organização estabeleça cooperação e coordenação interorganizacionais eficazes entre a função de monitoramento de perigos e a função de disseminação de avisos, bem como entre outras partes interessadas pertinentes, incluindo grupos da comunidade.

Convém que todas as atividades operacionais no processo de aviso público sejam registradas em um formato recuperável, de acordo com os regulamentos de privacidade e proteção de dados. Convém que a organização avalie regularmente o desempenho das funções de monitoramento de perigos e disseminação de avisos. Convém que os resultados da avaliação sejam usados para identificar potenciais melhorias.

Convém que os processos de avaliação sejam realizados em intervalos regulares não superiores a cinco anos. Convém que a função de disseminação de avisos avalie o conteúdo e a pontualidade das notificações e alertas, bem como a escolha dos canais de comunicação. Convém que os processos de avaliação sejam ativados sempre que as pessoas em risco não executarem as ações de segurança esperadas.

Convém que a função de monitoramento de perigos identifique e liste perigos relevantes, estabeleça indicadores a serem usados para monitorar o status de um perigo, determine os critérios científicos ou baseados em evidências confiáveis para emitir um aviso público, identifique os critérios para emitir uma notificação, um alerta e um sinal verde, e determine os critérios para cada área de risco. Convém que a função de monitoramento de perigos designe aqueles com conhecimento apropriado das operações de monitoramento de perigos, colete dados científicos para avaliação de risco para cada área em risco, prepare decisões sobre a emissão de aviso público para a função de disseminação de avisos, obtenha as informações de risco recomendadas que sejam incluídas no aviso público, e passe as informações para a função de disseminação de avisos imediatamente.

Para cada área em risco, convém que a função de monitoramento de perigos identifique o seguinte: a área em risco para onde o aviso deve ser enviado; as pessoas em risco nessa área; a função responsável pela disseminação de alerta nessa área; o risco para áreas adjacentes que podem ser potencialmente afetadas. Convém que a função de monitoramento de perigos forneça atualizações regulares do status do perigo para a função de disseminação de avisos, para os responsáveis por autorizar aviso público e, quando apropriado, para as pessoas em risco; solicite confirmação de que as atualizações de status foram recebidas e consideradas; informe as pessoas em risco sobre o limite de risco para cada área.

As técnicas para a gestão de riscos

Como uma avaliação de risco é conduzida varia muito, dependendo dos riscos exclusivos do tipo de negócio, da indústria em que se encontra o negócio e das regras de conformidade aplicadas a esse determinado negócio ou setor.

A avaliação de riscos é a identificação de perigos que podem impactar negativamente a capacidade de uma organização em conduzir seus negócios. Essas avaliações ajudam a identificar esses riscos de negócios inerentes e fornecem medidas, processos e controles para reduzir o impacto desses riscos nas operações de negócios.

As empresas podem usar uma estrutura de avaliação de riscos para priorizar e compartilhar os detalhes da avaliação, incluindo quaisquer riscos à sua infraestrutura de tecnologia da informação. Isso pode ajudar uma organização a identificar os riscos potenciais e quaisquer ativos de negócios colocados em risco por esses perigos, bem como possíveis consequências se esses riscos se concretizarem.

Como uma avaliação de risco é conduzida varia muito, dependendo dos riscos exclusivos do tipo de negócio, da indústria em que se encontra o negócio e das regras de conformidade aplicadas a esse determinado negócio ou setor. No entanto, existem algumas etapas gerais que as empresas podem seguir, independentemente de seu tipo de negócio ou setor.

Pode-se identificar os perigos, que seria o primeiro passo em uma avaliação de risco é identificar quaisquer riscos potenciais que, se ocorrerem, influenciariam negativamente a capacidade da organização de conduzir negócios. Os riscos potenciais que podem ser considerados ou identificados durante a avaliação de risco incluem desastres naturais, interrupções de energia, ataques cibernéticos e falta de energia.

Pode-se determinar o que ou quem pode ser prejudicado. Depois que os riscos são identificados, o próximo passo é determinar quais ativos de negócios seriam influenciados negativamente se o risco se concretizasse. Os ativos de negócios considerados em risco para esses riscos podem incluir infraestrutura crítica, sistemas de TI, operações de negócios, reputação da empresa e até mesmo segurança dos funcionários.

Em uma outra etapa, pode-se avaliar os riscos e desenvolver medidas de controle. Uma análise de risco pode ajudar a identificar como os perigos afetarão os ativos da empresa e as medidas que podem ser implementadas para minimizar ou eliminar o efeito desses riscos nos ativos da empresa. Os riscos potenciais incluem danos à propriedade, interrupção de negócios, perdas financeiras e penalidades legais.

Depois disso, pode-se conhecer os resultados da avaliação de risco que necessitam ser registrados pela empresa e arquivados como documentos oficiais de fácil acesso. Os registros devem incluir detalhes sobre riscos potenciais, seus riscos associados e planos para prevenir os riscos.

Por fim, deve-se revisar e atualizar a avaliação de risco regularmente. Os potenciais riscos e seus controles resultantes podem mudar rapidamente em um ambiente de negócios moderno. É importante que as empresas atualizem suas avaliações de risco regularmente para se adaptarem a essas mudanças.

As ferramentas de avaliação de risco, como modelos de avaliação de risco, estão disponíveis para diferentes indústrias. Elas podem ser úteis para empresas que desenvolvem suas primeiras avaliações de risco ou atualizam avaliações mais antigas.

A NBR ISO/IEC 31010 de 04/2012 – Gestão de riscos – Técnicas para o processo de avaliação de riscos é uma norma de apoio à NBR ISO 31000 e fornece orientações sobre a seleção e aplicação de técnicas sistemáticas para o processo de avaliação de riscos. O processo de avaliação de riscos conduzido de acordo com esta norma contribui para outras atividades de gestão de riscos. A aplicação de uma série de técnicas é introduzida, com referências específicas a outras normas onde o conceito e a aplicação de técnicas são descritos mais detalhadamente. Esta norma não se destina à certificação, uso regulatório ou contratual.

Acesse alguns questionamentos relacionados a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

No que consiste a avaliação de riscos?

Qual a visão geral para uma correta análise do processo de avaliação dos riscos?

Como pode ser descrita a técnica do processo de avaliação de riscos denominada Simulação de Monte Carlo?

Como pode ser descrita a técnica do processo de avaliação de riscos denominada Análise de cenários?

Como pode ser descrita a técnica do processo de avaliação de riscos denominada matriz de probabilidadeconsequência?

Como pode ser descrita a técnica do processo de avaliação de riscos denominada Análise de camadas de proteção (LOPA)?

Como pode ser descrita a técnica do processo de avaliação de riscos denominada Análise preliminar de perigos (APP)?

Como as técnicas para o processo de avaliação de riscos podem ser selecionadas?

Como pode ser descrita a técnica do processo de avaliação de riscos denominada Estudo de perigos e operabilidade (HAZOP)?

Como pode ser descrita a técnica do processo de avaliação de riscos denominada Análise de causa e consequência?

O processo de avaliação de riscos conduzido de acordo com esta norma contribui para outras atividades de gestão de riscos. A aplicação de uma série de técnicas é introduzida, com referências específicas a outras normas onde o conceito e a aplicação de técnicas são descritos mais detalhadamente. Esta norma não se destina à certificação, uso regulatório ou contratual.

Assim, a avaliação de riscos utiliza a compreensão do risco, obtida durante a análise de riscos, para tomar decisões sobre as ações futuras. Considerações éticas, legais, financeiras e outras, incluindo as percepções do risco, são também dados de entrada para a decisão. As decisões podem incluir: se um risco necessita de tratamento; as prioridades para o tratamento; se uma atividade deve ser realizada; e qual de um número de caminhos alternativos deve ser seguido.

A natureza das decisões que necessitam ser tomadas e os critérios que serão utilizados para tomar essas decisões foram decididos no estabelecimento do contexto, mas precisam ser revistos em mais detalhes nesta fase, agora que se sabe mais sobre os riscos identificados em particular. A estrutura mais simples para a definição dos critérios de risco é um nível único que divide os riscos que necessitam de tratamento daqueles que não necessitam. Isso fornece resultados atrativamente simples, porém não reflete as incertezas envolvidas na estimativa de riscos e na definição da fronteira entre aqueles que necessitam de tratamento e aqueles que não necessitam.

A decisão sobre se e como tratar o risco pode depender dos custos e benefícios de assumir o risco e os custos e benefícios da implementação de controles melhorados. Uma abordagem comum é dividir os riscos em três faixas: uma faixa superior, onde o nível de risco é considerado intolerável quaisquer que sejam os benefícios que possam trazer à atividade, e o tratamento de risco é essencial qualquer que seja o seu custo; uma faixa intermediária (ou área cinzenta) onde os custos e benefícios são levados em consideração, e oportunidades são comparadas com potenciais consequências; uma faixa inferior, onde o nível de risco é considerado desprezível ou tão pequeno que nenhuma medida de tratamento de risco seja necessária.

O sistema de critérios tão baixo quanto for razoavelmente praticável ou ALARP (As Low As Reasonably Practicable) utilizado em aplicações de segurança segue esta abordagem, onde, na faixa intermediária, há uma escala móvel para baixos riscos − onde os custos e benefícios podem ser diretamente comparados −, enquanto que para altos riscos o potencial de danos tem que ser reduzido até que o custo de redução adicional seja inteiramente desproporcional ao benefício de segurança adquirido.

A norma diz que convém que o processo de avaliação de riscos seja documentado juntamente com os resultados do processo de avaliação. Convém que os riscos sejam expressos em termos compreensíveis, e convém que as unidades em que o nível de risco é expresso sejam claras. A extensão do relatório dependerá dos objetivos e do escopo da avaliação.

Exceto para avaliações muito simples, a documentação pode incluir: objetivos e escopo; descrição de partes pertinentes do sistema e suas funções; um resumo dos contextos externo e interno da organização e como eles se relacionam com a situação, sistema ou circunstâncias que estão sendo avaliados; os critérios de risco aplicados e sua justificativa; limitações, premissas e justificativa de hipóteses; metodologia de avaliação; resultados da identificação de riscos; dados, premissas e suas fontes e validação; resultados da análise de riscos e sua avaliação; análise de sensibilidade e de incerteza; premissas críticas e outros fatores que necessitam ser monitorados; discussão dos resultados; conclusões e recomendações; e referências.

Se o processo de avaliação de riscos apoia um processo sistemático de gestão de riscos, convém que seja realizado e documentado de tal forma que possa ser mantido durante o ciclo de vida do sistema, organização, equipamento ou atividade. Convém que a avaliação seja atualizada sempre que novas informações significativas estejam disponíveis e o contexto se altere, de acordo com as necessidades do processo de gestão.

O processo de avaliação de riscos pode ser conduzido em vários graus de profundidade e detalhe e utilizando um ou muitos métodos que vão do simples ao complexo. Convém que a forma de avaliação e sua saída sejam compatíveis com os critérios de risco, desenvolvidos como parte do estabelecimento do contexto. O Anexo A ilustra a relação conceitual entre as amplas categorias das técnicas para o processo de avaliação de riscos e os fatores presentes numa determinada situação de risco e fornece exemplos ilustrativos de como as organizações podem selecionar as técnicas apropriadas para o processo de avaliação de riscos para uma situação em particular.

Em termos gerais, convém que as técnicas apropriadas apresentem as seguintes características: convém que sejam justificáveis e apropriadas à situação ou organização em questão; convém que proporcionem resultados de uma forma que amplie o entendimento da natureza do risco e de como ele pode ser tratado; convém que sejam capazes de utilizar uma forma que seja rastreável, repetível e verificável. Convém que as razões para a escolha das técnicas sejam dadas com relação à pertinência e adequação.

Ao integrar os resultados de diferentes estudos, convém que as técnicas utilizadas e as saídas sejam comparáveis. Uma vez que a decisão tenha sido tomada para realizar um processo de avaliação de riscos e os objetivos e o escopo tenham sido definidos, convém que as técnicas sejam selecionadas com base em fatores aplicáveis.

Os objetivos do processo de avaliação de riscos terão uma influência direta sobre as técnicas utilizadas. Por exemplo, se um estudo comparativo entre as diferentes opções está sendo realizado, pode ser aceitável utilizar modelos menos detalhados de consequência para partes do sistema não afetadas pela diferença. Em alguns casos, um alto nível de detalhe é necessário para tomar uma boa decisão, em outros um entendimento mais geral é suficiente.

Deve-se levar em conta o tipo e a gama de riscos que estão sendo analisados e a magnitude potencial das consequências. Convém que a decisão sobre a profundidade em que o processo de avaliação de riscos é conduzido reflita a percepção inicial das consequências (embora isto possa ter que ser modificado uma vez que uma avaliação preliminar foi concluída).

Outro fator seria o grau de conhecimento especializado, recursos humanos e outros recursos necessários. Um método simples e bem feito pode fornecer melhores resultados do que um procedimento mais sofisticado e mal feito, contanto que atenda aos objetivos e o escopo do processo de avaliação. Normalmente, convém que o esforço aplicado ao processo de avaliação seja compatível com o nível potencial de risco que está sendo analisado.

Outra questão seria a disponibilidade de informações e dados. Algumas técnicas requerem mais informações e dados do que outras. Por fim, a necessidade de modificação/atualização do processo de avaliação de riscos. O processo de avaliação pode necessitar ser modificado/atualizado no futuro e algumas técnicas são mais ajustáveis do que outras a este respeito, além de quaisquer requisitos regulatórios e contratuais. O Anexo B da norma (informativo) inclui as técnicas para o processo de avaliação de risco.

Enfim, alguns dos principais benefícios da realização do processo de avaliação de riscos devem incluir o entendimento do risco e seu potencial impacto sobre os objetivos; fornecer informações aos tomadores de decisão; contribuir para o entendimento dos riscos a fim de auxiliar na seleção das opções de tratamento; identificar os principais fatores que contribuem para os riscos e os elos fracos em sistemas e organizações; comparar riscos em sistemas, tecnologias ou abordagens alternativos; comunicar riscos e incertezas; auxiliar no estabelecimento de prioridades; contribuir para a prevenção de incidentes com base em investigação pós-incidente; selecionar diferentes formas de tratamento de riscos; atender aos requisitos regulatórios; fornecer informações que ajudarão a avaliar a conveniência da aceitação de riscos quando comparados com critérios predefinidos; e avaliar os riscos para o descarte ao final da vida útil.