27 de janeiro de 2021

Matrizes de Riscos: aprimore suas avaliações de riscos de forma simples e clara

Uma das ferramentas presentes na norma IEC 31010:2019 e bastante utilizada para avaliação e comunicação da magnitude relativa dos riscos é a Matriz de Riscos (também conhecida por Matriz de Consequência/ Probabilidade ou 'Heat Map''). 

Essa técnica exibe os riscos de acordo com escalas de probabilidades e consequências, de modo a combinar essas características para fornecer uma classificação do nível de risco, ou seja, da significância do risco.

Escalas personalizadas para consequência e probabilidade são definidas para os eixos da Matriz de Riscos. As escalas podem apresentar qualquer número de pontos (escalas de três, quatro ou cinco pontos são as mais comuns) e ser qualitativas, semiquantitativas ou quantitativas.

Elas devem estar diretamente relacionadas aos objetivos da organização e se estendem da consequência mais severa até a consequência de menor impacto (mais detalhes sobre as escalas podem ser vistos no vídeo ao final do artigo).

Para classificar um risco, o usuário primeiramente define a consequência que melhor representa a situação e, em seguida, a probabilidade com a qual acredita que a consequência ocorrerá. Um ponto é selecionado no quadrante que combina esses valores na matriz, obtendo-se o nível de risco e a regra de decisão associada a esse risco. Na maioria dos casos, os quadrantes são coloridos para indicar a magnitude do risco.

Nos casos em que há uma variedade de valores de consequência possíveis para um evento, a probabilidade de qualquer consequência particular será diferente da probabilidade do evento que produz essa consequência. Geralmente, usa-se a probabilidade da consequência especificada. A maneira como essa probabilidade é interpretada e usada deve ser consistente em todos os riscos comparados.

Veja abaixo um exemplo de Matriz de Riscos, combinando os valores da escala de probabilidade (eixo Y, variando de 1 a 5) com os da severidade da consequência (eixo X, variando de 1 a 16). 

                                            Figura 1 - Exemplo de Matriz de Riscos                                             (*)Usamos uma escala exponencial para dar maior ênfase às consequências



Para obter o nível de risco em cada quadrante, basta multiplicar os valores das escalas correspondentes naquele ponto - por exemplo, nível de risco igual a 12 representa a combinação da probabilidade Possível (3) com a consequência Moderada (4).

Riscos com consequências potencialmente altas costumam ser a maior preocupação para as organizações, mesmo quando as probabilidades das consequências são muito baixas; porém, um risco de impacto frequente, mas com baixa severidade, pode ter grandes consequências cumulativas ou de longo prazo. Pode ser necessário analisar os dois tipos de risco, pois os tratamentos de risco pertinentes tendem a variar bastante. 

Aplicações da Matriz de Riscos


A Matriz de Riscos pode ser usada em qualquer nível da organização para comparar riscos com diferentes tipos de consequências potenciais. Entre suas principais aplicações, destacam-se:

- É comumente usada como uma ferramenta de seleção após a identificação dos riscos, para definir quais riscos são mais críticos e devem ser priorizados pelos tomadores de decisão.

- Ajuda a determinar se um determinado risco é amplamente aceitável ou não, de acordo com a sua localização na matriz, servindo como referência para o tratamento desse risco.

- Pode ser empregada em situações em que não há dados suficientes para uma análise detalhada, ou a situação não justifica o tempo e esforço para uma análise mais detalhada ou quantitativa.

- Apresenta dados complexos sobre os riscos de forma concisa e visual, mostrando-se eficaz em 'Workshops de Riscos'.

Limitações da Matriz de Riscos


Apesar de suas diversas aplicações, a Matriz de Riscos também possui importantes limitações que devem ser consideradas. Suas principais limitações, descritas na IEC 31010, versão 2019, são:

dos de tradução

Pode ser difícil definir escalas comuns que se aplicam a uma série de circunstâncias pertinentes para uma organização.

É difícil definir as escalas com precisão para permitir que os usuários pesem a consequência e a probabilidade de forma consistente.

Requer um único valor indicativo para a consequência a ser definida, enquanto que, em muitas situações, é possível uma gama de valores de consequência, e a classificação para o risco depende de qual é escolhida.

Seu uso é muito subjetivo, e pessoas diferentes frequentemente atribuem classificações muito diferentes ao mesmo risco. Isso o deixa aberto à manipulação.

Os riscos não podem ser agregados diretamente (por exemplo, não se pode definir se um determinado número de riscos baixos, ou um baixo risco, identificado um determinado número de vezes, é equivalente a um risco médio).

- É difícil combinar ou comparar o nível de risco para diferentes categorias de consequências.

- Cada classificação dependerá da forma como um risco é descrito e do nível de detalhe que é dado (ou seja, quanto mais detalhada a identificação, maior o número de cenários registrados, cada um com uma probabilidade menor). A maneira como os cenários são agrupados na descrição do risco deve ser consistente e definida antes da classificação.

Superando as limitações 


A maioria das limitações citadas acima pode ser atenuada utilizando a Matriz de Riscos em conjunto com outras ferramentas (como, por exemplo, a Análise BowTie). É fundamental que os riscos, suas consequências e probabilidades estejam definidos adequadamente, para que assim se obtenham classificações semelhantes, se não idênticas, fornecidas por equipes diferentes.

 Também é importante definir um processo que considere coletivamente todos os riscos e opções de tratamento de riscos. Nesse sentido, atribuir uma hierarquia de controles ajuda a selecionar controles eficazes que contribuem com o processo de tomada de decisões. Da mesma forma, deve-se pensar na relação custo-benefício de cada opção de tratamento, de modo a considerar seu impacto financeiro nas operações das organizações.

No vídeo a seguir, mostramos como o software BowTieXP pode ser usado para a construção da Matriz de Riscos, aprimorando a avaliação e a comunicação da magnitude dos riscos.




PS: se você ainda não viu, assista aos vídeos e baixe os slides da nossa 'live' sobre a Análise BowTie:
 Transformando Riscos em Imagens Visuais Fáceis de Entender.