Uma das ferramentas presentes na nova norma NBR IEC 31010:2021 e bastante utilizada para avaliação e comunicação da magnitude relativa dos riscos é a Matriz de Riscos (também conhecida por Matriz de Consequência/ Probabilidade ou Mapa de Calor).
Essa técnica exibe os riscos de acordo com escalas de probabilidades e consequências, de modo a combinar essas características para fornecer uma classificação do nível de risco, ou seja, da significância do risco.
Escalas personalizadas para consequência e probabilidade são definidas para os eixos da Matriz de Riscos. As escalas podem apresentar qualquer número de pontos (escalas de três, quatro ou cinco pontos são as mais comuns) e ser qualitativas, semiquantitativas ou quantitativas.
Elas devem estar diretamente relacionadas aos objetivos da organização e se estendem da consequência mais severa até a consequência de menor impacto (mais detalhes sobre as escalas podem ser vistos no vídeo ao final do artigo).
Para classificar um risco, o usuário primeiramente define a consequência que melhor representa a situação e, em seguida, a probabilidade com a qual acredita que a consequência ocorrerá. Um ponto é selecionado no quadrante que combina esses valores na matriz, obtendo-se o nível de risco e a regra de decisão associada a esse risco. Na maioria dos casos, os quadrantes são coloridos para indicar a magnitude do risco.
Nos casos em que há uma variedade de valores de consequência possíveis para um evento, a probabilidade de qualquer consequência particular será diferente da probabilidade do evento que produz essa consequência. Geralmente, usa-se a probabilidade da consequência especificada. A maneira como essa probabilidade é interpretada e usada deve ser consistente em todos os riscos comparados.
Veja abaixo um exemplo de Matriz de Riscos, combinando os valores da escala de probabilidade (eixo Y, variando de 1 a 5) com os da severidade da consequência (eixo X, variando de 1 a 16).
 |
Figura 1 - Exemplo de Matriz de Riscos (*)Usamos uma escala exponencial para dar maior ênfase às consequências |
Para obter o nível de risco em cada quadrante, basta multiplicar os valores das escalas correspondentes naquele ponto - por exemplo, nível de risco igual a 12 representa a combinação da probabilidade Possível (3) com a consequência Moderada (4).
Riscos com consequências potencialmente altas costumam ser a maior preocupação para as organizações, mesmo quando as probabilidades das consequências são muito baixas; porém, um risco de impacto frequente, mas com baixa severidade, pode ter grandes consequências cumulativas ou de longo prazo. Pode ser necessário analisar os dois tipos de risco, pois os tratamentos de risco pertinentes tendem a variar bastante.
Aplicações da Matriz de Riscos
- É comumente usada como uma ferramenta de seleção após a identificação dos riscos, para definir quais riscos são mais críticos e devem ser priorizados pelos tomadores de decisão.
- Ajuda a determinar se um determinado risco é amplamente aceitável ou não, de acordo com a sua localização na matriz, servindo como referência para o tratamento desse risco.
- Pode ser empregada em situações em que não há dados suficientes para uma análise detalhada, ou a situação não justifica o tempo e esforço para uma análise mais detalhada ou quantitativa.
- Apresenta dados complexos sobre os riscos de forma concisa e visual, mostrando-se eficaz em 'Workshops de Riscos'.
Limitações da Matriz de Riscos
Apesar de ser utilizada em inúmeras aplicações, a Matriz de Riscos possui importantes limitações que devem ser consideradas. Suas principais limitações, descritas na nova NBR IEC 31010:2021, são as seguintes:
dos de tradução
- Pode ser difícil definir escalas comuns que se aplicam a uma série de circunstâncias pertinentes para uma organização.- É difícil definir as escalas com precisão, que permitam aos usuários pesar a consequência e a probabilidade de forma consistente.
- Requer um único valor indicativo para a consequência a ser definida, enquanto que, em muitas situações, é possível uma gama de valores de consequência, e a classificação para o risco depende de qual é escolhida.
- Seu uso é muito subjetivo, e pessoas diferentes frequentemente atribuem classificações muito distintas ao mesmo risco. Isso o deixa aberto à manipulação.
- É difícil combinar ou comparar o nível de risco para diferentes categorias de consequências.
- Cada classificação dependerá da forma como um risco é descrito e do nível de detalhe que é dado (ou seja, quanto mais detalhada a identificação, maior o número de cenários registrados, cada um com uma probabilidade menor). A maneira como os cenários são agrupados na descrição do risco deve ser consistente e definida antes da classificação.
Superando as limitações
A maioria das limitações listadas acima pode ser atenuada utilizando a Matriz de Riscos em conjunto com outras ferramentas (como, por exemplo, a Análise BowTie). Afinal, é fundamental que os riscos, suas consequências e probabilidades estejam definidos adequadamente, para que assim se obtenham classificações semelhantes, se não idênticas, fornecidas por equipes diferentes.
Também é importante definir um processo que considere coletivamente todos os riscos e opções de tratamento de riscos. Nesse sentido, atribuir uma hierarquia de controles ajuda a selecionar controles eficazes que contribuem com o processo de tomada de decisões. Da mesma forma, deve-se pensar na relação custo-benefício de cada opção de tratamento, de modo a considerar seu impacto financeiro nas operações da organização.
No vídeo a seguir, mostramos como o software BowTieXP pode ser usado para a construção da Matriz de Riscos, aprimorando a avaliação, a visualização e o relato dos riscos.
Se você ainda não viu, assista aos vídeos e baixe os slides da nossa 'live' sobre a Análise BowTie: Transformando Riscos em Imagens Visuais Fáceis de Entender.
E leia este novo artigo que publicamos em fevereiro/2023: Avalie suas Matrizes de Riscos (e descubra os problemas que elas têm!).
