Aprimorando o Processo de Gestão de Riscos com a IA Generativa

 A Inteligência Artificial (IA) Generativa tem revolucionado diversos negócios e setores, impactando sobretudo as iniciativas e práticas voltadas à gestão de riscos. Essa poderosa tecnologia tem o potencial de transformar a forma como as organizações gerenciam seus riscos, aumentando a eficácia dos processos e possibilitando uma tomada de decisões mais informada.

A capacidade da IA Generativa em criar dados, simular cenários e prever eventos com base em padrões complexos oferece novas oportunidades para identificar, analisar, avaliar e tratar riscos, gerando inúmeras possibilidades para aprimorar a produtividade e os processos dentro das organizações.

Exploraremos a seguir algumas aplicações e exemplos da IA Generativa ao longo das etapas do Processo de Gestão de Riscos, abordando desde usos simples até os mais complexos, alinhados às diretrizes das normas NBR ISO 31000:2018 e NBR IEC 31010:2021.

Avalie suas Matrizes de Riscos (e descubra os problemas que elas têm!)

A matriz de riscos é uma das ferramentas qualitativas descritas na norma NBR IEC 31010:2021 mais utilizadas pelas organizações para avaliar riscos e auxiliar a tomada de decisões.

No entanto, apesar de sua aplicação em inúmeras áreas e setores, ela apresenta importantes problemas, que limitam seu potencial de avaliação, quando comparada a algumas técnicas quantitativas.

No vídeo a seguir, mostramos como é possível avaliar a qualidade das matrizes de riscos e indicamos algumas recomendações para que a análise e avaliação dos riscos tornem-se mais eficazes.

Se você for Associado ou Cliente elegível do QSP, poderá nos solicitar a PLANILHA GRATUITA, em Português, apresentada no vídeo!

A planilha em Excel para Avaliação de Matrizes de Riscos está disponível gratuitamente para os seguintes Associados e Clientes do QSP:

1) Associados ao QSP nas categorias Empresas e Individual.

2) Profissionais Certificados na ISO 31000 de Gestão de Riscos.

3) Organizações listadas nesta página de Clientes do QSP.

4) Participantes do QSP Summit - Curso a Distância de Atualização Profissional.

5) Clientes que adquirirem o Manual de Diretrizes para a Implementação da ISO 31000:2018 em conjunto com o Manual sobre Auditoria Baseada em Riscos.

Se você ou sua organização for elegível, fale conosco por aqui.

Mais artigos sobre Matrizes de Riscos

Leia também ou reveja os seguintes artigos (e vídeo) que publicamos sobre o assunto:

- Matriz de Riscos: conheça as boas práticas internacionais para sua construção e uso (junho, 2022)

- Matrizes de Riscos: como superar suas limitações nas avaliações de riscos (janeiro, 2021)

- Matrizes de Riscos (ou de Probabilidade / Consequência): CUIDADO ao utilizá-las!! (setembro, 2018)

Matrizes de Riscos: como superar suas limitações nas avaliações de riscos

Uma das ferramentas presentes na norma NBR IEC 31010:2021 e bastante utilizada para avaliação e comunicação da magnitude relativa dos riscos é a Matriz de Riscos  (também conhecida por Matriz de Consequência/ Probabilidade ou Mapa de Calor). 

Essa técnica exibe os riscos de acordo com escalas de probabilidades e consequências, de modo a combinar essas características para fornecer uma classificação do nível de risco, ou seja, da significância do risco.

Escalas personalizadas para consequência e probabilidade são definidas para os eixos da Matriz de Riscos. As escalas podem apresentar qualquer número de pontos (escalas de três, quatro ou cinco pontos são as mais comuns) e ser qualitativas, semiquantitativas ou quantitativas.

Elas devem estar diretamente relacionadas aos objetivos da organização e se estendem da consequência mais severa até a consequência de menor impacto (mais detalhes sobre as escalas podem ser vistos no vídeo ao final do artigo).

Para classificar um risco, o usuário primeiramente define a consequência que melhor representa a situação e, em seguida, a probabilidade com a qual acredita que a consequência ocorrerá. Um ponto é selecionado no quadrante que combina esses valores na matriz, obtendo-se o nível de risco e a regra de decisão associada a esse risco. Na maioria dos casos, os quadrantes são coloridos para indicar a magnitude do risco.

Nos casos em que há uma variedade de valores de consequência possíveis para um evento, a probabilidade de qualquer consequência particular será diferente da probabilidade do evento que produz essa consequência. Geralmente, usa-se a probabilidade da consequência especificada. A maneira como essa probabilidade é interpretada e usada deve ser consistente em todos os riscos comparados.

Veja abaixo um exemplo de Matriz de Riscos, combinando os valores da escala de probabilidade (eixo Y, variando de 1 a 5) com os da severidade da consequência (eixo X, variando de 1 a 16). 

                                            Figura 1 - Exemplo de Matriz de Riscos                                             (*)Usamos uma escala exponencial para dar maior ênfase às consequências

Para obter o nível de risco em cada quadrante, basta multiplicar os valores das escalas correspondentes naquele ponto - por exemplo, nível de risco igual a 12 representa a combinação da probabilidade Possível (3) com a consequência Moderada (4).

Riscos com consequências potencialmente altas costumam ser a maior preocupação para as organizações, mesmo quando as probabilidades das consequências são muito baixas; porém, um risco de impacto frequente, mas com baixa severidade, pode ter grandes consequências cumulativas ou de longo prazo. Pode ser necessário analisar os dois tipos de risco, pois os tratamentos de risco pertinentes tendem a variar bastante. 

Aplicações da Matriz de Riscos

A Matriz de Riscos pode ser usada em qualquer nível da organização para comparar riscos com diferentes tipos de consequências potenciais. Entre suas principais aplicações, destacam-se:

- É comumente usada como uma ferramenta de seleção após a identificação dos riscos, para definir quais riscos são mais críticos e devem ser priorizados pelos tomadores de decisão.

- Ajuda a determinar se um determinado risco é amplamente aceitável ou não, de acordo com a sua localização na matriz, servindo como referência para o tratamento desse risco.

- Pode ser empregada em situações em que não há dados suficientes para uma análise detalhada, ou a situação não justifica o tempo e esforço para uma análise mais detalhada ou quantitativa.

- Apresenta dados complexos sobre os riscos de forma concisa e visual, mostrando-se eficaz em 'Workshops de Riscos'.

Limitações da Matriz de Riscos

Apesar de ser utilizada em inúmeras aplicações, a Matriz de Riscos possui importantes limitações que devem ser consideradas. Suas principais limitações, descritas na norma NBR IEC 31010:2021, são as seguintes:

dos de tradução

- Pode ser difícil definir escalas comuns que se aplicam a uma série de circunstâncias pertinentes para uma organização.

- É difícil definir as escalas com precisão, que permitam aos usuários pesar a consequência e a probabilidade de forma consistente.

- Requer um único valor indicativo para a consequência a ser definida, enquanto que, em muitas situações, é possível uma gama de valores de consequência, e a classificação para o risco depende de qual é escolhida.

- Seu uso é muito subjetivo, e pessoas diferentes frequentemente atribuem classificações muito distintas ao mesmo risco. Isso o deixa aberto à manipulação.

- Os riscos não podem ser agregados diretamente: por exemplo, não se pode definir se um determinado número de riscos baixos, ou um baixo risco, identificado um determinado número de vezes, é equivalente a um risco médio.

- É difícil combinar ou comparar o nível de risco para diferentes categorias de consequências.

- Cada classificação dependerá da forma como um risco é descrito e do nível de detalhe que é dado (ou seja, quanto mais detalhada a identificação, maior o número de cenários registrados, cada um com uma probabilidade menor). A maneira como os cenários são agrupados na descrição do risco deve ser consistente e definida antes da classificação.

Superando as limitações 

A maioria das limitações listadas acima pode ser atenuada utilizando a Matriz de Riscos em conjunto com outras ferramentas (como, por exemplo, a Análise BowTie). Afinal, é fundamental que os riscos, suas consequências e probabilidades estejam definidos adequadamente, para que assim se obtenham classificações semelhantes, se não idênticas, fornecidas por equipes diferentes.

Também é importante definir um processo que considere coletivamente todos os riscos e opções de tratamento de riscos. Nesse sentido, atribuir uma hierarquia de controles ajuda a selecionar controles eficazes que contribuem com o processo de tomada de decisões. Da mesma forma, deve-se pensar na relação custo-benefício de cada opção de tratamento, de modo a considerar seu impacto financeiro nas operações da organização.

No vídeo a seguir, mostramos como o software BowTieXP pode ser usado para a construção da Matriz de Riscos, aprimorando a avaliação, a visualização e o relato dos riscos.

Se você ainda não viu, assista aos vídeos e baixe os slides da nossa 'live' sobre a Análise BowTie: Transformando Riscos em Imagens Visuais Fáceis de Entender.

E leia este novo artigo que publicamos em fevereiro/2023: Avalie suas Matrizes de Riscos (e descubra os problemas que elas têm!).

HAZOP ou Análise BowTie - Qual técnica é mais eficaz?

Uma das técnicas de análise de riscos amplamente utilizada na gestão de riscos e também presente na norma IEC 31010:2019 é o HAZOP - Hazard and Operability Study ou Estudo de Perigos e Operabilidade. O HAZOP é uma metodologia qualitativa que ajuda a identificar e analisar riscos relacionados à segurança de processos, que podem afetar pessoas, equipamentos, instalações, meio ambiente, etc.

Ele investiga de forma aprofundada as partes do processo, detectando possíveis variações em relação ao que foi projetado e permite reconhecer problemas que possam afetar os resultados da operação, reduzindo a qualidade do projeto e/ou do processo.

Assim como a Análise BowTie (BTA), o HAZOP vai além da identificação de riscos, mapeando suas potenciais causas e consequências e indicando medidas preventivas e corretivas que possam minimizar o impacto dos riscos.

Como elaborar um HAZOP?

Para desenvolver um HAZOP, é necessária, assim como na BowTie, uma equipe multidisciplinar, para avaliar o processo sob diferentes pontos de vista.

O HAZOP é uma técnica estruturada, baseada em texto, que identifica potenciais perigos e problemas de operabilidade em um projeto ou processo. Possui dois focos principais: problemas de segurança e problemas de operabilidade. Os de segurança dizem respeito, na maioria das vezes, aos riscos corridos pelos colaboradores e pelos equipamentos. Já os de operabilidade, não estão relacionados a estes últimos, mas comprometem a produção, podendo afetar sua qualidade e eficiência.

A figura abaixo ilustra um exemplo de HAZOP, detalhando os riscos associados à transferência de ácido do tanque A para o tanque B em uma embarcação:

Figura 1 - Exemplo de HAZOP (clique na imagem para ampliar)

Como podemos observar, a técnica identifica desvios em relação ao projeto pretendido, combinando palavras-guia como, por exemplo, "Sem", "Mais", "Menos" e parâmetros, como "Fluxo", "Temperatura", "Nível". Em seguida, relaciona cada possível causa do desvio a uma consequência, utilizando controles (ou proteções ou barreiras) para minimizar a ocorrência ou os efeitos desses desvios. Por fim, é possível inserir ações e responsáveis pelo tratamento desses desvios nas colunas seguintes, como em uma planilha em Excel.

No entanto, apesar de ajudar a identificar e analisar os riscos relacionados aos processos e projetos, o HAZOP possui algumas limitações, que podem ser aprimoradas por meio da BowTie.

Limitações do HAZOP 

Uma das desvantagens do HAZOP é sua natureza pouco visual, o que pode tornar o processo de identificação e registro dos riscos monótono e cansativo. Dessa forma, os responsáveis pelos preenchimento das informações sobre os riscos podem ficar sobrecarregados se trabalharem em um HAZOP e olharem para um mesmo texto por um longo período, que pode durar dias ou até meses, dependendo da escala e complexidade do processo. Além disso, como nossos cérebros absorvem e interpretam mais dados de uma imagem do que de um texto, os estudos podem ser mais produtivos caso imagens sejam integradas à análise.

Outro ponto que limita a eficácia do HAZOP decorre da técnica mostrar todos os controles em uma mesma coluna, sem diferenciar controles preventivos, que atuam sobre as causas dos eventos, dos controles reativos, que minimizam os efeitos dos mesmos. Essa limitação geralmente faz com que as equipes de estudo HAZOP deem pouco valor à importância dos controles...

Sem uma avaliação abrangente das contribuições individuais dos controles para a redução dos riscos, sua criticidade torna-se subjetiva, pois eles passam a ser analisados isoladamente, fora do contexto de outros controles. Se o papel dos controles não for claramente compreendido, eles podem não desempenhar adequadamente a função para a qual foram projetados, limitando sua eficácia.

Por último, o HAZOP tende a focar em uma única causa, que pode gerar diversas consequências, enquanto a experiência mostra que os riscos são originados por uma variedade de causas complexas de documentar. Da mesma forma, incidentes causados por eventos independentes ou coincidentes nem sempre são exibidos ou registrados pela técnica.

HAZOP x BowTie

Com a BTA, é possível aprimorar o HAZOP criando cenários de riscos mais completos e fáceis de comunicar dentro da organização. A BowTie faz uma clara diferenciação entre a gestão de riscos preventiva, relacionada às causas do evento, da gestão de riscos reativa, que atua sobre suas consequências.

Os desvios e suas possíveis causas podem ser documentados no diagrama BowTie como causas (ou ameaças). Para cada causa, as proteções que podem evitar uma perda de integridade (como por exemplo medidas de contenção) são registradas como controles (ou barreiras) preventivos. 

As consequências associadas a essa(s) causa(s) são registradas junto às medidas de recuperação necessárias após a perda de integridade, que, por sua vez, são exibidas como controles reativos. Além disso, a metodologia BowTie permite avaliar tanto a probabilidade de ocorrência de cada consequência como a eficácia de todos os controles estabelecidos.

O exemplo a seguir mostra a conversão do HAZOP da Figura 1 para um diagrama BowTie: 

Figura 2 - Exemplo de HAZOP Convertido para BowTie 
(clique na imagem para ampliá-la e fazer download do diagrama)

Como se vê, a conversão das linhas de texto de uma tabela HAZOP, que é uma representação unidimensional de uma única causa levando a uma única consequência, em um diagrama BowTie com múltiplas causas conectadas a múltiplas consequências (de forma independente), revela com maior clareza os cenários de risco e torna visíveis todas as causas e consequências, assim como os controles preventivos e reativos.

No entanto, quando se converte um HAZOP para BowTie, é necessário revisar quaisquer discrepâncias entre as técnicas, como controles ausentes ignorados pela equipe de estudo ou controles atribuídos inadequadamente à causa ou consequência errada. Isso geralmente requer a revisão do HAZOP e a retomada das discussões pela equipe responsável. 

Uma alternativa ainda pouco difundida envolve utilizar a Análise BowTie para debater e documentar cenários para minimizar erros e omissões. Essas discussões podem simplificar a complexidade dos cenários de risco e esclarecer melhor o contexto da análise. 

No exemplo acima, a conversão do HAZOP para um diagrama BowTie revela poucos controles reativos comparados aos preventivos. Assim, é mais eficiente detectar essas discrepâncias no início do estudo. Documentar a discussão por meio da BTA em tempo real permite que essa deficiência seja corrigida no início da análise.

Considerações finais

A abordagem para aprimorar a técnica HAZOP usando BowTies baseia-se na eficácia da comunicação visual dos riscos e permite reter conhecimentos sobre os cenários no longo prazo; é mais fácil lembrar imagens do que memorizar palavras. Assim, as informações sobre os cenários de risco podem ser facilmente migradas das planilhas ou tabelas textuais do HAZOP para a representação visual da BTA.

Uma etapa inicial seria converter planilhas HAZOP em diagramas BowTie para testar a eficácia da BTA. Com resultados positivos, seria possível documentar futuros HAZOPs usando BowTies. 

Utilizando essa metodologia, as informações textuais sobre os riscos presentes nas planilhas e/ou tabelas são aprimoradas e se tornam conhecimentos visuais, que podem ser facilmente difundidos pela organização.

PS: se você ainda não viu, assista aos vídeos e baixe os slides da nossa 'live': Transformando Riscos em Imagens Visuais Fáceis de Entender.

Convertendo Registros de Riscos em Poderosas BowTies

Atualmente, um dos principais desafios enfrentados pelas organizações relacionados à gestão de riscos diz respeito à comunicação clara e eficaz dos cenários de riscos que as afetam.

Para registrarem e comunicarem seus riscos, muitas delas utilizam-se de planilhas em Excel que, geralmente, são incompletas e não permitem visualizar adequadamente todas as características de um risco (de segurança, ambiental, financeiro, de compliance, etc).

O exemplo didático a seguir, sobre a perda de controle de um carro, mostra como as organizações costumam reportar as informações sobre seus riscos (geralmente, em registros de riscos ou risk registers):

Exemplo de Registro de Riscos 

(clique aqui para ampliar e baixar a figura)

Como converter meu Registro de Riscos em informações confiáveis e "apresentáveis" sobre riscos?

Para tornar mais simples e clara a visualização e o entendimento dessas informações, o software BowTieXP (clique no link para testá-lo gratuitamente) faz a conversão automática dos dados contidos nos registros de riscos das organizações em diagramas BowTies.

Veja abaixo como a ferramenta torna mais fácil a comunicação e a compreensão de todos os elementos relacionados ao cenário de risco do exemplo acima, quando comparada aos tradicionais registros de riscos em Excel.

Exemplo de Registro de Riscos convertido em BowTie 

(clique aqui para ampliar e baixar o diagrama BowTie)

No vídeo a seguir, mostro o passo a passo utilizado para converter o registro de riscos do exemplo acima em uma poderosa BowTie (pelo seu poder de comunicação e de gestão dos riscos e controles), de maneira simples e rápida, utilizando o software BowTieXP!

Para conhecer todo o potencial que pode ser explorado com o BowTieXP para aprimorar os risk registers e a gestão de riscos de sua organização, entre em contato comigo por aqui.

Vídeos sobre a metodologia BowTie de Análise de Riscos e Controles

Nos últimos anos, a gestão de riscos e oportunidades, bem como o desenvolvimento da mentalidade de risco nas organizações têm ganhado cada vez mais destaque nas normas ISO de sistemas de gestão e servido como referência para aprimorar os negócios e o processo de tomada de decisões.

Diversas ferramentas e técnicas para análise e avaliação de riscos têm sido utilizadas com esse objetivo, sendo a Análise BowTie (BTA), a que tem obtido maior êxito para comunicar os cenários de risco de forma simples e realizar a gestão eficaz dos controles (ou barreiras).

Para compreender melhor como as organizações analisam seus riscos e o grau de familiaridade delas com a Metodologia BowTie, o QSP realizou uma pesquisa sobre a mesma, indicando que há bastante espaço para disseminação desses conhecimentos.

Uma das ferramentas mais utilizadas para realizar a BTA é o software BowTieXP. Com o objetivo de difundir o uso da BowTie em todo o Brasil, recentemente o QSP firmou um convênio com a CGE - Risk Management Solutions - que desenvolveu o software e é uma das maiores empresas do mundo de soluções tecnológicas para a gestão de riscos com base na Metodologia BowTie (entre aqui e experimente a versão gratuita do BowTieXP).

No vídeo a seguir, mostramos as principais funcionalidades do BowTieXP, além de outras aplicações que podem ser utilizadas conjuntamente, tendo como referência a BTA, para aprimorar a gestão de riscos nas organizações.

O vídeo é o terceiro de uma série de 4 vídeos do Webinar realizado esta semana pelo QSP e que podem ser acessados abaixo, juntamente com os resultados da "1ª Pesquisa Nacional sobre a Metodologia BowTie".

# VÍDEO 1 - Análise de Riscos e Controles com a Metodologia BowTie (do Básico ao Avançado);

# VÍDEO 2 - Resultados da 1ª Pesquisa Nacional sobre a Metodologia BowTie de Análise de Riscos;

   * Arquivo em PDF com os resultados da pesquisa.(para download)

# VÍDEO 3 - Apresentação do Software BowTieXP;
    * Se você quiser testar gratuitamente o software BowTieXP por 1 mês, entre por aqui.

# VÍDEO 4 - Repositório BowTie de Conhecimentos e Informações.
    * Para acessar diretamente o Repositório BowTie do QSP, entre aqui.


Mais informações sobre a Metodologia BowTie podem ser obtidas nesta página do QSP.

Qual técnica para Avaliar Riscos devo utilizar?

Neste vídeo, apresento uma breve demonstração do Risk Selector 31010, ferramenta desenvolvida com exclusividade pelo QSP para auxiliar as organizações no processo de avaliação de riscos. 

A ferramenta seleciona automaticamente uma das 42 técnicas para avaliação de riscos presentes na IEC 31010:2019 que melhor se aplica às necessidades e ao contexto interno das empresas, de acordo com 7 características principais definidas na nova norma.

Para mais informações sobre o Risk Selector 31010, acesse aqui. 

QSMS e Gestão de Riscos: aplicações e vantagens da Análise BowTie

No mundo dos negócios, QSMS e gestão de riscos sempre estiveram relacionadas. Com as crescentes incertezas nos cenários político, econômico e social vivenciadas diariamente, organizações de diferentes setores têm explorado maneiras de aprimorar a eficiência e produtividade de seus processos, ao mesmo tempo em que procuram minimizar o impacto das incertezas em seus resultados.

Nesse sentido, a gestão de riscos tornou-se a principal aliada das empresas, auxiliando-as na tomada de decisões e na identificação de oportunidades. Nas últimas décadas, diversas ferramentas e técnicas têm sido utilizadas para identificar, analisar, avaliar e tratar os riscos aos quais as organizações estão submetidas. Muitas delas, no entanto, são pouco práticas e de difícil compreensão e, com isso, são usadas incorretamente ou tornam-se obsoletas com o tempo (conheça aqui a nova NBR IEC 31010:2021 que aborda esses aspectos). 

Uma técnica relacionada ao processo de avaliação de riscos, que permite um entendimento completo dos riscos, de suas causas e consequências e tem sido cada vez mais utilizada para aprimorar a gestão de riscos, é a Análise BowTie (BTA).

A BTA é uma representação gráfica simples usada para analisar e comunicar cenários de risco. A ferramenta leva o nome da forma criada pelo diagrama, similar a uma gravata-borboleta, e possui duas funções principais.

Primeiramente, ela fornece uma resumo visual dos caminhos de um risco, mapeando desde sua origem (fontes de risco), aos eventos de risco, suas potenciais causas e consequências. Também mostra como as organizações podem monitorar esses cenários, introduzindo controles (ou barreiras) que atuem preventivamente (nas causas) ou corretivamente (nas consequências).

Um diferencial muito importante da Análise BowTie é a possibilidade de gerenciar a eficácia dos controles e comunicar aos responsáveis a melhor forma de tratar os riscos.

O exemplo a seguir mostra como esta técnica pode ser utilizada de forma simples para gerenciar riscos na área de segurança da informação (dentre tantas outras).

Um exemplo de aplicação da BowTie na segurança da informação 

Atualmente, um número crescente de organizações tem se mostrado dependente de seus sistemas de TI. Muitos processos vem sendo automatizados ou gerenciados remotamente, e a proteção de dados e informações ganha cada vez mais importância para a sobrevivência dos negócios. 

Não raramente, brechas na segurança da informação e falta de conscientização das pessoas sobre os riscos relacionados aos sistemas de informação possibilitam ataques de hackers, que se apropriam de informações confidenciais das empresas e de seus funcionários.

No diagrama abaixo, tem-se um exemplo de risco bastante comum na área da segurança da informação, detalhado com a aplicação da Análise BowTie.

*Clique na imagem para expandir

NOTA: este diagrama foi traduzido e construído pelo QSP com auxílio do software BowTieXP da CGE Risk Management Solutions, a maior empresa de soluções para gestão de riscos baseadas na Análise BowTie. 

O diagrama foi desenhado da seguinte forma:

• O evento de interesse ("Acesso não autorizado ao sistema de TI") foi representado pelo nó central da bowtie.
• As causas foram listadas do lado esquerdo do nó e unidas ao nó por linhas que representam os diferentes mecanismos pelos quais tais causas podem levar ao evento.
• Controles (ou barreiras) para cada mecanismo foram mostrados como barras verticais nas linhas.
• Do lado direito do nó, foram desenhadas linhas que partem do evento em direção a cada consequência potencial.
• Após o evento, as barras verticais representam os controles reativos ou barreiras que modificam as consequências.

Poderiam ter sido adicionados ao diagrama mais fatores que têm o potencial de causar falhas nos controles (fatores de intensificação), juntamente com os controles relacionados a esses fatores. Da mesma forma, poderiam ter sido mostradas as funções de gestão que suportam os respectivos controles (como treinamento e inspeção).

O software BowTieXP permite ir além, ajudando a definir o nível de criticidade de cada controle e mostrando os responsáveis por atuar em cada situação, bem como as ações a serem tomadas para monitorar a eficácia de cada controle.

* Veja aqui quais são os elementos de uma BowTie e como eles se relacionam.

Outras aplicações da Análise BowTie

A BTA pode ser utilizada em todas as situações que envolvam algum tipo de risco. No mundo corporativo, além da área da segurança da informação, diversos outros setores e projetos utilizam essa técnica para compreender melhor seus riscos e propor alternativas para tratá-los.

Segurança de processos, meio ambiente, saúde, finanças, aviação, energia, construção civil, transporte, petroquímica e mineração são exemplos de algumas áreas em que a Análise BowTie tem sido empregada com grande êxito, ajudando a reduzir as incertezas e o impacto dos riscos nos negócios.

Vale destacar que a BTA, além de sua tradicional utilização para gerenciar riscos que podem ter consequências negativas (ou seja, perdas e danos), também pode ser empregada para gerenciar oportunidades ("combinação de circunstâncias que se espera que sejam favoráveis aos objetivos", segundo a nova NBR IEC 31010:2021). No entanto, devido à conotação negativa atribuída à maioria dos riscos, esta é uma característica ainda pouco explorada pelas organizações, mas que muito poderia auxiliá-las a vislumbrar novos caminhos para seu sucesso e crescimento. 

Conheça por aqui o Programa BowTie (gratuito) do QSP. 

Como melhorar o processo de gestão de riscos nas organizações

O sucesso das organizações está diariamente sendo posto à prova, por meio de decisões que envolvem resultados incertos. Em ambientes em constante transformação e evolução, gerenciar riscos de maneira eficaz e com a participação e comprometimento do maior número possível de pessoas, tornou-se um desafio para grande parte das empresas e instituições. 

Muitas organizações possuem processos de gestão de riscos em vigor que pouco consideram a cultura organizacional e as relações entre os profissionais, necessitando passar por uma reformulação para agregar valor.

Essa situação faz com que as empresas encontrem dificuldades, não somente para identificar, analisar, avaliar e tratar os principais riscos que afetam suas atividades, como também para promover debates e consenso em torno das melhores práticas de gestão de riscos (para riscos de todos os tipos: corporativos, de projetos, relacionados à qualidade, segurança, integridade, meio ambiente, etc.).

Os desafios para a gestão de riscos eficaz

Um dos desafios mais comuns que as organizações enfrentam para tornar o processo de gestão de riscos mais eficaz é estabelecer equipes de trabalho coesas, que saibam identificar os riscos mais relevantes ao negócio e chegar a um acordo sobre a melhor forma de gerenciá-los. Muitas decisões que envolvem riscos ainda são tomadas unilateralmente e sem a devida participação de todas as partes interessadas, o que prejudica a evolução das operações e têm impactos negativos sobre os resultados.

As empresas têm investido muito tempo e recursos em métodos, ferramentas e treinamentos que não são suficientes para gerar melhores práticas de gestão de riscos. Além disso, muitos profissionais reclamam que acham difícil priorizar os riscos e tratá-los adequadamente, e que poucos dentro das organizações responsabilizam-se pelos riscos.

Considerados fundamentais para o processo de gestão de riscos, os workshops de riscos ainda preocupam pela falta de objetividade e enorme quantidade de informações - nem sempre relevantes - que disponibilizam aos participantes. Muitos desses workshops são vistos como entediantes e demorados, falhando em estimular a discussão de ideias e os debates sobre riscos.

Diante de tantos desafios, como então mudar esse cenário e melhorar o processo de gestão de riscos nas organizações?

O papel do facilitador de riscos

Para solucionar esses problemas e ajudar a disseminar a cultura de gestão de riscos em um ambiente favorável ao debate de ideias, muitas organizações dispõem de profissionais qualificados na seleção e aplicação de técnicas e ferramentas para o processo de avaliação de riscos e com experiência em gerenciar 'equipes de riscos'. 

Os facilitadores de riscos, como o próprio nome diz, visam tornar mais fácil o processo de gestão de riscos, gerenciando reuniões e workshops com equipes de trabalho, estimulando discussões com base em conhecimentos, habilidades e experiências, e incentivando a participação individual. 

Além de estarem familiarizados com diversas técnicas e ferramentas para identificação, análise, avaliação e tratamento dos riscos, eles têm sido cada vez mais requisitados por suas habilidades em trabalhar com grupos grandes e diversificados e por saberem lidar com os conflitos que surgem entre profissionais com ideias e pontos de vista diferentes, especialmente sobre a importância e consequência dos riscos.

Os melhores facilitadores sabem conduzir as equipes e adaptar os workshops de riscos de acordo com o perfil do grupo e o grau de envolvimento dos participantes. Para isso, devem dominar a seleção e aplicação de uma ampla variedade de ferramentas e técnicas relacionadas ao processo de avaliação de riscos. A norma ISO/IEC 31010 é uma ótima referência para alcançar esse objetivo!

Outra habilidade importante é a capacidade de sustentar a participação e o envolvimento das pessoas durante todo o processo de gestão de riscos, estimulando o surgimento de ideias e os debates para se chegar a um denominador comum. Facilitadores menos experientes não possuem essa característica, fazendo com que o grupo perca o entusiasmo inicial e o interesse por identificar e lidar com riscos. 

De um modo geral, os facilitadores devem sempre orientar a 'equipe de riscos' a resultados e garantir que o foco das discussões não se perca. Ao final dos workshops, os riscos devem ser identificados, analisados, avaliados e tratados com base em um consenso entre os participantes.

A importância dos Workshops de Riscos

Um elemento do processo de gestão de riscos que tem sido bastante criticado nas organizações são os workshops de riscos / oficinas de trabalho. Estes são utilizados em situações em que um grupo de pessoas se reúne, pessoal ou virtualmente, para debater riscos e chegar a soluções para aprimorar o processo de gestão de riscos.

No entanto, muitos profissionais questionam que tais workshops têm se mostrado ineficientes, por consumirem muito tempo dos participantes e fornecerem uma quantidade enorme de informações, que nem sempre são importantes para aprimorar o processo de gestão de riscos. Por vezes, as reuniões de riscos são tachadas como tediosas e detalhadas, e os participantes identificam e registram riscos que, em seguida, são ignorados ou deixam de ser monitorados.

Uma alternativa para melhorar a percepção das partes interessadas sobre essas reuniões e torná-las mais dinâmicas é a realização de workshops / oficinas de trabalho coordenados por facilitadores de riscos. Os workshops de riscos reúnem profissionais de diferentes áreas da organização para gerar ideias, debater diferentes pontos de vista e percepções sobre riscos e melhorar o processo de gestão de riscos com base em um consenso.

Por demandarem maior envolvimento, criatividade, colaboração e comprometimento dos participantes para lidar com os riscos que afetam o dia-a-dia as organizações, elas possuem diversas vantagens em relação aos workshops de riscos tradicionais, tais como:

• Incentivam o surgimento de ideias (por meio de brainstormings) para a identificação de riscos e a busca de soluções inovadoras em equipe;

•  Envolvem as pessoas-chave relacionadas à tomada de decisões e ao processo de gestão de riscos, facilitando a comunicação dentro da empresa;

•  Possibilitam a rápida e fácil preparação do brainstorming, que pode ser utilizado em conjunto com outras técnicas (descritas na norma ISO/IEC 31010) para o processo de avaliação de riscos;

•  Permitem acesso a uma gama maior de ideias e consomem menos tempo do que a realização de entrevistas individuais com os colaboradores da organização.

• A coordenação dos facilitadores de riscos auxilia a priorizar debates sobre os riscos relevantes, mantendo o foco das discussões e o interesse dos participantes em melhorar o processo de gestão de riscos.

Os workshops são parte fundamental do processo de gestão de riscos. Com a experiência dos facilitadores de riscos, podem ser adaptados às necessidades das organizações e ao perfil de suas 'equipes de riscos', permitindo que os profissionais estejam sempre engajados e motivados na busca por melhores práticas de gestão de riscos.

Pensando nos desafios descritos acima e em formas de melhorar o processo de gestão de riscos nas empresas, o QSP desenvolveu uma abordagem altamente eficaz para a facilitação de riscos nas organizações. Entre por aqui para conhecer essa nova abordagem sobre os workshops de riscos.