ABNT (NBR) ISO31000(2018) - Processo de avaliação de riscos

De acordo com a ABNT NBR ISO 31000:2018 (Gestão de Riscos - Diretrizes), "o processo de gestão de riscos envolve a aplicação sistemática de políticas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos.

Este processo é ilustrado na Figura a seguir:

[...] o processo de avaliação de riscos deve ser conduzido de forma sistemática, iterativa e colaborativa, com base no conhecimento e nos pontos de vista das partes interessadas. Convém que use a melhor informação disponível, complementada por investigação adicional, como necessário.

Identifcação de riscos

O objetivo da identifcação de riscos é encontrar, reconhecer e descrever riscos que possam ajudar ou impedir que uma organização alcance seus objetivos. Informações pertinentes, apropriadas e atualizadas são importantes na identifcação de riscos. A organização pode usar uma variedade de técnicas para identifcar incertezas que podem afetar um ou mais objetivos. Convém que os seguintes fatores e o relacionamento entre estes fatores sejam considerados:

Fontes tangíveis e intangíveis de risco;

• causas e eventos;
• ameaças e oportunidades;
• vulnerabilidades e capacidades;
• mudanças nos contextos externo e interno;
• indicadores de riscos emergentes;
• natureza e valor dos ativos e recursos;
• consequências e seus impactos nos objetivos;
• limitações de conhecimento e de confabilidade da informação;
• fatores temporais;
• vieses, hipóteses e crenças dos envolvidos.

Análise de riscos

O propósito da análise de riscos é compreender a natureza do risco e suas características, incluindo o nível de risco, onde apropriado. A análise de riscos envolve a consideração detalhada de incertezas, fontes de risco, consequências, probabilidade, eventos, cenários, controles e sua efcácia. Um evento pode ter múltiplas causas e consequências e pode afetar múltiplos objetivos.

A análise de riscos pode ser realizada com vários graus de detalhamento e complexidade, dependendo do propósito da análise, da disponibilidade e confabilidade da informação, e dos recursos disponíveis. As técnicas de análise podem ser qualitativas, quantitativas ou uma combinação destas, dependendo das circunstâncias e do uso pretendido.

 

Convém que a análise de riscos considere fatores como:

• a probabilidade de eventos e consequências;
• a natureza e magnitude das consequências;
• complexidade e conectividade;
• fatores temporais e volatilidade;
• a efcácia dos controles existentes;
• sensibilidade e níveis de confança.

A análise de riscos pode ser infuenciada por qualquer divergência de opiniões, vieses, percepções do risco e julgamentos. Infuências adicionais são a qualidade da informação utilizada, as hipóteses e as exclusões feitas, quaisquer limitações das técnicas e como elas são executadas. Convém que estas infuências sejam consideradas, documentadas e comunicadas aos tomadores de decisão.

Eventos altamente incertos podem ser difíceis de quantifcar. Isso pode ser um problema ao analisar eventos com consequências severas. Nestes casos, usar uma combinação de técnicas geralmente fornece maior discernimento. A análise de riscos fornece uma entrada para a avaliação de riscos, para decisões sobre se o risco necessita ser tratado e como, e sobre a estratégia e os métodos mais apropriados para o tratamento de riscos. Os resultados propiciam discernimento para decisões, em que escolhas estão sendo feitas e as opções envolvem diferentes tipos e níveis de risco.

Avaliação de riscos

O propósito da avaliação de riscos é apoiar decisões. A avaliação de riscos envolve a comparação dos resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde é necessária ação adicional.

 

Isto pode levar a uma decisão de:

• fazer mais nada;
• considerar as opções de tratamento de riscos;
• realizar análises adicionais para melhor compreender o risco;
• manter os controles existentes;
• reconsiderar os objetivos.

Convém que as decisões levem em consideração o contexto mais amplo e as consequências reais e percebidas para as partes interessadas externas e internas. Convém que o resultado da avaliação de riscos seja registrado, comunicado e então validado nos níveis apropriados da organização.

Tratamento de riscos

O propósito do tratamento de riscos é selecionar e implementar opções para abordar riscos. O tratamento de riscos envolve um processo iterativo de:

• formular e selecionar opções para tratamento do risco;
• planejar e implementar o tratamento do risco;
• avaliar a efcácia deste tratamento;
• decidir se o risco remanescente é aceitável;
• se não for aceitável, realizar tratamento adicional.

Referência:

ABNT (NBR) ISO31000(2018). Processo de avaliação de riscos. Disponível em: <https://planejamentoestrategico.mcti.gov.br/arquivos/Gestao_Risco_Principios_diretrizes%20_%20ABNT%20NBR%20ISO%203100-2009.pdf>. Acesso em 07/08/2024.