12 de abril de 2021

Um Novo Método para Avaliar a Eficácia de Controles

Uma das etapas mais importantes do processo de gestão de riscos, particularmente durante o tratamento e monitoramento de riscos, é estabelecer a eficácia dos controles. 

Existem diversos métodos para identificar e analisar criticamente os controles atuais e potenciais, alguns dos quais examinam a eficácia individual de cada controle. Da mesma forma, algumas organizações preferem avaliar a eficácia de conjuntos de controles para prevenir a ocorrência de um evento de risco ou atenuar suas consequências. 

Atualmente, dois métodos para avaliar a eficácia dos controles têm sido bastante utilizados: a Análise BowTie (BTA), que aborda esse assunto em outro artigo deste blog, para identificar controles relacionados às potenciais causas e consequências de um evento de risco; e um método alternativo para discutir e estabelecer a eficácia dos controles. 

Em ambos, assume-se que um risco ou consequência inerentemente altos são toleráveis apenas se os controles relacionados aos mesmos forem adequadamente eficazes. 

Como então identificar se a organização possui os controles necessários e se estes são realmente eficazes? De que forma é possível avaliar seus controles críticos?

Um Novo Método em Quatro Etapas


Uma alternativa complementar à BTA para avaliar a eficácia dos controles consiste em um método de 4 etapas para selecionar e otimizar os controles críticos de uma organização.

Etapa 1 - Identificar o(s) evento(s) indesejado(s) pertinente(s)


Eventos indesejados são cenários que têm potenciais efeitos adversos em objetivos organizacionais importantes, como os relacionados a operações, segurança, saúde, meio ambiente, desempenho jurídico e financeiro. Podem decorrer de fatores externos, informações incompletas e variações no desempenho da área ou organização. Uma vez que os eventos indesejados são identificados, convém priorizá-los para uma análise posterior.

Etapa 2: Selecionar as melhores opções de tratamento de riscos para o evento indesejado


A maneira mais eficaz de gerenciar um evento indesejado é eliminar a fonte de risco que pode dar origem a ele. Se a eliminação não for uma opção, considere substituir a fonte de risco por algo que tenha menos risco e minimize as exposições. 

Se a eliminação, substituição e redução dos níveis de exposição não reduzirem os riscos a um nível aceitável, identifique os eventos indesejados que podem decorrer da fonte de risco e selecione e otimize controles que ajudem a garantir a proteção dos funcionários, ativos e meio ambiente. 

As opções de tratamento de riscos estão resumidas na figura abaixo:


Figura 1 - Opções de Tratamento de Riscos para Eventos Indesejados
(clique na imagem para ampliar) 
                                   


Etapa 3: Identificar controles ideais para atingir a redução de risco necessária utilizando a Análise BowTie (BTA)


A BTA deve apresentar, ao menos, as seguintes características:

Ser desenvolvida por uma equipe de pessoas, incluindo funcionários que tenham conhecimentos da metodologia BowTie, compreendam o evento indesejado e pelos responsáveis ​​por acionar, monitorar e manter os controles.

Basear-se em definições claras para descrever o evento indesejado e para determinar o que constitui uma causa, consequência e controle. 

Considerar 'modos de falha de controle' para controles importantes. Os modos de falha de controle devem incluir fatores que podem fazer com que o controle falhe ou prejudique sua eficácia, conhecidos como fatores de degradação. A consideração dos modos de falha também deve identificar os elementos necessários para proteger o controle contra falhas de desempenho. Esses elementos podem ser controles adicionais ou podem estar diretamente relacionados ao sistema de gestão.

Identificar os elementos do sistema de gestão necessários para monitorar, manter e melhorar os controles, para que estes funcionem conforme e quando necessário.

Apresentar as informações em um formato que ajude aqueles que implementam e gerenciam os controles a tomar decisões sobre a importância e a adequação dos controles.

Etapa 4: Selecionar métodos para medir a eficácia operacional dos controles


A gestão e a otimização dos controles devem se concentrar em maximizar a eficácia operacional do controle. Isso pode ser feito medindo a sua eficácia e utilizando os resultados para rastrear seu desempenho ao longo do tempo, de modo a identificar os controles que devem ser melhorados, complementados ou substituídos. 

Se a medição da eficácia do controle for bem feita, será possível usar seu desempenho como referência por toda a organização. Conforme a medição da eficácia do controle evolui dentro da empresa, ela pode ser usada para ajudar a avaliar a adequação do controle.

A eficácia do controle tem três componentes: 

- A disponibilidade e o uso do controle quando necessário;
 
- A capacidade do controle de funcionar conforme necessário; 

- A extensão na qual o controle elimina ou minimiza a exposição a uma causa ou atenua a severidade da consequência.

Os controles devem ser específicos, mensuráveis ​​e auditáveis, e medidas quantitativas de eficácia devem ser adotadas, especialmente para controles críticos. No entanto, quando não for possível adotar medidas quantitativas, uma variedade de métodos, de semiquantitativos a subjetivos, podem ser usados ​​para determinar a eficácia dos controles (resumidos na figura abaixo).

Note que a eficácia do controle pode ser medida de forma diferente, dependendo do controle utilizado, e que a Árvore de Decisões fornece um guia para sua medição.

Figura 2 - Árvore de Decisões para Analisar a Eficácia dos Controles
(clique na imagem para ampliar)


Gestão de Controles Críticos


O monitoramento do desempenho e os relatórios sobre controles-chave de uma organização garantem que tais controles permaneçam eficazes e que suas deficiências sejam prontamente identificadas. O monitoramento deve ser planejado, e a frequência da elaboração dos relatórios deve ser documentada. 

A execução eficaz dessas atividades geralmente requer a designação de um proprietário do controle, responsável por monitorar e relatar o seu desempenho. Também é importante haver medidas que garantam a eficácia do controle quando o desempenho medido cair abaixo do exigido.

Convém que as responsabilidades dos proprietários do controle sejam documentadas na descrição de suas posições ou no procedimento do qual o controle é derivado. Para controles críticos, o desempenho do controle pode ser incluído como um elemento da avaliação pessoal do proprietário do controle. 

A gestão de controles críticos envolve um maior alinhamento da gestão de riscos com as boas práticas de gestão. Atualmente, a gestão de riscos pode ser realizada com pouca relação com os processos de gestão de negócios, utilizando registros de riscos que incluem longas listas de eventos e controles potenciais, mas limitam o foco da gestão de riscos. 

Convém que a gestão de controles críticos faça parte da gestão de riscos em vários pontos de decisão, como em análises críticas de riscos de unidades e processos organizacionais; na evolução de diferentes fases do negócio; em mudanças significativas na operação ou negócio; e no desenvolvimento de práticas ou locais de trabalho seguros.

A figura abaixo descreve as nove etapas do processo de gestão de controles críticos, seis das quais são necessárias para planejar a gestão de controles críticos antes das três etapas finais de implementação.



Figura 3 - Processo de Gestão de Controles Críticos
(clique na imagem para ampliar)


Existem alguns loops iterativos na figura acima, nos quais uma etapa pode exigir revisitar a etapa anterior para obter a saída desejada. Por exemplo, o loop da etapa 7 à etapa 6 indica a necessidade de reavaliar as informações das etapas de planejamento, quando se define implementar os controles em cada unidade. Isso ocorre porque o desempenho de um controle em determinado local pode variar em relação às premissas adotadas nas etapas de planejamento. 

Este processo pode representar uma grande mudança na forma como os riscos são tratados, e as organizações devem tomar medidas para se preparar para a gestão de controles críticos antes de iniciar as etapas de planejamento e implementação. 

Uma vez compreendida a natureza do processo, incluindo o envolvimento essencial da alta direção, é recomendável que a empresa avalie se está pronta para iniciar a gestão de controles críticos.


Monitoramento e Análise Crítica dos Controles 


A garantia da eficácia dos controles é um elemento essencial da gestão de riscos. Garantia diz respeito ao exame explícito, sistemático e objetivo de evidências com o intuito de fornecer uma avaliação independente da eficácia dos processos e controles em relação aos critérios de desempenho estabelecidos. O escopo da garantia deve incluir o projeto e o desempenho dos processos e controles para minimizar o risco dos processos.

Os riscos devem ser monitorados para garantir que os controles sejam adequadamente projetados, implementados conforme planejado e estejam funcionando de maneira eficaz. Convém que as análises críticas para garantir a eficácia dos controles sejam conduzidas por um profissional sem responsabilidade direta pelo projeto ou pela execução dos controles, mas que incluam o proprietário do controle e outras partes interessadas pertinentes. 

Os relatórios de garantia para controles críticos devem ser analisados criticamente ​​e endossados ​​pela equipe de gestão de ativos. A responsabilidade pela conclusão dos planos de melhoria de controles acordados deve ser atribuída a um indivíduo, e a evolução do plano deve ser rastreada pelos gestores até a sua conclusão final.

Uma das formas de garantir e aprimorar a eficácia dos controles é avaliar o seu desempenho por meio da Auditoria Baseada em Riscos (ABR).

Para saber mais sobre a Metodologia BowTie e a Auditoria Baseada em Riscos:


Fonte: "Risk Management - Leading Practice Sustainable Development Program for the Mining Industry" - Australian Government.

27 de janeiro de 2021

Matrizes de Riscos: aprimore suas avaliações de riscos de forma simples e clara

Uma das ferramentas presentes na norma IEC 31010:2019 e bastante utilizada para avaliação e comunicação da magnitude relativa dos riscos é a Matriz de Riscos (também conhecida por Matriz de Consequência/ Probabilidade ou 'Heat Map''). 

Essa técnica exibe os riscos de acordo com escalas de probabilidades e consequências, de modo a combinar essas características para fornecer uma classificação do nível de risco, ou seja, da significância do risco.

Escalas personalizadas para consequência e probabilidade são definidas para os eixos da Matriz de Riscos. As escalas podem apresentar qualquer número de pontos (escalas de três, quatro ou cinco pontos são as mais comuns) e ser qualitativas, semiquantitativas ou quantitativas.

Elas devem estar diretamente relacionadas aos objetivos da organização e se estendem da consequência mais severa até a consequência de menor impacto (mais detalhes sobre as escalas podem ser vistos no vídeo ao final do artigo).

Para classificar um risco, o usuário primeiramente define a consequência que melhor representa a situação e, em seguida, a probabilidade com a qual acredita que a consequência ocorrerá. Um ponto é selecionado no quadrante que combina esses valores na matriz, obtendo-se o nível de risco e a regra de decisão associada a esse risco. Na maioria dos casos, os quadrantes são coloridos para indicar a magnitude do risco.

Nos casos em que há uma variedade de valores de consequência possíveis para um evento, a probabilidade de qualquer consequência particular será diferente da probabilidade do evento que produz essa consequência. Geralmente, usa-se a probabilidade da consequência especificada. A maneira como essa probabilidade é interpretada e usada deve ser consistente em todos os riscos comparados.

Veja abaixo um exemplo de Matriz de Riscos, combinando os valores da escala de probabilidade (eixo Y, variando de 1 a 5) com os da severidade da consequência (eixo X, variando de 1 a 16). 

                                            Figura 1 - Exemplo de Matriz de Riscos                                             (*)Usamos uma escala exponencial para dar maior ênfase às consequências



Para obter o nível de risco em cada quadrante, basta multiplicar os valores das escalas correspondentes naquele ponto - por exemplo, nível de risco igual a 12 representa a combinação da probabilidade Possível (3) com a consequência Moderada (4).

Riscos com consequências potencialmente altas costumam ser a maior preocupação para as organizações, mesmo quando as probabilidades das consequências são muito baixas; porém, um risco de impacto frequente, mas com baixa severidade, pode ter grandes consequências cumulativas ou de longo prazo. Pode ser necessário analisar os dois tipos de risco, pois os tratamentos de risco pertinentes tendem a variar bastante. 

Aplicações da Matriz de Riscos


A Matriz de Riscos pode ser usada em qualquer nível da organização para comparar riscos com diferentes tipos de consequências potenciais. Entre suas principais aplicações, destacam-se:

- É comumente usada como uma ferramenta de seleção após a identificação dos riscos, para definir quais riscos são mais críticos e devem ser priorizados pelos tomadores de decisão.

- Ajuda a determinar se um determinado risco é amplamente aceitável ou não, de acordo com a sua localização na matriz, servindo como referência para o tratamento desse risco.

- Pode ser empregada em situações em que não há dados suficientes para uma análise detalhada, ou a situação não justifica o tempo e esforço para uma análise mais detalhada ou quantitativa.

- Apresenta dados complexos sobre os riscos de forma concisa e visual, mostrando-se eficaz em 'Workshops de Riscos'.

Limitações da Matriz de Riscos


Apesar de suas diversas aplicações, a Matriz de Riscos também possui importantes limitações que devem ser consideradas. Suas principais limitações, descritas na IEC 31010, versão 2019, são:

dos de tradução

Pode ser difícil definir escalas comuns que se aplicam a uma série de circunstâncias pertinentes para uma organização.

É difícil definir as escalas com precisão para permitir que os usuários pesem a consequência e a probabilidade de forma consistente.

Requer um único valor indicativo para a consequência a ser definida, enquanto que, em muitas situações, é possível uma gama de valores de consequência, e a classificação para o risco depende de qual é escolhida.

Seu uso é muito subjetivo, e pessoas diferentes frequentemente atribuem classificações muito diferentes ao mesmo risco. Isso o deixa aberto à manipulação.

Os riscos não podem ser agregados diretamente (por exemplo, não se pode definir se um determinado número de riscos baixos, ou um baixo risco, identificado um determinado número de vezes, é equivalente a um risco médio).

- É difícil combinar ou comparar o nível de risco para diferentes categorias de consequências.

- Cada classificação dependerá da forma como um risco é descrito e do nível de detalhe que é dado (ou seja, quanto mais detalhada a identificação, maior o número de cenários registrados, cada um com uma probabilidade menor). A maneira como os cenários são agrupados na descrição do risco deve ser consistente e definida antes da classificação.

Superando as limitações 


A maioria das limitações citadas acima pode ser atenuada utilizando a Matriz de Riscos em conjunto com outras ferramentas (como, por exemplo, a Análise BowTie). É fundamental que os riscos, suas consequências e probabilidades estejam definidos adequadamente, para que assim se obtenham classificações semelhantes, se não idênticas, fornecidas por equipes diferentes.

 Também é importante definir um processo que considere coletivamente todos os riscos e opções de tratamento de riscos. Nesse sentido, atribuir uma hierarquia de controles ajuda a selecionar controles eficazes que contribuem com o processo de tomada de decisões. Da mesma forma, deve-se pensar na relação custo-benefício de cada opção de tratamento, de modo a considerar seu impacto financeiro nas operações das organizações.

No vídeo a seguir, mostramos como o software BowTieXP pode ser usado para a construção da Matriz de Riscos, aprimorando a avaliação e a comunicação da magnitude dos riscos.




PS: se você ainda não viu, assista aos vídeos e baixe os slides da nossa 'live' sobre a Análise BowTie:
 Transformando Riscos em Imagens Visuais Fáceis de Entender.