Baixe o app para aproveitar ainda mais
Prévia do material em texto
© ABNT 2021 Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte desta publicação pode ser modificada ou utilizada de outra forma que altere seu conteúdo. Esta publicação não é um documento normativo e tem apenas a incumbência de permitir uma consulta prévia ao assunto tratado. Não é autorizado postar na internet ou intranet sem prévia permissão por escrito. A permissão pode ser solicitada aos meios de comunicação da ABNT. NÃO TEM VALOR NORMATIVO ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 Gestão de riscos ― Técnicas para o processo de avaliação de riscos APRESENTAÇÃO 1) Este Projeto de Revisão foi elaborado pela Comissão de Estudo Especial de Gestão de Riscos (ABNT/CEE-063), nas reuniões de: 05.06.2019 24.03.2020 29.04.2020 11.12.2020 17.03.2021 a) é previsto para cancelar e substituir a ABNT NBR ISO/IEC 31010:2012, quando aprovado, sendo que, nesse ínterim, a referida norma continua em vigor; b) é previsto para ser idêntico à IEC 31010:2019, que foi elaborada pelo Technical Committee Risk management (ISO/TC 262); c) não tem valor normativo. 2) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta informação em seus comentários, com documentação comprobatória. 3) Analista ABNT – Carolina Martins. P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 Gestão de riscos ― Técnicas para o processo de avaliação de riscos Risk management ― Risk assessment techniques Prefácio Nacional A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais (ABNT/CEE), são elaboradas por Comissões de Estudo (CE), formadas pelas partes interessadas no tema objeto da normalização. Os Documentos Técnicos internacionais adotados são elaborados conforme as regras da ABNT Diretiva 3. A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996). Os Documentos Técnicos ABNT, assim como as Normas Internacionais (ISO e IEC), são voluntários e não incluem requisitos contratuais, legais ou estatutários. Os Documentos Técnicos ABNT não substituem Leis, Decretos ou Regulamentos, aos quais os usuários devem atender, tendo precedência sobre qualquer Documento Técnico ABNT. Ressalta-se que os Documentos Técnicos ABNT podem ser objeto de citação em Regulamentos Técnicos. Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar as datas para exigência dos requisitos de quaisquer Documentos Técnicos ABNT. A ABNT NBR IEC 31010 foi elaborada no Comissão de Estudo Especial de Gestão de Riscos (ABNT/CEE-063). O Projeto de Revisão circulou em Consulta Nacional conforme Edital nº XX, de XX.XX.XXXX a XX.XX.XXXX. A ABNT NBR IEC 31010 é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à IEC 31010:2019, que foi elaborada pelo Technical Committee Risk management (ISO/TC 262). A ABNT NBR IEC 31010:2021 cancela e substitui a ABNT NBR ISO/IEC 31010:2012, a qual foi tecnicamente revisada. O Escopo da ABNT NBR IEC 31010 em inglês é o seguinte: Scope This Standard provides guidance on the selection and application of techniques for assessing risk in a wide range of situations. The techniques are used to assist in making decisions where there is uncertainty, to provide information about particular risks and as part of a process for managing risk. The document provides summaries of a range of techniques, with references to other documents where the techniques are described in more detail. P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 Introdução Este Documento fornece orientação para a seleção e aplicação de várias técnicas que podem ser usadas para ajudar a melhorar o modo como a incerteza é considerada e ajudar a entender o risco. As técnicas são usadas: ● onde uma maior compreensão é necessária sobre qual risco existe ou sobre um risco particular; ● em uma decisão em que uma série de opções, cada uma envolvendo risco, precisa ser comparada ou otimizada; ● no processo de gestão de riscos, levando a ações para tratar o risco. As técnicas são usadas nas etapas do processo de avaliação de riscos de identificação, análise e avaliação de riscos, como descrito na ABNT NBR ISO 31000, e de forma geral quando há necessidade de entender a incerteza e os seus efeitos. As técnicas descritas neste Documento podem ser usadas em uma ampla série de situações, embora a maioria seja originária do campo técnico. Algumas técnicas são similares em conceito, mas possuem diferentes nomes e metodologias que refletem a história do seu desenvolvimento em diferentes setores. As técnicas evoluíram ao longo do tempo, e muitas podem ser usadas em uma grande série de situações fora de sua aplicação original. As técnicas podem ser adaptadas, combinadas e aplicadas de novas maneiras, ou ampliadas para satisfazer as necessidades atuais ou futuras. Este Documento é uma introdução às técnicas selecionadas e compara as suas possíveis aplicações, benefícios e limitações. Também fornece referências às fontes de informação mais detalhadas. O público potencial para este Documento é: ● qualquer pessoa envolvida no processo de avaliação ou na gestão de riscos; ● pessoas que estão envolvidas no desenvolvimento de orientação que determine como os riscos serão avaliados em contextos específicos; ● pessoas que precisam tomar decisões onde há incerteza, incluindo: — aquelas que encomendam ou avaliam os processos de avaliação de riscos, — aquelas que necessitam compreender os resultados dos processos de avaliação, e — aquelas que precisam escolher técnicas de avaliação que satisfaçam uma necessidade particular. Organizações que precisam conduzir processos de avaliação de riscos para propósitos de compliance ou conformidade podem se beneficiar do uso de técnicas formais, padronizadas e apropriadas para o processo de avaliação de riscos. P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO 1/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 Gestão de riscos ― Técnicas para o processo de avaliação de riscos 1 Escopo Este Documento fornece orientações para a seleção e aplicação de técnicas para o processo de avaliação de riscos em uma ampla série de situações. As técnicas são usadas para auxiliar na tomada de decisões em que haja incerteza, fornecer informações sobre riscos específicos e como parte do processo para a gestão de riscos. Este Documento fornece resumos de uma série de técnicas, com referências a outros documentos em que as técnicas são descritas com mais detalhes. 2 Referências normativas Os documentos a seguir são citados no texto de tal forma que seus conteúdos, totais ou parciais, constituem requisitos para este Documento. Para referências datadas, aplicam-se somente as edições citadas. Para referências não datadas, aplicam-se as edições mais recentes do referido documento (incluindo emendas). ABNT ISO Guia 73:2009, Gestão de riscos – Vocabulário ABNT NBR ISO 31000:2018, Gestão de riscos – Diretrizes 3 Termos e definições Para os efeitos deste documento, aplicam-se os termos e definições das ABNT NBR ISO 31000 e ABNT ISO Guia 73:2009, e os seguintes. A ISO e a IEC mantêm as bases de dados terminológicos para uso na normalização nos seguintes endereços: ● IEC Electropedia: disponível em http://www.electropedia.org/ ● ISO Online browsing platform: disponível em http://www.iso.org/obp 3.1 probabilidade chance de algo acontecer Nota 1 de entrada: Na terminologiade gestão de riscos, a palavra “probabilidade” é usada para se referir à chance de algo acontecer, não importando se definida, medida ou determinada, ainda que objetiva ou subjetivamente, qualitativa ou quantitativamente, e se descrita utilizando-se termos gerais ou matemáticos (como probabilidade ou uma frequência durante um determinado período de tempo). Nota 2 de entrada: O termo em inglês “likelihood” não tem um equivalente direto em alguns idiomas; em vez disso, o equivalente do termo “probability” é frequentemente usado. Entretanto, em inglês, “probability” é muitas vezes interpretado estritamente como uma expressão matemática. Portanto, na terminologia de gestão de riscos, convém que “likelihood” seja utilizado com a mesma ampla interpretação que o termo “probability” tem em muitos outros idiomas, além do inglês. [FONTE: ABNT NBR ISO 31000:2018, 3.7] P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO2/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 3.2 oportunidade combinação de circunstâncias que se espera que sejam favoráveis aos objetivos Nota 1 de entrada: Uma oportunidade é uma situação positiva em que o ganho é provável e sobre a qual se tem um razoável nível de controle. Nota 2 de entrada: Uma oportunidade para uma parte pode representar uma ameaça para outra. Nota 3 de entrada: Aproveitar ou não aproveitar uma oportunidade são fontes de risco. 3.3 probabilidade medida da chance de ocorrência, expressa como um número entre 0 e 1, onde 0 é impossibilidade e 1 é certeza absoluta Nota 1 de entrada: Ver definição 3.1, Nota 2 de entrada. 3.4 fator de risco condutor de risco fator que tem uma grande influência no risco 3.5 ameaça fonte potencial de perigo, dano ou outro resultado indesejável Nota 1 de entrada: Uma ameaça é uma situação negativa em que a perda é provável e sobre a qual se tem relativamente pouco controle. Nota 2 de entrada: Uma ameaça para uma parte pode representar uma oportunidade para outra. 4 Conceitos centrais 4.1 Incerteza Incerteza é um termo que abrange vários conceitos subjacentes. Muitas tentativas foram feitas, e continuam sendo desenvolvidas, para categorizar os tipos de incertezas, incluindo: ● incerteza que reconhece a variabilidade intrínseca de alguns fenômenos e que não é possível que seja reduzida por pesquisas adicionais, por exemplo, jogar dados (às vezes se refere a incertezas aleatórias); ● incerteza que geralmente resulta da falta de conhecimento e que, portanto, pode ser reduzida ao se reunirem mais dados, refinar modelos, aprimorar técnicas de amostragem etc. (às vezes referida como incerteza epistêmica). Outras comumente reconhecidas formas de incerteza incluem: ● incerteza linguística, que reconhece a imprecisão e a ambiguidade inerente à linguagem falada; P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO 3/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 ● incerteza da decisão, que tem relevância particular nas estratégias de gestão de riscos e que identifica a incerteza associada aos sistemas de valores, julgamento profissional, valores das companhias e normas sociais. Exemplos de incerteza incluem: ● incerteza quanto à verdade das premissas, incluindo presunções sobre como as pessoas ou sistemas podem se comportar; ● variabilidade nos parâmetros nos quais a decisão está baseada; ● incerteza na validade ou precisão dos modelos que foram estabelecidos para fazer previsões sobre o futuro; ● eventos (incluindo mudanças em circunstâncias ou condições) cuja ocorrência, caráter ou consequência sejam incertos; ● incerteza associada a eventos disruptivos; ● resultados incertos de questões sistêmicas, como escassez de pessoal competente, que podem ter uma ampla gama de impactos, que não é possível determinar claramente; ● falta de conhecimento que surge quando a incerteza é reconhecida, mas não totalmente compreendida; ● imprevisibilidade; ● incerteza resultante das limitações da mente humana, por exemplo, em compreender dados complexos, prever situações com consequências de longo prazo ou fazer julgamentos sem preconceitos. Não é possível compreender toda incerteza e a significância da incerteza pode ser difícil ou impossível de determinar ou influenciar. Contudo, o reconhecimento de que a incerteza existe em um contexto específico, permite que sistemas de alerta precoce sejam implementados para detectar mudanças de maneira proativa e oportuna, e para tomar as providências para criar uma resiliência para lidar com as circunstâncias inesperadas. 4.2 Risco Riscos incluem os efeitos de qualquer uma das formas de incerteza, descritas em 4.1, nos objetivos. A incerteza pode levar a consequências positivas ou negativas, ou a ambas. O risco é frequentemente descrito em termos de fontes de risco, eventos potenciais, suas consequências e suas probabilidades. Um evento pode ter múltiplas causas e levar a múltiplas consequências. As consequências podem ter um número de valores discretos, ser variáveis contínuas ou ser desconhecidas. As consequências podem não ser discerníveis ou mensuráveis no início, mas podem se acumular ao longo do tempo. As fontes de risco podem incluir a variabilidade inerente ou incertezas, relacionadas a uma série de fatores, incluindo comportamento humano e estruturas organizacionais ou influências sociais, para as quais pode ser difícil prever qualquer evento específico que possa ocorrer. Nem sempre é possível tabular o risco facilmente como um conjunto de eventos, suas consequências e suas probabilidades. P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO4/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 As técnicas para o processo de avaliação de riscos visam ajudar as pessoas a entender a incerteza e o risco associado neste contexto amplo, complexo e diversificado, com o propósito de apoiar decisões e ações mais bem informadas. 5 Utilização de técnicas para o processo de avaliação de riscos As técnicas descritas neste Documento fornecem um meio para melhorar a compreensão da incerteza e suas implicações para decisões e ações. A ABNT NBR ISO 31000 descreve os princípios para a gestão de riscos e os fundamentos e arranjos organizacionais que permitem que os riscos sejam gerenciados. Ela especifica um processo que permite que o risco seja reconhecido, compreendido e modificado conforme necessário, de acordo com critérios estabelecidos como parte do processo. Técnicas do processo de avaliação de riscos podem ser aplicadas nessa abordagem estruturada, que envolve o estabelecimento do contexto, o processo de avaliação de riscos e o tratamento de riscos, juntamente com monitoramento, análise crítica, comunicação e consulta, registro e relato contínuos. Este processo é ilustrado na Figura A.1, que também mostra exemplos de onde as técnicas podem ser aplicadas no processo. No processo da ABNT NBR ISO 31000, o processo de avaliação de riscos envolve a identificação dos riscos, sua análise e o uso do entendimento obtido com a análise para avaliar riscos, tirando conclusões sobre a sua significância comparativa em relação aos objetivos e limites de desempenho da organização. Este processo fornece entradas para as decisões sobre se um tratamento é requerido, as prioridades de tratamento e as ações destinadas a tratar os riscos. Na prática, uma abordagem iterativa é aplicada. Técnicas do processo de avaliação de riscos descritas neste Documento são usadas ● onde é necessário um entendimento maior sobre quais riscos existem ou sobre um risco específico; ● dentro de um processo de gestão de riscos, levando a ações para tratar os riscos; ● dentro de uma decisão em que uma gama de opções, cada uma envolvendo riscos, precise ser comparada ou otimizada. Em particular, as técnicas podem ser usadas para: ● fornecer informações estruturadas para apoiar decisões e ações em que haja incerteza;● esclarecer as implicações das premissas sobre o atingimento dos objetivos; ● comparar múltiplas opções, sistemas, tecnologias ou abordagens etc. em que haja incertezas multifacetadas em torno de cada opção; ● auxiliar na determinação de objetivos estratégicos e operacionais realistas; ● ajudar a determinar os critérios de risco de uma organização, como limites de risco, apetite pelo risco ou capacidade de suportar riscos; ● levar em conta o risco ao especificar ou analisar criticamente as prioridades; ● reconhecer e entender os riscos, incluindo os riscos que podem ter resultados extremos; P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO 5/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 ● entender quais incertezas são mais importantes para os objetivos de uma organização e fornecer uma justificativa para o que convém que seja feito sobre elas; ● reconhecer e explorar as oportunidades com mais sucesso; ● articular os fatores que contribuem para o risco e por que eles são importantes; ● identificar ações de tratamento de riscos eficazes e eficientes; ● determinar o efeito modificador dos tratamentos de risco propostos, incluindo qualquer alteração na natureza ou magnitude do risco; ● comunicar sobre riscos e suas implicações; ● aprender com fracassos e sucessos, a fim de melhorar a maneira como os riscos são gerenciados; ● demonstrar que os requisitos regulatórios e outros requisitos foram atendidos. A maneira pela qual o risco é avaliado depende da complexidade e novidade da situação e do nível de conhecimento e entendimento pertinentes. ● No caso mais simples, quando não há nada de novo ou de incomum em uma situação, o risco é bem entendido, sem grandes implicações para as partes interessadas ou com consequências não significativas, então as ações serão provavelmente decididas de acordo com regras e procedimentos estabelecidos e com avaliações anteriores de risco. ● Para questões muito novas, complexas ou desafiadoras, nas quais haja alta incerteza e pouca experiência, há pouca informação sobre em qual basear a avaliação, e as técnicas convencionais de análise podem não ser úteis ou significativas. Isto também se aplica às circunstâncias em que as partes interessadas mantêm opiniões fortemente divergentes. Nestes casos, várias técnicas podem ser usadas para obter uma compreensão parcial do risco, com julgamentos feitos no contexto de valores organizacionais e sociais e opiniões das partes interessadas. As técnicas descritas neste Documento têm grande aplicação em situações entre esses dois extremos em que a complexidade é moderada e há alguma informação disponível na qual basear-se a avaliação. 6 Implementação do processo de avaliação de riscos 6.1 Planejar o processo de avaliação 6.1.1 Definir propósito e escopo do processo de avaliação Convém que o propósito do processo de avaliação seja estabelecido, incluindo a identificação das decisões ou ações às quais está relacionado, os tomadores de decisão, as partes interessadas e o tempo e natureza do resultado requerido (por exemplo, se é requerida informação qualitativa, semiquantitativa ou quantitativa). Convém que o escopo, a profundidade e o nível de detalhe do processo de avaliação sejam definidos, com uma descrição do que está incluído ou excluído. Convém que os tipos de consequência a serem incluídos no processo de avaliação sejam definidos. Convém que quaisquer condições, premissas, restrições ou recursos necessários pertinentes para a atividade do processo de avaliação sejam especificados. P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO6/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 6.1.2 Compreender o contexto Ao realizar um processo de avaliação de riscos, convém que aqueles envolvidos estejam cientes de circunstâncias mais amplas em que serão tomadas as decisões e ações com base no seu processo de avaliação. Isto inclui compreender as questões internas e externas que contribuem para o contexto da organização, bem como os aspectos sociais e ambientais mais amplos. Convém que qualquer declaração de contexto pertinente seja analisada criticamente e verificada, para ver se é corrente e apropriada. Compreender o contexto geral é particularmente importante quando há complexidade significativa. 6.1.3 Engajar as partes interessadas Convém que as partes interessadas e aquelas passíveis de estarem aptas a contribuir com conhecimento útil ou visões pertinentes sejam identificadas e suas perspectivas consideradas, estejam elas incluídas ou não como participantes no processo de avaliação. O envolvimento apropriado das partes interessadas ajuda a garantir que a informação na qual o processo de avaliação de riscos é baseado seja válida e aplicável, e que as partes interessadas compreendam as razões por trás das decisões. O envolvimento das partes interessadas pode: ● fornece informação que permita compreender o contexto do processo de avaliação; ● juntar diferentes áreas do conhecimento e expertise para identificação e compreensão mais efetivas do risco; ● fornecer expertise pertinente para o uso das técnicas; ● permitir que os interesses das partes interessadas sejam compreendidos e considerados; ● fornecer entradas ao processo de determinação de se um risco é aceitável, em particular quando as partes interessadas são impactadas; ● cumprir qualquer requisito para que pessoas sejam informadas e consultadas; ● obter apoio para saídas e decisões oriundas do processo de avaliação de riscos; ● identificar lacunas no conhecimento que precisem ser tratadas antes do e/ou durante o processo de avaliação de riscos. Convém que seja decidido como as saídas e resultados do processo de avaliação de riscos podem ser comunicados às partes interessadas pertinentes de forma confiável, precisa e transparente. Técnicas para estimular a visão de partes interessadas e especialistas são descritas na Seção B.1. 6.1.4 Definir objetivos Convém que os objetivos do sistema ou processo específico para o qual haverá um processo de avaliação de risco sejam definidos e, quando possível, documentados. Isto irá facilitar a identificação do risco e a compreensão de suas implicações. Convém que, na medida do possível, os objetivos sejam: ● específicos ao assunto do processo de avaliação; ● mensuráveis tanto qualitativamente quanto quantitativamente; P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO 7/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 ● alcançáveis dentro das restrições impostas pelo contexto; ● pertinentes para os objetivos maiores ou contexto da organização; ● alcançáveis dentro do prazo estipulado. 6.1.5 Considerar fatores humanos, organizacionais e sociais Convém que fatores humanos, organizacionais e sociais sejam explicitamente considerados e levados em conta conforme apropriado. Aspectos humanos são pertinentes no processo de avaliação de riscos nas seguintes maneiras: ● por meio de influências na maneira em que as técnicas são selecionadas e aplicadas; ● como uma fonte de incerteza; ● como a informação é interpretada e usada (por exemplo, por causa das diferentes percepções de risco). O desempenho humano (seja acima ou abaixo do esperado) é uma fonte de risco que pode também afetar a efetividade dos controles. Convém que o potencial de desvio dos comportamentos esperados ou presumidos seja especificamente considerado, quando do processo de avaliação de risco. Considerações do desempenho humano são frequentemente complexas e opiniões de especialistas podem ser requisitadas para identificar e analisar os aspectos humanos do risco. Fatores humanos também influenciam a seleção e o uso de técnicas, em particular quando julgamentos precisam ser feitos ou abordagens de equipe são usadas. Facilitação qualificada é necessária para minimizar estas influências. Convém que tendências, como pensamentosde grupo e excesso de confiança (por exemplo, em estimativas ou percepções), sejam tratadas. Convém que a opinião de especialistas seja informada por evidências e dados sempre que possível e que esforços sejam feitos para evitar ou minimizar preconceitos cognitivos. Os objetivos e valores das pessoas podem variar e ser diferentes daqueles da organização. Isto pode resultar em diferentes percepções acerca do nível de risco e diferentes critérios a partir dos quais os indivíduos tomam decisões. Convém que a organização se esforce para atingir uma compreensão comum do risco internamente e leve em conta as diferentes percepções das partes interessadas. Aspectos sociais, incluindo posição socioeconômica, etnia e cultura de raça, gênero, relações sociais e contexto residencial e da comunidade, podem afetar o risco tanto direta quanto indiretamente. Impactos podem ser de longo termo e não visíveis imediatamente, e podem requerer uma perspectiva de planejamento de longo termo. 6.1.6 Analisar criticamente os critérios para decisões 6.1.6.1 Generalidades Convém que os critérios, incluindo os critérios de risco, que precisam ser levados em conta quando da tomada de decisões, sejam analisados criticamente antes de se iniciar qualquer processo de avaliação. Critérios podem ser qualitativos, semiquantitativos ou quantitativos. Em alguns casos, pode não haver critérios explícitos especificados, e as partes interessadas podem utilizar seu julgamento para responder aos resultados da análise. P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO8/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 Critérios pertinentes para análise crítica são: ● como será decidido se o risco é aceitável; ● como a significância relativa do risco será determinada; ● como o risco será levado em conta nas decisões sobre opções, onde cada opção é associada a riscos múltiplos que podem ter consequências positivas ou negativas, ou ambas; ● como as relações entre riscos serão levadas em conta. 6.1.6.2 Critérios para decidir se um risco pode ser aceito Critérios para determinar a natureza e a extensão de um risco que podem ser aceitos na busca de objetivos, algumas vezes referenciados como apetite pelo risco, podem ser estabelecidos ao se especificar uma técnica para determinar a magnitude do risco, ou um parâmetro relacionado ao risco, junto com um limite após o qual o risco se torna inaceitável. O limite estabelecido para um risco adverso inaceitável pode depender das recompensas potenciais. A aceitabilidade do risco pode também ser determinada ao se especificar a variação aceitável em medidas de desempenho específicas vinculadas aos objetivos. Critérios diferentes podem ser especificados de acordo com o tipo de consequência. Por exemplo, os critérios de uma organização para aceitar um risco financeiro podem divergir daqueles definidos para risco à vida humana. A seguir são apresentados exemplos de considerações usadas ao determinar se um risco pode ser aceito. ● Capacidade de suportar um risco (CSR) (também chamada de capacidade de risco): a CSR de uma organização é usualmente definida em termos do capital de risco, que está disponível para absorver os efeitos adversos dos riscos. Para uma firma comercial, a capacidade pode ser especificada em termos da capacidade máxima de retenção coberta pelos ativos, ou a maior perda financeira que a companhia poderia suportar antes de declarar falência. Convém que a CSR estimada seja razoavelmente testada por cenários de testes de estresse para prover um nível fiável de confiança. O apetite pelo risco de uma organização reflete a disposição gerencial de utilizar a CSR. ● ALARP/ALARA e SFAIRP: em algumas jurisdições, critérios legislativos para decisões sobre tratamento de segurança relacionado a risco envolvem garantir que o risco de lesão ou de problemas de saúde seja “tão baixo quanto razoavelmente praticável” (“as low as is reasonably practicable” – ALARP), “tão baixo quanto razoavelmente atingível” (“as low as reasonably achievable” – ALARA) ou demonstrando que controles minimizam o risco “na medida do possível” (“so far as is reasonably practicable” - SFAIRP) (ver B.8.2). ● “Globalmente ao menos equivalente” (“Globally at least equivalent” – GALE) [globalement au moins équivalent (GAME) [1]]: é considerado aceitável incrementar riscos com consequências adversas de uma fonte particular, se puder ser demonstrado que esses riscos de outras fontes decresceram em quantidade equivalente ou maior. ● Critérios de custo/benefício, como preço por vida salva ou retorno do investimento (return on investment – ROI). P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO 9/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 6.1.6.3 Critério para avaliação da significância de riscos Os critérios de risco (os termos de referência sob os quais a significância do risco é determinada) podem ser expressos em termos que envolvam qualquer uma das características e medidas de risco elaboradas em 6.3.5 e 6.3.7. Considerações éticas, culturais, legais, sociais, de reputação, ambientais, contratuais, financeiras e outras também podem ser pertinentes. Uma avaliação da significância de um risco em comparação com outros riscos frequentemente é baseada em uma estimativa da magnitude do risco em comparação com critérios diretamente relacionados aos limites estabelecidos em torno dos objetivos da organização. A comparação com estes critérios pode informar uma organização sobre quais riscos convém focar no tratamento, com base em seu potencial de direcionar resultados fora dos limites estabelecidos em torno dos objetivos. A magnitude do risco raramente é o único critério pertinente para as decisões sobre a significância do risco. Outros fatores pertinentes podem incluir sustentabilidade (por exemplo, triple bottom line – tripé da sustentabilidade) e resiliência, critérios éticos e legais, eficácia dos controles, impacto máximo se os controles não estiverem presentes ou falharem, tempo das consequências, custos dos controles e opiniões das partes interessadas. Técnicas para avaliar a significância do risco estão descritas na Seção B.8. 6.1.6.4 Critérios para decisão entre opções Uma organização será confrontada com muitas decisões em que vários objetivos, muitas vezes concorrentes, são potencialmente afetados, e há possíveis resultados adversos e benefícios a serem considerados. Para tais decisões, vários critérios podem precisar ser atendidos e trade-offs entre objetivos concorrentes podem ser necessários. Convém que os critérios pertinentes para a decisão sejam identificados e convém que a maneira pela qual os critérios ponderados ou trade-offs feitos de outra maneira seja decidida e contabilizada, e as informações registradas e compartilhadas. Na determinação de critérios, convém que seja considerada a possibilidade de que custos e benefícios podem diferir para diferentes partes interessadas. Convém que se decida a maneira pela qual diferentes formas de incerteza sejam levadas em consideração. As técnicas da Seção B.9 abordam a seleção entre as opções. 6.2 Gerenciar informações e desenvolver modelos 6.2.1 Generalidades Antes e durante um processo de avaliação de riscos, convém que informações pertinentes sejam obtidas. Estas informações fornecem entradas para análises estatísticas, modelos ou técnicas descritas nos Anexos A e B. Em alguns casos, as informações podem ser usadas pelos tomadores de decisão sem análises adicionais. As informações necessárias em cada ponto dependem dos resultados da coleta anterior de informações, do objetivo e do escopo da avaliação e do(s) método(s) a ser(em) usado(s) para análise. Convém que seja decidida a maneira como as informações devem ser coletadas, armazenadas e disponibilizadas. Convém que se decida quais os registros das saídas da avaliação que devem ser mantidos, juntamente com a forma comoesses registros devem ser feitos, armazenados, atualizados e fornecidos a quem possa precisar deles. Convém que as fontes das informações sejam sempre indicadas. P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO10/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 6.2.2 Coleta de informações Informações podem ser coletadas de fontes como análises críticas de literatura, observações e opinião de especialistas. Os dados podem ser coletados ou derivados, por exemplo, de medições, experimentos, entrevistas e pesquisas. Normalmente, os dados representam, direta ou indiretamente, perdas ou benefícios passados. Os exemplos incluem falhas ou sucessos do projeto, número de reclamações, ganhos ou perdas financeiras, impactos na saúde, lesões e fatalidades etc. Informações adicionais também podem estar disponíveis, como causas de falhas ou sucessos, fontes de reclamações, natureza das lesões etc. Os dados também podem incluir a saída de modelos ou outras técnicas de análise. Convém que o seguinte seja decidido: ● fonte de informação e sua confiabilidade; ● tipo [por exemplo, se é qualitativo, quantitativo ou ambos (ver 6.3.7.1)]; ● nível (por exemplo, estratégico, tático, operacional); ● quantidade e qualidade dos dados necessários; ● metodologia de coleta; ● nível de confidencialidade. Quando os dados a serem analisados são obtidos a partir da amostragem, convém que a confiança estatística necessária seja declarada para que dados suficientes sejam coletados. Quando nenhuma análise estatística for necessária, convém que isto seja declarado. Se os dados ou resultados de avaliações anteriores estiverem disponíveis, convém que primeiro se determine se houve alguma mudança no contexto e, se houver, se os dados ou resultados anteriores permaneceram pertinentes. Convém que a validade, confiabilidade e limitações de qualquer informação a ser usada na avaliação sejam avaliadas, levando em consideração: ● idade e relevância da informação; ● fonte de informação e métodos usados para coletá-la; ● incertezas e lacunas nas informações; ● autoridade ou proveniência de informações, conjuntos de dados, algoritmos e modelos. 6.2.3 Análise de dados A análise de dados pode fornecer: ● uma compreensão das consequências passadas e sua probabilidade de aprender com a experiência; ● tendências e padrões, incluindo periodicidades, que fornecem uma indicação do que pode influenciar o futuro; P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO 11/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 ● correlações que podem dar indicações de possíveis relacionamentos causais para validação adicional. Convém que limitações e incertezas nos dados sejam identificadas e entendidas. Não é possível presumir que os dados passados continuem sendo aplicados no futuro, mas eles podem dar uma indicação aos tomadores de decisão sobre o que é mais ou menos provável de ocorrer no futuro. 6.2.4 Desenvolvimento e aplicação de modelos 6.2.4.1 Generalidades Um modelo é uma representação aproximada da realidade. Seu objetivo é transformar o que pode ser uma situação inerentemente complexa em termos mais simples que podem ser analisados mais facilmente. Um modelo pode ser usado para ajudar a entender o significado dos dados e simular o que pode acontecer na prática, sob diferentes condições. Um modelo pode ser físico, representado em software ou um conjunto de relacionamentos matemáticos. A modelagem geralmente inclui as seguintes etapas: ● descrever o problema; ● descrever o propósito de construir um modelo e os resultados desejados; ● desenvolver um modelo conceitual do problema; ● construir uma representação física, de software ou matemática do modelo conceitual; ● desenvolver um software ou outras ferramentas para analisar como o modelo se comporta; ● processar dados; ● validar ou calibrar o modelo, analisando criticamente as saídas para situações conhecidas; ● tirar conclusões do modelo sobre o problema do mundo real. Cada uma dessas etapas pode envolver aproximações, premissas e opinião de especialistas e (se possível) convém que elas sejam validadas por pessoas independentes dos desenvolvedores. Convém que as premissas críticas sejam analisadas criticamente, com base nas informações disponíveis para avaliar a sua credibilidade. Para obter resultados confiáveis ao usar modelos, convém que o seguinte seja validado: ● o modelo conceitual representa adequadamente a situação que está sendo avaliada; ● o modelo está sendo usado dentro dos limites contextuais para os quais foi projetado; ● conceitos teóricos subjacentes ao modelo e quaisquer cálculos associados são bem compreendidos; ● a seleção de parâmetros e de representações matemáticas dos conceitos é sólida; ● os cálculos subjacentes da matemática são bem compreendidos; P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO12/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 ● os dados de entrada são precisos e confiáveis, ou a natureza do modelo leva em consideração a confiabilidade dos dados de entrada usados; ● o modelo opera como planejado, sem erros ou bugs internos; ● o modelo é estável e não excessivamente sensível a pequenas mudanças nas principais entradas. Isto pode ser alcançado por: ● realizar uma análise de sensibilidade para verificar a sensibilidade do modelo às alterações nos parâmetros de entrada; ● realizar teste de estresse do modelo, com cenários específicos, geralmente cenários extremos; ● comparar resultados com dados passados (além daqueles a partir dos quais foram desenvolvidos); ● verificar se resultados semelhantes são obtidos quando o modelo é executado por pessoas diferentes; ● verificar as saídas em relação ao desempenho real. Convém que a documentação compreensível do modelo e as teorias e premissas em que se baseia sejam mantidas o suficiente para permitir a validação do modelo. 6.2.4.2 Uso de software para análise Os programas de software podem ser usados para representar e organizar dados ou para analisá-los. Programas usados para modelagem e análise geralmente fornecem uma interface de usuário simples e uma saída rápida, mas essas características podem levar a resultados inválidos, que passam despercebidos pelo usuário. Resultados inválidos podem surgir devido a: ● inadequações nos algoritmos usados para representar a situação; ● premissas feitas no projeto e no uso do modelo subjacente ao software; ● erros na entrada de dados, incluindo mal-entendidos sobre o seu significado; ● problemas de conversão de dados quando um novo software é usado; ● má interpretação dos resultados. O software comercial geralmente é uma caixa preta (confidencialidade comercial) e pode conter algum tipo de erro. Convém que o novo software seja testado usando um modelo simples, com entradas que tenham uma saída conhecida, antes de avançar para testar modelos mais complexos. Convém que os detalhes do teste sejam mantidos para uso em atualizações futuras da versão ou para novos programas de análise de software. Os erros no modelo construído podem ser verificados aumentando-se ou diminuindo-se um valor de entrada para determinar se a saída responde conforme o esperado. Isso pode ser aplicado a cada uma das várias entradas. Os erros de entrada de dados são frequentemente identificados ao se P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO 13/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 variarem as entradas de dados. Essa abordagem também fornece informações sobre a sensibilidade do modelo quanto às variações de dados. Recomenda-se uma boa compreensão da matemática pertinente para uma análise específica, de forma a evitar conclusões errôneas. Não apenas os erros acima são prováveis, mas também a seleção de um programa específico pode não ser apropriada. É fácil seguir umprograma e presumir que a resposta estará correta. Convém que sejam reunidas evidências para verificar se os resultados são razoáveis. 6.3 Aplicar técnicas para o processo de avaliação de riscos 6.3.1 Visão geral As técnicas descritas nos Anexos A e B são usadas para desenvolver uma compreensão do risco como uma contribuição para decisões em que há incerteza, incluindo decisões sobre se e como tratar os riscos. Técnicas de avaliação podem ser usadas para: ● identificar riscos (ver 6.3.2); ● determinar causas, fontes e fatores de risco e o nível de exposição a eles (ver 6.3.3); ● investigar a eficácia geral dos controles e o efeito modificador dos tratamentos de riscos propostos (ver 6.3.4); ● entender as consequências e a probabilidade (ver 6.3.5); ● analisar interações e dependências (ver 6.3.6); ● fornecer uma medida de risco (ver 6.3.7). Os fatores a serem considerados ao selecionar uma técnica específica para essas atividades são descritos na Seção 7. Em geral, a análise pode ser descritiva (como um relatório de uma análise crítica de literatura, uma análise de cenário ou uma descrição das consequências) ou quantitativa, em que os dados são analisados para produzir valores numéricos. Em alguns casos, escalas de classificação podem ser aplicadas para comparar riscos específicos. Convém que a maneira pela qual o risco é avaliado e a forma do resultado sejam compatíveis com algum critério . Por exemplo, critérios quantitativos requerem uma técnica de análise quantitativa que produza uma saída em unidades apropriadas. Convém que operações matemáticas sejam usadas apenas se as métricas escolhidas permitirem. Em geral, convém que operações matemáticas não sejam usadas com escalas ordinais. Mesmo em situação de análise totalmente quantitativa, os valores de entrada são geralmente estimativos. Convém que um nível de exatidão e precisão não seja atribuído a resultados além daquele consistente com os dados e métodos empregados. P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO14/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 6.3.2 Identificação de riscos A identificação de riscos permite que a incerteza seja explicitamente levada em consideração. Todas as fontes de incerteza e tanto os efeitos benéficos como os prejudiciais podem ser pertinentes, dependendo do contexto e do escopo da avaliação. As técnicas para identificar riscos geralmente fazem uso do conhecimento e da experiência de uma variedade de partes interessadas (ver B.1.1). Elas incluem considerar: ● que a incerteza existe e quais podem ser os seus efeitos; ● quais circunstâncias ou condições (tangíveis ou intangíveis) têm potencial para futuras consequências; ● quais fontes de risco estão presentes ou podem se desenvolver; ● quais controles estão em vigor e se são eficazes; ● o que, como, quando, onde e por que eventos e consequências podem ocorrer; ● o que aconteceu no passado e como isso pode se relacionar razoavelmente com o futuro; ● quais aspectos humanos e fatores organizacionais podem ser aplicados. Pesquisas físicas também podem ser úteis para identificar fontes de risco ou sinais precoces de alertas de potenciais consequências. A saída da identificação de riscos pode ser registrada como uma lista de riscos, com eventos, causas e consequências especificados ou usando outros formatos adequados. Quaisquer que sejam as técnicas usadas, convém que a identificação de riscos seja abordada metodicamente e iterativamente, para que seja completa e eficiente. Convém que o risco seja identificado com antecedência suficiente para permitir que ações sejam tomadas sempre que possível. No entanto, há ocasiões em que é possível que alguns riscos não sejam identificados durante um processo de avaliação de riscos. Por conseguinte, convém que seja criado um mecanismo para capturar riscos emergentes e reconhecer precocemente os sinais de alerta de sucesso ou fracasso em potencial. As técnicas para identificar riscos são descritas na Seção B.2. 6.3.3 Determinação de fontes, causas e fatores de risco A identificação de fontes, causas e fatores de risco pode: ● contribuir para estimar a probabilidade de um evento ou consequência; ● ajudar a identificar tratamentos que modifiquem o risco; ● auxiliar na determinação de indicadores de alerta precoce e detecção de seus limites de referência; ● determinar causas comuns que podem ajudar a desenvolver prioridades para o tratamento de riscos. P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO 15/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 As fontes de risco podem incluir eventos, decisões, ações e processos, favoráveis e desfavoráveis, bem como situações que existem, mas nas quais os resultados são incertos. Qualquer forma de incerteza descrita em 4.1 pode ser uma fonte de risco. Eventos e consequências podem ter múltiplas causas ou cadeias causais. Muitas vezes, o risco só pode ser controlado pela modificação dos fatores de risco. Eles influenciam o status e desenvolvimento de exposições a riscos e geralmente afetam mais de um risco. Como resultado, os fatores de risco muitas vezes precisam de mais atenção do que as fontes de riscos individuais. Técnicas para determinar fontes, causas e fatores de risco estão descritas na Seção B.3. 6.3.4 Investigação da eficácia dos controles existentes O risco é afetado pela eficácia geral de todos os controles existentes. Convém que os seguintes aspectos dos controles sejam considerados: ● o mecanismo pelo qual os controles se destinam a modificar o risco; ● se os controles existentes são capazes de operar como planejado e se estão alcançando os resultados esperados; ● se existem deficiências no projeto dos controles ou na forma como eles são aplicados; ● se existem lacunas nos controles; ● se os controles funcionam independentemente ou se precisam funcionar coletivamente para serem eficazes; ● se existem fatores, condições, vulnerabilidades ou circunstâncias que podem reduzir ou eliminar a eficácia do controle, incluindo falhas de causa comuns; ● se os próprios controles introduzem riscos adicionais. NOTA Um risco pode ter mais de um controle, e os controles podem afetar mais de um risco. Convém fazer uma distinção entre os controles que alteram a probabilidade, as consequências ou ambas, e os controles que mudam a forma como o ônus do risco é compartilhado entre as partes interessadas. Por exemplo, seguros e outras formas de financiamento de risco não afetam diretamente a probabilidade de um evento ou de seus resultados, mas podem tornar algumas das consequências mais toleráveis para uma determinada parte interessada, reduzindo sua extensão ou suavizando o fluxo de caixa. Convém que quaisquer premissas feitas durante a análise de risco sobre o efeito real e a confiabilidade dos controles seja validada sempre que possível, com ênfase particular em indivíduos ou combinações de controles que se supõe que tenham um efeito substancial de modificação. Convém considerar informações obtidas por meio do monitoramento e análise crítica rotineiras dos controles. Técnicas para analisar controles são descritas na Seção B.4. P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO16/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 6.3.5 Entendimento de consequências e probabilidades 6.3.5.1 Análise de tipo, magnitude e tempo das consequências A análise de consequências pode variar de uma descrição dos resultados a uma modelagem quantitativa detalhada ou análise de vulnerabilidade. Convém que sejam considerados efeitos consequentes (efeitos dominó ou em cadeia) quando uma consequência levar a outra, quando pertinente. O risco pode ser associado a vários tipos diferentes de consequências, impactando diferentes objetivos. Convém que os tipos de consequências a serem analisadas tenham sido decididos no planejamento da avaliação.Convém que a declaração de contexto seja verificada para garantir que as consequências a serem analisadas estejam alinhadas com o propósito da avaliação e que as decisões sejam tomadas. Isso pode ser revisitado, durante a avaliação, quanto mais for aprendido. A magnitude das consequências pode ser expressada quantitativamente como um valor pontual ou como uma distribuição. Uma distribuição pode ser apropriada onde: • o valor da consequência é incerto; • as consequências variam, dependendo das circunstâncias; • os parâmetros que afetam as consequências variam. A consideração da distribuição completa associada a uma consequência fornece informações completas. É possível resumir a distribuição na forma de um valor pontual como o valor esperado (média), variação (variância) ou a porcentagem na cauda ou algum outro valor pertinente da distribuição (percentil). Para qualquer método para obter um valor pontual ou valores para representar uma distribuição de consequências, existem premissas e incertezas subjacentes sobre: • a forma da distribuição escolhida para ajustar os dados (por exemplo, contínua ou discreta, normal ou altamente inclinada); • a maneira mais apropriada de representar essa distribuição como um valor pontual; • o valor da estimativa pontual devido a incertezas inerentes aos dados a partir dos quais a distribuição foi produzida. Convém que não seja presumido que os dados pertinentes ao risco sigam necessariamente uma distribuição normal. Em alguns casos, as informações podem ser resumidas como uma classificação qualitativa ou semiquantitativa que pode ser usada na comparação de riscos. A magnitude das consequências também pode variar de acordo com outros parâmetros. Por exemplo, as consequências para a saúde da exposição a um produto químico geralmente dependem da dose à qual a pessoa ou outra espécie está exposta. Para este exemplo, o risco é geralmente representado por uma curva de resposta à dose que representa a probabilidade de um ponto final especificado (por exemplo, morte) em função de uma dose de curto prazo ou acumulada. As consequências também podem mudar com o tempo. Por exemplo, os impactos adversos de uma falha podem se tornar mais graves por quanto mais tempo a falha existir. Convém que técnicas apropriadas sejam selecionadas para levar isso em consideração. P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO 17/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 Às vezes, as consequências resultam da exposição a várias fontes de risco, por exemplo, efeitos ambientais ou na saúde humana decorrentes da exposição a fontes de riscos biológicos, químicos, físicos e psicossociais. Ao considerar exposições múltiplas, convém levar em consideração a possibilidade de efeitos sinérgicos, bem como a influência da duração e a extensão da exposição. 6.3.5.2 Análise de probabilidade Probabilidade pode se referir à probabilidade de um evento ou à probabilidade de uma consequência especificada. Convém que o parâmetro ao qual um valor de probabilidade se aplica seja explicitamente declarado e convém que o evento ou consequência cuja probabilidade está sendo declarada seja definida de forma clara e precisa. Pode ser necessário incluir uma declaração sobre exposição e duração para definir completamente a probabilidade. A probabilidade pode ser descrita de várias maneiras, incluindo como uma probabilidade ou frequência esperadas ou em termos descritivos (por exemplo, “altamente provável”). Quando um termo descritivo é usado, convém que o seu significado seja determinado. Pode haver incerteza na probabilidade que pode ser mostrada como uma distribuição de valores que representam o grau de crença de que um determinado valor ocorrerá. Quando uma porcentagem é usada como uma medida de probabilidade, convém que a natureza da relação à qual a porcentagem se aplica seja declarada. EXEMPLO 1 A declaração de que a chance de um fornecedor não entregar é de 5 % é vaga tanto em termos de período de tempo como de população. Também não está claro se o percentual se refere a 5 % dos projetos ou a 5 % dos fornecedores. Uma declaração mais explícita seria “a probabilidade de um ou mais fornecedores não entregar os bens ou serviços necessários a um projeto durante a vida útil de um projeto é de 5 % dos projetos”. Para minimizar interpretações errôneas ao expressar probabilidade, qualitativa ou quantitativamente, convém que o período de tempo e a população em questão sejam explícitos e consistentes com o escopo da avaliação específica. EXEMPLO 2 A probabilidade de um ou mais fornecedores não entregar os bens ou serviços necessários a um projeto nos próximos dois meses é de 1 % dos projetos, enquanto em uma escala de seis meses pode ocorrer falha em 3 % dos projetos. Existem muitos preconceitos possíveis que podem influenciar as estimativas de probabilidade. Além disso, a interpretação da estimativa de probabilidade pode variar, dependendo do contexto em que está enquadrada. Convém tomar cuidado para entender os possíveis efeitos de preconceitos individuais (cognitivos) e culturais. Técnicas para entender as consequências e a probabilidade são descritas na Seção B.5. 6.3.6 Análise de interações e dependências Em geral, existem diversas interações e dependências entre riscos. Por exemplo, várias consequências podem ser originadas de uma única causa ou uma consequência em particular pode ter diversas causas. A ocorrência de alguns riscos pode tornar a ocorrência de outros mais ou menos provável, e esses links causais podem formar cascatas ou loops. Para obter uma avaliação mais confiável do risco, onde os vínculos causais entre os riscos são significativos, a criação de um modelo causal que incorpore os riscos de alguma forma pode ser útil. Temas comuns podem ser encontrados nas informações de risco, como causas, fatores de risco ou resultados comuns. P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO18/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 As interações entre riscos podem ter uma série de impactos na tomada de decisões, por exemplo, no aumento da importância de atividades que abrangem vários riscos conectados ou no aumento da atratividade de uma opção sobre outras. Os riscos podem ser suscetíveis a tratamentos comuns ou pode haver situações em que tratar um risco tenha implicações positivas ou negativas em outras partes. As ações de tratamento podem ser consolidadas, em determinados casos, para reduzir significativamente a quantidade de trabalho e equilibrar com mais eficácia os recursos disponíveis. Convém que um plano de tratamento coordenado leve em conta estes fatores, em vez de assumir que cada risco seja tratado de forma independente. Técnicas para analisar interações e dependências estão descritas na Seção B.6. 6.3.7 Compreensão das medidas de risco 6.3.7.1 Determinação de medidas de risco Em algumas situações, é válido fornecer uma medida de risco como uma combinação da extensão das possíveis consequências e da probabilidade dessas consequências. Isso pode abranger medidas qualitativas, semiquantitativas ou quantitativas. • As abordagens qualitativas geralmente são baseadas em escalas descritivas (nominais) ou de classificação (ordinais) para consequências e probabilidades. • As abordagens semiquantitativas são assim classificadas, quando: um parâmetro (geralmente probabilidade) é expresso quantitativamente e o outro é descrito ou expresso em uma escala de classificação; as escalas são divididas em faixas discretas, cujos limites são expressos quantitativamente. Pontos na escala geralmente são configurados para ter um relacionamento logarítmico que se ajuste aos dados; descritores numéricos são adicionados aos pontos de escala, cujos significados são descritos qualitativamente. O uso de escalas semiquantitativas pode levar a interpretações incorretas, se a base de qualquer cálculo nãofor explicada com cuidado. Portanto, convém que abordagens semiquantitativas sejam validadas e usadas com atenção. • As abordagens quantitativas usam medidas de consequências e probabilidades expressas em escalas numéricas (razão). Nos casos em que um risco é analisado em termos quantitativos, convém garantir que unidades e dimensões apropriadas sejam alimentadas e usadas durante a avaliação. Técnicas qualitativas e semiquantitativas podem ser usadas apenas para comparar riscos com outros riscos medidos da mesma maneira ou com critérios expressos nas mesmas bases. Não é possível que eles sejam usados para combinar ou agregar riscos diretamente, e eles são muito difíceis de serem usados em situações em que haja ambas as consequências positivas e negativas, ou quando for necessário fazer trade-offs entre riscos. Quando estimativas quantitativas de uma consequência e sua probabilidade são combinadas em um resultado para fornecer a magnitude para determinado risco, informações podem ser perdidas. Em particular, não há uma distinção entre riscos com alta consequência e baixa probabilidade daqueles com baixa consequência e alta probabilidade. Para que haja uma compensação a isso, pode ser P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO 19/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 aplicado um fator de ponderação à consequência ou à probabilidade; porém, convém que este recurso seja usado com cuidado. O risco nem sempre pode ser descrito de forma adequada ou estimado como um único valor representando a probabilidade de uma determinada consequência. Exemplos nos quais isso se aplica incluem situações em que: ● as consequências são melhor expressas como uma distribuição de probabilidade das consequências; ● um evento tem várias causas diferentes e leva a uma série de resultados e possíveis efeitos consequentes; ● as consequências surgem cumulativamente da exposição contínua a uma fonte de risco; ● fontes de risco (como problemas sistêmicos) são identificáveis, mas é muito difícil especificar a natureza e/ou a probabilidade das consequências que possam surgir. (Nesse caso, estimar uma magnitude válida para o risco em termos de probabilidade e consequência se torna impossível.) Quando um risco tem uma distribuição de possíveis consequências, uma medida do risco pode ser obtida como a média ponderada das probabilidades das consequências (isto é, o valor esperado). No entanto, isso nem sempre pode ser uma boa medida de risco, pois reflete a consequência média da distribuição. Isso resulta na perda de informações sobre consequências menos prováveis que podem ser graves, portanto, importantes para a compreensão do risco. Técnicas para lidar com valores extremos não estão incluídas neste Documento. NOTA Um valor esperado ou expectativa de valor é equivalente à soma de todos os pares de consequência/ probabilidade em uma distribuição, o que equivale a usar a consequência média da distribuição. Exemplos de métricas quantitativas da magnitude de um risco incluem: ● uma frequência esperada de ocorrência de uma consequência específica, como o número de acidentes de veículo por 1 000 km percorridos em uma região; ● o tempo esperado entre determinados eventos, como o tempo médio de funcionamento de um item; ● uma probabilidade de alcance de um marco final durante um período determinado de exposição (pertinente quando as consequências se acumulam ao longo de um período de exposição), como a probabilidade de contrair câncer durante a vida toda, como resultado da exposição a uma determinada dose de um produto químico; ● um valor esperado, como retornos ou ganhos financeiros esperados ao longo do período de investimento ou a carga máxima esperada na saúde pública em termos de anos de vida perdidos, ajustados por incapacidade por milhão de pessoas anualmente; NOTA BRASILEIRA O termo “anos de vida perdidos ajustados por incapacidade” é conhecido em inglês como “DALY”. ● uma estatística representando o formato de uma distribuição de consequências, como a variação ou volatilidade dos retornos de um investimento; P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO20/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 ● um valor igual, superior ou inferior a um percentil especificado em uma distribuição de consequências; EXEMPLO Determinado lucro de um projeto com chance de 90 % de ser alcançado; ou o Valor em Risco (VaR) de um portifólio que mede a perda que pode ocorrer durante um determinado período de tempo, com uma determinada probabilidade. • uma medida extrema associada à distribuição de consequências, como as consequências máximas esperadas. As métricas baseadas em consequência, como a perda máxima esperada ou a perda máxima provável, são usadas principalmente quando é difícil determinar quais controles têm a capacidade de falhar ou onde há dados insuficientes para dar base às estimativas de probabilidade. A magnitude do risco depende das premissas usadas sobre a presença e a eficácia dos respectivos controles. Termos como risco inerente ou risco bruto (para a situação em que se supõe que os controles que possam falhar, acabem falhando) e risco residual ou risco líquido, para o nível de um risco onde se supõe que os controles operem conforme o pretendido, são palavras frequentemente usadas pelos profissionais. No entanto, é difícil definir esses termos sem ambiguidade e, portanto, é aconselhável sempre declarar explicitamente as premissas usadas em relação aos controles. Ao relatar uma magnitude de risco, qualitativa ou quantitativamente, convém que as incertezas associadas às premissas e aos parâmetros de entrada e saída sejam descritas. 6.3.7.2 Agregação de medidas de risco Em alguns casos (como na alocação de capital), pode ser útil combinar valores para um conjunto de riscos para produzir um único valor. Desde que os riscos sejam caracterizados por uma única consequência, medidos nas mesmas unidades, como valor monetário, eles podem, em princípio, ser combinados. Isto é, eles podem ser combinados somente quando as consequências e a probabilidade são declaradas quantitativamente e as unidades são consistentes e corretas. Em algumas situações, uma medida útil pode ser usada como escala comum para quantificar e combinar consequências medidas em diferentes unidades. O desenvolvimento de um único valor consolidado para um conjunto de riscos mais complexos perde informações sobre os riscos do componente. Além disso, a menos que seja tomado muito cuidado, o valor consolidado pode ser impreciso e com potencial para enganar. Todos os métodos de agregação de riscos em um único valor têm premissas subjacentes que convém que sejam entendidas antes de serem aplicadas. Convém que os dados sejam analisados para buscar correlações e dependências que afetarão a forma como os riscos se combinam. Convém que as técnicas de modelagem usadas para produzir um nível agregado de risco sejam apoiadas por uma análise de cenário e teste de estresse. Onde modelos incorporam cálculos envolvendo distribuições, convém que eles incluam correlações entre essas distribuições de maneira apropriada. Se a correlação não for levada em consideração adequadamente, os resultados serão imprecisos e podem ser muito enganadores. A consolidação simplesmente adicionando-os não é uma base confiável para a tomada de decisões e pode levar a resultados indesejados. A simulação de Monte Carlo pode ser usada para combinar distribuições (ver B.5.10). Não é possível agregar diretamente medidas qualitativas ou semiquantitativas de risco. Da mesma forma, apenas declarações qualitativas gerais podem ser feitas sobre a eficácia relativa dos controles em medidas qualitativas ou semiquantitativas de mudanças no nível de risco. P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO 21/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL2021 Dados pertinentes sobre diferentes riscos podem ser reunidos de várias maneiras para ajudar aos tomadores de decisão. É possível realizar uma agregação qualitativa baseada na opinião de especialistas, levando em consideração as informações de risco mais detalhadas. Convém que as premissas feitas e as informações usadas para conduzir agregações qualitativas de risco sejam claramente articuladas. 6.3.7.3 Risco da sociedade Nos casos em que uma população é exposta a riscos, uma simples agregação do nível individual de risco ao se multiplicar pela população exposta, na maioria dos casos, não representa adequadamente o verdadeiro impacto das consequências. Por exemplo, o risco de uma fatalidade de um indivíduo em um evento como como uma falha em barreira pode precisar ser considerado diferente do mesmo evento que afeta um grupo de indivíduos juntos. O risco da sociedade é tipicamente expresso e avaliado em termos da relação entre a frequência de ocorrência de uma consequência (F) e o número de pessoas portadoras da consequência (N). (Ver os diagramas F-N em B.8.3). As técnicas que fornecem uma medida de risco são descritas na Seção B.7. 6.4 Análise crítica da análise 6.4.1 Verificação e validação de resultados Onde praticável, convém que os resultados da análise sejam verificados e validados. A verificação envolve verificar se a análise foi feita corretamente. A validação envolve verificar se uma análise correta foi realizada para atingir os objetivos requeridos. Para algumas situações, a verificação e a validação podem envolver processos de análises críticas independentes. A validação pode incluir: ● verificar se o escopo da análise é apropriado para os objetivos declarados; ● analisar criticamente todas as premissas críticas para assegurar a sua credibilidade à luz das informações disponíveis; ● verificar quais métodos, modelos e dados apropriados foram usados; ● utilizar múltiplos métodos, estimativas e análise de sensibilidade para testar e validar conclusões. A verificação pode incluir: ● verificar a validade de manipulações e cálculos matemáticos; ● verificar se os resultados são indiferentes à maneira como os dados ou resultados são exibidos ou apresentados; ● comparar resultados com experiências anteriores em que existam dados em comparação com resultados após a ocorrência; ● estabelecer se os resultados são sensíveis à maneira como os dados ou resultados são exibidos ou apresentados, para identificar parâmetros de entrada que tenham um efeito significativo nos resultados da avaliação; P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO22/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 ● comparar resultados com experiências passadas ou subsequentes, incluindo obter explicitamente feedbacks à medida que o tempo avança. 6.4.2 Análise de incerteza e sensibilidade Convém que aqueles que analisam o risco entendam as incertezas da análise e apreciem as implicações para a confiabilidade dos resultados. Convém que as incertezas e suas implicações sejam sempre comunicadas aos tomadores de decisão. A incerteza nos resultados da análise pode surgir porque: ● existe variabilidade no sistema sendo considerado; ● os dados são de uma fonte não confiável, inconsistente ou insuficiente - por exemplo, os tipos de dados coletados ou os métodos de coleta podem ter sido alterados; ● pode haver ambiguidade, por exemplo, na maneira como os descritores qualitativos são declarados ou entendidos; ● o método de análise não representa adequadamente a complexidade do sistema; ● existe uma grande confiança na opinião ou julgamento de especialistas; ● os dados pertinentes podem não existir ou a organização pode não ter coletado os dados necessários; ● os dados do passado podem não fornecer uma base confiável para prever o futuro, porque algo dentro do contexto ou das circunstâncias mudou; ● existem incertezas ou aproximações nas premissas feitas. Quando uma falta de dados confiáveis é reconhecida durante a análise, convém que mais dados sejam coletados, se praticável. Isso pode envolver a implementação de novos arranjos de monitoramento. Alternativamente, convém que o processo de análise seja ajustado para levar em conta as limitações dos dados. Uma análise de sensibilidade pode ser realizada para avaliar a importância das incertezas nos dados ou nas premissas subjacentes à análise. A análise de sensibilidade envolve a determinação da relativa alteração nos resultados causados por alterações nos parâmetros de entrada individuais. É usada para identificar dados que precisam ser precisos e aqueles que são menos sensíveis e, portanto, têm menos efeito sobre a precisão geral. Convém que parâmetros aos quais a análise é sensível e o grau da sensibilidade sejam declarados, quando apropriado. Convém que os parâmetros críticos para a avaliação e sujeitos a alterações sejam identificados para monitoramento contínuo, para que o processo de avaliação de riscos possa ser atualizado e, se necessário, as decisões reconsideradas. 6.4.3 Monitoramento e análise crítica O monitoramento pode ser usado: ● para comparar os resultados reais com os resultados previstos pelo processo de avaliação de riscos e, portanto, melhorar as avaliações futuras; P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO 23/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 ● para procurar precursores e indicadores antecedentes de possíveis consequências identificadas na avaliação; ● para coletar os dados necessários para uma boa compreensão do risco; ● para procurar novos riscos e mudanças inesperadas que possam indicar a necessidade de se atualizar a avaliação. Quando uma análise de sensibilidade indicar parâmetros de importância particular para o resultado de uma análise, convém que estes também sejam considerados para monitoramento. Convém que as avaliações sejam analisadas criticamente, de forma periódica, para identificar se ocorreram alterações, incluindo mudanças no contexto, ou nas premissas, ou se há novas informações e novos métodos disponíveis. 6.5 Aplicação dos resultados para apoiar as decisões 6.5.1 Visão geral Os resultados das análises de risco fornecem uma entrada para decisões que precisam ser tomadas e para as ações que são tomadas. NOTA O entendimento do risco pode indicar as ações, mesmo quando nenhum processo explícito de tomada de decisão é seguido. Convém que os fatores a serem considerados ao se tomarem decisões e quaisquer outros critérios específicos tenham sido especificados como parte do estabelecimento do contexto da avaliação (ver 6.1.6). Dois tipos de decisões podem ser identificados: • decisões sobre a significância do risco e se e como tratar o risco; • decisões que envolvam comparar opções que tenham incertezas (como qual das diversas oportunidades buscar). 6.5.2 Decisões sobre a significância do risco As informações da identificação e análise de riscos podem ser usadas para tirar conclusões sobre se convém aceitar o risco e a comparação significativa do risco em relação aos objetivos e limites de desempenho da organização. Este procedimento fornece uma entrada nas decisões sobre se o risco é aceitável, ou requer tratamento e qualquer priorização para o tratamento. Alguns riscos podem ser aceitos por um tempo determinado (por exemplo, para ganhar tempo na implantação realística dos tratamentos). Convém que o avaliador seja claro sobre os mecanismos para aceitar temporariamente os riscos e o processo a ser usado para a subsequente reconsideração. As prioridades no tratamento, seja o monitoramento ou a análise mais detalhada, são frequentemente baseadas na magnitude do risco medido pela combinação representada pela consequência e sua probabilidade, e são demonstradas usando uma matriz de consequências/probabilidades (B.10.3). Este método tem algumas limitações (ver B.10.3.5 e 6.3.7.1). Outros fatoresque não sejam a magnitude do risco podem ser levados em consideração na decisão de prioridades, incluindo: ● outras medidas associadas ao risco, como as consequências máximas, ou esperadas, ou mesmo a eficácia dos controles; P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO24/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 ● as características qualitativas dos eventos, ou suas possíveis consequências; ● os pontos de vista e as percepções das partes interessadas; ● o custo adicional e a praticidade do tratamento em comparação com a melhoria obtida; ● as interações entre riscos, incluindo os efeitos dos tratamentos sobre outros riscos. Depois que os riscos são avaliados e os tratamentos decididos, o processo de avaliação de riscos pode ser repetido para verificar se os tratamentos propostos não criaram riscos adversos adicionais e que o risco restante após o tratamento está dentro do apetite pelo risco da organização. As técnicas para avaliar a significância do risco estão descritas na Seção B.8. 6.6 Registro e relato do processo de avaliação de riscos e resultados esperados Convém que os resultados do processo de avaliação de riscos, as metodologias usadas e a justificativa para premissas e quaisquer recomendações sejam documentados e que uma decisão seja tomada sobre qual informação precisa ser comunicada e a quem. Convém que seja especificada a forma como convém que os registros sejam analisados criticamente e atualizados. O propósito dos registros é: ● comunicar informações sobre risco aos tomadores de decisão e outras partes interessadas, incluindo entidades reguladoras; ● fornecer um registro e justificativa da fundamentação para decisões tomadas; ● preservar os resultados do processo de avaliação para uso e referência futuros; ● acompanhar desempenho e tendências; ● dar confiança de que riscos são compreendidos e estão sendo gerenciados apropriadamente; ● permitir verificação do processo de avaliação; ● fornecer uma trilha de auditoria. Assim, convém que qualquer documentação ou registros sejam fornecidos de maneira oportuna e estejam em uma forma que possa ser compreendida por aqueles que os lerão. Convém que documentos também forneçam a profundidade técnica necessária para validação, e detalhes suficientes para preservar o processo de avaliação para uso futuro. Convém que a informação fornecida seja suficiente para permitir que os processos sejam seguidos e que os resultados esperados sejam analisados criticamente e validados. Convém que as premissas feitas, as limitações em dados ou métodos, e as razões para quaisquer recomendações sejam claras. Convém que os riscos sejam expressos em termos compreensíveis, e convém que as unidades em que as medidas são expressas sejam claras e corretas. Convém que aqueles que apresentam os resultados caracterizem a sua confiança ou a de sua equipe na precisão e integridade dos resultados. Convém que incertezas sejam adequadamente comunicadas para que o relato não implique um nível de certeza além da realidade. Técnicas para registro e relato são descritas na Seção B.10. P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO 25/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 7 Seleção de técnicas para o processo de avaliação de riscos 7.1 Generalidades A Seção 7 descreve os fatores a serem considerados ao selecionar uma técnica ou técnicas para um propósito particular. Os Anexos A e B listam e explicam em mais detalhes algumas das técnicas comumente usadas. Eles descrevem as características de cada técnica e sua possível gama de aplicações, juntamente com seus pontos fortes e pontos fracos inerentes. Muitas das técnicas descritas neste Documento foram originalmente desenvolvidas para indústrias específicas, procurando gerenciar tipos específicos de resultados indesejados. Várias das técnicas são similares, mas usam terminologias diferentes, refletindo seu desenvolvimento independente para um propósito similar em setores diferentes. Ao longo do tempo, a aplicação de muitas das técnicas foi ampliada, por exemplo estendendo-se desde aplicações técnicas de engenharia até situações financeiras ou gerenciais, ou para considerar resultados esperados tanto positivos quanto negativos. Novas técnicas têm emergido e antigas têm sido adaptadas a novas circunstâncias. As técnicas e suas aplicações continuam a evoluir. Há potencial para melhor compreensão do risco pela utilização de técnicas fora de sua aplicação original. Por conseguinte, os Anexos A e B indicam as características das técnicas que podem ser usadas para determinar a gama de circunstâncias às quais podem ser aplicadas. 7.2 Seleção de técnicas Convém que a escolha da técnica e a maneira como ela é aplicada sejam adaptadas ao contexto e uso, e forneçam informação do tipo e forma necessitados pelas partes interessadas. Em termos gerais, convém que o número e o tipo de técnica selecionados sejam dimensionados de acordo com a significância da decisão e levem em conta as restrições de tempo e outros recursos, e os custos de oportunidade. Ao decidir se é mais apropriada uma técnica qualitativa ou quantitativa, os principais critérios a serem considerados são a forma de saída mais útil para as partes interessadas e a disponibilidade e confiabilidade dos dados. Para fornecer resultados significativos, técnicas quantitativas geralmente requerem dados de alta qualidade . Contudo, em alguns casos em que os dados não são suficientes, o rigor necessário para aplicar uma técnica quantitativa pode fornecer uma melhor compreensão do risco, embora o resultado do cálculo possa ser incerto. Geralmente há uma escolha de técnicas pertinentes para uma dada circunstância. Várias técnicas podem necessitar ser consideradas, e a aplicação de mais de uma técnica pode algumas vezes fornecer uma compreensão adicional útil. [2] Técnicas diferentes também podem ser apropriadas na medida em que mais informação se torne disponível. Portanto, convém que, na seleção de uma técnica ou técnicas, o seguinte seja considerado: ● o propósito do processo de avaliação; ● as necessidades das partes interessadas; ● quaisquer requisitos legais, regulamentares e contratuais; ● o ambiente e cenário operacionais; ● a importância da decisão (por exemplo, as consequências se uma decisão errada for tomada); ● quaisquer critérios de decisão estabelecidos e suas formas; P ro je to e m C on su lta N ac io na l NÃO TEM VALOR NORMATIVO26/150 ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR IEC 31010 JUL 2021 ● o tempo disponível antes que uma decisão tenha que ser tomada; ● informação que está disponível ou que pode ser obtida; ● a complexidade da situação; ● a expertise disponível ou que pode ser obtida. As características das técnicas pertinentes a estes requisitos estão listadas na Tabela A.1. A Tabela A.2 fornece uma lista das técnicas classificadas de acordo com estas características. À medida que o grau de incerteza, complexidade e ambiguidade do contexto aumenta, a necessidade de consultar um grupo mais amplo de partes interessadas aumentará, com implicações para a combinação de técnicas selecionada. NOTA Por exemplo, o IEC TR 63039:2016 [50] orienta como usar as técnicas de análise de Árvore de Eventos, de Árvore de Falhas e de Markov de uma maneira complementar, de modo que o uso combinado seja uma forma eficiente de analisar risco de sistemas complexos. Algumas das técnicas descritas neste Documento podem ser aplicadas durante as etapas do processo de gestão de riscos da ABNT NBR ISO 31000, além do seu uso no processo de avaliação de riscos. A aplicação das técnicas ao processo de gestão de riscos está ilustrada na Figura A.1. A Tabela A.3 ilustra a sua aplicação especificamente ao processo de avaliação de riscos. O Anexo B contém uma visão geral de cada técnica, seu uso, suas entradas e saídas, seus pontos fortes e limitações
Compartilhar