Text page

As técnicas para o processo de avaliação de riscos

Quais são os critérios para decidir se um risco pode ser aceito? Por que gerenciar as informações e desenvolver modelos? Como deve ser o desenvolvimento e a aplicação de modelos na avaliação de riscos? Como aplicar as técnicas para o processo de avaliação de riscos? Essas interrogações estão sendo exibidas na NBR IEC 31010 de 08/2021 - Gestão de riscos - Técnicas para o processo de avaliação de riscos.

15/09/2021 - Equipe Target

NBR IEC 31010 de 08/2021 - Gestão de riscos - Técnicas para o processo de avaliação de riscos

A NBR IEC 31010 de 08/2021 - Gestão de riscos - Técnicas para o processo de avaliação de riscos, em sua nova edição, fornece orientações para a seleção e aplicação de técnicas para o processo de avaliação de riscos em uma ampla série de situações. As técnicas são usadas para auxiliar na tomada de decisões em que haja incerteza, fornecer informações sobre riscos específicos e como parte do processo para a gestão de riscos. Este documento fornece resumos de uma série de técnicas, com referências a outros documentos em que as técnicas são descritas com mais detalhes.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais são os critérios para decidir se um risco pode ser aceito?

Por que gerenciar as informações e desenvolver modelos?

Como deve ser o desenvolvimento e a aplicação de modelos na avaliação de riscos?

Como aplicar as técnicas para o processo de avaliação de riscos?

Este documento fornece orientação para a seleção e aplicação de várias técnicas que podem ser usadas para ajudar a melhorar o modo como a incerteza é considerada e ajudar a entender o risco. As técnicas são usadas: onde uma maior compreensão é necessária sobre qual risco existe ou sobre um risco particular; em uma decisão em que uma série de opções, cada uma envolvendo risco, precisa ser comparada ou otimizada; no processo de gestão de riscos, levando a ações para tratar o risco.

As técnicas são usadas nas etapas do processo de avaliação de riscos de identificação, análise e avaliação de riscos, como descrito na NBR ISO 31000, e de forma geral quando há necessidade de entender a incerteza e os seus efeitos. As técnicas descritas neste documento podem ser usadas em uma ampla série de situações, embora a maioria seja originária do campo técnico.

Algumas técnicas são similares em conceito, mas possuem diferentes nomes e metodologias que refletem a história do seu desenvolvimento em diferentes setores. As técnicas evoluíram ao longo do tempo, e muitas podem ser usadas em uma grande série de situações fora de sua aplicação original.

As técnicas podem ser adaptadas, combinadas e aplicadas de novas maneiras, ou ampliadas para satisfazer as necessidades atuais ou futuras. Este documento é uma introdução às técnicas selecionadas e compara as suas possíveis aplicações, benefícios e limitações. Também fornece referências às fontes de informação mais detalhadas.

O público potencial para este documento é: qualquer pessoa envolvida no processo de avaliação ou na gestão de riscos; as pessoas que estão envolvidas no desenvolvimento de orientação que determine como os riscos serão avaliados em contextos específicos; as pessoas que precisam tomar decisões onde há incerteza, incluindo: aquelas que encomendam ou avaliam os processos de avaliação de riscos, aquelas que necessitam compreender os resultados dos processos de avaliação, e aquelas que precisam escolher técnicas de avaliação que satisfaçam uma necessidade particular.

As organizações que precisam conduzir processos de avaliação de riscos para propósitos de compliance ou conformidade podem se beneficiar do uso de técnicas formais, padronizadas e apropriadas para o processo de avaliação de riscos. A incerteza é um termo que abrange vários conceitos subjacentes. Muitas tentativas foram feitas, e continuam sendo desenvolvidas, para categorizar os tipos de incertezas, incluindo: a incerteza que reconhece a variabilidade intrínseca de alguns fenômenos e que não é possível que seja reduzida por pesquisas adicionais, por exemplo, jogar dados (às vezes se refere a incertezas aleatórias); a incerteza que geralmente resulta da falta de conhecimento e que, portanto, pode ser reduzida ao se reunirem mais dados, refinar modelos, aprimorar técnicas de amostragem etc. (às vezes referida como incerteza epistêmica).

Outras comumente reconhecidas formas de incerteza incluem: a incerteza linguística, que reconhece a imprecisão e a ambiguidade inerente à linguagem falada; incerteza da decisão, que tem relevância particular nas estratégias de gestão de riscos e que identifica a incerteza associada aos sistemas de valores, julgamento profissional, valores das companhias e normas sociais.

Exemplos de incerteza incluem: as incerteza quanto à verdade das premissas, incluindo presunções sobre como as pessoas ou sistemas podem se comportar; a variabilidade nos parâmetros nos quais a decisão está baseada; a incerteza na validade ou precisão dos modelos que foram estabelecidos para fazer previsões sobre o futuro; os eventos (incluindo mudanças em circunstâncias ou condições) cuja ocorrência, caráter ou consequência sejam incertos; a incerteza associada a eventos disruptivos; os resultados incertos de questões sistêmicas, como escassez de pessoal competente, que podem ter uma ampla gama de impactos, que não é possível determinar claramente; a falta de conhecimento que surge quando a incerteza é reconhecida, mas não totalmente compreendida; a imprevisibilidade; a incerteza resultante das limitações da mente humana, por exemplo, em compreender dados complexos, prever situações com consequências de longo prazo ou fazer julgamentos sem preconceitos.

Não é possível compreender toda incerteza e a significância da incerteza pode ser difícil ou impossível de determinar ou influenciar. Contudo, o reconhecimento de que a incerteza existe em um contexto específico, permite que sistemas de alerta precoce sejam implementados para detectar mudanças de maneira proativa e oportuna, e para tomar as providências para criar uma resiliência para lidar com as circunstâncias inesperadas.

Os riscos incluem os efeitos de qualquer uma das formas de incerteza nos objetivos. A incerteza pode levar a consequências positivas ou negativas, ou a ambas. O risco é frequentemente descrito em termos de fontes de risco, eventos potenciais, suas consequências e suas probabilidades. Um evento pode ter múltiplas causas e levar a múltiplas consequências.

As consequências podem ter um número de valores discretos, ser variáveis contínuas ou ser desconhecidas. As consequências podem não ser discerníveis ou mensuráveis no início, mas podem se acumular ao longo do tempo. As fontes de risco podem incluir a variabilidade inerente ou incertezas, relacionadas a uma série de fatores, incluindo comportamento humano e estruturas organizacionais ou influências sociais, para as quais pode ser difícil prever qualquer evento específico que possa ocorrer.

Nem sempre é possível tabular o risco facilmente como um conjunto de eventos, suas consequências e suas probabilidades. As técnicas para o processo de avaliação de riscos visam ajudar as pessoas a entender a incerteza e o risco associado neste contexto amplo, complexo e diversificado, com o propósito de apoiar decisões e ações mais bem informadas.

As técnicas descritas neste documento fornecem um meio para melhorar a compreensão da incerteza e suas implicações para decisões e ações. A NBR ISO 31000 descreve os princípios para a gestão de riscos e os fundamentos e arranjos organizacionais que permitem que os riscos sejam gerenciados. Ela especifica um processo que permite que o risco seja reconhecido, compreendido e modificado conforme necessário, de acordo com critérios estabelecidos como parte do processo.

As técnicas do processo de avaliação de riscos podem ser aplicadas nessa abordagem estruturada, que envolve o estabelecimento do contexto, o processo de avaliação de riscos e o tratamento de riscos, juntamente com monitoramento, a análise crítica, a comunicação e consulta, registro e relato contínuos. Este processo é ilustrado na figura abaixo, que também mostra exemplos de onde as técnicas podem ser aplicadas no processo.

Clique na imagem acima para uma melhor visualização

 

No processo da NBR ISO 31000, o processo de avaliação de riscos envolve a identificação dos riscos, sua análise e o uso do entendimento obtido com a análise para avaliar riscos, tirando conclusões sobre a sua significância comparativa em relação aos objetivos e limites de desempenho da organização. Este processo fornece entradas para as decisões sobre se um tratamento é requerido, as prioridades de tratamento e as ações destinadas a tratar os riscos.

Na prática, uma abordagem iterativa é aplicada. As técnicas do processo de avaliação de riscos descritas neste documento são usadas onde é necessário um entendimento maior sobre quais riscos existem ou sobre um risco específico; dentro de um processo de gestão de riscos, levando a ações para tratar os riscos; dentro de uma decisão em que uma gama de opções, cada uma envolvendo riscos, precise ser comparada ou otimizada.

Em particular, as técnicas podem ser usadas para: fornecer informações estruturadas para apoiar decisões e ações em que haja incerteza; esclarecer as implicações das premissas sobre o atingimento dos objetivos; comparar múltiplas opções, sistemas, tecnologias ou abordagens etc. em que haja incertezas multifacetadas em torno de cada opção; auxiliar na determinação de objetivos estratégicos e operacionais realistas; ajudar a determinar os critérios de risco de uma organização, como limites de risco, apetite pelo risco ou capacidade de suportar riscos; levar em conta o risco ao especificar ou analisar criticamente as prioridades; reconhecer e entender os riscos, incluindo os riscos que podem ter resultados extremos; entender quais incertezas são mais importantes para os objetivos de uma organização e fornecer uma justificativa para o que convém que seja feito sobre elas; reconhecer e explorar as oportunidades com mais sucesso; articular os fatores que contribuem para o risco e por que eles são importantes; identificar as ações de tratamento de riscos eficazes e eficientes; determinar o efeito modificador dos tratamentos de risco propostos, incluindo qualquer alteração na natureza ou magnitude do risco; comunicar sobre riscos e suas implicações; aprender com fracassos e sucessos, a fim de melhorar a maneira como os riscos são gerenciados; e demonstrar que os requisitos regulatórios e outros requisitos foram atendidos.

A maneira pela qual o risco é avaliado depende da complexidade e novidade da situação e do nível de conhecimento e entendimento pertinentes. No caso mais simples, quando não há nada de novo ou de incomum em uma situação, o risco é bem entendido, sem grandes implicações para as partes interessadas ou com consequências não significativas, então as ações serão provavelmente decididas de acordo com regras e procedimentos estabelecidos e com avaliações anteriores de risco.

Para questões muito novas, complexas ou desafiadoras, nas quais haja alta incerteza e pouca experiência, há pouca informação sobre em qual basear a avaliação, e as técnicas convencionais de análise podem não ser úteis ou significativas. Isto também se aplica às circunstâncias em que as partes interessadas mantêm opiniões fortemente divergentes.

Nesses casos, várias técnicas podem ser usadas para obter uma compreensão parcial do risco, com julgamentos feitos no contexto de valores organizacionais e sociais e opiniões das partes interessadas. As técnicas descritas neste documento têm grande aplicação em situações entre esses dois extremos em que a complexidade é moderada e há alguma informação disponível na qual basear-se a avaliação.

O propósito do processo de avaliação deve ser estabelecido, incluindo a identificação das decisões ou ações às quais está relacionado, os tomadores de decisão, as partes interessadas e o tempo e natureza do resultado requerido (por exemplo, se é requerida informação qualitativa, semiquantitativa ou quantitativa). O escopo, a profundidade e o nível de detalhe do processo de avaliação devem ser definidos, com uma descrição do que está incluído ou excluído.

Os tipos de consequência a serem incluídos no processo de avaliação devem ser definidos. Convém que quaisquer condições, premissas, restrições ou recursos necessários pertinentes para a atividade do processo de avaliação sejam especificados. Ao realizar um processo de avaliação de riscos, convém que aqueles envolvidos estejam cientes de circunstâncias mais amplas em que serão tomadas as decisões e ações com base no seu processo de avaliação.

Isso inclui compreender as questões internas e externas que contribuem para o contexto da organização, bem como os aspectos sociais e ambientais mais amplos. Convém que qualquer declaração de contexto pertinente seja analisada criticamente e verificada, para ver se é corrente e apropriada. Compreender o contexto geral é particularmente importante quando há complexidade significativa.

Convém que as partes interessadas e aquelas passíveis de estarem aptas a contribuir com conhecimento útil ou visões pertinentes sejam identificadas e suas perspectivas consideradas, estejam elas incluídas ou não como participantes no processo de avaliação. O envolvimento apropriado das partes interessadas ajuda a garantir que a informação na qual o processo de avaliação de riscos é baseado seja válida e aplicável, e que as partes interessadas compreendam as razões por trás das decisões.

O envolvimento das partes interessadas pode: fornecer a informação que permita compreender o contexto do processo de avaliação; juntar diferentes áreas do conhecimento e expertise para identificação e compreensão mais efetivas do risco; fornecer expertise pertinente para o uso das técnicas; permitir que os interesses das partes interessadas sejam compreendidos e considerados; fornecer entradas ao processo de determinação de se um risco é aceitável, em particular quando as partes interessadas são impactadas; cumprir qualquer requisito para que pessoas sejam informadas e consultadas; obter apoio para saídas e decisões oriundas do processo de avaliação de riscos; identificar lacunas no conhecimento que precisem ser tratadas antes do e/ou durante o processo de avaliação de riscos.

Convém que seja decidido como as saídas e resultados do processo de avaliação de riscos podem ser comunicados às partes interessadas pertinentes de forma confiável, precisa e transparente. As técnicas para estimular a visão de partes interessadas e especialistas são descritas na Seção B.1. Convém que os objetivos do sistema ou processo específico para o qual haverá um processo de avaliação de risco sejam definidos e, quando possível, documentados.

Isso irá facilitar a identificação do risco e a compreensão de suas implicações. Convém que, na medida do possível, os objetivos sejam: específicos ao assunto do processo de avaliação; mensuráveis tanto qualitativamente quanto quantitativamente; alcançáveis dentro das restrições impostas pelo contexto; pertinentes para os objetivos maiores ou contexto da organização; alcançáveis dentro do prazo estipulado. Os fatores humanos, organizacionais e sociais devem ser explicitamente considerados e levados em conta conforme apropriado.

Os aspectos humanos são pertinentes no processo de avaliação de riscos nas seguintes maneiras: por meio de influências na maneira em que as técnicas são selecionadas e aplicadas; como uma fonte de incerteza; como a informação é interpretada e usada (por exemplo, por causa das diferentes percepções de risco). O desempenho humano (seja acima ou abaixo do esperado) é uma fonte de risco que pode também afetar a efetividade dos controles.

Convém que o potencial de desvio dos comportamentos esperados ou presumidos seja especificamente considerado, quando do processo de avaliação de risco. As considerações do desempenho humano são frequentemente complexas e opiniões de especialistas podem ser requisitadas para identificar e analisar os aspectos humanos do risco.

Os fatores humanos também influenciam a seleção e o uso de técnicas, em particular quando julgamentos precisam ser feitos ou abordagens de equipe são usadas. A facilitação qualificada é necessária para minimizar estas influências. Convém que tendências, como pensamentos de grupo e excesso de confiança (por exemplo, em estimativas ou percepções), sejam tratadas. Convém que a opinião de especialistas seja informada por evidências e dados sempre que possível e que esforços sejam feitos para evitar ou minimizar preconceitos cognitivos.

Os objetivos e os valores das pessoas podem variar e ser diferentes daqueles da organização. Isto pode resultar em diferentes percepções acerca do nível de risco e diferentes critérios a partir dos quais os indivíduos tomam decisões. Convém que a organização se esforce para atingir uma compreensão comum do risco internamente e leve em conta as diferentes percepções das partes interessadas.

Os aspectos sociais, incluindo posição socioeconômica, etnia e cultura de raça, gênero, relações sociais e contexto residencial e da comunidade, podem afetar o risco tanto direta quanto indiretamente. Os impactos podem ser de longo termo e não visíveis imediatamente, e podem requerer uma perspectiva de planejamento de longo termo.

Convém que os critérios, incluindo os critérios de risco, que precisam ser levados em conta quando da tomada de decisões, sejam analisados criticamente antes de se iniciar qualquer processo de avaliação. Os critérios podem ser qualitativos, semiquantitativos ou quantitativos. Em alguns casos, pode não haver critérios explícitos especificados, e as partes interessadas podem utilizar seu julgamento para responder aos resultados da análise.

FONTE: Equipe Target

Anúncio fixo da norma NBRISO9001 Chegou o novo app Target GEDWeb!
Busque e visualize suas normas ABNT NBR NM
Recursos exclusivos de busca, leitura por voz,
acesso off-line, navegação por setor e muito mais!
Produto/Serviço relacionado à NBRISO9001

Baseado nos documentos visitados

Normas recomendadas para você

Plano de emergência — Requisitos e procedimentos
NBR15219 de 04/2020

Plano de emergência — Requisitos e procedimentos

Sistemas de gestão de compliance - Requisitos com orientações para uso
NBRISO37301 de 06/2021

Sistemas de gestão de compliance - Requisitos com orientações para uso

Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação
NBRISO/IEC27005 de 10/2019

Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação

Sistemas de prevenção e proteção contra explosão - Gerenciamento de riscos de explosões
NBR15662 de 01/2009

Sistemas de prevenção e proteção contra explosão - Gerenciamento de riscos de explosões

Sistemas de gestão da qualidade - Fundamentos e vocabulário
NBRISO9000 de 09/2015

Sistemas de gestão da qualidade - Fundamentos e vocabulário

Guia para avaliação dos efeitos provocados pelo uso de explosivos nas minerações em áreas urbanas
NBR9653 de 05/2018

Guia para avaliação dos efeitos provocados pelo uso de explosivos nas minerações em áreas urbanas

Gestão de riscos - Diretrizes
NBRISO31000 de 03/2018

Gestão de riscos - Diretrizes

Gestão de riscos - Técnicas para o processo de avaliação de riscos
NBRIEC31010 de 08/2021

Gestão de riscos - Técnicas para o processo de avaliação de riscos

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação
NBRISO/IEC27004 de 08/2017

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação

Gestão de riscos — Diretrizes para a gestão de riscos legais
NBRISO31022 de 12/2020

Gestão de riscos — Diretrizes para a gestão de riscos legais

Gerenciamento de riscos em projetos — Princípios e diretrizes gerais
NBR16337 de 04/2020

Gerenciamento de riscos em projetos — Princípios e diretrizes gerais

Segurança da informação, segurança cibernética e proteção da privacidade - Diretrizes para auditoria de sistemas de gestão da segurança da informação
NBRISO/IEC27007 de 05/2021

Segurança da informação, segurança cibernética e proteção da privacidade - Diretrizes para auditoria de sistemas de gestão da segurança da informação

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos
NBRISO/IEC27001 de 11/2013

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos

Treinamento on-line da versão comentada da Norma para Sistemas de gestão da qualidade - Requisitos, com mais de 400 minutos em vídeo aulas e 91 páginas de comentários elaborados pelo engenheiro Eduardo Daniel
NBRISO9001 - CURSO E COMENTADA de 09/2015

Treinamento on-line da versão comentada da Norma para Sistemas de gestão da qualidade - Requisitos, com mais de 400 minutos em vídeo aulas e 91 páginas de comentários elaborados pelo engenheiro Eduardo Daniel

Tecnologia da informação - Técnicas de segurança - Código de Prática para controles de segurança da informação
NBRISO/IEC27002 de 11/2013

Tecnologia da informação - Técnicas de segurança - Código de Prática para controles de segurança da informação

Gestão de riscos - Vocabulário
ABNT ISO GUIA73 de 11/2009

Gestão de riscos - Vocabulário

Produtos para saúde — Aplicação de gerenciamento de risco a produtos para saúde
NBRISO14971 de 07/2020

Produtos para saúde — Aplicação de gerenciamento de risco a produtos para saúde

Gestão de riscos — Guia para implementação da ABNT NBR ISO 31000
ABNT ISO/TR31004 de 10/2015

Gestão de riscos — Guia para implementação da ABNT NBR ISO 31000

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações
NBRISO/IEC27003 de 04/2020

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações

Sistemas de gestão antissuborno - Requisitos com orientações para uso
NBRISO37001 de 03/2017

Sistemas de gestão antissuborno - Requisitos com orientações para uso