O processo de avaliação de riscos (risk assessment) pode ser conduzido em vários graus de profundidade e detalhe, utilizando um ou vários métodos que vão do simples ao complexo.
A forma de avaliação e sua saída devem ser compatíveis com os critérios de risco, desenvolvidos como parte do estabelecimento do contexto. O Anexo A da norma ISO/IEC 31010:2009 ilustra a relação conceitual entre as amplas categorias de técnicas para o processo de avaliação de riscos e os fatores presentes numa determinada situação de risco, e fornece exemplos ilustrativos de como as organizações podem selecionar as técnicas apropriadas para esse processo de avaliação para uma situação em particular.
Em termos gerais, é recomendado que tais técnicas apresentem as seguintes características:
• sejam justificáveis e apropriadas à situação ou organização em questão;
• proporcionem resultados de uma forma que amplie o entendimento da natureza do risco e de como ele pode ser tratado;
• sejam capazes de utilizar uma forma que seja rastreável, repetível e verificável.
A ISO/IEC 31010 sugere que sejam dadas as razões para a escolha das técnicas com relação à pertinência e adequação. Ao integrar os resultados de diferentes estudos, as técnicas utilizadas e as saídas devem ser comparáveis.
Uma vez que a decisão tenha sido tomada para realizar um processo de avaliação de riscos e os objetivos e o escopo tenham sido definidos, convém que as técnicas sejam selecionadas com base em fatores aplicáveis, tais como:
• os objetivos do estudo. Os objetivos do processo de avaliação de riscos terão uma influência direta sobre as técnicas utilizadas. Por exemplo, se um estudo comparativo entre as diferentes opções está sendo realizado, pode ser aceitável utilizar modelos menos detalhados de consequência para partes do sistema não afetadas pela diferença;
• as necessidades dos tomadores de decisão. Em alguns casos, um alto nível de detalhe é necessário para tomar uma boa decisão, em outros um entendimento mais geral é suficiente;
• o tipo e a gama de riscos que estão sendo analisados;
• a magnitude potencial das consequências. Convém que a decisão sobre a profundidade em que o processo de avaliação de riscos é conduzido reflita a percepção inicial das consequências (embora isso possa ter que ser modificado quando uma avaliação preliminar for concluída);
• o grau de conhecimento especializado, recursos humanos e outros recursos necessários. Um método simples e bem feito pode fornecer melhores resultados do que um procedimento mais sofisticado e mal feito, contanto que atenda aos objetivos e ao escopo do processo de avaliação. Normalmente, recomenda-se que o esforço aplicado ao processo de avaliação seja compatível com o nível potencial de risco que está sendo analisado;
• a disponibilidade de informações e dados. Algumas técnicas requerem mais informações e dados do que outras;
• a necessidade de modificação/atualização do processo de avaliação de riscos. Tal processo pode necessitar ser modificado/atualizado no futuro e algumas técnicas são mais ajustáveis do que outras a esse respeito;
• quaisquer requisitos regulatórios e contratuais.
Vários fatores influenciam a seleção de uma técnica para o processo de avaliação de riscos, tais como a disponibilidade de recursos, a natureza e o grau de incerteza nos dados e informações disponíveis, bem como a complexidade da aplicação (ver Tabela A.2 da ISO/IEC 31010).
Fonte: norma ISO/IEC 31010:2009.
EXCLUSIVIDADE Conheça o 1º Curso do Brasil sobre a ISO/IEC 31010, lançado em 2010 pelo QSP. Informações sobre a próxima turma podem ser obtidas por aqui.
POR FALAR EM RISCOS...Assista a mais esta aventura do nosso amigo NAPO!
