A ISO 31000 oferece um fluxo de tratativa de risco baseado na identificação, análise e avaliação. Mas as técnicas que os profissionais podem usar nessas etapas são várias. E o lugar mais indicado para conhecê-las é a ISO 31010:2019, feita com a IEC.
A ISO IEC 31010 é de 2019, mas foi traduzida para o português em 2021. Esta é sua segunda edição, sendo a primeira de 2012. Ela reúne uma série de orientações para as empresas que estão estruturando a gestão de riscos. Mas ela é mais reconhecida pela extensa lista de ferramentas citadas no documento.
São quase 40 técnicas – com diferentes níveis de treinamento exigidos – que os profissionais podem usar em seus sistemas.No entanto, a ISO 31010 continua sendo um guia pouco acessado pelas organizações brasileiras.
Isso se deve ao fato de a gestão de riscos ainda ser pouco estruturada e amadurecida nas organizações do país. Muitas ainda contam com planilhas e recursos básicos, o suficiente para atender uma abordagem de risco de acordo com a ISO 9001. Outro fator é a falta de acessibilidade ao material da ISO.
Neste artigo baseado na ISO 31010/2019, você tem uma introdução ao conceito das ferramentas trabalhadas. Evidentemente, esta leitura não substitui a leitura do texto integral e do oportuno aprofundamento no estudo das ferramentas citadas.
Implantando uma abordagem de riscos segundo a ISO 31010
Tal como outras normas ISO, a ISO 31010 também prevê um PDCA para a imaplantação de uma abordagem de riscos. É conceituando as etapas desse PDCA que a norma começa.
1. Planejamento
- Definição do propósito e escopo da abordagem de riscos
- Contexto da organização
- Engajamento com as partes interessadas
- Definição dos objetivos
- Fatores humanos, organizacionais e sociais
- Critérios de aceitação de um risco (isso é um risco?), critérios de avaliação de riscos (qual a magnitude desse risco?) e critérios de decisão entre riscos (com que risco lidamos primeiro?).
2. Gerenciamento da informação
O que a empresa precisa definir:
- Coleta da informação
- Análise da informação
- Criação de modelos.
3. Aplique técnicas para abordar riscos
A ISO 31010 traz 38 ferramentas para usar no gerenciamento de riscos, distribuídas para cada etapa do processo. Veja abaixo:
3.1 Identificação de riscos
Mapeamento
- Brainstorming
Brainstorming é a técnica estruturada para levantamento de ideias sobre um ponto.
- Técnica Delphi
Procedimento que reúne a expressão individual e anônima de especialistas sobre um tema a fim de chegar a um consenso sobre um tema.
- Técnica do grupo norminal
Um brainstorming individual, seguido de uma discussão no grande grupo.
- Entrevistas estruturadas ou semiestruturadas
Conversas mais ou menos programadas com profissionais, em busca de uma visão mais individualizada.
- Pesquisas
Respostas a um questionário, visando uma análise estatística.
Levantamento
- Checklists, classificações e taxonomias
Checklists, classificações e taxonomias podem ser utilizadas para auxiliar a compreensão do contexto.
- FMEA ou FMECA
No FMEA, o processo analisado é subdividido em elementos, cujas possíveis falhas são analisadas causalmente.
- HAZOP – Hazard and operability
No HAZOP, um processo é sistematicamente examinado, a fim de identificar possíveis desvios e suas causas.
- Análise de cenário
Nessa técnica, cenários futuros plausíveis são desenhados, bem como possíveis riscos que podem advir deles.
- SWIFT – técnica estruturada “e se”
Uma espécie de HAZOP simplificado, o SWIFT busca a análise de possibilidades do tipo “e se…tal coisa acontecer?”
Determinação das fontes de risco
- Abordagem cindynica
Com base em informações coletadas em várias fontes e entrevistas, a análise cindynica busca inconsistências, ambiguidades, omissões e divergências que podem ser origem de riscos.
- Diagrama de Ishikawa
Ferramenta para análise de causa, o diagrama de Ishikawa organiza em 6 categorias possíveis fatores de origem de um risco.
3.2 Análise do risco
Análise de controles
- Análise bow-tie
Representa esquematicamente o caminho de um risco desde suas causas até consequências, com foco nas barreiras entre as causas e o risco. São desenhados a partir de brainstorming ou de árvores de falhas (falaremos abaixo).
- HACCP – Hazard analysis and critical control points
Parte da identificação das fontes de risco para estabelecer pontos de monitoramento, limites críticos para os parâmetros monitorados, procedimentos de monitoramento e ações corretivas para desvios.
- LOPA – Layers of protection analysis ou Análise de camadas de proteção
No LOPA, um par de causa e consequência selecionado tem suas camadas de proteção identificadas a fim de determinar se elas são adequadas para reduzir o risco.
Consequência e probabilidade
- Análise bayesiana
Essa análise relaciona a probabilidade de eventos acontecerem com a probabilidade desses mesmos eventos acontecerem no caso de um deles acontecer. Isso é expresso por uma fórmula.
- Análise do impacto de negócio
Analisa como os principais riscos podem afetar as operações da empresa.
- Análise da árvore de eventos
Representa sequências de eventos com base no funcionamento ou não funcionamento dos sistemas de controle, após um evento inicial acontecer.
- Análise de falhas
Técnica para identificar fatores que podem contribuir para um evento indesejado, criando um diagrama.
- Análise de causa e consequência
Combinação da árvore de falhas com a árvore de eventos, ela parte de um evento crítico para analisar as sequências de eventos por meio perguntas com resposta sim/não.
- Análise de Markov
Técnica aplicada a sistemas que podem ser descritos em termos de um conjunto de estados em que esses sistemas têm probabilidade de se modificar (como bom, ruim ou falha), em inspeções de classificação. Pode ser executada manualmente, mas normalmente é feita em sistemas.
- Simulação de Monte Carlo
Usada em sistemas complexos, em que o cálculo analítico da incerteza é mais difícil. Funciona pela coleta de amostras aleatórias e pela simulação de possíveis resultados, que será a probabilidade de distribuição ou a média. Também é realizada em sistemas.
- Análise de proteção de dados
Analisa como incidentes afetam a privacidade dos usuários de maneira quantitativa, determinando os métodos necessários para gerenciá-los.
Análise de dependências
- Mapeamento causal
Workshop para mapear a percepção individual sobre cadeias de eventos, causas de consequências.
- Análise de impacto cruzado
Avalia mudanças na probabilidade de acontecer um dado conjunto de eventos a partir da ocorrência atual de um deles. A matriz mostra as dependências entre diferentes eventos.
- Valor em risco
Indicador da possível perda em um portfólio de ativos financeiro em um período de tempo dentro de um nível de confiança dado.
3.3. Avaliação do risco
Avaliação da magnitude
- ALARP – Tão baixo quanto razoavelmente praticável
É a avaliação da medida de risco aceitável para o maior benefício possível.
- Curvas FN
Caso específico da matriz de probabilidade e impacto. Porém, o eixo X representa o número cumulativo de fatalidades, enquanto o eixo Y a frequência em que elas ocorrem, em uma escala logarítmica.
- Diagrama de Pareto
Diagrama de Pareto seleciona os 20% responsáveis por 80% para produzir o maior efeito possível com o mínimo de ação.
- Manutenção centrada na confiabilidade
Usada para identificar as políticas de manutenção apropriadas para um sistema, englobando todos os passos de um processo para identificar, analisar e avaliar o risco.
- Índice de risco
Medida de risco derivada de um score gerado a partir da combinação de fatores que influenciam a magnitude do risco.
Seleção
- Análise de custo-benefício
Muito parecida com ALARP: é a avaliação da medida de risco aceitável para o maior benefício possível.
- Análise da árvore de decisão
Estrutura a sequência de solução de problemas, ajudando a organização a identificar o melhor curso de ação quando os resultados são incertos.
- Teoria do jogos
Modelo de possíveis consequências de diferentes decisões possíveis dado um número de possíveis situações futuras.
- Análise de múltiplos critérios
Avalia e compara a performance geral de um conjunto de opções a fim de determinar qual delas é a melhor. Envolve uma matriz de opções, bem como de critérios de avaliação.
3.4 Técnicas para registro e relatório
- Formulário de registro de riscos
Reúne todas as informações sobre um risco, como sua descrição, avaliação, fontes e ações.
- Matriz de impacto e probabilidade ou heat map
Matriz de riscos é uma maneira de dispor os riscos de acordo com esses critérios a fim de identificar a taxa de risco.
- Curva S
Na medida em que um risco tem uma faixa de consequências, esses valores podem ser dispostos de acordo com a sua distribuição.
Revise a análise
Independentemente do seu conjunto de ferramentas de gestão de riscos, você deve verificar e validar os resultados obtidos com elas.
Faça revisões periódicas para ajustar seu modelo.
Aplique os resultados de suas análise na tomada de decisão
Ao aplicar suas ferramentas de gestão de risco, você tem um apoio fundamental à tomada de decisão. Você deverá saber se ou não agir diante de um risco, o que tratar primeiro e como.
ISO 31010: aprofunde seus conhecimentos
Você teve aqui uma breve introdução ao conteúdo da ISO 31010, logo às ferramentas mais recomendadas para gestão de riscos.
Se interessou por alguma? Aprofunde seus conhecimentos sobre ela e implante na organização.