Análise de Riscos Qualitativa ou Quantitativa: qual devo utilizar?

Durante o Processo de Gestão de Riscos, particularmente na etapa de Análise de Riscos, uma das principais discussões diz respeito ao tipo de técnica (qualitativa ou quantitativa) a ser utilizada para determinar o nível de risco, levando em conta os objetivos e o contexto da organização.

Recentemente, esse debate tem evoluído, com diversos especialistas e gestores adeptos ao uso de técnicas qualitativas, enquanto outros mantêm-se favoráveis a modelos quantitativos. 

A preferência por determinado tipo de técnica está diretamente relacionada à qualidade das informações sobre riscos. Em outra postagem do blog, discutimos a importância da qualidade dos dados para a tomada de decisões baseadas em riscos e fornecemos alguns exemplos das consequências do mau uso desses dados para as organizações.

A norma NBR IEC 31010:2021 descreve diversas técnicas qualitativas, semiquantitativas e quantitativas que podem ser usadas para melhor analisar os riscos. Algumas delas, como a Análise BowTie (BTA), a Matriz de Riscos e a LOPA, também abordadas em outras publicações deste blog, mostram as principais aplicações, pontos fortes e limitações de cada abordagem.

A norma fornece algumas considerações para se selecionar a técnica mais adequada:

"Ao decidir se é mais apropriada uma técnica qualitativa ou quantitativa, os principais critérios a serem considerados são a forma de saída mais útil para as partes interessadas e a disponibilidade e confiabilidade dos dados. Para fornecer resultados significativos, técnicas quantitativas geralmente requerem dados de alta qualidade. Contudo, em alguns casos em que os dados não são suficientes, o rigor necessário para aplicar uma técnica quantitativa pode fornecer uma melhor compreensão do risco, embora o resultado do cálculo possa ser incerto.

Geralmente há uma escolha de técnicas pertinentes para uma dada circunstância. Várias técnicas podem necessitar ser consideradas, e a aplicação de mais de uma técnica pode algumas vezes fornecer uma compreensão adicional útil. Técnicas diferentes também podem ser apropriadas na medida em que mais informação se torne disponível."

Assim, considerando os pontos favoráveis e limitadores de cada técnica e os pontos de vista de especialistas, gestores e tomadores de decisão, como então definir o melhor tipo de técnica para analisar os riscos?

Nova ISO/IEC 42001 e vieses de IA na navegação de carreiras

Publicada em dezembro de 2023, a ISO/IEC 42001 é a primeira norma internacional de sistemas de gestão voltada para o uso e desenvolvimento sustentáveis da Inteligência Artificial (IA) nas organizações.

A nova norma fornece diretrizes abrangentes para a gestão de sistemas de IA nas organizações e representa um passo importante para a padronização das práticas de IA. Além disso, ela possibilita a certificação das organizações interessadas e aborda os desafios enfrentados pela IA, incluindo questões éticas, de transparência e a necessidade de melhoria contínua.

Um dos principais pontos abordados pela norma, alinhado com a ISO 31000:2018 de gestão de riscos, diz respeito a orientações e melhores práticas para gerenciar riscos dos sistemas de IA. 

Na mesma linha, a norma NBR ISO/IEC 23894:2023, Tecnologia da Informação - Inteligência Artificial - Orientações sobre gestão de riscos, fornece orientações sobre como as organizações que desenvolvem, produzem, implantam ou usam produtos, sistemas e serviços que utilizam IA podem gerenciar riscos relacionados a essas tecnologias.

Uma das fontes de riscos destacadas por essa norma está relacionada ao aprendizado de máquina (machine learning ou ML), que acaba influenciando diversos avanços nas tecnologias de IA. O comportamento desses sistemas depende não apenas dos algoritmos em uso, mas também dos dados nos quais os modelos de ML são treinados.

De acordo com a norma, alguns efeitos dessa fonte de riscos sobre as características da IA incluem:

"Qualidade dos dados: A qualidade dos dados de treinamento e teste afeta diretamente a funcionalidade do sistema. A qualidade inadequada dos dados pode afetar vários objetivos, como justiça, segurança física e robustez.

- Para sistemas de IA que utilizam ML, os processos usados para coletar dados são uma fonte de riscos que são especialmente difíceis de diagnosticar e detectar. Por exemplo:

- Os dados podem se tornar não representativos do domínio de aplicação, levando a riscos para os objetivos de negócios.

- A origem e o armazenamento de dados podem incorrer em significativos riscos éticos e legais. Deixar de proteger o processo de coleta de dados pode levar a riscos de ataques adversários, envenenamento de dados ou outras manipulações."

Nesse contexto, como os algoritmos e a qualidade dos dados podem afetar o desempenho dos sistemas de IA, impactando os objetivos organizacionais?

Análise BowTie e Inteligência Artificial - Ajudando o Papai Noel a entregar os presentes de Natal

Com o final de ano chegando, alguns riscos estão sempre presentes e devem ser analisados com cuidado. 

Nessa época, uma das perguntas que as crianças em todo o mundo se fazem é: 

E se o Papai Noel não conseguir entregar os meus presentes a tempo?

Com a ajuda do chatbot do QSP, especialista em Análise BowTie de Riscos e Controles, que integra o SuperChatGPT | ISO 31000.net, preparamos uma Análise BowTie exclusiva, para mapear o risco do bom velhinho não conseguir entregar os presentes a tempo até o Natal:

Comando ('prompt') para o chatbot: "É véspera de Natal, e o Papai Noel deve entregar secretamente presentes a crianças de todo mundo. Porém, ele está atrasado e pode não conseguir entregá-los a tempo. Considere que a Fonte de Riscos é "Papai Noel leva secretamente presentes a crianças de todo mundo" e o Evento topo é "Papai Noel está atrasado para entregar os presentes de Natal". Para esse cenário, elabore uma Análise BowTie, mostrando as potenciais causas e consequências desse evento, apontando também os respectivos controles preventivos e controles reativos.

Importância e aplicação da LOPA na quantificação de riscos

Uma das principais etapas do Processo de Gestão de Riscos, a Análise de Riscos consiste em compreender a natureza do risco e determinar o nível de risco, idealmente quantificando os riscos para fornecer uma base consistente para a tomada de decisões. 

Durante essa etapa, uma técnica bastante utilizada é a LOPA (Layers of Protection Analysis ou Análise de Camadas de Proteção), que, junto com a Análise BowTie, pode ser empregada para auxiliar na quantificação de riscos e na tomada de decisões baseada em riscos.

 A Análise BowTie permite visualizar os riscos de forma clara e estruturada, identificando os controles preventivos e reativos necessários para prevenir a ocorrência ou mitigar o impacto de eventos indesejados.

Além disso, ela pode, por meio da LOPA, fazer a ponte entre as Avaliações Qualitativas e a Quantificação de Riscos. 

A LOPA usa a Análise BowTie como ponto de partida para avaliar a eficácia dos controles, estimando a redução proporcionada por eles (risco residual).

Quais são então as principais características da LOPA e como ela pode ser utilizada para ajudar a reduzir os riscos?

A Inteligência Artificial e a Greve em Hollywood

Pela primeira vez desde 1960, atores e roteiristas norte-americanos estão em greve ao mesmo tempo.

Assim como outras greves ocorridas nos Estados Unidos nos últimos três anos, essa paralisação reivindica melhores salários e busca restringir o uso de tecnologias de IA por empregadores que visam substituir o trabalho remunerado.

A greve dos atores começou em 14 de julho de 2023, depois que o sindicato SAG-AFTRA votou pelo fim das negociações com a Alliance of Motion Picture and Television Producers, representante dos principais estúdios de produção. 

As maiores preocupações do sindicato – que representa 160 mil atores e profissionais da indústria criativa – giram em torno do aumento do uso da inteligência artificial e da menor remuneração em plataformas de streaming, como Netflix e Amazon Prime.

Os roteiristas, que estão em greve desde 2 de maio, têm preocupações semelhantes.

Ambas as greves interromperam a produção de filmes e TV nos Estados Unidos. As estreias estão sendo canceladas e os atores indicados ao Emmy não estão fazendo campanha para prestigiados prêmios de TV.

Mas, afinal, atores e roteiristas têm razão em suas reivindicações?