Gestão de Riscos e Oportunidades

Primeiramente gostaria de contextualizar sobre o termo gestão de riscos, pois está na onda do momento, e quando bem aplicada, mitigando possíveis desastres ambientais, acidentes do mundo coorporativo, eventuais problemas com impacto na qualidade, na gestão financeira da organização, entre outras prevenções, percas, e/ou responsabilidade pelo dano que podemos administrar e até mesmo criando oportunidades para a organização. 

Como diria Peter Drucker, “Existem dois tipos de riscos: Aqueles que não podemos nos dar ao luxo de correr e aqueles que não podemos nos dar ao luxo de não correr”. 

Assim como outras definições que devemos apreciar a respeito da gestão de riscos: 

“Grau de incerteza a respeito de um evento” (Solomon e Pringle). 

Sendo assim avaliando essas informações, podemos associar “possibilidade” e “grau de incerteza” e perceber que remetem para a ideia de probabilidade estatística, ou seja, avaliação analítica de uma base de dados históricos da empresa e do mercado. 

Sendo assim, precisamos conhece-los na integra, no detalhe, para que possamos fazer o correto julgamento sobre os controles que devemos adotar e as oportunidades que podemos mapear. 

Em apoio a essas evidências presenciadas, assim como as experiências coorporativas, nasceu em 2009 a norma NBR ISO 31.000 para Gestão de Riscos, a qual hoje está na versão 2018. Diversas normas incorporaram esses requisitos em seu contexto, de forma que as empresas estão precisando se adequar a essa novidade, que apareceu nas versões mais recentes de diversas normas.

Como por exemplo: NBR ISO 9001:2015, NBR ISO 17025:2017, NBR ISO, 45.001:2018, NBR ISO 14.001:2015, entre outras.  

Gestão de riscos não é proveniente da norma NBR ISO 31.000:2018? 

Sim, claro! Mas acontece que a NBR ISO 31.000:2018 não é uma norma de certificação e sim uma boa prática que as empresas podem adotar para a organização, inclusive apoiando o atendimento aos requisitos de outras normas que estabelecem a gestão de riscos. 

IMPORTANTE DICA: Conheçam as literaturas da NBR ISO 31.004:2015 (Guia para implementação da NBR ISO 31000), e NBR ISO 31010:2019 – Técnicas para o Processo de Avaliação de Gestão de Riscos.

Aproveitando, gostaria de ressaltar o que muitos estão buscando nos treinamentos que ministro, “Daniel, quais as ferramentas da qualidade são importantes eu dominar para usar na minha rotina e o que mais preciso saber para atender a norma para a gestão de riscos? 

E eu costumo responder, está tudo nessas 3 literaturas, ISO 31000, ISO 31004 e na ISO 31010, mas é claro que a experiência que irão adquirindo irá fazer toda a diferença. 

Sendo assim, eu diria que a capacitação através de um treinamento é fundamental e logo no retorno as suas atividades de rotina, lembre-se de realizar a tarefa de casa e colocar em prática o que aprendeu, mesmo que aquela seja uma nova atividade para ser acrescentada em sua rotina cheia de compromissos.  

Comece montando a equipe que estará envolvida nessa implantação e passe a missão do levantamento macro de riscos para que possam posteriormente priorizar quais serão implementadas a cada mês, bimestre, trimestre, semestre ou seja lá qual for a periodicidade que esteja em sua meta. 

Depois equalize o conhecimento de gestão de riscos para que possa haver uma homogeneidade de conhecimento e para isso, seguem algumas informações que poderão ser relevantes: 

Risco 

Algo que tem chance de acontecer e pode ser um problema para a organização. 

Oportunidade 

Uma oportunidade é uma situação positiva em que o ganho é provável e sobre a qual se tem um nível alto de controle. 

Normalmente vem de uma soma de circunstâncias que podem se tornar favoráveis aos objetivos das organizações quando bem mapeados e associados a planos de ação que possam objetivar a oportunidade. 

Vale lembrar que uma oportunidade para uma parte pode representar uma ameaça para outra. Então fiquem atentos! Pois aproveitar ou não uma oportunidade são ambas fontes de risco. 

Probabilidade 

Na terminologia de gerenciamento de risco, a palavra “probabilidade” é usada para se referir à chance de algo acontecer e que possa ser medido ou determinado objetiva ou subjetivamente, qualitativamente ou quantitativamente. 

Ameaça 

Nada mais é do que a fonte potencial de perigo, dano ou outro resultado indesejável 

Uma ameaça é uma situação negativa em que a perda é provável e sobre a qual se tem relativamente pouco controle. 

Assim como no caso da oportunidade, uma ameaça para uma parte pode representar uma oportunidade para outra. 

Enfim, assim como outras atividades da nossa rotina dentro da empresa, um software sempre passa a ser importante quando aquela rotina passa a gerar um acumulo de atividades e ocorrências que onera muito tempo e que pode ser automatizada por soluções inteligentes. 

Portanto, caro leitor, perceba que quando estiver fazer a gestão de uns 10 riscos, pode ser que isso esteja fluindo bem, mas à medida que esse número vai aumentando, a busca pela automação poderá proporcionar mais eficiência e eficácia.  

Quais ferramentas da qualidade podem ser interessantes para gestão de riscos? 

Vou listar um mixe de 11 ferramentas, desde as mais conhecidas e utilizadas, até as menos citadas nas literaturas, mas que trazem um retorno incrível na sua utilização: 

Brainstorming  

Brainstorming é um processo usado para estimular e encorajar um grupo de pessoas a desenvolver ideias relacionado a um ou mais tópicos de qualquer natureza.

O termo “brainstorming” é frequentemente usado de forma muito vaga para significar qualquer tipo de discussão em grupo, mas um brainstorming eficaz requer um esforço consciente para garantir que os pensamentos de outras pessoas do grupo sejam usados ​​como ferramentas para estimular a criatividade de cada participante.  

Esta técnica dá os melhores resultados quando um facilitador especialista está disponível e pode fornecer estimulação necessária, mas não limita o pensamento. O facilitador estimula o grupo a cobrir todas as áreas relevantes e garante que as ideias do processo sejam capturadas para análise. 

O brainstorming pode ser estruturado ou não. Para um brainstorming estruturado, o facilitador divide o problema a ser discutido em seções e usa “prompts” preparados para gerar ideias sobre um novo tópico quando se está exausto.  

Já o brainstorming não estruturado costuma ser menos formal. Em ambos os casos, o facilitador inicia uma linha de pensamento e espera-se que todos gerem ideias. O ritmo é mantido para permitir que as ideias acionem o pensamento lateral.

O facilitador também pode sugerir uma nova direção, ou aplicar uma ferramenta de pensamento criativo diferente quando uma direção de pensamento é exaustiva ou a discussão se desvia muito. O objetivo é coletar tantas ideias diversas quanto possível para análise posterior. 

Técnica Delphi 

A técnica Delphi é um procedimento para obter consenso de opinião de um grupo de especialistas. Ou seja, é um método para coletar e comparar julgamentos sobre um determinado tópico por meio de um conjunto de questionários.

Uma característica essencial da técnica Delphi é que os especialistas expressam suas opiniões individualmente, de forma independente e anônima, tendo acesso a visão de outros especialistas à medida que o processo avança. 

O grupo de especialistas que formam o painel recebe a pergunta de forma independente ou questões a serem consideradas. As informações da primeira rodada de respostas são analisadas, combinados e distribuídos aos especialistas que podem reconsiderar suas respostas originais. 

Os especialistas respondem e o processo é repetido até que um consenso ou quase consenso seja alcançado. 

Se um especialista ou uma minoria de especialistas mantiverem consistentemente sua resposta, isso pode indicar que eles têm informações importantes ou um ponto de vista importante, então leve sempre em consideração. 

Listas de verificação (Check-lists) 

Listas de verificação são usadas durante a avaliação de risco de várias maneiras, a fim de auxiliar na compreensão do contexto, na identificação do risco e no agrupamento dos riscos para diversos fins durante a análise.

Elas também são usadas ​​na gestão de risco, por exemplo, para classificar controles e tratamentos, para definir responsáveis e responsabilidades, assim como para relatar e comunicar riscos. 

Uma lista de verificação pode ser baseada na experiência de fracassos e sucessos passados, e mais formalmente em riscos pode ser criadas tipologias e taxonomias para categorizar ou classificar riscos com base em atributos.

Em suas formas puras, as tipologias são classificações derivadas conceitualmente de “cima para baixo”, enquanto as taxonomias são “bottom-up” empiricamente ou teoricamente derivadas de classificação. As formas híbridas geralmente combinam essas duas formas puras. 

As taxonomias de risco são normalmente destinadas a ser mutuamente exclusivas e coletivamente exaustivas (ou seja, para evitar sobreposições e lacunas). As classificações de risco podem se concentrar em isolar uma categoria particular de risco para um exame mais detalhado. 

Ambas as tipologias e taxonomias podem ser hierárquicas com vários níveis de classificação desenvolvido.

Qualquer taxonomia deve ser hierárquica e poder ser subdividida em bons níveis de resolução. Isso ajudará a manter um número gerenciável de categorias e ao mesmo tempo alcançar granularidade suficiente. 

Análise de Modos de Falha e seus Efeitos – FMEA  

ou  

Análise de Criticidade, Modos e Efeitos de Falhas – FMECA 

Na FMEA, uma equipe subdivide hardware, sistema, processo ou procedimento em elementos. Para cada elemento, as maneiras pelas quais ele pode falhar e as causas e efeitos da falha são considerados. 

FMEA pode ser seguido por uma análise de criticidade que define a importância de cada falha e modo (FMECA) seguindo os seguintes registros:

• sua função;
• a falha que pode ocorrer (modo de falha);
• os mecanismos que podem produzir esses modos de falha;
• a natureza das consequências se a falha ocorreu;
• se a falha é inofensiva ou prejudicial;
• as provisões inerentes que existem para compensar a falha.

Para FMECA, a equipe de estudo classifica cada um dos modos de falha identificados de acordo com sua criticamente. Os usados ​​com mais frequência são uma matriz de consequência / probabilidade qualitativa, semiquantitativa ou quantitativa. 

Ou ainda um risco com um número de prioridade (RPN). Uma medida quantitativa de criticidade também pode ser derivada de taxas de falha e uma medida quantitativa das consequências onde elas são conhecidas. 

Estudos de perigo e operabilidade (HAZOP) 

Um estudo HAZOP é um exame estruturado e sistemático de um processo planejado ou existente, procedimento ou sistema que envolve a identificação de possíveis desvios da intenção do projeto, e examinando suas possíveis causas e consequências. 

Em um workshop facilitado, a equipe de estudo: 

• subdivide o sistema, processo ou procedimento em elementos menores;
• concorda com a intenção do projeto para cada elemento, incluindo a definição de parâmetros relevantes (como fluxo ou temperatura no caso de um sistema físico);
• aplica palavras-guia sucessivamente a cada parâmetro para cada elemento a postular possível desvios da intenção do projeto que podem ter resultados indesejáveis;

Sendo assim: Nem todas as combinações de parâmetros de palavras-guia serão significativas. 

A Tabela a seguir fornece exemplos de palavras-guia comumente usadas para sistemas técnicos. Semelhante palavras-guia por exemplo: “muito cedo”, “muito tarde”, “muito”, “muito pouco”, “muito longo”, “muito curto”, “direção errada“, “objeto errado”, “ação errada”, podem ser usados para identificar modos de erro humano. 

Aplicação das palavras-guia: 

• propriedades físicas de um material ou processo;
• condições físicas como temperatura ou velocidade;
• cronometragem;
• uma intenção especificada de um componente de um sistema ou projeto (por exemplo, transferência de informações);
• aspectos operacionais.

SWIFT – Técnica hipotética estruturada (E se? – What-if?) 

SWIFT é uma técnica de identificação de risco de alto nível que pode ser usada independentemente ou como parte de uma abordagem em estágios para tornar os métodos ascendentes, como HAZOP ou FMEA, mais eficientes.  

Utiliza um brainstorming estruturado em um workshop facilitado onde um conjunto predeterminado de palavras-guia (tempo, quantidade, etc.) são combinadas com ideias obtidas dos participantes 

Geralmente começam com frases como “e se?” ou “Como eu poderia?”. Enfim, é semelhante ao HAZOP, mas aplicado em um sistema ou subsistema, não na intenção do designer. 

Antes do início do estudo, o facilitador prepara uma lista de sugestões para permitir uma avaliação abrangente na revisão dos riscos ou fontes de risco. No início do workshop, o contexto, escopo e propósito de SWIFT é discutido e os critérios de sucesso são articulados. Usando as palavras do guia como “o que? E se? “, o facilitador pede aos participantes que levantem e discutam questões como: 

• riscos conhecidos;
• fontes e fatores de risco;
• experiências anteriores, sucessos e incidentes;
• controles conhecidos e existentes;
• requisitos regulatórios e restrições.

O facilitador usa a lista de avisos para monitorar a discussão e sugerir perguntas adicionais e cenários para a equipe discutir. A equipe considera se os controles são adequados e se não, considere os tratamentos potenciais. Durante esta discussão, continue “e se?” perguntas são colocadas. 

Em alguns casos, riscos específicos são identificados e uma descrição do risco, suas causas, consequências e controles podem ser registrados. Além disso, fontes ou drivers mais gerais para riscos, problemas de controle ou questões sistêmicas podem ser identificados. 

Quando uma lista de riscos é gerada, um método de avaliação de risco qualitativo ou semiquantitativo é frequentemente usado para classificar ações criadas em termos de nível de risco. Isso geralmente leva em consideração controles existentes e sua eficácia. 

Diagrama de Ishikawa (espinha de peixe) 

O Diagrama de Ishikawa usa uma abordagem de equipe para identificar as possíveis causas de qualquer desejável ou evento, efeito, problema ou situação indesejáveis.

Os possíveis fatores contributivos são organizados em amplas categorias para cobrir causas humanas, técnicas e organizacionais. A informação é representada em um diagrama em espinha de peixe. As principais etapas em realizar a análise são os seguintes. 

• Defina o efeito:

O efeito pode ser positivo (um objetivo) ou negativo (um problema); 

• Combine as principais categorias de causas. Exemplos de categorias comumente usadas incluem:

– 6Ms, por exemplo, métodos, maquinário, gerenciamento, materiais, mão de obra, dinheiro; 

– Materiais, métodos e processos, meio ambiente, equipamentos, pessoas, medições. 

Outra possibilidade: 

• Pergunte por que?” e “como isso pode ocorrer?” para explorar iterativamente as causas e influenciar fatores em cada categoria, adicionando cada um aos ossos do diagrama de espinha de peixe. 
• Revisar todas as filiais para verificar a consistência e integridade e garantir que as causas

aplicam-se ao efeito principal. 

• Identifique os fatores mais importantes com base na opinião da equipe e nas evidências disponíveis.

A seguir uma figura que representa o Diagrama de Ishikawa trazendo um exemplo prático:

HACCP – Análise de perigos e pontos críticos de controle  

A análise de perigos e pontos críticos de controle (HACCP) foi desenvolvida para garantir a segurança alimentar para o programa espacial da NASA, mas pode ser usado para processos ou atividades não alimentares.

A técnica fornece uma estrutura para identificar fontes de risco (perigos ou ameaças) e colocar controles em todas as partes relevantes de um processo para protegê-los.  

A analise é usada em níveis, embora seus resultados possam apoiar a estratégia geral de uma organização. HACCP visa garantir que os riscos sejam minimizados pelo monitoramento e por controles ao longo de um processo, em vez de por meio de inspeção no final do processo. 

HACCP consiste nos seguintes sete princípios: 

1) identificar os perigos, os fatores que influenciam o risco e as possíveis medidas preventivas; 

2) determinar os pontos do processo onde o monitoramento é possível e o processo pode ser controlado para minimizar ameaças (os pontos de controle críticos ou CCPs); 

3) estabelecer limites críticos para os parâmetros que devem ser monitorados, ou seja, cada CCP deve operar dentro de parâmetros específicos para garantir que o risco seja controlado; 

4) estabelecer os procedimentos para monitorar os limites críticos de cada PCC em intervalos definidos; 

5) estabelecer procedimentos de verificação; 

6) implementar procedimentos de manutenção de registros e documentação para cada etapa.  

LOPA – Análise de camadas de proteção 

Pode ser considerado como um caso particular de uma árvore de eventos e às vezes é realizado como um acompanhamento para um estudo HAZOP. 

Um par de causa-consequência é selecionado a partir de uma lista de riscos identificados e as camadas de proteção (IPLs) são identificadas. Um IPL é um dispositivo, sistema ou ação que é capaz de evitar que um cenário prossiga para sua consequência indesejada.

Cada IPL deve ser independente do evento causal ou de qualquer outra camada de proteção associada ao cenário e deve ser auditável. IPLs incluem: 

• características de design;
• dispositivos de proteção física;
• sistemas de intertravamento e desligamento;
• alarmes críticos e intervenção manual;
• proteção física pós-evento;
• sistemas de resposta a emergências.

Procedimentos padrão e/ou inspeções não adicionam barreiras diretamente à falha, então, em geral não devem ser considerados IPLs. A probabilidade de falha de cada IPL é estimada e um cálculo da ordem de magnitude é realizado para determinar se a proteção geral é adequada para reduzir o risco a um nível tolerável. 

A frequência da ocorrência e da consequência indesejada pode ser encontrada combinando a frequência da causa inicial com as probabilidades de insucesso de cada IPL, tendo em conta que quaisquer modificadores condicionais.

Ordens de magnitude são usadas para frequências e probabilidades. 

Simulação de Monte Carlo 

Para quem está fazendo uma gestão no mais alto nível, essa é uma técnica muito interessante e pouquíssimo aproveitada. 

Alguns cálculos realizados na análise de risco envolvem distribuições. No entanto, realizando cálculos com distribuições não são fáceis, pois muitas vezes não é possível derivar soluções analíticas a menos que as distribuições tenham formas bem especificadas, e então apenas com restrições e suposições que podem não ser realistas.  

A simulação de Carlo fornece uma maneira de realizar os cálculos e desenvolver resultados. 

A simulação geralmente envolve a obtenção de valores de amostras aleatórias de cada uma das distribuições de entrada, sendo assim, devemos executar cálculos para derivar um valor de resultado e, em seguida, repetir o processo por meio de uma série de iterações para construir uma distribuição dos resultados.

O resultado pode ser dado como uma probabilidade, distribuição do valor ou alguma estatística, como o valor médio. 

Os sistemas podem ser desenvolvidos usando planilha por exemplo ou outras ferramentas convencionais, mas mais sofisticadas ferramentas de software estão disponíveis para auxiliar em requisitos mais complexos e com algoritmos excepcionais. 

Conclusão 

Gostaria de ressaltar que infelizmente muitas vezes o departamento da qualidade é visto como um custo adicional e precisa mudar essa imagem.  

Afinal, normalmente é o departamento da qualidade que guia a empresa pelas trilhas da segurança e qualidade, sendo assim se estendendo para a gestão de riscos. 

Sabemos inclusive que com a utilização das ferramentas da qualidade podemos aumentar o nível de qualidade, confiabilidade, normalização e até uma maior automação das operações e otimização de processos, proporcionando economia e monitorando todos seus controles do mapa de riscos levantados. 

E acima de tudo, fica a dica! Sempre envolvam todas as áreas envolvidas, os mais experientes, os mais tecnológicos, os mais organizados, ou seja, muitas qualidades são importantes e a gestão de riscos é mais importante ainda para ficar na mão apenas de especialistas. A participação e a visão multi-disciplinar pode ser uma variante incrível! 

Para finalizar, te convido a conhecer a nossa solução para a Gestão de Riscos, o DocRisk GESTÃO DE RISCOS AUTOMATIZADA E SIMPLIFICADA.

Obrigado pela atenção.

Por: Daniel Juliano