NBR IEC 31010/2021 Gestão de Riscos e Técnicas para o Processo de Trabalho

NORMA ABNT NBR
BRASILEIRA IEC
31010
Segunda edição
30.08.2021
Gestão de riscos ― Técnicas para o processo de

avaliação de riscos
Risk management ― Risk assessment techniques
ICS 03.100.01 ISBN 978-85-07-08641-3
Número de referência
ABNT NBR IEC 31010:2021
150 páginas
© IEC 2019 - © ABNT 2021

© IEC 2019
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT, único representante da ISO no território brasileiro.
© ABNT 2021
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT.
ABNT
Av. Treze de Maio, 13 - 28º andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 3974-2346
abnt@abnt.org.br
www.abnt.org.br
ii © IEC 2019 - © ABNT 2021 - Todos os direitos reservados

Sumário Página
Prefácio Nacional..............................................................................................................................xiii
Introdução..........................................................................................................................................xiv
1 Escopo.................................................................................................................................1
2 Referências normativas......................................................................................................1
3 Termos e definições............................................................................................................1
4 Conceitos centrais..............................................................................................................2
4.1 Incerteza...............................................................................................................................2
4.2 Risco.....................................................................................................................................3
5 Utilização de técnicas para o processo de avaliação de riscos.....................................4
6 Implementação do processo de avaliação de riscos.......................................................5
6.1 Planejar o processo de avaliação......................................................................................5
6.1.1 Definir propósito e escopo do processo de avaliação....................................................5
6.1.2 Compreender o contexto....................................................................................................6
6.1.3 Engajar as partes interessadas.........................................................................................6
6.1.4 Definir objetivos..................................................................................................................6
6.1.5 Considerar fatores humanos, organizacionais e sociais................................................7
6.1.6 Analisar criticamente os critérios para decisões.............................................................7
6.2 Gerenciar informações e desenvolver modelos..............................................................9
6.2.1 Generalidades......................................................................................................................9
6.2.2 Coleta de informações......................................................................................................10
6.2.3 Análise de dados...............................................................................................................10
6.2.4 Desenvolvimento e aplicação de modelos..................................................................... 11
6.3 Aplicar técnicas para o processo de avaliação de riscos.............................................13
6.3.1 Visão geral.........................................................................................................................13
6.3.2 Identificação de riscos......................................................................................................14
6.3.3 Determinação de fontes, causas e fatores de risco.......................................................14
6.3.4 Investigação da eficácia dos controles existentes........................................................15
6.3.5 Entendimento de consequências e probabilidades.......................................................16
6.3.6 Análise de interações e dependências...........................................................................17
6.3.7 Compreensão das medidas de risco...............................................................................18
6.4 Análise crítica da análise..................................................................................................21
6.4.1 Verificação e validação de resultados.............................................................................21
6.4.2 Análise de incerteza e sensibilidade...............................................................................22
6.4.3 Monitoramento e análise crítica.......................................................................................22
6.5 Aplicação dos resultados para apoiar as decisões ......................................................23
6.5.1 Visão geral ........................................................................................................................23
6.5.2 Decisões sobre a significância do risco ........................................................................23
6.6 Registro e relato do processo de avaliação de riscos e resultados esperados.........24
7 Seleção de técnicas para o processo de avaliação de riscos......................................25
7.1 Generalidades....................................................................................................................25
7.2 Seleção de técnicas..........................................................................................................25
© IEC 2019 - © ABNT 2021 - Todos os direitos reservados iii

Anexo A (informativo) Categorização das técnicas..........................................................................28

A.1 Introdução à categorização das técnicas.......................................................................28
A.2 Aplicação da categorização de técnicas.........................................................................29
A.3 Uso de técnicas durante o processo da ABNT NBR ISO 31000...................................42
Anexo B (informativo) Descrição das técnicas.................................................................................47
B.1 Técnicas para obter pontos de vista das partes interessadas e especialistas...........47
B.1.1 Generalidades....................................................................................................................47
B.1.2 Brainstorming....................................................................................................................48
B.1.2.1 Visão geral.........................................................................................................................48
B.1.2.2 Uso......................................................................................................................................48
B.1.2.3 Entradas.............................................................................................................................49
B.1.2.4 Saídas.................................................................................................................................49
B.1.2.5 Pontos fortes e limitações................................................................................................49
B.1.2.6 Documentos de referência...............................................................................................49
B.1.3 Técnica Delphi...................................................................................................................50
B.1.3.1 Visão geral.........................................................................................................................50
B.1.3.2 Uso......................................................................................................................................50
B.1.3.3 Entradas.............................................................................................................................50
B.1.3.4 Saídas.................................................................................................................................50
B.1.3.6 Documento de referência.................................................................................................51
B.1.4 Técnica de grupo nominal................................................................................................51
B.1.4.1 Visão geral.........................................................................................................................51
B.1.4.2 Uso......................................................................................................................................51
B.1.4.3 Entradas.............................................................................................................................51
B.1.4.4 Saídas.................................................................................................................................51
B.1.5 Entrevistas estruturadas ou semiestruturadas..............................................................52
B.1.5.1 Visão geral.........................................................................................................................52
B.1.5.2 Uso......................................................................................................................................52
B.1.5.3 Entradas.............................................................................................................................53
B.1.5.4 Saídas.................................................................................................................................53
B.1.6 Pesquisas...........................................................................................................................54
B.1.6.1 Visão geral.........................................................................................................................54
B.1.6.2 Uso......................................................................................................................................54
B.1.6.3 Entradas.............................................................................................................................54
B.1.6.4 Saídas.................................................................................................................................54
B.2 Técnicas para identificar risco.........................................................................................55
iv © IEC 2019 - © ABNT 2021 - Todos os direitos reservados

B.2.1 Generalidades....................................................................................................................55
B.2.2 Listas de verificação, classificações e taxonomias.......................................................56
B.2.2.1 Visão geral.........................................................................................................................56
B.2.2.2 Uso......................................................................................................................................56
B.2.2.3 Entradas.............................................................................................................................57
B.2.2.4 Saídas.................................................................................................................................57
B.2.3 Análise de modos e efeitos de falha (FMEA) e análise de modos, efeitos
e criticidade de falha (FMECA).........................................................................................58
B.2.3.1 Visão geral.........................................................................................................................58
B.2.3.2 Uso......................................................................................................................................58
B.2.3.3 Entradas.............................................................................................................................59
B.2.3.4 Saídas.................................................................................................................................59
B.2.4 Estudos de perigo e operabilidade (HAZOP)..................................................................60
B.2.4.1 Visão geral.........................................................................................................................60
B.2.4.2 Uso......................................................................................................................................61
B.2.4.3 Entradas.............................................................................................................................61
B.2.4.4 Saídas.................................................................................................................................61
B.2.5 Análise de cenários...........................................................................................................62
B.2.5.1 Visão geral.........................................................................................................................62
B.2.5.2 Uso......................................................................................................................................63
B.2.5.3 Entradas.............................................................................................................................63
B.2.5.4 Saídas.................................................................................................................................63
B.2.5.6 Documentos de Referência..............................................................................................64
B.2.6 Técnica estruturada “E se” (SWIFT)................................................................................64
B.2.6.1 Visão geral.........................................................................................................................64
B.2.6.2 Uso......................................................................................................................................65
B.2.6.3 Entradas.............................................................................................................................65
B.2.6.4 Saídas.................................................................................................................................65
B.3 Técnicas para determinar fontes, causas e fatores de risco........................................66
B.3.1 Generalidades....................................................................................................................66
B.3.2 Abordagem cindínica........................................................................................................66
B.3.2.1 Visão geral.........................................................................................................................66
B.3.2.2 Uso......................................................................................................................................67
B.3.2.3 Entradas.............................................................................................................................67
© IEC 2019 - © ABNT 2021 - Todos os direitos reservados v

B.3.2.4 Saídas.................................................................................................................................67
B.3.3 Método de análise de Ishikawa (espinha de peixe)........................................................69
B.3.3.1 Visão geral.........................................................................................................................69
B.3.3.2 Uso......................................................................................................................................70
B.3.3.3 Entrada...............................................................................................................................70
B.3.3.4 Saída...................................................................................................................................70
B.4 Técnicas para analisar controles.....................................................................................71
B.4.1 Generalidades....................................................................................................................71
B.4.2 Análise bow tie..................................................................................................................72
B.4.2.1 Visão geral.........................................................................................................................72
B.4.2.2 Uso......................................................................................................................................73
B.4.2.3 Entrada...............................................................................................................................73
B.4.2.4 Saída...................................................................................................................................73
B.4.3 Análise de perigos e pontos críticos de controle (APPCC)..........................................74
B.4.3.1 Visão geral.........................................................................................................................74
B.4.3.2 Uso......................................................................................................................................75
B.4.3.3 Entradas.............................................................................................................................75
B.4.3.4 Saídas.................................................................................................................................75
B.4.4 Análise de camadas de proteção (LOPA) ......................................................................76
B.4.4.1 Visão geral ........................................................................................................................76
B.4.4.2 Uso......................................................................................................................................77
B.4.4.3 Entradas.............................................................................................................................77
B.4.4.4 Saídas.................................................................................................................................77
B.5 Técnicas para entender as consequências e a probabilidade......................................78
B.5.1 Generalidades....................................................................................................................78
B.5.2 Análise bayesiana.............................................................................................................79
B.5.2.1 Visão geral.........................................................................................................................79
B.5.2.2 Uso......................................................................................................................................80
B.5.2.3 Entradas.............................................................................................................................80
B.5.2.4 Saídas.................................................................................................................................80
B.5.3 Redes bayesianas e diagramas de influência................................................................81
vi © IEC 2019 - © ABNT 2021 - Todos os direitos reservados

B.5.3.1 Visão geral.........................................................................................................................81

B.5.3.2 Uso......................................................................................................................................82
B.5.3.3 Entradas.............................................................................................................................83
B.5.3.4 Saídas.................................................................................................................................83
B.5.3.6 Documentos de referência ..............................................................................................83
B.5.4 Análise de impacto nos negócios (BIA)..........................................................................84
B.5.4.1 Visão geral.........................................................................................................................84
B.5.4.2 Uso......................................................................................................................................84
B.5.4.3 Entradas.............................................................................................................................84
B.5.4.4 Saídas.................................................................................................................................85
B.5.4.6 Documentos de referência ..............................................................................................86
B.5.5 Análise de causa-consequência (CCA)...........................................................................86
B.5.5.1 Visão geral.........................................................................................................................86
B.5.5.2 Uso......................................................................................................................................87
B.5.5.3 Entradas.............................................................................................................................87
B.5.5.4 Saídas.................................................................................................................................88
B.5.6 Análise de árvore de eventos (ETA)................................................................................88
B.5.6.1 Visão geral.........................................................................................................................88
B.5.6.2 Uso......................................................................................................................................88
B.5.6.3 Entradas.............................................................................................................................89
B.5.6.4 Saídas.................................................................................................................................89
B.5.6.5 Pontos fortes e limitações ..............................................................................................89
B.5.7 Análise de árvore de falhas (FTA)....................................................................................90
B.5.7.1 Visão geral ........................................................................................................................90
B.5.7.2 Uso .....................................................................................................................................90
B.5.7.3 Entradas ............................................................................................................................91
B.5.7.4 Saídas.................................................................................................................................91
B.5.8 Análise da confiabilidade humana (HRA).......................................................................93
B.5.8.1 Visão geral.........................................................................................................................93
B.5.8.2 Uso......................................................................................................................................93
B.5.8.3 Entradas ............................................................................................................................93
B.5.8.4 Saídas.................................................................................................................................94
B.5.8.5 Pontos fortes e limitações ...............................................................................................94
B.5.9 Análise de Markov.............................................................................................................95
B.5.9.1 Visão geral.........................................................................................................................95
B.5.9.2 Uso......................................................................................................................................96
B.5.9.3 Entradas ............................................................................................................................97
© IEC 2019 - © ABNT 2021 - Todos os direitos reservados vii

B.5.9.4 Saídas.................................................................................................................................97
B.5.9.5 Pontos fortes e limitações ...............................................................................................97
B.5.10 Simulação de Monte Carlo...............................................................................................98
B.5.10.1 Visão geral.........................................................................................................................98
B.5.10.2 Uso......................................................................................................................................98
B.5.10.3 Entradas.............................................................................................................................98
B.5.10.4 Saídas.................................................................................................................................99
B.5.10.6 Documentos de referência.............................................................................................100
B.5.11 Análise de impacto de privacidade (PIA)/Avaliação de Impacto de Proteção de
Dados (DPIA)...................................................................................................................100
B.5.11.1 Visão geral.......................................................................................................................100
B.5.11.2 Uso....................................................................................................................................100
B.5.11.3 Entradas...........................................................................................................................101
B.5.11.4 Saídas...............................................................................................................................101
B.5.11.5 Pontos fortes e limitações..............................................................................................102
B.6 Técnicas para analisar dependências e interações.....................................................103
B.6.1 Mapeamento causal........................................................................................................103
B.6.1.1 Visão geral.......................................................................................................................103
B.6.1.2 Uso....................................................................................................................................103
B.6.1.3 Entradas...........................................................................................................................104
B.6.1.4 Saídas...............................................................................................................................104
B.6.2 Análise de impacto cruzado...........................................................................................105
B.6.2.1 Visão geral.......................................................................................................................105
B.6.2.2 Uso....................................................................................................................................105
B.6.2.3 Entradas...........................................................................................................................106
B.6.2.4 Saída.................................................................................................................................106
B.6.2.6 Documento de referência...............................................................................................107
B.7 Técnicas que fornecem uma medida de risco..............................................................107
B.7.1 Processo de avaliação de risco toxicológico...............................................................107
B.7.1.1 Visão geral.......................................................................................................................107
B.7.1.2 Uso....................................................................................................................................108
B.7.1.3 Entradas...........................................................................................................................108
B.7.1.4 Saídas...............................................................................................................................109
B.7.2 Valor em risco (VaR)........................................................................................................109
B.7.2.1 Visão geral.......................................................................................................................109
viii © IEC 2019 - © ABNT 2021 - Todos os direitos reservados

B.7.2.2 Uso.................................................................................................................................... 110

B.7.2.3 Entradas........................................................................................................................... 111
B.7.2.4 Saída................................................................................................................................. 111
B.7.2.5 Pontos fortes e limitações.............................................................................................. 111
B.7.2.6 Documentos de referência............................................................................................. 111
B.7.3 Valor em risco condicional (CVaR) ou déficit esperado (ES)...................................... 112
B.7.3.1 Visão geral....................................................................................................................... 112
B.7.3.2 Uso.................................................................................................................................... 112
B.7.3.3 Entradas e saídas............................................................................................................ 112
B.8 Técnicas para avaliação da significância do risco ..................................................... 113
B.8.1 Generalidades ................................................................................................................. 113
B.8.2 Tão baixo quanto razoavelmente praticável (ALARP) e na medida do razoável,
praticável (SFAIRP) ........................................................................................................ 113
B.8.2.1 Visão geral ...................................................................................................................... 113
B.8.2.2 Uso.................................................................................................................................... 114
B.8.2.3 Entradas .......................................................................................................................... 114
B.8.2.4 Saídas .............................................................................................................................. 115
B.8.2.5 Pontos fortes e limitações ............................................................................................. 115
B.8.2.6 Documentos de referência ............................................................................................ 115
B.8.3 Diagramas F-N (Frequência-Número)............................................................................ 115
B.8.3.1 Visão geral....................................................................................................................... 115
B.8.3.2 Uso.................................................................................................................................... 116
B.8.3.3 Entradas........................................................................................................................... 116
B.8.3.4 Saída ................................................................................................................................ 117
B.8.4 Gráficos de Pareto ......................................................................................................... 117
B.8.4.1 Visão geral ...................................................................................................................... 117
B.8.4.2 Uso.................................................................................................................................... 118
B.8.4.3 Entradas........................................................................................................................... 118
B.8.4.4 Saídas............................................................................................................................... 119
B.8.4.6 Documentos de referência ............................................................................................ 119
B.8.5 Manutenção centrada em confiabilidade (RCM).......................................................... 119
B.8.5.1 Visão geral ...................................................................................................................... 119
B.8.5.2 Uso....................................................................................................................................120
B.8.5.3 Entradas...........................................................................................................................120
B.8.5.4 Saídas...............................................................................................................................121
B.8.6 Índices de risco...............................................................................................................123
© IEC 2019 - © ABNT 2021 - Todos os direitos reservados ix

B.8.6.1 Visão geral.......................................................................................................................123

B.8.6.2 Uso....................................................................................................................................124
B.8.6.3 Entradas...........................................................................................................................124
B.8.6.4 Saídas...............................................................................................................................124
B.9 Técnicas para selecionar entre opções........................................................................125
B.9.1 Generalidades..................................................................................................................125
B.9.2 Análise de custo/benefício (ACB)..................................................................................125
B.9.2.1 Visão geral.......................................................................................................................125
B.9.2.2 Uso....................................................................................................................................126
B.9.2.3 Entradas...........................................................................................................................127
B.9.2.4 Saída.................................................................................................................................127
B.9.3 Análise de árvore de decisões.......................................................................................128
B.9.3.1 Visão geral.......................................................................................................................128
B.9.3.2 Uso....................................................................................................................................128
B.9.3.3 Entradas...........................................................................................................................128
B.9.3.4 Saídas...............................................................................................................................128
B.9.4 Teoria dos jogos..............................................................................................................129
B.9.4.1 Visão geral.......................................................................................................................129
B.9.4.2 Uso....................................................................................................................................130
B.9.4.3 Entradas...........................................................................................................................131
B.9.4.4 Saída.................................................................................................................................131
B.9.5 Análise por multicritérios (AMC)...................................................................................132
B.9.5.1 Visão geral.......................................................................................................................132
B.9.5.2 Uso....................................................................................................................................133
B.9.5.3 Entradas...........................................................................................................................133
B.9.5.4 Saídas...............................................................................................................................133
B.10 Técnicas para registro e relato......................................................................................134
B.10.1 Generalidades..................................................................................................................134
B.10.2 Registros de riscos.........................................................................................................135
B.10.2.1 Visão geral.......................................................................................................................135
B.10.2.2 Uso....................................................................................................................................135
B.10.2.3 Entradas...........................................................................................................................136
B.10.2.4 Saídas...............................................................................................................................136
x © IEC 2019 - © ABNT 2021 - Todos os direitos reservados


B.10.3 Matriz de probabilidade/consequência (matriz de riscos ou mapa de calor)............137
B.10.3.1 Visão geral.......................................................................................................................137
B.10.3.2 Uso....................................................................................................................................139
B.10.3.3 Entradas...........................................................................................................................139
B.10.3.4 Saída.................................................................................................................................140
B.10.4 Curvas S...........................................................................................................................141
B.10.4.1 Visão geral.......................................................................................................................141
B.10.4.2 Uso....................................................................................................................................142
B.10.4.3 Entradas...........................................................................................................................142
B.10.4.4 Saídas...............................................................................................................................142
Bibliografia........................................................................................................................................144
Figuras
Figura A.1 – Aplicação de técnicas no processo de gestão de riscos da ABNT NBR ISO 31000.... 43
Figura B.1 – Exemplo de diagrama de Ishikawa (espinha de peixe).............................................70
Figura B.2 – Exemplo de bow tie......................................................................................................72
Figura B.3 – Uma rede Bayesiana mostrando uma versão simplificada de um problema
ecológico real: modelando populações de peixes nativos em Victoria, Austrália.....82
Figura B.4 – Exemplo de diagrama de causa-consequência.........................................................87
Figura B.5 – Exemplo de análise de árvore de eventos.................................................................89
Figura B.6 – Exemplo de árvore de falhas.......................................................................................91
Figura B.7 – Exemplo de diagrama de Markov................................................................................95
Figura B.8 – Exemplo de curva de resposta à dose.....................................................................108
Figura B.9 – Distribuição do valor.................................................................................................. 110
Figura B.10 – Detalhe da perda valores de VaR da região........................................................... 110
Figura B.11 – VaR e CVaR para possível perda de carteira.......................................................... 112
Figura B.12 – Diagrama ALARP...................................................................................................... 114
Figura B.13 -Exemplo de Diagrama F-N (Frequência-Número).................................................... 116
Figura B.4 – Exemplo de um gráfico de Pareto............................................................................. 118
Figura B.15 – Exemplo parcial de tabela definindo escalas de consequência..........................137
Figura B.16 – Exemplo parcial de uma escala de probabilidade.................................................138
Figura B.17 – Exemplo de matriz probabilidade/consequência..................................................139
Figura B.18 – Função de distribuição de probabilidade e função de distribuição cumulativa...... 141
© IEC 2019 - © ABNT 2021 - Todos os direitos reservados xi

Tabelas
Tabela A.1 – Características das técnicas.......................................................................................28
Tabela A.2 – Técnicas e características indicativas........................................................................29
Tabela A.3 – Aplicação de técnicas ao processo da ABNT NBR ISO 31000.................................44
Tabela B.1 – Exemplos de palavras-guia básicas e seus significados genérico.........................60
Tabela B.2 – Tabela de deficiências para cada parte interessada.................................................68
Tabela B.3 – Tabela de dissonâncias entre as partes interessadas..............................................68
Tabela B.4 – Exemplo de matriz de Markov.....................................................................................96
Tabela B.5 – Exemplos de sistemas nos quais a análise de Markov pode ser aplicada.............97
Tabela B.6 – Um exemplo de seleção de tarefa da RCM...............................................................122
Tabela B.7 – Exemplo de uma matriz de jogo................................................................................131
xii © IEC 2019 - © ABNT 2021 - Todos os direitos reservados

Prefácio Nacional
A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas

Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos
de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais (ABNT/CEE), são
elaboradas por Comissões de Estudo (CE), formadas pelas partes interessadas no tema objeto
da normalização.
Os Documentos Técnicos internacionais adotados são elaborados conforme as regras da

ABNT Diretiva 3.
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais direitos
de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados à ABNT
a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Os Documentos Técnicos ABNT, assim como as Normas Internacionais (ISO e IEC), são voluntários
e não incluem requisitos contratuais, legais ou estatutários. Os Documentos Técnicos ABNT não
substituem Leis, Decretos ou Regulamentos, aos quais os usuários devem atender, tendo precedência
sobre qualquer Documento Técnico ABNT.
Ressalta-se que os Documentos Técnicos ABNT podem ser objeto de citação em Regulamentos
Técnicos. Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar
as datas para exigência dos requisitos de quaisquer Documentos Técnicos ABNT.
A ABNT NBR IEC 31010 foi elaborada no Comissão de Estudo Especial de Gestão de Riscos
(ABNT/CEE-063). O Projeto de Revisão circulou em Consulta Nacional conforme Edital nº 07, de
14.07.2021 a 12.08.2021.
A ABNT NBR IEC 31010 é uma adoção idêntica, em conteúdo técnico, estrutura e redação,
à IEC 31010:2019, que foi elaborada pelo Technical Committee Risk management (ISO/TC 262).
A ABNT NBR IEC 31010:2021 cancela e substitui a ABNT NBR ISO/IEC 31010:2012, a qual foi
tecnicamente revisada.
O Escopo da ABNT NBR IEC 31010 em inglês é o seguinte:
Scope
This Standard provides guidance on the selection and application of techniques for assessing risk
in a wide range of situations. The techniques are used to assist in making decisions where there is
uncertainty, to provide information about particular risks and as part of a process for managing risk. The
document provides summaries of a range of techniques, with references to other documents where the
techniques are described in more detail.
© IEC 2019 - © ABNT 2021 - Todos os direitos reservados xiii

Introdução
Este Documento fornece orientação para a seleção e aplicação de várias técnicas que podem ser
usadas para ajudar a melhorar o modo como a incerteza é considerada e ajudar a entender o risco.
As técnicas são usadas:
● onde uma maior compreensão é necessária sobre qual risco existe ou sobre um risco particular;
● em uma decisão em que uma série de opções, cada uma envolvendo risco, precisa ser comparada
ou otimizada;
● no processo de gestão de riscos, levando a ações para tratar o risco.
As técnicas são usadas nas etapas do processo de avaliação de riscos de identificação, análise
e avaliação de riscos, como descrito na ABNT NBR ISO 31000, e de forma geral quando há necessidade
de entender a incerteza e os seus efeitos.
As técnicas descritas neste Documento podem ser usadas em uma ampla série de situações, embora
a maioria seja originária do campo técnico. Algumas técnicas são similares em conceito, mas possuem
diferentes nomes e metodologias que refletem a história do seu desenvolvimento em diferentes
setores. As técnicas evoluíram ao longo do tempo, e muitas podem ser usadas em uma grande série
de situações fora de sua aplicação original. As técnicas podem ser adaptadas, combinadas e aplicadas
de novas maneiras, ou ampliadas para satisfazer as necessidades atuais ou futuras.
Este Documento é uma introdução às técnicas selecionadas e compara as suas possíveis aplicações,
benefícios e limitações. Também fornece referências às fontes de informação mais detalhadas.
O público potencial para este Documento é:
● qualquer pessoa envolvida no processo de avaliação ou na gestão de riscos;
● pessoas que estão envolvidas no desenvolvimento de orientação que determine como os riscos
serão avaliados em contextos específicos;
● pessoas que precisam tomar decisões onde há incerteza, incluindo:
— aquelas que encomendam ou avaliam os processos de avaliação de riscos,
— aquelas que necessitam compreender os resultados dos processos de avaliação, e
— aquelas que precisam escolher técnicas de avaliação que satisfaçam uma necessidade
particular.
Organizações que precisam conduzir processos de avaliação de riscos para propósitos de compliance
ou conformidade podem se beneficiar do uso de técnicas formais, padronizadas e apropriadas para
o processo de avaliação de riscos.
xiv © IEC 2019 - © ABNT 2021 - Todos os direitos reservados

NORMA BRASILEIRA ABNT NBR IEC 31010:2021
Gestão de riscos ― Técnicas para o processo de avaliação de riscos
1 Escopo
Este Documento fornece orientações para a seleção e aplicação de técnicas para o processo de
avaliação de riscos em uma ampla série de situações. As técnicas são usadas para auxiliar na tomada
de decisões em que haja incerteza, fornecer informações sobre riscos específicos e como parte do
processo para a gestão de riscos. Este Documento fornece resumos de uma série de técnicas, com
referências a outros documentos em que as técnicas são descritas com mais detalhes.
2 Referências normativas
Os documentos a seguir são citados no texto de tal forma que seus conteúdos, totais ou parciais,
constituem requisitos para este Documento. Para referências datadas, aplicam-se somente as edições
citadas. Para referências não datadas, aplicam-se as edições mais recentes do referido documento
(incluindo emendas).
ABNT ISO Guia 73:2009, Gestão de riscos – Vocabulário
ABNT NBR ISO 31000:2018, Gestão de riscos – Diretrizes
3 Termos e definições
Para os efeitos deste documento, aplicam-se os termos e definições das ABNT NBR ISO 31000
e ABNT ISO Guia 73:2009, e os seguintes.
A ISO e a IEC mantêm as bases de dados terminológicos para uso na normalização nos seguintes
endereços:
● IEC Electropedia: disponível em http://www.electropedia.org/
● ISO Online browsing platform: disponível em http://www.iso.org/obp
3.1
probabilidade
chance de algo acontecer
Nota 1 de entrada: Na terminologia de gestão de riscos, a palavra “probabilidade” é usada para se referir
à chance de algo acontecer, não importando se definida, medida ou determinada, ainda que objetiva ou
subjetivamente, qualitativa ou quantitativamente, e se descrita utilizando-se termos gerais ou matemáticos
(como probabilidade ou uma frequência durante um determinado período de tempo).
Nota 2 de entrada: O termo em inglês “likelihood” não tem um equivalente direto em alguns idiomas; em
vez disso, o equivalente do termo “probability” é frequentemente usado. Entretanto, em inglês, “probability”
é muitas vezes interpretado estritamente como uma expressão matemática. Portanto, na terminologia de
gestão de riscos, convém que “likelihood” seja utilizado com a mesma ampla interpretação que o termo
“probability” tem em muitos outros idiomas, além do inglês.
[FONTE: ABNT NBR ISO 31000:2018, 3.7]
© IEC 2019 - © ABNT 2021 - Todos os direitos reservados 1

3.2
oportunidade
combinação de circunstâncias que se espera que sejam favoráveis aos objetivos
Nota 1 de entrada: Uma oportunidade é uma situação positiva em que o ganho é provável e sobre a qual se
tem um razoável nível de controle.
Nota 2 de entrada: Uma oportunidade para uma parte pode representar uma ameaça para outra.
Nota 3 de entrada: Aproveitar ou não aproveitar uma oportunidade são fontes de risco.
3.3
probabilidade
medida da chance de ocorrência, expressa como um número entre 0 e 1, onde 0 é impossibilidade e 1
é certeza absoluta
Nota 1 de entrada: Ver definição 3.1, Nota 2 de entrada.
3.4
fator de risco
condutor de risco
fator que tem uma grande influência no risco
3.5
ameaça
fonte potencial de perigo, dano ou outro resultado indesejável
Nota 1 de entrada: Uma ameaça é uma situação negativa em que a perda é provável e sobre a qual se tem
relativamente pouco controle.
Nota 2 de entrada: Uma ameaça para uma parte pode representar uma oportunidade para outra.
4 Conceitos centrais
4.1 Incerteza
Incerteza é um termo que abrange vários conceitos subjacentes. Muitas tentativas foram feitas,
e continuam sendo desenvolvidas, para categorizar os tipos de incertezas, incluindo:
● incerteza que reconhece a variabilidade intrínseca de alguns fenômenos e que não é possível que
seja reduzida por pesquisas adicionais, por exemplo, jogar dados (às vezes se refere a incertezas
aleatórias);
● incerteza que geralmente resulta da falta de conhecimento e que, portanto, pode ser reduzida
ao se reunirem mais dados, refinar modelos, aprimorar técnicas de amostragem etc. (às vezes
referida como incerteza epistêmica).
Outras comumente reconhecidas formas de incerteza incluem:
● incerteza linguística, que reconhece a imprecisão e a ambiguidade inerente à linguagem falada;
2 © IEC 2019 - © ABNT 2021 - Todos os direitos reservados

● incerteza da decisão, que tem relevância particular nas estratégias de gestão de riscos e que
identifica a incerteza associada aos sistemas de valores, julgamento profissional, valores das
companhias e normas sociais.
Exemplos de incerteza incluem:
● incerteza quanto à verdade das premissas, incluindo presunções sobre como as pessoas ou
sistemas podem se comportar;
● variabilidade nos parâmetros nos quais a decisão está baseada;
● incerteza na validade ou precisão dos modelos que foram estabelecidos para fazer previsões
sobre o futuro;
● eventos (incluindo mudanças em circunstâncias ou condições) cuja ocorrência, caráter ou

consequência sejam incertos;
● incerteza associada a eventos disruptivos;
● resultados incertos de questões sistêmicas, como escassez de pessoal competente, que podem
ter uma ampla gama de impactos, que não é possível determinar claramente;
● falta de conhecimento que surge quando a incerteza é reconhecida, mas não totalmente
compreendida;
● imprevisibilidade;
● incerteza resultante das limitações da mente humana, por exemplo, em compreender dados
complexos, prever situações com consequências de longo prazo ou fazer julgamentos sem
preconceitos.
Não é possível compreender toda incerteza e a significância da incerteza pode ser difícil ou impossível
de determinar ou influenciar.
Contudo, o reconhecimento de que a incerteza existe em um contexto específico, permite que sistemas
de alerta precoce sejam implementados para detectar mudanças de maneira proativa e oportuna, e
para tomar as providências para criar uma resiliência para lidar com as circunstâncias inesperadas.
4.2 Risco
Riscos incluem os efeitos de qualquer uma das formas de incerteza, descritas em 4.1, nos objetivos.
A incerteza pode levar a consequências positivas ou negativas, ou a ambas.
O risco é frequentemente descrito em termos de fontes de risco, eventos potenciais, suas

consequências e suas probabilidades. Um evento pode ter múltiplas causas e levar a múltiplas
consequências. As consequências podem ter um número de valores discretos, ser variáveis contínuas
ou ser desconhecidas. As consequências podem não ser discerníveis ou mensuráveis no início, mas
podem se acumular ao longo do tempo. As fontes de risco podem incluir a variabilidade inerente
ou incertezas, relacionadas a uma série de fatores, incluindo comportamento humano e estruturas
organizacionais ou influências sociais, para as quais pode ser difícil prever qualquer evento específico
que possa ocorrer. Nem sempre é possível tabular o risco facilmente como um conjunto de eventos,
suas consequências e suas probabilidades.

As técnicas para o processo de avaliação de riscos visam ajudar as pessoas a entender a incerteza
e o risco associado neste contexto amplo, complexo e diversificado, com o propósito de apoiar decisões
e ações mais bem informadas.
5 Utilização de técnicas para o processo de avaliação de riscos

As técnicas descritas neste Documento fornecem um meio para melhorar a compreensão da incerteza
e suas implicações para decisões e ações.
A ABNT NBR ISO 31000 descreve os princípios para a gestão de riscos e os fundamentos e arranjos
organizacionais que permitem que os riscos sejam gerenciados. Ela especifica um processo que
permite que o risco seja reconhecido, compreendido e modificado conforme necessário, de acordo
com critérios estabelecidos como parte do processo. Técnicas do processo de avaliação de riscos
podem ser aplicadas nessa abordagem estruturada, que envolve o estabelecimento do contexto,
o processo de avaliação de riscos e o tratamento de riscos, juntamente com monitoramento, análise
crítica, comunicação e consulta, registro e relato contínuos. Este processo é ilustrado na Figura A.1,
que também mostra exemplos de onde as técnicas podem ser aplicadas no processo.
No processo da ABNT NBR ISO 31000, o processo de avaliação de riscos envolve a identificação
dos riscos, sua análise e o uso do entendimento obtido com a análise para avaliar riscos, tirando
conclusões sobre a sua significância comparativa em relação aos objetivos e limites de desempenho
da organização. Este processo fornece entradas para as decisões sobre se um tratamento é requerido,
as prioridades de tratamento e as ações destinadas a tratar os riscos. Na prática, uma abordagem
iterativa é aplicada.
Técnicas do processo de avaliação de riscos descritas neste Documento são usadas
● onde é necessário um entendimento maior sobre quais riscos existem ou sobre um risco específico;
● dentro de um processo de gestão de riscos, levando a ações para tratar os riscos;
● dentro de uma decisão em que uma gama de opções, cada uma envolvendo riscos, precise ser
comparada ou otimizada.
Em particular, as técnicas podem ser usadas para:
● fornecer informações estruturadas para apoiar decisões e ações em que haja incerteza;
● esclarecer as implicações das premissas sobre o atingimento dos objetivos;
● comparar múltiplas opções, sistemas, tecnologias ou abordagens etc. em que haja incertezas
multifacetadas em torno de cada opção;
● auxiliar na determinação de objetivos estratégicos e operacionais realistas;
● ajudar a determinar os critérios de risco de uma organização, como limites de risco, apetite pelo
risco ou capacidade de suportar riscos;
● levar em conta o risco ao especificar ou analisar criticamente as prioridades;
● reconhecer e entender os riscos, incluindo os riscos que podem ter resultados extremos;

● entender quais incertezas são mais importantes para os objetivos de uma organização e fornecer
uma justificativa para o que convém que seja feito sobre elas;
● reconhecer e explorar as oportunidades com mais sucesso;
● articular os fatores que contribuem para o risco e por que eles são importantes;
● identificar ações de tratamento de riscos eficazes e eficientes;
● determinar o efeito modificador dos tratamentos de risco propostos, incluindo qualquer alteração
na natureza ou magnitude do risco;
● comunicar sobre riscos e suas implicações;
● aprender com fracassos e sucessos, a fim de melhorar a maneira como os riscos são gerenciados;
● demonstrar que os requisitos regulatórios e outros requisitos foram atendidos.
A maneira pela qual o risco é avaliado depende da complexidade e novidade da situação e do nível de
conhecimento e entendimento pertinentes.
● No caso mais simples, quando não há nada de novo ou de incomum em uma situação, o risco é
bem entendido, sem grandes implicações para as partes interessadas ou com consequências não
significativas, então as ações serão provavelmente decididas de acordo com regras e procedimentos
estabelecidos e com avaliações anteriores de risco.
● Para questões muito novas, complexas ou desafiadoras, nas quais haja alta incerteza e pouca
experiência, há pouca informação sobre em qual basear a avaliação, e as técnicas convencionais
de análise podem não ser úteis ou significativas. Isto também se aplica às circunstâncias em que
as partes interessadas mantêm opiniões fortemente divergentes. Nestes casos, várias técnicas
podem ser usadas para obter uma compreensão parcial do risco, com julgamentos feitos no
contexto de valores organizacionais e sociais e opiniões das partes interessadas.
As técnicas descritas neste Documento têm grande aplicação em situações entre esses dois extremos
em que a complexidade é moderada e há alguma informação disponível na qual basear-se a avaliação.
6 Implementação do processo de avaliação de riscos

6.1 Planejar o processo de avaliação
6.1.1 Definir propósito e escopo do processo de avaliação
Convém que o propósito do processo de avaliação seja estabelecido, incluindo a identificação das
decisões ou ações às quais está relacionado, os tomadores de decisão, as partes interessadas
e o tempo e natureza do resultado requerido (por exemplo, se é requerida informação qualitativa,
semiquantitativa ou quantitativa).
Convém que o escopo, a profundidade e o nível de detalhe do processo de avaliação sejam definidos,
com uma descrição do que está incluído ou excluído. Convém que os tipos de consequência a serem
incluídos no processo de avaliação sejam definidos. Convém que quaisquer condições, premissas,
restrições ou recursos necessários pertinentes para a atividade do processo de avaliação sejam
especificados.

6.1.2 Compreender o contexto
Ao realizar um processo de avaliação de riscos, convém que aqueles envolvidos estejam cientes de
circunstâncias mais amplas em que serão tomadas as decisões e ações com base no seu processo
de avaliação. Isto inclui compreender as questões internas e externas que contribuem para o contexto
da organização, bem como os aspectos sociais e ambientais mais amplos. Convém que qualquer
declaração de contexto pertinente seja analisada criticamente e verificada, para ver se é corrente
e apropriada. Compreender o contexto geral é particularmente importante quando há complexidade
significativa.
6.1.3 Engajar as partes interessadas
Convém que as partes interessadas e aquelas passíveis de estarem aptas a contribuir com
conhecimento útil ou visões pertinentes sejam identificadas e suas perspectivas consideradas, estejam
elas incluídas ou não como participantes no processo de avaliação. O envolvimento apropriado das
partes interessadas ajuda a garantir que a informação na qual o processo de avaliação de riscos
é baseado seja válida e aplicável, e que as partes interessadas compreendam as razões por trás das
decisões. O envolvimento das partes interessadas pode:
● fornece informação que permita compreender o contexto do processo de avaliação;
● juntar diferentes áreas do conhecimento e expertise para identificação e compreensão mais

efetivas do risco;
● fornecer expertise pertinente para o uso das técnicas;
● permitir que os interesses das partes interessadas sejam compreendidos e considerados;
● fornecer entradas ao processo de determinação de se um risco é aceitável, em particular quando

as partes interessadas são impactadas;
● cumprir qualquer requisito para que pessoas sejam informadas e consultadas;
● obter apoio para saídas e decisões oriundas do processo de avaliação de riscos;
● identificar lacunas no conhecimento que precisem ser tratadas antes do e/ou durante o processo
de avaliação de riscos. Convém que seja decidido como as saídas e resultados do processo
de avaliação de riscos podem ser comunicados às partes interessadas pertinentes de forma
confiável, precisa e transparente.
Técnicas para estimular a visão de partes interessadas e especialistas são descritas na Seção B.1.
6.1.4 Definir objetivos
Convém que os objetivos do sistema ou processo específico para o qual haverá um processo de
avaliação de risco sejam definidos e, quando possível, documentados. Isto irá facilitar a identificação
do risco e a compreensão de suas implicações.
Convém que, na medida do possível, os objetivos sejam:
● específicos ao assunto do processo de avaliação;
● mensuráveis tanto qualitativamente quanto quantitativamente;

● alcançáveis dentro das restrições impostas pelo contexto;
● pertinentes para os objetivos maiores ou contexto da organização;
● alcançáveis dentro do prazo estipulado.
6.1.5 Considerar fatores humanos, organizacionais e sociais
Convém que fatores humanos, organizacionais e sociais sejam explicitamente considerados e levados
em conta conforme apropriado. Aspectos humanos são pertinentes no processo de avaliação de riscos
nas seguintes maneiras:
● por meio de influências na maneira em que as técnicas são selecionadas e aplicadas;
● como uma fonte de incerteza;
● como a informação é interpretada e usada (por exemplo, por causa das diferentes percepções
de risco).
O desempenho humano (seja acima ou abaixo do esperado) é uma fonte de risco que pode também
afetar a efetividade dos controles. Convém que o potencial de desvio dos comportamentos esperados
ou presumidos seja especificamente considerado, quando do processo de avaliação de risco.
Considerações do desempenho humano são frequentemente complexas e opiniões de especialistas
podem ser requisitadas para identificar e analisar os aspectos humanos do risco.
Fatores humanos também influenciam a seleção e o uso de técnicas, em particular quando julgamentos
precisam ser feitos ou abordagens de equipe são usadas. Facilitação qualificada é necessária para
minimizar estas influências. Convém que tendências, como pensamentos de grupo e excesso de
confiança (por exemplo, em estimativas ou percepções), sejam tratadas. Convém que a opinião de
especialistas seja informada por evidências e dados sempre que possível e que esforços sejam feitos
para evitar ou minimizar preconceitos cognitivos.
Os objetivos e valores das pessoas podem variar e ser diferentes daqueles da organização. Isto pode
resultar em diferentes percepções acerca do nível de risco e diferentes critérios a partir dos quais os
indivíduos tomam decisões. Convém que a organização se esforce para atingir uma compreensão
comum do risco internamente e leve em conta as diferentes percepções das partes interessadas.
Aspectos sociais, incluindo posição socioeconômica, etnia e cultura de raça, gênero, relações sociais
e contexto residencial e da comunidade, podem afetar o risco tanto direta quanto indiretamente.
Impactos podem ser de longo termo e não visíveis imediatamente, e podem requerer uma perspectiva
de planejamento de longo termo.
6.1.6 Analisar criticamente os critérios para decisões
6.1.6.1 Generalidades
Convém que os critérios, incluindo os critérios de risco, que precisam ser levados em conta quando da
tomada de decisões, sejam analisados criticamente antes de se iniciar qualquer processo de avaliação.
Critérios podem ser qualitativos, semiquantitativos ou quantitativos. Em alguns casos, pode não
haver critérios explícitos especificados, e as partes interessadas podem utilizar seu julgamento para
responder aos resultados da análise.

Critérios pertinentes para análise crítica são:
● como será decidido se o risco é aceitável;
● como a significância relativa do risco será determinada;
● como o risco será levado em conta nas decisões sobre opções, onde cada opção é associada
a riscos múltiplos que podem ter consequências positivas ou negativas, ou ambas;
● como as relações entre riscos serão levadas em conta.
6.1.6.2 Critérios para decidir se um risco pode ser aceito
Critérios para determinar a natureza e a extensão de um risco que podem ser aceitos na busca
de objetivos, algumas vezes referenciados como apetite pelo risco, podem ser estabelecidos ao se
especificar uma técnica para determinar a magnitude do risco, ou um parâmetro relacionado ao risco,
junto com um limite após o qual o risco se torna inaceitável. O limite estabelecido para um risco
adverso inaceitável pode depender das recompensas potenciais.
A aceitabilidade do risco pode também ser determinada ao se especificar a variação aceitável

em medidas de desempenho específicas vinculadas aos objetivos.
Critérios diferentes podem ser especificados de acordo com o tipo de consequência. Por exemplo,
os critérios de uma organização para aceitar um risco financeiro podem divergir daqueles definidos
para risco à vida humana.
A seguir são apresentados exemplos de considerações usadas ao determinar se um risco pode

ser aceito.
● Capacidade de suportar um risco (CSR) (também chamada de capacidade de risco): a CSR

de uma organização é usualmente definida em termos do capital de risco, que está disponível
para absorver os efeitos adversos dos riscos. Para uma firma comercial, a capacidade pode ser
especificada em termos da capacidade máxima de retenção coberta pelos ativos, ou a maior
perda financeira que a companhia poderia suportar antes de declarar falência. Convém que
a CSR estimada seja razoavelmente testada por cenários de testes de estresse para prover um
nível fiável de confiança. O apetite pelo risco de uma organização reflete a disposição gerencial
de utilizar a CSR.
● ALARP/ALARA e SFAIRP: em algumas jurisdições, critérios legislativos para decisões sobre

tratamento de segurança relacionado a risco envolvem garantir que o risco de lesão ou de
problemas de saúde seja “tão baixo quanto razoavelmente praticável” (“as low as is reasonably
practicable” – ALARP), “tão baixo quanto razoavelmente atingível” (“as low as reasonably
achievable” – ALARA) ou demonstrando que controles minimizam o risco “na medida do possível”
(“so far as is reasonably practicable” - SFAIRP) (ver B.8.2).
● “Globalmente ao menos equivalente” (“Globally at least equivalent” – GALE) [globalement au

moins équivalent (GAME) [1]]: é considerado aceitável incrementar riscos com consequências
adversas de uma fonte particular, se puder ser demonstrado que esses riscos de outras fontes
decresceram em quantidade equivalente ou maior.
● Critérios de custo/benefício, como preço por vida salva ou retorno do investimento (return on
investment – ROI).

6.1.6.3 Critério para avaliação da significância de riscos
Os critérios de risco (os termos de referência sob os quais a significância do risco é determinada)
podem ser expressos em termos que envolvam qualquer uma das características e medidas de risco
elaboradas em 6.3.5 e 6.3.7. Considerações éticas, culturais, legais, sociais, de reputação, ambientais,
contratuais, financeiras e outras também podem ser pertinentes.
Uma avaliação da significância de um risco em comparação com outros riscos frequentemente

é baseada em uma estimativa da magnitude do risco em comparação com critérios diretamente
relacionados aos limites estabelecidos em torno dos objetivos da organização. A comparação com
estes critérios pode informar uma organização sobre quais riscos convém focar no tratamento, com
base em seu potencial de direcionar resultados fora dos limites estabelecidos em torno dos objetivos.
A magnitude do risco raramente é o único critério pertinente para as decisões sobre a significância do
risco. Outros fatores pertinentes podem incluir sustentabilidade (por exemplo, triple bottom line – tripé
da sustentabilidade) e resiliência, critérios éticos e legais, eficácia dos controles, impacto máximo se
os controles não estiverem presentes ou falharem, tempo das consequências, custos dos controles
e opiniões das partes interessadas.
Técnicas para avaliar a significância do risco estão descritas na Seção B.8.
6.1.6.4 Critérios para decisão entre opções
Uma organização será confrontada com muitas decisões em que vários objetivos, muitas vezes
concorrentes, são potencialmente afetados, e há possíveis resultados adversos e benefícios a serem
considerados. Para tais decisões, vários critérios podem precisar ser atendidos e trade-offs entre
objetivos concorrentes podem ser necessários. Convém que os critérios pertinentes para a decisão
sejam identificados e convém que a maneira pela qual os critérios ponderados ou trade-offs feitos
de outra maneira seja decidida e contabilizada, e as informações registradas e compartilhadas. Na
determinação de critérios, convém que seja considerada a possibilidade de que custos e benefícios
podem diferir para diferentes partes interessadas. Convém que se decida a maneira pela qual diferentes
formas de incerteza sejam levadas em consideração.
As técnicas da Seção B.9 abordam a seleção entre as opções.
6.2 Gerenciar informações e desenvolver modelos
6.2.1 Generalidades
Antes e durante um processo de avaliação de riscos, convém que informações pertinentes sejam
obtidas. Estas informações fornecem entradas para análises estatísticas, modelos ou técnicas
descritas nos Anexos A e B. Em alguns casos, as informações podem ser usadas pelos tomadores de
decisão sem análises adicionais.
As informações necessárias em cada ponto dependem dos resultados da coleta anterior de informações,
do objetivo e do escopo da avaliação e do(s) método(s) a ser(em) usado(s) para análise. Convém que
seja decidida a maneira como as informações devem ser coletadas, armazenadas e disponibilizadas.
Convém que se decida quais os registros das saídas da avaliação que devem ser mantidos, juntamente
com a forma como esses registros devem ser feitos, armazenados, atualizados e fornecidos a quem
possa precisar deles. Convém que as fontes das informações sejam sempre indicadas.

6.2.2 Coleta de informações
Informações podem ser coletadas de fontes como análises críticas de literatura, observações
e opinião de especialistas. Os dados podem ser coletados ou derivados, por exemplo, de medições,
experimentos, entrevistas e pesquisas.
Normalmente, os dados representam, direta ou indiretamente, perdas ou benefícios passados.

Os exemplos incluem falhas ou sucessos do projeto, número de reclamações, ganhos ou perdas
financeiras, impactos na saúde, lesões e fatalidades etc. Informações adicionais também podem estar
disponíveis, como causas de falhas ou sucessos, fontes de reclamações, natureza das lesões etc.
Os dados também podem incluir a saída de modelos ou outras técnicas de análise.
Convém que o seguinte seja decidido:
● fonte de informação e sua confiabilidade;
● tipo [por exemplo, se é qualitativo, quantitativo ou ambos (ver 6.3.7.1)];
● nível (por exemplo, estratégico, tático, operacional);
● quantidade e qualidade dos dados necessários;
● metodologia de coleta;
● nível de confidencialidade.
Quando os dados a serem analisados são obtidos a partir da amostragem, convém que a confiança
estatística necessária seja declarada para que dados suficientes sejam coletados. Quando nenhuma
análise estatística for necessária, convém que isto seja declarado.
Se os dados ou resultados de avaliações anteriores estiverem disponíveis, convém que primeiro

se determine se houve alguma mudança no contexto e, se houver, se os dados ou resultados anteriores
permaneceram pertinentes.
Convém que a validade, confiabilidade e limitações de qualquer informação a ser usada na avaliação
sejam avaliadas, levando em consideração:
● idade e relevância da informação;
● fonte de informação e métodos usados para coletá-la;
● incertezas e lacunas nas informações;
● autoridade ou proveniência de informações, conjuntos de dados, algoritmos e modelos.
6.2.3 Análise de dados
A análise de dados pode fornecer:
● uma compreensão das consequências passadas e sua probabilidade de aprender com a experiência;
● tendências e padrões, incluindo periodicidades, que fornecem uma indicação do que pode
influenciar o futuro;

● correlações que podem dar indicações de possíveis relacionamentos causais para validação
adicional.
Convém que limitações e incertezas nos dados sejam identificadas e entendidas.
Não é possível presumir que os dados passados continuem sendo aplicados no futuro, mas eles
podem dar uma indicação aos tomadores de decisão sobre o que é mais ou menos provável de
ocorrer no futuro.
6.2.4 Desenvolvimento e aplicação de modelos
6.2.4.1 Generalidades
Um modelo é uma representação aproximada da realidade. Seu objetivo é transformar o que pode
ser uma situação inerentemente complexa em termos mais simples que podem ser analisados mais
facilmente. Um modelo pode ser usado para ajudar a entender o significado dos dados e simular
o que pode acontecer na prática, sob diferentes condições. Um modelo pode ser físico, representado
em software ou um conjunto de relacionamentos matemáticos.
A modelagem geralmente inclui as seguintes etapas:
● descrever o problema;
● descrever o propósito de construir um modelo e os resultados desejados;
● desenvolver um modelo conceitual do problema;
● construir uma representação física, de software ou matemática do modelo conceitual;
● desenvolver um software ou outras ferramentas para analisar como o modelo se comporta;
● processar dados;
● validar ou calibrar o modelo, analisando criticamente as saídas para situações conhecidas;
● tirar conclusões do modelo sobre o problema do mundo real.
Cada uma dessas etapas pode envolver aproximações, premissas e opinião de especialistas e (se
possível) convém que elas sejam validadas por pessoas independentes dos desenvolvedores. Convém
que as premissas críticas sejam analisadas criticamente, com base nas informações disponíveis para
avaliar a sua credibilidade.
Para obter resultados confiáveis ao usar modelos, convém que o seguinte seja validado:
● o modelo conceitual representa adequadamente a situação que está sendo avaliada;
● o modelo está sendo usado dentro dos limites contextuais para os quais foi projetado;
● conceitos teóricos subjacentes ao modelo e quaisquer cálculos associados são bem

compreendidos;
● a seleção de parâmetros e de representações matemáticas dos conceitos é sólida;
● os cálculos subjacentes da matemática são bem compreendidos;

● os dados de entrada são precisos e confiáveis, ou a natureza do modelo leva em consideração a

confiabilidade dos dados de entrada usados;
● o modelo opera como planejado, sem erros ou bugs internos;
● o modelo é estável e não excessivamente sensível a pequenas mudanças nas principais entradas.
Isto pode ser alcançado por:
● realizar uma análise de sensibilidade para verificar a sensibilidade do modelo às alterações nos
parâmetros de entrada;
● realizar teste de estresse do modelo, com cenários específicos, geralmente cenários extremos;
● comparar resultados com dados passados (além daqueles a partir dos quais foram desenvolvidos);
● verificar se resultados semelhantes são obtidos quando o modelo é executado por pessoas
diferentes;
● verificar as saídas em relação ao desempenho real.
Convém que a documentação compreensível do modelo e as teorias e premissas em que se baseia

sejam mantidas o suficiente para permitir a validação do modelo.
6.2.4.2 Uso de software para análise
Os programas de software podem ser usados para representar e organizar dados ou para analisá-los.
Programas usados para modelagem e análise geralmente fornecem uma interface de usuário simples
e uma saída rápida, mas essas características podem levar a resultados inválidos, que passam
despercebidos pelo usuário.
Resultados inválidos podem surgir devido a:
● inadequações nos algoritmos usados para representar a situação;
● premissas feitas no projeto e no uso do modelo subjacente ao software;
● erros na entrada de dados, incluindo mal-entendidos sobre o seu significado;
● problemas de conversão de dados quando um novo software é usado;
● má interpretação dos resultados.
O software comercial geralmente é uma caixa preta (confidencialidade comercial) e pode conter algum
tipo de erro.
Convém que o novo software seja testado usando um modelo simples, com entradas que tenham uma
saída conhecida, antes de avançar para testar modelos mais complexos. Convém que os detalhes do
teste sejam mantidos para uso em atualizações futuras da versão ou para novos programas de análise
de software.
Os erros no modelo construído podem ser verificados aumentando-se ou diminuindo-se um valor de

entrada para determinar se a saída responde conforme o esperado. Isso pode ser aplicado a cada
uma das várias entradas. Os erros de entrada de dados são frequentemente identificados ao se

variarem as entradas de dados. Essa abordagem também fornece informações sobre a sensibilidade
do modelo quanto às variações de dados.
Recomenda-se uma boa compreensão da matemática pertinente para uma análise específica, de
forma a evitar conclusões errôneas. Não apenas os erros acima são prováveis, mas também a seleção
de um programa específico pode não ser apropriada. É fácil seguir um programa e presumir que
a resposta estará correta. Convém que sejam reunidas evidências para verificar se os resultados são
razoáveis.
6.3 Aplicar técnicas para o processo de avaliação de riscos
6.3.1 Visão geral
As técnicas descritas nos Anexos A e B são usadas para desenvolver uma compreensão do risco
como uma contribuição para decisões em que há incerteza, incluindo decisões sobre se e como tratar
os riscos.
Técnicas de avaliação podem ser usadas para:
● identificar riscos (ver 6.3.2);
● determinar causas, fontes e fatores de risco e o nível de exposição a eles (ver 6.3.3);
● investigar a eficácia geral dos controles e o efeito modificador dos tratamentos de riscos propostos
(ver 6.3.4);
● entender as consequências e a probabilidade (ver 6.3.5);
● analisar interações e dependências (ver 6.3.6);
● fornecer uma medida de risco (ver 6.3.7).
Os fatores a serem considerados ao selecionar uma técnica específica para essas atividades são
descritos na Seção 7.
Em geral, a análise pode ser descritiva (como um relatório de uma análise crítica de literatura, uma
análise de cenários ou uma descrição das consequências) ou quantitativa, em que os dados são
analisados para produzir valores numéricos. Em alguns casos, escalas de classificação podem ser
aplicadas para comparar riscos específicos.
Convém que a maneira pela qual o risco é avaliado e a forma do resultado sejam compatíveis com
algum critério . Por exemplo, critérios quantitativos requerem uma técnica de análise quantitativa que
produza uma saída em unidades apropriadas.
Convém que operações matemáticas sejam usadas apenas se as métricas escolhidas permitirem.
Em geral, convém que operações matemáticas não sejam usadas com escalas ordinais. Mesmo
em situação de análise totalmente quantitativa, os valores de entrada são geralmente estimativos.
Convém que um nível de exatidão e precisão não seja atribuído a resultados além daquele consistente
com os dados e métodos empregados.

6.3.2 Identificação de riscos
A identificação de riscos permite que a incerteza seja explicitamente levada em consideração. Todas
as fontes de incerteza e tanto os efeitos benéficos como os prejudiciais podem ser pertinentes,
dependendo do contexto e do escopo da avaliação.
As técnicas para identificar riscos geralmente fazem uso do conhecimento e da experiência de uma
variedade de partes interessadas (ver B.1.1). Elas incluem considerar:
● que a incerteza existe e quais podem ser os seus efeitos;
● quais circunstâncias ou condições (tangíveis ou intangíveis) têm potencial para futuras

consequências;
● quais fontes de risco estão presentes ou podem se desenvolver;
● quais controles estão em vigor e se são eficazes;
● o que, como, quando, onde e por que eventos e consequências podem ocorrer;
● o que aconteceu no passado e como isso pode se relacionar razoavelmente com o futuro;
● quais aspectos humanos e fatores organizacionais podem ser aplicados.
Pesquisas físicas também podem ser úteis para identificar fontes de risco ou sinais precoces de
alertas de potenciais consequências.
A saída da identificação de riscos pode ser registrada como uma lista de riscos, com eventos, causas
e consequências especificados ou usando outros formatos adequados.
Quaisquer que sejam as técnicas usadas, convém que a identificação de riscos seja abordada
metodicamente e iterativamente, para que seja completa e eficiente. Convém que o risco seja
identificado com antecedência suficiente para permitir que ações sejam tomadas sempre que possível.
No entanto, há ocasiões em que é possível que alguns riscos não sejam identificados durante um
processo de avaliação de riscos. Por conseguinte, convém que seja criado um mecanismo para
capturar riscos emergentes e reconhecer precocemente os sinais de alerta de sucesso ou fracasso
em potencial.
As técnicas para identificar riscos são descritas na Seção B.2.
6.3.3 Determinação de fontes, causas e fatores de risco
A identificação de fontes, causas e fatores de risco pode:
● contribuir para estimar a probabilidade de um evento ou consequência;
● ajudar a identificar tratamentos que modifiquem o risco;
● auxiliar na determinação de indicadores de alerta precoce e detecção de seus limites de referência;
● determinar causas comuns que podem ajudar a desenvolver prioridades para o tratamento de
riscos.

As fontes de risco podem incluir eventos, decisões, ações e processos, favoráveis e desfavoráveis,
bem como situações que existem, mas nas quais os resultados são incertos. Qualquer forma de
incerteza descrita em 4.1 pode ser uma fonte de risco.
Eventos e consequências podem ter múltiplas causas ou cadeias causais.
Muitas vezes, o risco só pode ser controlado pela modificação dos fatores de risco. Eles influenciam
o status e desenvolvimento de exposições a riscos e geralmente afetam mais de um risco. Como
resultado, os fatores de risco muitas vezes precisam de mais atenção do que as fontes de riscos
individuais.
Técnicas para determinar fontes, causas e fatores de risco estão descritas na Seção B.3.
6.3.4 Investigação da eficácia dos controles existentes
O risco é afetado pela eficácia geral de todos os controles existentes. Convém que os seguintes
aspectos dos controles sejam considerados:
● o mecanismo pelo qual os controles se destinam a modificar o risco;
● se os controles existentes são capazes de operar como planejado e se estão alcançando os

resultados esperados;
● se existem deficiências no projeto dos controles ou na forma como eles são aplicados;
● se existem lacunas nos controles;
● se os controles funcionam independentemente ou se precisam funcionar coletivamente para

serem eficazes;
● se existem fatores, condições, vulnerabilidades ou circunstâncias que podem reduzir ou eliminar

a eficácia do controle, incluindo falhas de causa comuns;
● se os próprios controles introduzem riscos adicionais.
NOTA Um risco pode ter mais de um controle, e os controles podem afetar mais de um risco.
Convém fazer uma distinção entre os controles que alteram a probabilidade, as consequências ou
ambas, e os controles que mudam a forma como o ônus do risco é compartilhado entre as partes
interessadas. Por exemplo, seguros e outras formas de financiamento de risco não afetam diretamente
a probabilidade de um evento ou de seus resultados, mas podem tornar algumas das consequências
mais toleráveis para uma determinada parte interessada, reduzindo sua extensão ou suavizando o
fluxo de caixa.
Convém que quaisquer premissas feitas durante a análise de risco sobre o efeito real e a confiabilidade
dos controles seja validada sempre que possível, com ênfase particular em indivíduos ou combinações
de controles que se supõe que tenham um efeito substancial de modificação. Convém considerar
informações obtidas por meio do monitoramento e análise crítica rotineiras dos controles.
Técnicas para analisar controles são descritas na Seção B.4.

6.3.5 Entendimento de consequências e probabilidades
6.3.5.1 Análise de tipo, magnitude e tempo das consequências
A análise de consequências pode variar de uma descrição dos resultados a uma modelagem quantitativa
detalhada ou análise de vulnerabilidade. Convém que sejam considerados efeitos consequentes
(efeitos dominó ou em cadeia) quando uma consequência levar a outra, quando pertinente.
O risco pode ser associado a vários tipos diferentes de consequências, impactando diferentes
objetivos. Convém que os tipos de consequências a serem analisadas tenham sido decididos no
planejamento da avaliação. Convém que a declaração de contexto seja verificada para garantir que as
consequências a serem analisadas estejam alinhadas com o propósito da avaliação e que as decisões
sejam tomadas. Isso pode ser revisitado, durante a avaliação, quanto mais for aprendido. A magnitude
das consequências pode ser expressada quantitativamente como um valor pontual ou como uma
distribuição. Uma distribuição pode ser apropriada onde:
• o valor da consequência é incerto;
• as consequências variam, dependendo das circunstâncias;
• os parâmetros que afetam as consequências variam. A consideração da distribuição completa

associada a uma consequência fornece informações completas. É possível resumir a distribuição
na forma de um valor pontual como o valor esperado (média), variação (variância) ou a porcentagem
na cauda ou algum outro valor pertinente da distribuição (percentil).
Para qualquer método para obter um valor pontual ou valores para representar uma distribuição de
consequências, existem premissas e incertezas subjacentes sobre:
• a forma da distribuição escolhida para ajustar os dados (por exemplo, contínua ou discreta, normal
ou altamente inclinada);
• a maneira mais apropriada de representar essa distribuição como um valor pontual;
• o valor da estimativa pontual devido a incertezas inerentes aos dados a partir dos quais
a distribuição foi produzida.
Convém que não seja presumido que os dados pertinentes ao risco sigam necessariamente uma
distribuição normal.
Em alguns casos, as informações podem ser resumidas como uma classificação qualitativa ou
semiquantitativa que pode ser usada na comparação de riscos.
A magnitude das consequências também pode variar de acordo com outros parâmetros. Por exemplo,
as consequências para a saúde da exposição a um produto químico geralmente dependem da dose
à qual a pessoa ou outra espécie está exposta. Para este exemplo, o risco é geralmente representado
por uma curva de resposta à dose que representa a probabilidade de um ponto final especificado (por
exemplo, morte) em função de uma dose de curto prazo ou acumulada.
As consequências também podem mudar com o tempo. Por exemplo, os impactos adversos de
uma falha podem se tornar mais graves por quanto mais tempo a falha existir. Convém que técnicas
apropriadas sejam selecionadas para levar isso em consideração.

Às vezes, as consequências resultam da exposição a várias fontes de risco, por exemplo, efeitos
ambientais ou na saúde humana decorrentes da exposição a fontes de riscos biológicos, químicos,
físicos e psicossociais. Ao considerar exposições múltiplas, convém levar em consideração
a possibilidade de efeitos sinérgicos, bem como a influência da duração e a extensão da exposição.
6.3.5.2 Análise de probabilidade
Probabilidade pode se referir à probabilidade de um evento ou à probabilidade de uma consequência

especificada. Convém que o parâmetro ao qual um valor de probabilidade se aplica seja explicitamente
declarado e convém que o evento ou consequência cuja probabilidade está sendo declarada seja
definida de forma clara e precisa. Pode ser necessário incluir uma declaração sobre exposição
e duração para definir completamente a probabilidade.
A probabilidade pode ser descrita de várias maneiras, incluindo como uma probabilidade ou frequência
esperadas ou em termos descritivos (por exemplo, “altamente provável”). Quando um termo descritivo
é usado, convém que o seu significado seja determinado. Pode haver incerteza na probabilidade que
pode ser mostrada como uma distribuição de valores que representam o grau de crença de que um
determinado valor ocorrerá.
Quando uma porcentagem é usada como uma medida de probabilidade, convém que a natureza da
relação à qual a porcentagem se aplica seja declarada.
EXEMPLO 1 A declaração de que a chance de um fornecedor não entregar é de 5 % é vaga tanto em

termos de período de tempo como de população. Também não está claro se o percentual se refere a 5 % dos
projetos ou a 5 % dos fornecedores. Uma declaração mais explícita seria “a probabilidade de um ou mais
fornecedores não entregar os bens ou serviços necessários a um projeto durante a vida útil de um projeto
é de 5 % dos projetos”.
Para minimizar interpretações errôneas ao expressar probabilidade, qualitativa ou quantitativamente,

convém que o período de tempo e a população em questão sejam explícitos e consistentes com
o escopo da avaliação específica.
EXEMPLO 2 A probabilidade de um ou mais fornecedores não entregar os bens ou serviços necessários

a um projeto nos próximos dois meses é de 1 % dos projetos, enquanto em uma escala de seis meses pode
ocorrer falha em 3 % dos projetos.
Existem muitos preconceitos possíveis que podem influenciar as estimativas de probabilidade. Além
disso, a interpretação da estimativa de probabilidade pode variar, dependendo do contexto em que está
enquadrada. Convém tomar cuidado para entender os possíveis efeitos de preconceitos individuais
(cognitivos) e culturais.
Técnicas para entender as consequências e a probabilidade são descritas na Seção B.5.
6.3.6 Análise de interações e dependências
Em geral, existem diversas interações e dependências entre riscos. Por exemplo, várias consequências
podem ser originadas de uma única causa ou uma consequência em particular pode ter diversas
causas. A ocorrência de alguns riscos pode tornar a ocorrência de outros mais ou menos provável,
e esses links causais podem formar cascatas ou loops.
Para obter uma avaliação mais confiável do risco, onde os vínculos causais entre os riscos são
significativos, a criação de um modelo causal que incorpore os riscos de alguma forma pode ser útil.
Temas comuns podem ser encontrados nas informações de risco, como causas, fatores de risco ou
resultados comuns.

As interações entre riscos podem ter uma série de impactos na tomada de decisões, por exemplo,
no aumento da importância de atividades que abrangem vários riscos conectados ou no aumento
da atratividade de uma opção sobre outras. Os riscos podem ser suscetíveis a tratamentos comuns
ou pode haver situações em que tratar um risco tenha implicações positivas ou negativas em outras
partes. As ações de tratamento podem ser consolidadas, em determinados casos, para reduzir
significativamente a quantidade de trabalho e equilibrar com mais eficácia os recursos disponíveis.
Convém que um plano de tratamento coordenado leve em conta estes fatores, em vez de assumir que
cada risco seja tratado de forma independente.
Técnicas para analisar interações e dependências estão descritas na Seção B.6.
6.3.7 Compreensão das medidas de risco
6.3.7.1 Determinação de medidas de risco
Em algumas situações, é válido fornecer uma medida de risco como uma combinação da extensão
das possíveis consequências e da probabilidade dessas consequências. Isso pode abranger medidas
qualitativas, semiquantitativas ou quantitativas.
• As abordagens qualitativas geralmente são baseadas em escalas descritivas (nominais) ou de

classificação (ordinais) para consequências e probabilidades.
• As abordagens semiquantitativas são assim classificadas, quando:
 um parâmetro (geralmente probabilidade) é expresso quantitativamente e o outro é descrito

ou expresso em uma escala de classificação;
 as escalas são divididas em faixas discretas, cujos limites são expressos quantitativamente.
Pontos na escala geralmente são configurados para ter um relacionamento logarítmico que
se ajuste aos dados;
 descritores numéricos são adicionados aos pontos de escala, cujos significados são descritos
qualitativamente.
O uso de escalas semiquantitativas pode levar a interpretações incorretas, se a base de qualquer

cálculo não for explicada com cuidado. Portanto, convém que abordagens semiquantitativas sejam
validadas e usadas com atenção.
• As abordagens quantitativas usam medidas de consequências e probabilidades expressas em

escalas numéricas (razão). Nos casos em que um risco é analisado em termos quantitativos,
convém garantir que unidades e dimensões apropriadas sejam alimentadas e usadas durante
a avaliação.
Técnicas qualitativas e semiquantitativas podem ser usadas apenas para comparar riscos com outros
riscos medidos da mesma maneira ou com critérios expressos nas mesmas bases. Não é possível
que eles sejam usados para combinar ou agregar riscos diretamente, e eles são muito difíceis de
serem usados em situações em que haja ambas as consequências positivas e negativas, ou quando
for necessário fazer trade-offs entre riscos.
Quando estimativas quantitativas de uma consequência e sua probabilidade são combinadas em um

resultado para fornecer a magnitude para determinado risco, informações podem ser perdidas. Em
particular, não há uma distinção entre riscos com alta consequência e baixa probabilidade daqueles
com baixa consequência e alta probabilidade. Para que haja uma compensação a isso, pode ser

aplicado um fator de ponderação à consequência ou à probabilidade; porém, convém que este recurso
seja usado com cuidado.
O risco nem sempre pode ser descrito de forma adequada ou estimado como um único valor
representando a probabilidade de uma determinada consequência. Exemplos nos quais isso se aplica
incluem situações em que:
● as consequências são melhor expressas como uma distribuição de probabilidade das

consequências;
● um evento tem várias causas diferentes e leva a uma série de resultados e possíveis efeitos
consequentes;
● as consequências surgem cumulativamente da exposição contínua a uma fonte de risco;
● fontes de risco (como problemas sistêmicos) são identificáveis, mas é muito difícil especificar a
natureza e/ou a probabilidade das consequências que possam surgir. (Nesse caso, estimar uma
magnitude válida para o risco em termos de probabilidade e consequência se torna impossível.)
Quando um risco tem uma distribuição de possíveis consequências, uma medida do risco pode ser
obtida como a média ponderada das probabilidades das consequências (isto é, o valor esperado). No
entanto, isso nem sempre pode ser uma boa medida de risco, pois reflete a consequência média da
distribuição. Isso resulta na perda de informações sobre consequências menos prováveis que podem
ser graves, portanto, importantes para a compreensão do risco. Técnicas para lidar com valores
extremos não estão incluídas neste Documento.
NOTA Um valor esperado ou expectativa de valor é equivalente à soma de todos os pares de consequência/
probabilidade em uma distribuição, o que equivale a usar a consequência média da distribuição.
Exemplos de métricas quantitativas da magnitude de um risco incluem:
● uma frequência esperada de ocorrência de uma consequência específica, como o número de

acidentes de veículo por 1 000 km percorridos em uma região;
● o tempo esperado entre determinados eventos, como o tempo médio de funcionamento de um

item;
● uma probabilidade de alcance de um marco final durante um período determinado de exposição

(pertinente quando as consequências se acumulam ao longo de um período de exposição), como
a probabilidade de contrair câncer durante a vida toda, como resultado da exposição a uma
determinada dose de um produto químico;
● um valor esperado, como retornos ou ganhos financeiros esperados ao longo do período de

investimento ou a carga máxima esperada na saúde pública em termos de anos de vida perdidos,
ajustados por incapacidade por milhão de pessoas anualmente;
NOTA BRASILEIRA O termo “anos de vida perdidos ajustados por incapacidade” é conhecido em inglês
como “DALY”.
● uma estatística representando o formato de uma distribuição de consequências, como a variação

ou volatilidade dos retornos de um investimento;

● um valor igual, superior ou inferior a um percentil especificado em uma distribuição de consequências;
EXEMPLO Determinado lucro de um projeto com chance de 90 % de ser alcançado; ou o Valor em

Risco (VaR) de um portifólio que mede a perda que pode ocorrer durante um determinado período de
tempo, com uma determinada probabilidade.
• uma medida extrema associada à distribuição de consequências, como as consequências

máximas esperadas.
As métricas baseadas em consequência, como a perda máxima esperada ou a perda máxima provável,
são usadas principalmente quando é difícil determinar quais controles têm a capacidade de falhar
ou onde há dados insuficientes para dar base às estimativas de probabilidade.
A magnitude do risco depende das premissas usadas sobre a presença e a eficácia dos respectivos
controles. Termos como risco inerente ou risco bruto (para a situação em que se supõe que os controles
que possam falhar, acabem falhando) e risco residual ou risco líquido, para o nível de um risco onde
se supõe que os controles operem conforme o pretendido, são palavras frequentemente usadas pelos
profissionais. No entanto, é difícil definir esses termos sem ambiguidade e, portanto, é aconselhável
sempre declarar explicitamente as premissas usadas em relação aos controles.
Ao relatar uma magnitude de risco, qualitativa ou quantitativamente, convém que as incertezas

associadas às premissas e aos parâmetros de entrada e saída sejam descritas.
6.3.7.2 Agregação de medidas de risco
Em alguns casos (como na alocação de capital), pode ser útil combinar valores para um conjunto
de riscos para produzir um único valor. Desde que os riscos sejam caracterizados por uma única
consequência, medidos nas mesmas unidades, como valor monetário, eles podem, em princípio, ser
combinados. Isto é, eles podem ser combinados somente quando as consequências e a probabilidade
são declaradas quantitativamente e as unidades são consistentes e corretas. Em algumas situações,
uma medida útil pode ser usada como escala comum para quantificar e combinar consequências
medidas em diferentes unidades.
O desenvolvimento de um único valor consolidado para um conjunto de riscos mais complexos perde
informações sobre os riscos do componente. Além disso, a menos que seja tomado muito cuidado,
o valor consolidado pode ser impreciso e com potencial para enganar. Todos os métodos de agregação
de riscos em um único valor têm premissas subjacentes que convém que sejam entendidas antes de
serem aplicadas. Convém que os dados sejam analisados para buscar correlações e dependências
que afetarão a forma como os riscos se combinam.
Convém que as técnicas de modelagem usadas para produzir um nível agregado de risco sejam
apoiadas por uma análise de cenários e teste de estresse.
Onde modelos incorporam cálculos envolvendo distribuições, convém que eles incluam correlações
entre essas distribuições de maneira apropriada. Se a correlação não for levada em consideração
adequadamente, os resultados serão imprecisos e podem ser muito enganadores. A consolidação
simplesmente adicionando-os não é uma base confiável para a tomada de decisões e pode levar
a resultados indesejados. A simulação de Monte Carlo pode ser usada para combinar distribuições
(ver B.5.10).
Não é possível agregar diretamente medidas qualitativas ou semiquantitativas de risco. Da mesma

forma, apenas declarações qualitativas gerais podem ser feitas sobre a eficácia relativa dos controles
em medidas qualitativas ou semiquantitativas de mudanças no nível de risco.

Dados pertinentes sobre diferentes riscos podem ser reunidos de várias maneiras para ajudar
aos tomadores de decisão. É possível realizar uma agregação qualitativa baseada na opinião de
especialistas, levando em consideração as informações de risco mais detalhadas. Convém que as
premissas feitas e as informações usadas para conduzir agregações qualitativas de risco sejam
claramente articuladas.
6.3.7.3 Risco da sociedade
Nos casos em que uma população é exposta a riscos, uma simples agregação do nível individual de
risco ao se multiplicar pela população exposta, na maioria dos casos, não representa adequadamente
o verdadeiro impacto das consequências. Por exemplo, o risco de uma fatalidade de um indivíduo
em um evento como como uma falha em barreira pode precisar ser considerado diferente do mesmo
evento que afeta um grupo de indivíduos juntos.
O risco da sociedade é tipicamente expresso e avaliado em termos da relação entre a frequência de

ocorrência de uma consequência (F) e o número de pessoas portadoras da consequência (N). (Ver
os diagramas F-N em B.8.3).
As técnicas que fornecem uma medida de risco são descritas na Seção B.7.
6.4 Análise crítica da análise
6.4.1 Verificação e validação de resultados
Onde praticável, convém que os resultados da análise sejam verificados e validados. A verificação
envolve verificar se a análise foi feita corretamente. A validação envolve verificar se uma análise
correta foi realizada para atingir os objetivos requeridos. Para algumas situações, a verificação
e a validação podem envolver processos de análises críticas independentes.
A validação pode incluir:
● verificar se o escopo da análise é apropriado para os objetivos declarados;
● analisar criticamente todas as premissas críticas para assegurar a sua credibilidade à luz das
informações disponíveis;
● verificar quais métodos, modelos e dados apropriados foram usados;
● utilizar múltiplos métodos, estimativas e análise de sensibilidade para testar e validar conclusões.
A verificação pode incluir:
● verificar a validade de manipulações e cálculos matemáticos;
● verificar se os resultados são indiferentes à maneira como os dados ou resultados são exibidos
ou apresentados;
● comparar resultados com experiências anteriores em que existam dados em comparação com
resultados após a ocorrência;
● estabelecer se os resultados são sensíveis à maneira como os dados ou resultados são exibidos
ou apresentados, para identificar parâmetros de entrada que tenham um efeito significativo nos
resultados da avaliação;

● comparar resultados com experiências passadas ou subsequentes, incluindo obter explicitamente

feedbacks à medida que o tempo avança.
6.4.2 Análise de incerteza e sensibilidade
Convém que aqueles que analisam o risco entendam as incertezas da análise e apreciem as implicações
para a confiabilidade dos resultados. Convém que as incertezas e suas implicações sejam sempre
comunicadas aos tomadores de decisão.
A incerteza nos resultados da análise pode surgir porque:
● existe variabilidade no sistema sendo considerado;
● os dados são de uma fonte não confiável, inconsistente ou insuficiente - por exemplo, os tipos de
dados coletados ou os métodos de coleta podem ter sido alterados;
● pode haver ambiguidade, por exemplo, na maneira como os descritores qualitativos são declarados
ou entendidos;
● o método de análise não representa adequadamente a complexidade do sistema;
● existe uma grande confiança na opinião ou julgamento de especialistas;
● os dados pertinentes podem não existir ou a organização pode não ter coletado os dados
necessários;
● os dados do passado podem não fornecer uma base confiável para prever o futuro, porque algo
dentro do contexto ou das circunstâncias mudou;
● existem incertezas ou aproximações nas premissas feitas.
Quando uma falta de dados confiáveis é reconhecida durante a análise, convém que mais dados sejam
coletados, se praticável. Isso pode envolver a implementação de novos arranjos de monitoramento.
Alternativamente, convém que o processo de análise seja ajustado para levar em conta as limitações
dos dados.
Uma análise de sensibilidade pode ser realizada para avaliar a importância das incertezas nos dados
ou nas premissas subjacentes à análise. A análise de sensibilidade envolve a determinação da relativa
alteração nos resultados causados por alterações nos parâmetros de entrada individuais. É usada
para identificar dados que precisam ser precisos e aqueles que são menos sensíveis e, portanto, têm
menos efeito sobre a precisão geral. Convém que parâmetros aos quais a análise é sensível e o grau
da sensibilidade sejam declarados, quando apropriado.
Convém que os parâmetros críticos para a avaliação e sujeitos a alterações sejam identificados para
monitoramento contínuo, para que o processo de avaliação de riscos possa ser atualizado e, se
necessário, as decisões reconsideradas.
6.4.3 Monitoramento e análise crítica
O monitoramento pode ser usado:
● para comparar os resultados reais com os resultados previstos pelo processo de avaliação de
riscos e, portanto, melhorar as avaliações futuras;

● para procurar precursores e indicadores antecedentes de possíveis consequências identificadas

na avaliação;
● para coletar os dados necessários para uma boa compreensão do risco;
● para procurar novos riscos e mudanças inesperadas que possam indicar a necessidade de se
atualizar a avaliação.
Quando uma análise de sensibilidade indicar parâmetros de importância particular para o resultado de
uma análise, convém que estes também sejam considerados para monitoramento.
Convém que as avaliações sejam analisadas criticamente, de forma periódica, para identificar se
ocorreram alterações, incluindo mudanças no contexto, ou nas premissas, ou se há novas informações
e novos métodos disponíveis.
6.5 Aplicação dos resultados para apoiar as decisões
6.5.1 Visão geral
Os resultados das análises de risco fornecem uma entrada para decisões que precisam ser tomadas
e para as ações que são tomadas.
NOTA O entendimento do risco pode indicar as ações, mesmo quando nenhum processo explícito de
tomada de decisão é seguido.
Convém que os fatores a serem considerados ao se tomarem decisões e quaisquer outros critérios
específicos tenham sido especificados como parte do estabelecimento do contexto da avaliação
(ver 6.1.6).
Dois tipos de decisões podem ser identificados:
• decisões sobre a significância do risco e se e como tratar o risco;
• decisões que envolvam comparar opções que tenham incertezas (como qual das diversas
oportunidades buscar).
6.5.2 Decisões sobre a significância do risco
As informações da identificação e análise de riscos podem ser usadas para tirar conclusões sobre
se convém aceitar o risco e a comparação significativa do risco em relação aos objetivos e limites de
desempenho da organização. Este procedimento fornece uma entrada nas decisões sobre se o risco
é aceitável, ou requer tratamento e qualquer priorização para o tratamento.
Alguns riscos podem ser aceitos por um tempo determinado (por exemplo, para ganhar tempo na
implantação realística dos tratamentos). Convém que o avaliador seja claro sobre os mecanismos
para aceitar temporariamente os riscos e o processo a ser usado para a subsequente reconsideração.
As prioridades no tratamento, seja o monitoramento ou a análise mais detalhada, são frequentemente

baseadas na magnitude do risco medido pela combinação representada pela consequência e sua
probabilidade, e são demonstradas usando uma matriz de consequências/probabilidades (B.10.3).
Este método tem algumas limitações (ver B.10.3.5 e 6.3.7.1). Outros fatores que não sejam a magnitude
do risco podem ser levados em consideração na decisão de prioridades, incluindo:
● outras medidas associadas ao risco, como as consequências máximas, ou esperadas, ou mesmo

a eficácia dos controles;

● as características qualitativas dos eventos, ou suas possíveis consequências;
● os pontos de vista e as percepções das partes interessadas;
● o custo adicional e a praticidade do tratamento em comparação com a melhoria obtida;
● as interações entre riscos, incluindo os efeitos dos tratamentos sobre outros riscos.
Depois que os riscos são avaliados e os tratamentos decididos, o processo de avaliação de riscos
pode ser repetido para verificar se os tratamentos propostos não criaram riscos adversos adicionais
e que o risco restante após o tratamento está dentro do apetite pelo risco da organização.
As técnicas para avaliar a significância do risco estão descritas na Seção B.8.
6.6 Registro e relato do processo de avaliação de riscos e resultados esperados
Convém que os resultados do processo de avaliação de riscos, as metodologias usadas e a justificativa

para premissas e quaisquer recomendações sejam documentados e que uma decisão seja tomada
sobre qual informação precisa ser comunicada e a quem. Convém que seja especificada a forma
como convém que os registros sejam analisados criticamente e atualizados.
O propósito dos registros é:
● comunicar informações sobre risco aos tomadores de decisão e outras partes interessadas,
incluindo entidades reguladoras;
● fornecer um registro e justificativa da fundamentação para decisões tomadas;
● preservar os resultados do processo de avaliação para uso e referência futuros;
● acompanhar desempenho e tendências;
● dar confiança de que riscos são compreendidos e estão sendo gerenciados apropriadamente;
● permitir verificação do processo de avaliação;
● fornecer uma trilha de auditoria.
Assim, convém que qualquer documentação ou registros sejam fornecidos de maneira oportuna
e estejam em uma forma que possa ser compreendida por aqueles que os lerão. Convém que documentos
também forneçam a profundidade técnica necessária para validação, e detalhes suficientes para
preservar o processo de avaliação para uso futuro. Convém que a informação fornecida seja suficiente
para permitir que os processos sejam seguidos e que os resultados esperados sejam analisados
criticamente e validados. Convém que as premissas feitas, as limitações em dados ou métodos, e as
razões para quaisquer recomendações sejam claras.
Convém que os riscos sejam expressos em termos compreensíveis, e convém que as unidades em
que as medidas são expressas sejam claras e corretas.
Convém que aqueles que apresentam os resultados caracterizem a sua confiança ou a de sua equipe
na precisão e integridade dos resultados. Convém que incertezas sejam adequadamente comunicadas
para que o relato não implique um nível de certeza além da realidade.
Técnicas para registro e relato são descritas na Seção B.10.

7 Seleção de técnicas para o processo de avaliação de riscos

7.1 Generalidades
A Seção 7 descreve os fatores a serem considerados ao selecionar uma técnica ou técnicas para
um propósito particular. Os Anexos A e B listam e explicam em mais detalhes algumas das técnicas
comumente usadas. Eles descrevem as características de cada técnica e sua possível gama de
aplicações, juntamente com seus pontos fortes e pontos fracos inerentes.
Muitas das técnicas descritas neste Documento foram originalmente desenvolvidas para indústrias
específicas, procurando gerenciar tipos específicos de resultados indesejados. Várias das técnicas são
similares, mas usam terminologias diferentes, refletindo seu desenvolvimento independente para um
propósito similar em setores diferentes. Ao longo do tempo, a aplicação de muitas das técnicas foi
ampliada, por exemplo estendendo-se desde aplicações técnicas de engenharia até situações financeiras
ou gerenciais, ou para considerar resultados esperados tanto positivos quanto negativos. Novas técnicas
têm emergido e antigas têm sido adaptadas a novas circunstâncias. As técnicas e suas aplicações
continuam a evoluir. Há potencial para melhor compreensão do risco pela utilização de técnicas fora de
sua aplicação original. Por conseguinte, os Anexos A e B indicam as características das técnicas que
podem ser usadas para determinar a gama de circunstâncias às quais podem ser aplicadas.
7.2 Seleção de técnicas
Convém que a escolha da técnica e a maneira como ela é aplicada sejam adaptadas ao contexto
e uso, e forneçam informação do tipo e forma necessitados pelas partes interessadas. Em termos
gerais, convém que o número e o tipo de técnica selecionados sejam dimensionados de acordo com
a significância da decisão e levem em conta as restrições de tempo e outros recursos, e os custos de
oportunidade.
Ao decidir se é mais apropriada uma técnica qualitativa ou quantitativa, os principais critérios

a serem considerados são a forma de saída mais útil para as partes interessadas e a disponibilidade
e confiabilidade dos dados. Para fornecer resultados significativos, técnicas quantitativas geralmente
requerem dados de alta qualidade . Contudo, em alguns casos em que os dados não são suficientes,
o rigor necessário para aplicar uma técnica quantitativa pode fornecer uma melhor compreensão do
risco, embora o resultado do cálculo possa ser incerto.
Geralmente há uma escolha de técnicas pertinentes para uma dada circunstância. Várias técnicas
podem necessitar ser consideradas, e a aplicação de mais de uma técnica pode algumas vezes
fornecer uma compreensão adicional útil. [2] Técnicas diferentes também podem ser apropriadas na
medida em que mais informação se torne disponível.
Portanto, convém que, na seleção de uma técnica ou técnicas, o seguinte seja considerado:
● o propósito do processo de avaliação;
● as necessidades das partes interessadas;
● quaisquer requisitos legais, regulamentares e contratuais;
● o ambiente e cenário operacionais;
● a importância da decisão (por exemplo, as consequências se uma decisão errada for tomada);
● quaisquer critérios de decisão estabelecidos e suas formas;

● o tempo disponível antes que uma decisão tenha que ser tomada;
● informação que está disponível ou que pode ser obtida;
● a complexidade da situação;
● a expertise disponível ou que pode ser obtida.
As características das técnicas pertinentes a estes requisitos estão listadas na Tabela A.1. A Tabela A.2
fornece uma lista das técnicas classificadas de acordo com estas características.
À medida que o grau de incerteza, complexidade e ambiguidade do contexto aumenta, a necessidade

de consultar um grupo mais amplo de partes interessadas aumentará, com implicações para
a combinação de técnicas selecionada.
NOTA Por exemplo, o IEC TR 63039:2016 [50] orienta como usar as técnicas de análise de Árvore de
Eventos, de Árvore de Falhas e de Markov de uma maneira complementar, de modo que o uso combinado
seja uma forma eficiente de analisar risco de sistemas complexos.
Algumas das técnicas descritas neste Documento podem ser aplicadas durante as etapas do processo
de gestão de riscos da ABNT NBR ISO 31000, além do seu uso no processo de avaliação de riscos.
A aplicação das técnicas ao processo de gestão de riscos está ilustrada na Figura A.1. A Tabela A.3
ilustra a sua aplicação especificamente ao processo de avaliação de riscos.
O Anexo B contém uma visão geral de cada técnica, seu uso, suas entradas e saídas, seus pontos
fortes e limitações e, onde aplicável, uma referência onde mais detalhes podem ser encontrados. Ele
categoriza as técnicas de acordo com a sua aplicação primária ao avaliar riscos, como:
● suscitar pontos de vista de partes interessadas e especialistas (Seção B.1);
● identificar o risco (Seção B.2);
● determinar fontes, causas e fatores do risco (Seção B.3);
● analisar controles existentes (Seção B.4);
● compreender consequências e probabilidades (Seção B.5);
● analisar dependências e interações (Seção B.6);
● fornecer medidas do risco (Seção B.7);
● avaliar a significância do risco (Seção B.8);
● selecionar entre opções (Seção B.9);
● registrar e relatar (Seção B.10).
Dentro de cada agrupamento, as técnicas estão organizadas em ordem alfabética e nenhuma ordem
de importância está implícita.
A maioria das técnicas do Anexo B assume que riscos ou fontes de risco podem ser identificados.
Também há técnicas que podem ser usadas para indiretamente avaliar o risco residual ao considerar
controles e requisitos que estão em vigor (ver, por exemplo, a IEC 61508 [36]).

Embora este Documento discuta e forneça exemplos de técnicas, as técnicas descritas não são
exaustivas e nenhuma recomendação é feita quanto à eficácia de qualquer técnica determinada em
qualquer dada circunstância. Convém que cuidados sejam tomados ao selecionar qualquer técnica,
para assegurar que seja apropriada, confiável e eficaz na dada circunstância.

Anexo A
(informativo)
Categorização das técnicas
A.1 Introdução à categorização das técnicas

A Tabela A.1 explica as características das técnicas que podem ser usadas para selecionar qual
técnica ou técnicas usar.
Tabela A.1 – Características das técnicas

Detalhes (por exemplo,
Características Descrição
indicadores de recursos)
Como a técnica é usada na Despertar visões, identificar,
Aplicação avaliação de riscos (ver títulos das analisar causa, analisar controles
Seções B.1 a B.10) etc.
Aplica-se ao risco no nível organização (org)
organizacional, no departamento
Escopo projeto/departamento (dep)
ou no projeto, ou nos processos ou
equipamentos individuais equipamento/processo (equip/ proc)
Analisa o risco a curto, médio

Horizonte de
ou longo prazo ou é aplicável a Curto, médio, longo, qualquer
tempo
qualquer horizonte temporal
Aplica-se ao risco em nível Estratégico (1), tático (2),
Nível da decisão
estratégico, tático ou operacional operacional (3)
Necessidades
O nível de informações ou dados
de informações/ Alto, médio, baixo
iniciais necessários
dados iniciais
baixo: treinamento intuitivo ou de
um a dois dias
Conhecimento Nível de conhecimento necessário moderado: curso de treinamento de
especializado para o uso correto mais de dois dias
alto: requer treinamento significativo
ou conhecimento especializado
quantitativo (quant)
qualitativo (qual)
Qualitativo – Se o método é qualitativo,
quantitativo semiquantitativo ou quantitativo semiquantitativo (semiquant)
pode ser usado qualitativa ou
quantitativamente (qualquer um)
Esforço para Tempo e custo necessários para
alto, médio, baixo
aplicar aplicar a técnica

A.2 Aplicação da categorização de técnicas

A Tabela A.2 lista uma série de técnicas classificadas de acordo com essas características.
As técnicas descritas representam maneiras estruturadas de encarar o problema em questão que
foram úteis em contextos específicos. A lista não pretende ser abrangente, mas abrange uma variedade
de técnicas comumente usadas em diversos setores. Por simplicidade, as técnicas são listadas em
ordem alfabética, sem qualquer prioridade.
Cada técnica é descrita em mais detalhes no Anexo B, conforme referenciado na coluna 1 da Tabela A.2.
Tabela A.2 – Técnicas e características indicativas (continua)

Iniciando
Quali/ Esforço
Horizonte Nível de informações/ Conhecimento
Subseção Técnica Descrição Aplicação Escopo quant/ para
de tempo decisão dados especializado
semiquant aplicar
Necessidades
B.8.2 ALARP/ Critérios para avaliar risco 1 qualquer 1/2 alta alta quali/quant alta
SFAIRP decidir a
significância
do risco e os
meios para
avaliar a
tolerância do
risco
B.5.2 Análise Um meio de Analisar qualquer qualquer qualquer médio alto quant médio
Bayesiana fazer inferência probabilidade
sobre os
parâmetros
do modelo,
usando o
teorema
de Bayes,
que tem a
capacidade
de incorporar
dados
empíricos em
julgamentos
anteriores
sobre
probabilidades.

Tabela A.2 (continuação)

Iniciando
Quali/ Esforço
semiquant aplicar
Necessidades
B.5.3 Redes Um modelo Identificar qualquer qualquer qualquer médio alto quant médio/
Bayesianas/ gráfico de riscos alto
Diagramas de variáveis e Estimar
influência suas relações riscos
de causa
Decidir
e efeito
entre
expressas
opções
usando
probabilidades.
Uma rede
bayesiana
básica tem
variáveis que
representam
incertezas.
Uma versão
estendida,
conhecida
como
diagrama de
influência,
inclui
variáveis que
representam
incertezas,
consequências
e ações
B.4.2 Análise Uma maneira Analisar 2/3 curto/ qualquer baixo baixo/moderado quali/ baixo
Bow Tie diagramática riscos médio semiquant
de descrever Controlar
os caminhos análises
das fontes
Descrever
de risco aos
riscos
resultados e
de analisar
criticamente os
controles.
B.1.2 Brainstorming Técnica usada Obter qualquer qualquer qualquer nenhum baixo/moderado quali baixo
em oficinas pontos de
para incentivar vista
o pensamento
imaginativo.

Iniciando
Quali/ Esforço
semiquant aplicar
Necessidades
B.5.4 Análise de O processo da Analisar 1 curto/ 2 médio baixo quant/quali médio

Impacto nos BIA analisa as conseq. médio
Negócios consequências Analisar
de um incidente controles
perturbador na
organização
que determina
as prioridades
de recuperação
dos produtos e
serviços de uma
organização
e, portanto, as
prioridades das
atividades e
recursos que os
entregam.
B.6.1 Mapeamento Um diagrama Analisar 2/3 qualquer 2/3 médio moderado quali médio
Causal de rede causas
representando
eventos, causas
e efeitos e seus
relacionamentos.
B.5.5 Análise Uma Analisar 2/3 qualquer 2/3 médio/alto moderado/alto quant médio/
Causa- combinação causas e alto
consequência de análise de conseq..
falha e árvore
de eventos
que permite
a inclusão de
atrasos de
tempo. Tanto
as causas
quanto as
consequências
de um evento
inicial são
consideradas.


Iniciando
Quali/ Esforço
semiquant aplicar
Necessidades
B.2.2 Listas de Listas baseadas Identificar 2/3 qualquer qualquer alto para baixo/ quali baixo/
verificação, na experiência riscos ou desenvolver, moderado médio
classificações ou em conceitos controles baixo para usar
e taxonomias e modelos
que podem
ser usados
para ajudar a
identificar riscos
ou controles.
B.3.2 Abordagem Considera Identificar 1/2 curto ou 1 baixo moderado quali alto
cindínica metas, valores, fatores de médio
regras, dados risco
e modelos
de partes
interessadas
e identifica
inconsistências,
ambiguidades,
omissões e
ignorância. Eles
formam fontes
sistêmicas e
fatores de risco.
B.7.3 Valor Também Medir risco qualquer curto/ 3 alto alto quant médio
em risco chamado de médio
condicional déficit esperado
(CVaR) (ES), é uma
medida da perda
esperada de
uma carteira
financeira
nas piores
porcentagens de
casos.


Iniciando
Quali/ Esforço
semiquant aplicar
Necessidades
B.10.3 Matriz de Compara Relatar qualquer qualquer qualquer médio baixo quali/ baixo
probabilidade/ os riscos riscos para usar, semiquant/
consequência individuais Avaliar moderado para quant
selecionando desenvolver
um par
consequência/
probabilidade
e exibindo-
os em uma
matriz com
consequência
em um eixo e
probabilidade
no outro
B.9.2 Análise de Usa o dinheiro Comparar qualquer curto/ qualquer médio/alto moderado/alto quant médio/
custo/benefício como uma opções médio alto
escala para
estimar
consequências
positivas e
negativas,
tangíveis e
intangíveis,
de diferentes
opções.
B.6.2 Análise de Avalia as Analisar qualquer curto/ qualquer baixo para alto moderado/alto quant médio/
impacto alterações na probabilidade médio alto
cruzado probabilidade e causa
de ocorrência
de um
determinado
conjunto
de eventos,
consequentes
à ocorrência
real de um
deles.

Iniciando
Quali/ Esforço
semiquant aplicar
Necessidades
B.9.3 Análise de Usa uma Comparar qualquer qualquer 2 baixo/médio moderado quant médio
árvore de representação opções
decisões em árvore ou
modelo de
decisões e
suas possíveis
consequências.
Os resultados
são geralmente
expressos
em termos
monetários ou
em termos de
utilidade.
Uma
representação
alternativa de
uma árvore de
decisões é um
diagrama de
influência (ver
B.5.3).
B.1.3 Técnica Coleta Obter pontos qualquer qualquer qualquer nenhum moderado quali médio
Delphi julgamentos de vista
por meio de
um conjunto de
questionários
sequenciais.
As pessoas
participam
individualmente,
mas recebem
feedback sobre
as respostas
dos outros após
cada conjunto de
perguntas.


Iniciando
Quali/ Esforço
semiquant aplicar
Necessidades
B.5.6 Análise de Modela os Analisar 2/3 qualquer qualquer baixo/médio moderado quali/quant médio/
árvore de resultados conseq. e alto
eventos possíveis controles
(ETA) de um
determinado
evento inicial
e o status
dos controles,
analisando a
frequência ou
probabilidade
dos vários
resultados
possíveis.
B.5.7 Análise Analisa as Analisar 2/3 médio 2/3 alta para depende da quali/quant médio/
de arvore causas de probabilidades análise quant complexidade alto
de falhas um evento de
(FTA) foco usando a
Analisar causas
lógica booleana
para descrever
combinações
de falhas.
As variações
incluem uma
árvore de
sucesso em
que o evento
principal é
desejado e
uma árvore de
causa usada
para investigar
eventos
passados.


Iniciando
Quali/ Esforço
semiquant aplicar
Necessidades
B.2.3 Análise de Considera as Identificar 2/3 qualquer 2/3 depende da moderado quali/ baixo/
modos e maneiras pelas riscos aplicação semiquant / alto
efeitos de quais cada quant
falha (e componente
criticidade) de um sistema
pode falhar e
a falha causa
e afeta. O
FMEA pode
ser seguido por
uma análise de
criticidade que
determina o
significado de
cada falha
modo
(FMECA).
B.8.3 Diagramas Caso especial Avaliar o 1 qualquer qualquer alto alto quant alto
F-N de gráfico de risco
(Frequência- consequências/
Número) probabilidade
quantitativo
aplicado à
consideração
da tolerância
do risco à vida
humana.
B.9.4 Teoria dos O estudo Decidir entre 1 médio 1/2 alto alto quant médio/
jogos da tomada opções alto
de decisões
estratégicas
para modelar
o impacto das
decisões dos
diferentes
jogadores
envolvidos no
jogo. Exemplo
de área de
aplicação pode
ser o preço
baseado em
risco.


Iniciando
Quali/ Esforço
semiquant aplicar
Necessidades
B.4.3 Análise de Analisa a Analisar 2/3 curto/ 2/3 médio moderado quali médio
perigos e redução de controles de médio
pontos críticos risco que pode monitoramento
de controle ser alcançada
(APPCC) por várias
camadas de
proteção
B.2.4 Estudos Um exame Identificar 3 médio/ 2/3 médio facilitador: alto quali médio/
de perigo e estruturado e e analisar longo participantes: alto
operacionalidade sistemático de riscos moderado
(HAZOP) um processo
ou operação
planejada ou
existente, a fim
de identificar
e avaliar
problemas
que possam
representar
riscos para
o pessoal
ou para o
equipamento
ou impedir
uma operação
eficiente.
B.5.8 Análise da Um conjunto Analisar 2/3 qualquer 2/3 médio alto quali/quant médio/
confiabilidade de técnicas riscos e alto
humana (HRA) para identificar fontes de
o potencial de risco
erro humano
e estimar a
probabilidade
de falha.

Iniciando
Quali/ Esforço
semiquant aplicar
Necessidades
B.1.5 Entrevistas Conversas Obter pontos qualquer qualquer qualquer nenhum moderado quali alto
individuais de vista
estruturadas ou
semiestruturadas
para obter
visualizações.
B.3.3 Análise de Identifica fatores Analisar as qualquer qualquer qualquer baixo baixo/ quali baixo
Ishikawa contribuintes fontes de moderado
(diagrama para um risco
espinha de resultado
peixe) definido
(desejado ou
indesejado).
Os fatores
contributivos
são geralmente
divididos em
categorias
predefinidas
e exibidos em
uma estrutura
de árvore ou em
um diagrama de
espinha de peixe.
B.4.4 Análise de Analisa a Analisar 3 qualquer 2/3 médio moderado/alto quali/quant médio/
camadas redução de risco controles alto
de proteção que pode ser
(LOPA) alcançada por
várias camadas
de proteção.
B.5.9 Análise Calcula a Analisar 3 qualquer 2/3 médio/alto alto quant médio
Markov probabilidade de probabilidades
um sistema com
capacidade de
estar em um de
vários estados
estar em um
estado específico
no momento t no
futuro.

Tabela A.2(continuação)
Iniciando
Quali/ Esforço
semiquant aplicar
Necessidades
B.5.10 Análise Calcula a Analisar qualquer qualquer qualquer médio alto quant médio/
Monte Carlo probabilidade probabilidades alto
de resultados
executando
várias
simulações
usando variáveis
aleatórias
B.9.5 Análise por Compara opções Decidir entre qualquer qualquer qualquer baixo moderado quali baixo/
multicritérios de uma maneira opções médio
(MCA) que torna
explícitas as
trocas. Fornece
uma alternativa
à análise de
custo/ benefício
que não precisa
que um valor
monetário
seja alocado
para todos os
insumos.
B.1.4 Técnica Técnica para Obter pontos qualquer qualquer qualquer nenhum baixo quali médio
de grupo obter visões de de vista
nominal um grupo de
pessoas em que
a participação
inicial é como
indivíduos sem
interação e,
na sequência,
segue a
discussão de
ideias em grupo
B.8.4 Gráfico de O princípio de Estabelecer qualquer qualquer qualquer médio moderado semiquant/ baixo
Pareto Pareto (regra prioridades quant
80-20) afirma
que, para
muitos eventos,
aproximadamente
80 % dos efeitos
vêm de 20 % das
causas.


Iniciando
Quali/ Esforço
semiquant aplicar
Necessidades
B.5.11 (PIA/DPIA) Analisa como Analisar qualquer qualquer 1/2 médio moderado/alto quali médio
análise de incidentes fontes de
impacto de e eventos risco e
privacidade/ podem afetar análise de
análise de a privacidade conseq
impacto de de uma pessoa
proteção de (PI) e identifica
dados e quantifica
os recursos
que seriam
necessários
para
gerenciá-los.
B.8.5 Manutenção Uma avaliação Avaliar o 2/3 médio 2/3 médio alto para quali/ médio/
centrada em baseada em risco e decidir facilitador e semiquant/ alto
confiabilidade risco, usada controles moderado para quant
(RCM) para identificar uso
as tarefas de
manutenção
apropriadas
para um
sistema e seus
componentes.
B.8.6 Índice de Classifica a Comparar qualquer qualquer qualquer médio baixo para usar semiquant baixo
risco significância riscos alto para
dos riscos desenvolver
com base em
classificações
aplicadas aos
fatores que se
acredita que
influenciem a
magnitude do
risco
B.10.2 Registro de Um meio Registrar e qualquer qualquer qualquer baixo/médio baixo/ quali médio
riscos de registrar relatar riscos, moderado
informações monitorar
sobre riscos e e analisar
rastrear ações. criticamente


Iniciando
Quali/ Esforço
semiquant aplicar
Necessidades
B.10.4 Curvas S Um meio de Exibir o risco qualquer qualquer 2/3 médio/alto moderado/alto quant/ médio
exibir a relação Avaliar risco semiquant
entre as
consequências
e a sua
probabilidade
plotada como
uma função
de distribuição
cumulativa
(curva S)
B.2.5 Análise de Identifica Identificar qualquer médio/ qualquer baixo/médio moderado quali baixo/
cenários possíveis riscos, longo médio
cenários futuros Analisar
por meio da conseq.
imaginação,
extrapolação
do presente ou
modelagem.
O risco é então
considerado
para cada
um desses
cenários.
B.1.6 Pesquisas Questionários Obter visões qualquer médio/ 2/3 baixo moderado quali alto
em papel ou longo
em computador
para obter
opiniões.
B.2.6 Técnica Uma forma Identificar 1/2 médio/ ½ médio baixo/ quali baixo/
estruturada mais simples riscos longo moderado médio
“E se” de HAZOP
(SWIFT) com prompts
de “e se” para
identificar
desvios do
esperado.

Tabela A.2 (conclusão)

Iniciando
Quali/ Esforço
semiquant aplicar
Necessidades
B.7.1 Processo de Uma série Mensurar 3 médio/ 2/3 alto alto quant alto
avaliação de medidas riscos longo
de risco tomadas para
toxicológico obter uma
medida para
o risco para
humanos
ou sistemas
ecológicos
devido à
exposição
a produtos
químicos.
B.7.2 Valor em Medida Mensurar qualquer curto/ 3 alto alto quant médio
risco (VaR) financeira de riscos médio
risco que usa
uma distribuição
de probabilidade
assumida de
perdas em uma
condição de
mercado estável
para calcular o
valor de uma
perda que
pode ocorrer
com uma
probabilidade
especificada
dentro de
um intervalo
de tempo
determinado.
A.3 Uso de técnicas durante o processo da ABNT NBR ISO 31000

A Tabela A.3 relaciona até que ponto cada técnica é aplicável aos diferentes estágios do processo de
avaliação de riscos, nomeadamente identificação de riscos, análise de riscos e avaliação de riscos.
Algumas das técnicas também são usadas em outras etapas do processo. Isso é ilustrado na Figura A.1.

B.1 Técnicas para

obter pontos de vista
• Brainstorming
• Técnica Delphi
• Técnicas de grupo Análise de riscos
nominal B.4 Técnicas de análise de
• Entrevistas controles
• Pesquisas • Análise Bow tie
• APPCC
Identificação de riscos • LOPA
B.2 Técnicas para B.5 Técnicas para
identificar riscos Escopo, contexto, critérios
compreender
MONITORAMENTO E ANÁLISE CRÍTICA

B.1
• Lista de verificação consequências e
• FMEA/FMECA probabilidades
COMUNICAÇÃO E CONSULTA
Processo de avaliação de
• HAZOP riscos • Análise bayesiana
• Análise de cenários Identificação de riscos • Redes bayesianas e
B.1, B.2, B.3 diagramas de influência
• SWIFT
• Análise de impacto nos
B.3 Técnicas para negócios
determinar fontes, Análise de riscos
B.2, B.3, B.4, B5, • Análise de causa-
causas e fatores de risco B.6, B.7 consequência
• Abordagem cindínica • Análise de árvore de
• Método Ishiwaka Avaliação de riscos eventos
B.1, B.8, B.9
• Análise de causa raiz • Análise de árvore de
falhas
• Análise de Markov
Avaliação de riscos Tratamento de riscos
B.4, B.8 B.6 Técnicas para analisar
B.8 Técnicas para avaliar a dependências e interações
significância do risco
• Mapeamento causal
• ALARP/SFAIRP
REGISTRO E RELATO B.10 • Análise de impacto
• Diagrama F-N
B.7 Técnicas que
(Frequência-Número)
fornecem uma medida do
• Gráficos de Pareto risco
• Manutenção centrada • Processo de avaliação
em confiabilidade de risco toxicológico
• Índices de risco • Análise de impacto de
B.9 Técnicas para B.10 Técnicas de registro e proteção de dados
selecionar entre opções relato • Valor em risco (VaR)
• Análise de custo- • Valor em risco
• Registros de riscos
benefício condicional (CVaR)
• Matriz de consequências
• Análise de árvore de
decisões • Curva S
• Teoria dos jogos • Bow tie
• Análise por multicritérios
Figura A.1 – Aplicação de técnicas no processo de gestão de riscos da ABNT NBR ISO 31000 [3]
NOTA A Figura A.1 se destina a fornecer uma visão geral e não é uma lista exaustiva de todas as técnicas
que podem ser usadas em cada etapa.

Tabela A.3 – Aplicação de técnicas ao processo da ABNT NBR ISO 31000 (continua)
Processo de avaliação de riscos
Ferramentas e Análise de risco
Identificação Avaliação Subseção
técnicas
de risco Nível de de risco
Consequência Probabilidade
risco
ALARP, ALARA
NA NA NA NA FA B.8.2
e SFAIRP
Análise
NA NA FA NA NA B.5.2
Bayesiana
Redes
NA NA FA NA FA B.5.3
Bayesianas
Análise
A FA A A A B.4.2
Bow tie
Brainstorming FA A NA NA NA B.1.2
Análise de
impacto nos A FA NA NA NA B.5.4
negócios
Mapeamento
A A NA NA NA B.6.1
causal
Análise
de causa- A FA FA A A B.5.5
consequência
Listas de
verificação,
FA NA NA NA NA B.2.2
classificações e
taxonomias
Abordagem
FA NA NA NA NA B.3.2
cindínica
Matriz de
probabilidade/ NA A A FA A B.10.3
consequência
Análise de
NA FA NA NA FA B.9.2
custo/benefício
Análise de
NA NA FA NA NA B.6.2
impacto cruzado
Análise de
árvore de NA FA FA A A B.9.3
decisões
Técnica Delphi FA NA NA NA NA B.1.3
Análise de
árvore de NA FA A A A B.5.6
eventos


técnicas
risco
Análise de
modos e efeitos FA FA FA FA FA B.2.3
de falha
Análise de
modos, efeitos e FA FA FA FA FA B.2.3
criticidade de falha
Análise de
A NA FA A A B.5.7
árvore de falhas
Diagramas F-N A FA FA A FA B.8.3
Teoria dos jogos A FA NA NA FA B.9.4
Estudos de
perigo e
FA A NA NA NA B.2.4
operabilidade
(HAZOP)
Análise de
perigos e
pontos críticos FA FA NA NA FA B.4.3
de controle
(HACCP)
Análise da
confiabilidade FA FA FA FA A B.5.8
humana
Ishikawa
(espinha de FA A NA NA NA B.3.3
peixe)
Análise de
camadas de A FA A A NA B.4.4
proteção (LOPA)
Análise Markov A A FA NA NA B.5.9
Simulação
NA A A A FA B.5.10
Monte Carlo
Análise por
multicritérios A NA NA NA FA B.9.5
(AMC)
Técnica de
FA A A NA NA B.1.4
grupo nominal
Gráfico de
NA A A A FA B.8.4
Pareto

Tabela A.3 (conclusão)

técnicas
risco
Análise de
impacto de
privacidade/
Avaliação de A FA A B.5.11
impacto de
proteção de
dados (PIA/DPIA)
Manutenção
centrada em A A A A FA B.8.5
confiabilidade
Índices de risco NA FA FA A FA B.8.6
Curvas S NA A A FA FA B.10.4
Análise de
FA FA A A A B.2.5
Cenários
Entrevistas
estruturadas ou FA NA NA NA NA B.1.5
semiestruturadas
“O que se?”
estruturada FA FA A A A B.2.6
(SWIFT)
Pesquisas FA NA NA NA NA B.1.6
Processo de
avaliação de risco FA FA FA FA FA B.7.1
toxicológico
Valor em risco
NA A A FA FA B.7.2
(VaR)
A: aplicável; FA: fortemente aplicável; NA: não aplicável.

Anexo B
(informativo)
Descrição das técnicas
B.1 Técnicas para obter pontos de vista das partes interessadas e especialistas
B.1.1 Generalidades
Algumas das técnicas descritas nas Seções B.2 a B.7 envolvem contribuições de partes interessadas
e de especialistas. Isso proporciona uma ampla gama de conhecimentos e permite o envolvimento
das partes interessadas. As opiniões das partes interessadas e dos especialistas podem ser obtidas
individualmente (por exemplo, por meio de entrevista ou pesquisa) ou usando técnicas de grupo,
como brainstorming, grupos nominais ou técnica Delphi. As visões podem incluir a divulgação
de informações, expressões de opinião ou ideias criativas.
A Seção B.1 descreve algumas técnicas que podem ser usadas para obter informações ou obter
consenso.
Em algumas situações, as partes interessadas têm competências e funções específicas, e há pouca

divergência de opinião. No entanto, às vezes podem ser esperadas visões das partes interessadas
significativamente diferentes, e pode haver estruturas de poder e outros fatores operando que afetem
a forma como as pessoas interagem. Esses fatores afetarão a escolha do método usado. O número
de partes interessadas a serem consultadas, as limitações de tempo e os aspectos práticos de reunir
todas as pessoas necessárias ao mesmo tempo também influenciarão a escolha do método.
Quando um método presencial de grupo é usado, um facilitador experiente e habilidoso é importante

para alcançar bons resultados. O papel do facilitador ou coordenador é:
● organizar a equipe;
● obter e distribuir informações e dados pertinentes antes da reunião/colaboração;
● preparar uma estrutura e formato eficientes para a reunião/colaboração;
● provocar o pensamento criativo para fortalecer a compreensão e gerar ideias;
● assegurar de que os resultados sejam precisos e o mais isentos de distorções possível.
Listas de verificação derivadas de classificações e taxonomias podem ser usadas como parte do
processo (ver B.2.2).
Qualquer técnica para obter informações que se baseiam nas percepções e opiniões das pessoas tem
o potencial de não ser confiável e sofre de uma variedade de vieses, como viés de disponibilidade (uma
tendência de superestimar a probabilidade de algo que acabou de acontecer), ilusão de agrupamento
(a tendência de superestimar a importância de pequenos grupos em uma grande amostra) ou efeito
do movimento (a tendência de fazer ou acreditar em coisas, porque outros fazem ou acreditam
no mesmo).

Orientações sobre a análise de funções que podem ser usadas para reduzir o viés e focar o pensamento
criativo nos aspectos que têm o maior impacto são fornecidas na EN 12973 [4].
Convém que as informações nas quais os julgamentos foram baseados e quaisquer premissas feitas
sejam reportadas.
B.1.2 Brainstorming
B.1.2.1 Visão geral
Brainstorming é um processo usado para estimular e encorajar um grupo de pessoas a desenvolver

ideias relacionadas a um ou mais tópicos de qualquer natureza. O termo “brainstorming”
é frequentemente usado de forma muito vaga para significar qualquer tipo de discussão em grupo,
mas o brainstorming eficaz requer um esforço consciente para garantir que os pensamentos dos
outros no grupo sejam usados como ferramentas para estimular a criatividade de cada participante.
Qualquer análise ou crítica das ideias é realizada separadamente do brainstorming.
Essa técnica oferece os melhores resultados quando um facilitador especialista está disponível e pode
fornecer o estímulo necessário, sem limitar o pensamento. O facilitador estimula o grupo a cobrir todas
as áreas pertinentes e garante que as ideias do processo sejam capturadas para análise subsequente.
O brainstorming pode ser estruturado ou não. Para um brainstorming estruturado, o facilitador divide
o assunto a ser discutido em seções e usa prompts preparados para gerar ideias sobre um novo
tópico, quando um estiver esgotado. O brainstorming não estruturado costuma ser menos formal. Em
ambos os casos, o facilitador inicia uma linha de pensamento e espera-se que todos gerem ideias.
O ritmo é mantido para permitir que as ideias acionem o pensamento lateral. O facilitador pode sugerir
uma nova direção ou aplicar uma ferramenta de pensamento criativo diferente, quando uma direção
de pensamento se esgota ou a discussão se desvia muito. O objetivo é coletar tantas ideias diversas
quanto possível para análise posterior.
Foi demonstrado que, na prática, os grupos geram menos ideias do que as mesmas pessoas
trabalhando individualmente. Por exemplo:
● em um grupo, as ideias das pessoas tendem a convergir em vez de se diversificar;
● o atraso na espera pela vez de falar tende a bloquear ideias;
● as pessoas tendem a trabalhar menos mentalmente quando em grupo.
Essas tendências podem ser reduzidas ao:
● oferecer oportunidades para que as pessoas trabalhem sozinhas parte do tempo;
● diversificar as equipes e mudar a composição das equipes;
● combinar com técnicas como técnica de grupo nominal (B.1.4) ou brainstorming eletrônico. Elas
estimulam uma participação mais individual e podem ser configuradas para serem anônimas,
evitando também questões pessoais políticas e culturais.
B.1.2.2 Uso
O brainstorming pode ser aplicado em qualquer nível de uma organização para identificar incertezas,
modos de sucesso ou falha, causas, consequências, critérios para decisões ou opções de tratamento.

O uso quantitativo é possível, mas apenas em sua forma estruturada, para assegurar que os vieses
sejam levados em consideração e tratados, especialmente quando usados para envolver todas as
partes interessadas.
O brainstorming estimula a criatividade e, portanto, é muito útil ao trabalhar em projetos, produtos

e processos inovadores
B.1.2.3 Entradas
O brainstorming extrai opiniões dos participantes, portanto, tem menos necessidade de dados ou
informações externas do que outros métodos. Os participantes precisam ter entre eles o conhecimento,
a experiência e uma variedade de pontos de vista necessários para o problema em questão. Um
facilitador qualificado normalmente é necessário para que o brainstorming seja produtivo.
B.1.2.4 Saídas
Os resultados são uma lista de todas as ideias geradas durante a sessão e os pensamentos levantados
quando as ideias foram apresentadas.
B.1.2.5 Pontos fortes e limitações
Os pontos fortes do brainstorming incluem o seguinte.
● Incentiva a imaginação e a criatividade, ajudando a identificar novos riscos e soluções inovadoras.
● É útil onde há poucos ou nenhum dado e onde novas tecnologias ou soluções são necessários.
● Envolve as principais partes interessadas e, portanto, ajuda na comunicação e no engajamento.
● É relativamente rápido e fácil de configurar.
As limitações incluem o seguinte.
● É difícil demonstrar que o processo foi abrangente.
● Os grupos tendem a gerar menos ideias do que os indivíduos que trabalham sozinhos.
● A dinâmica de grupos específicos pode significar que algumas pessoas com ideias valiosas ficam
quietas enquanto outras dominam a discussão. Isso pode ser superado por uma facilitação eficaz.
● Incentivar o pensamento criativo e novas ideias pode significar que a conversa não fica focada no
assunto que está sendo considerado, e isso toma tempo de reunião.
B.1.2.6 Documentos de referência
[5] PROCTOR, A. (2009). Creative problem solving for managers.
[6] GOLDENBERG, Olga, WILEY, Jennifer. Quality, conformity, and conflict: Questioning the
assumptions of Osborn’s brainstorming technique.

B.1.3 Técnica Delphi
A técnica Delphi é um procedimento para obter consenso de um grupo de especialistas. É um método

para coletar e comparar julgamentos sobre um determinado tópico por meio de um conjunto de
questionários sequenciais. Uma característica essencial da técnica Delphi é que os especialistas
expressam as suas opiniões individualmente, de forma independente e anônima, enquanto têm acesso
às opiniões dos outros especialistas à medida que o processo avança.
O grupo de especialistas que forma o painel recebe de forma independente a(s) pergunta(s) a ser(em)
considerada(s). As informações da primeira rodada de respostas são analisadas e combinadas,
e distribuídas aos painelistas, que podem então reconsiderar suas respostas originais.
Os painelistas respondem e o processo é repetido até que um consenso, ou quase consenso, seja
alcançado.
Se um painelista ou uma minoria de painelistas mantiver consistentemente a sua resposta, isso pode
indicar que eles possuem informações importantes ou um ponto de vista importante.
B.1.3.2 Uso
A técnica Delphi é usada para problemas complexos sobre os quais existe incerteza e para os quais
a opinião de um especialista é necessária para lidar com essa incerteza. Pode ser usada em previsões
e formulação de políticas, e para obter consenso ou reconciliar diferenças entre especialistas. Pode
ser usada para identificar riscos (com resultados positivos e negativos), ameaças e oportunidades,
e para obter consenso sobre a probabilidade e as consequências de eventos futuros. Geralmente
é aplicado em um nível estratégico ou tático. Sua aplicação original era para previsões de longo prazo,
mas pode ser aplicada a qualquer período.
B.1.3.3 Entradas
O método depende do conhecimento e da cooperação contínua dos participantes em uma escala de

tempo variável que pode ser de dias, semanas, meses ou até anos.
O número de participantes pode variar de alguns a centenas. Os questionários podem ser formulários
escritos a mão ou distribuídos e devolvidos por meio de ferramentas de comunicação eletrônica,
incluindo e-mail e internet. A utilização de sistemas de tecnologia ajuda a assegurar agilidade
e precisão na compilação das informações a cada ciclo.
B.1.3.4 Saídas
Consenso sobre o assunto em consideração.
Os pontos fortes incluem o seguinte.
● Como as opiniões são anônimas, as opiniões impopulares são mais prováveis de serem expressas
e há menos viés de hierarquia.
● Todas as visões têm peso igual, o que evita o problema de personalidades dominantes.

● Atinge a propriedade de resultados.
● As pessoas não precisam estar reunidas em um só local, ao mesmo tempo.
● As pessoas têm tempo para dar uma resposta ponderada às perguntas.
● O processo tende a significar que os especialistas devotam toda a sua atenção à tarefa.
● É trabalhoso e demorado.
● Os participantes precisam ser capazes de se expressar claramente por escrito.
B.1.3.6 Documento de referência
[7] ROWE, G. WRIGHT, G. The Delphi technique: Past, present, and future prospects. Technological
forecasting and social change 2011, 78, Special Delphi Issue.
B.1.4 Técnica de grupo nominal
A técnica de grupo nominal, como o brainstorming, visa coletar ideias. As opiniões são buscadas
primeiro individualmente, sem interação entre os membros do grupo, e depois são discutidas pelo
grupo.
O processo é como a seguir.
● O facilitador fornece a cada membro do grupo as questões a serem consideradas.
● Os indivíduos escrevem as suas ideias de maneira silenciosa e independente.
● Cada membro do grupo apresenta as suas ideias, nesta fase, sem discussão. Se a dinâmica de
grupo significar que algumas vozes têm mais peso do que outras, as ideias podem ser repassadas
ao facilitador anonimamente. Os participantes podem então buscar mais esclarecimentos.
● As ideias são então discutidas pelo grupo para fornecer uma lista acordada.
● Os membros do grupo votam em particular nas ideias e a decisão do grupo é tomada com base
nos votos.
B.1.4.2 Uso
A técnica de grupo nominal pode ser usada como alternativa ao brainstorming. Também é útil para
priorizar ideias dentro de um grupo.
B.1.4.3 Entradas
As ideias e experiências dos participantes.
B.1.4.4 Saídas
Ideias, soluções ou decisões, conforme necessário.

Os pontos fortes da técnica de grupo nominal incluem o seguinte.
● Fornece uma visão mais equilibrada do que o brainstorming, quando alguns membros de um
grupo falam mais do que outros.
● Tende a produzir uma participação mais uniforme, se todos ou alguns membros do grupo forem
novos para a equipe, o assunto for controverso ou se houver um desequilíbrio de poder ou conflito
entre a equipe.
● Foi demonstrado que gera um número maior de ideias do que o brainstorming.
● Diminui a pressão para adaptação ao grupo.
● Pode chegar a um consenso em um período de tempo relativamente curto.
● A fertilização cruzada de ideias pode ser restringida.
● As mesmas ideias podem ser expressas de muitas maneiras ligeiramente diferentes, tornando-as
difíceis de agrupar.
[8] MCDONALD, D. BAMMER, G. and DEANE, P. Research Integration Using Dialogue Methods.
NOTA Esta referência também fornece detalhes de uma variedade de outros métodos, e alguns dos quais
também são discutidos neste Documento.
B.1.5 Entrevistas estruturadas ou semiestruturadas
Em uma entrevista estruturada, os entrevistados individuais respondem a um conjunto de perguntas

preparadas. Uma entrevista semiestruturada é semelhante, mas permite mais liberdade a uma
conversa, para explorar os problemas que surgem. Em uma entrevista semiestruturada, a oportunidade
é explicitamente fornecida para explorar áreas que o entrevistado pode desejar cobrir.
Convém que as perguntas sejam abertas sempre que possível, sejam simples e em linguagem
apropriada para o entrevistado, e que cada pergunta abranja apenas um assunto. Possíveis perguntas
de acompanhamento para buscar esclarecimentos também são preparadas.
Convém que as perguntas sejam testadas com pessoas de formação semelhante àquelas a serem
entrevistadas para verificar se as perguntas não são ambíguas, se foram corretamente entendidas
e se as respostas cobrirão os assuntos pretendidos. Convém que cuidados sejam tomados para não
“liderar” o entrevistado.
B.1.5.2 Uso
Entrevistas estruturadas e semiestruturadas são um meio de obter informações detalhadas e opiniões

de indivíduos em um grupo. Suas respostas podem ser confidenciais, se necessário. Elas fornecem

informações detalhadas em que os indivíduos não são influenciados pelas opiniões de outros membros
de um grupo.
Elas são úteis, se for difícil reunir as pessoas no mesmo lugar ao mesmo tempo ou se uma discussão
fluida em grupo não for apropriada para a situação ou as pessoas envolvidas. Também é possível
obter informações mais detalhadas em uma entrevista do que em uma pesquisa ou em uma situação
de workshop. As entrevistas podem ser usadas em qualquer nível de uma organização.
B.1.5.3 Entradas
As entradas são uma compreensão clara das informações necessárias e de um conjunto preparado
de perguntas que foram testadas com um grupo-piloto.
Aqueles que planejam a entrevista e os entrevistadores precisam de algumas habilidades para obter
boas respostas válidas que não sejam influenciadas pelos próprios preconceitos dos entrevistadores.
B.1.5.4 Saídas
As saídas são as informações detalhadas necessárias.
Os pontos fortes das entrevistas estruturadas incluem o seguinte.
● Elas permitem que as pessoas tenham tempo para refletir sobre um assunto.
● A comunicação individual pode permitir uma análise mais profunda das questões do que uma
abordagem de grupo.
● Entrevistas estruturadas permitem o envolvimento de um número maior de partes interessadas

do que um grupo face a face.
As limitações incluem o seguinte
● As entrevistas consomem tempo para projetar, entregar e analisar.
● Elas requerem algum conhecimento para serem elaboradas e entregues, se as respostas forem
imparciais para o entrevistador.
● O viés do entrevistado é tolerado e não é moderado ou removido por meio de discussão em

grupo.
● As entrevistas não estimulam a imaginação (o que é uma característica dos métodos de grupo).
[9] HARRELL, M.C. BRADLEY, M.A. 2009, Data collection methods – A training Manual – Semi
structured interviews and focus groups [10] GILL, J. JOHNSON, P. 2010, Research methods for
managers.

B.1.6 Pesquisas
As pesquisas geralmente envolvem mais pessoas do que as entrevistas e costumam fazer perguntas
mais restritas. Normalmente, uma pesquisa envolverá um questionário baseado em computador ou
papel. As perguntas geralmente oferecem respostas sim/não, escolhas em uma escala de avaliação
ou escolhas em uma gama de opções. Isso permite a análise estatística dos resultados, o que é uma
característica de tais métodos. Algumas perguntas com respostas livres podem ser incluídas, mas
convém que seu número seja limitado, devido às dificuldades de análise.
B.1.6.2 Uso
As pesquisas podem ser usadas em qualquer situação em que uma ampla consulta às partes
interessadas seja útil, especialmente quando relativamente pouca informação é necessária de um
grande número de pessoas.
B.1.6.3 Entradas
Perguntas pré-testadas e inequívocas, enviadas a uma amostra amplamente representativa de

pessoas dispostas a participar. O número de respostas precisa ser suficiente para fornecer validade
estatística. (As taxas de retorno são geralmente baixas, o que significa que muitos questionários
precisam ser enviados). É necessária alguma experiência no desenvolvimento de um questionário
que alcançará resultados úteis e na análise estatística dos resultados.
B.1.6.4 Saídas
A saída é uma análise das visões de uma variedade de indivíduos, geralmente na forma gráfica.
Os pontos fortes das pesquisas incluem o seguinte.
● Números maiores podem estar mais envolvidos do que para entrevistas, fornecendo melhores
informações em todo o grupo.
● As pesquisas têm custo relativamente baixo de execução, especialmente se for usado um software
online que seja capaz de fornecer algumas análises estatísticas.
● Elas podem fornecer informações estatisticamente válidas.
● Os resultados são fáceis de tabular e de entender: a saída gráfica geralmente é possível.
● Os relatórios de pesquisas podem ser disponibilizados a outras pessoas com relativa facilidade.
● A natureza das perguntas é restringida pela necessidade de serem simples e não ambíguas.
● Geralmente é necessário obter algumas informações demográficas para interpretar os resultados.
● O número de perguntas que podem ser incluídas é limitado, se um número suficiente de respostas
for esperado.

● A pessoa que fez a pergunta não pode explicar, portanto, os respondentes podem interpretar as
perguntas de maneira diferente do pretendido.
● É difícil formular perguntas que não levem os entrevistados a respostas específicas.
● Os questionários tendem a ter premissas subjacentes que podem não ser válidas.
● Pode ser difícil obter uma taxa de resposta boa e imparcial.
[11] SAUNDERS, M. LEWIS, P. THORNHILL, A. 2016, Research Methods for Business Students.
[12] UNIVERSITY OF KANSAS COMMUNITY TOOL BOX Section 13, Conducting surveys.
B.2 Técnicas para identificar risco
B.2.1 Generalidades
As técnicas para identificar risco podem incluir:
● métodos baseados em evidências, como análises críticas de literatura e análise de dados

históricos;
● métodos empíricos, incluindo testes e modelagem para identificar o que pode acontecer em
determinadas circunstâncias;
● pesquisas de percepção, que analisam as opiniões de uma ampla gama de pessoas experientes;
● técnicas nas quais o assunto sendo considerado é dividido em elementos menores, cada um dos
quais sendo considerado por sua vez, usando métodos que levantem questões hipotéticas;
EXEMPLOS HAZOP (B.2.4), FMEA (B.2.3) e SWIFT (B.2.6).
● técnicas para estimular o pensamento imaginativo sobre as possibilidades do futuro, como a

análise de cenários (B.2.5);
● listas de verificação ou taxonomias baseadas em dados anteriores ou em modelos teóricos (B.2.2).
As técnicas descritas na Seção B.2 são exemplos de algumas abordagens estruturadas para identificar
o risco. É provável que uma técnica estruturada seja mais abrangente do que um workshop não
estruturado ou semiestruturado, e seja mais facilmente usada para demonstrar a devida diligência na
identificação de riscos.
O uso de várias técnicas, incluindo métodos top down e bottom up, incentiva a identificação abrangente
de riscos. Abordagens que desafiam os resultados da identificação de risco, como red teaming, também
podem ser usadas para ajudar a verificar se nenhum risco pertinente foi esquecido.
NOTA Red teaming é a prática de ver um problema da perspectiva de um adversário ou competidor [13].
As técnicas descritas podem envolver várias partes interessadas e especialistas. Os métodos que
podem ser usados para obter ponto de vista, individualmente ou em grupo, são descritos na Seção B.1.

B.2.2 Listas de verificação, classificações e taxonomias
As listas de verificação são usadas durante o processo de avaliação de riscos de várias maneiras,
de modo a auxiliar na compreensão do contexto, na identificação de riscos e no agrupamento de
riscos para vários fins durante a análise. Elas também são usadas na gestão de riscos, por exemplo,
para classificar controles e tratamentos, para estabelecer responsabilizações e responsabilidades
ou para relatar e comunicar riscos. Uma lista de verificação pode ser baseada na experiência de
fracassos e sucessos anteriores, mas mais formalmente tipologias e taxonomias de risco podem ser
desenvolvidas para categorizar ou classificar riscos com base em atributos comuns. Em suas formas
puras, as tipologias são esquemas de classificação derivados conceitualmente de top down, ao
passo que as taxonomias são esquemas de classificação derivados de bottom up empiricamente ou
teoricamente. As formas híbridas geralmente combinam essas duas formas puras. As taxonomias de
risco são normalmente destinadas a ser mutuamente exclusivas e coletivamente exaustivas (ou seja,
para evitar sobreposições e lacunas). As classificações de risco podem se concentrar em isolar uma
categoria particular de risco para um exame mais detalhado. Ambas as tipologias e taxonomias podem
ser hierárquicas, com vários níveis de classificação desenvolvidos. Convém que qualquer taxonomia
seja hierárquica e possa ser subdividida em níveis cada vez mais precisos de resolução. Isso ajudará
a manter um número gerenciável de categorias, ao mesmo tempo que atinge granularidade suficiente
B.2.2.2 Uso
Listas de verificação, classificações e taxonomias podem ser projetadas para serem aplicadas em
nível estratégico ou operacional. Elas podem ser aplicadas por meio de questionários, entrevistas,
workshops estruturados ou combinações de todos os três, em métodos presenciais ou baseados
em computador. Exemplos de listas de verificação comumente usadas, classificações ou taxonomias
usadas em um nível estratégico incluem o seguinte.
● SWOT (forças, fraquezas, oportunidades e ameaças) identifica os fatores no contexto interno

e externo, para auxiliar na definição de objetivos e das estratégias para alcançá-los, levando em
consideração o risco.
● PESTLE, STEEP, STEEPLED etc. são siglas que representam tipos de fatores a serem considerados
ao estabelecer o contexto ou identificar riscos [14]. As letras representam políticas, econômicas,
sociais, tecnológicas, ambientais, jurídicas, éticas e demográficas. Categorias pertinentes para
a situação particular podem ser selecionadas e listas de verificação desenvolvidas para exemplos
em cada categoria.
● Consideração dos objetivos estratégicos, fatores críticos de sucesso para atingir os objetivos,
ameaças aos fatores de sucesso e direcionadores de risco. A partir disso, podem ser desenvolvidos
tratamentos de risco e indicadores de alerta precoce para os direcionadores de risco.
● Em um nível operacional, listas de verificação de perigo são usadas para identificar perigos
dentro de HAZID e Análise Preliminar de Perigos (PHA) [15]. Estes são processos preliminares
de avaliação de riscos de segurança, geralmente realizados no estágio inicial de design de um
projeto. As categorizações gerais de risco incluem:
● por fonte de risco: preços de mercado, inadimplência da contraparte, fraude, perigos à segurança etc.;
● por consequência: aspectos ou dimensões de objetivos ou desempenho.

As categorias de risco pré-identificadas podem ser úteis para direcionar o pensamento sobre o risco em
uma ampla gama de questões. No entanto, é difícil assegurar que tais categorias sejam abrangentes
e, ao subdividir o risco de uma forma predefinida, o pensamento é direcionado ao longo de linhas
específicas, e aspectos importantes do risco podem ser negligenciados.
Listas de verificação, tipologias e taxonomias são usadas dentro de outras técnicas descritas neste
Documento; por exemplo, as palavras-chave em HAZOP B.2.4 e as categorias em uma análise de
Ishikawa (B.3.3). Uma taxonomia que pode ser usada para considerar fatores humanos ao identificar
o risco é fornecida na IEC 62740: 2015 [16].
Em geral, quanto mais específica a lista de verificação, mais restrito é seu uso no contexto particular
em que é desenvolvido. Palavras que fornecem instruções gerais geralmente são mais produtivas
para estimular um certo nível de criatividade ao identificar o risco.
B.2.2.3 Entradas
As entradas são dados ou modelos a partir dos quais se desenvolvem listas de verificação, taxonomias
ou classificações válidas.
B.2.2.4 Saídas
As saídas são:
● listas de verificação, prompts ou categorias e esquemas de classificação;
● uma compreensão do risco do uso deles, incluindo (em alguns casos) listas de riscos e agrupamentos
de riscos.
Os pontos fortes das listas de verificação, taxonomias e tipografias incluem o seguinte.
● Elas promovem um entendimento comum de risco entre as partes interessadas.
● Quando bem projetadas, elas trazem ampla experiência em um sistema fácil de usar para não
especialistas.
● Uma vez desenvolvidas, elas requerem pouca experiência especializada. As limitações incluem
o seguinte.
● Seu uso é limitado em situações novas em que não haja história anterior pertinente ou em
situações diferentes daquelas para as quais foram desenvolvidas.
● Elas abordam o que já é conhecido ou imaginado.
● Frequentemente, são genéricas e podem não se aplicar às circunstâncias particulares

consideradas.
● A complexidade pode dificultar a identificação de relacionamentos (por exemplo, interconexões

e agrupamentos alternativos).
● A falta de informações pode levar a sobreposições e/ou lacunas (por exemplo, os esquemas não
são mutuamente exclusivos e coletivamente exaustivos).
● Elas podem encorajar o tipo de comportamento “assinale a caixa” em vez da exploração de ideias.

[17] BROUGHTON, Vanda, Essential classification.
[18] BAILEY, Kenneth, Typologies and taxonomies: An introduction to classification techniques [19]
VDI 2225 Blatt 1, Konstruktionsmethodik – Technisch-wirtschaftliches Konstruieren – Vereinfachte
Kostenermittlung, 1997 Beuth Verlag.
B.2.3 Análise de modos e efeitos de falha (FMEA) e análise de modos, efeitos

e criticidade de falha (FMECA)
Na FMEA, uma equipe subdivide hardware, sistema, processo ou procedimento em elementos. Para
cada elemento, são considerados os meios pelos quais ele pode falhar e as causas e efeitos da falha.
O FMEA pode ser seguido por uma análise de criticidade que especifica a importância de cada modo
de falha (FMECA). Para cada elemento é registrado o seguinte:
● sua função;
● a falha que pode ocorrer (modo de falha);
● os mecanismos que podem produzir esses modos de falha;
● a natureza das consequências, se a falha ocorreu;
● se a falha é inofensiva ou prejudicial;
● como e quando a falha pode ser detectada;
● as disposições inerentes que existem para compensar a falha. Para FMECA, a equipe de estudo
classifica cada um dos modos de falha identificados de acordo com a sua criticidade. Vários
métodos diferentes de criticidade podem ser usados. Os mais frequentemente usados são uma
matriz de consequência/probabilidade qualitativa, semiquantitativa ou quantitativa (B.10.3), ou
um número de prioridade de risco (RPN). Uma medida quantitativa de criticidade também pode
ser derivada das taxas reais de falha e de uma medida quantitativa das consequências em que
elas são conhecidas.
NOTA O RPN é um método de índice (B.8.6) que leva o produto das classificações para consequência
da falha, probabilidade de falha e capacidade de detectar o problema (detecção). Uma falha recebe uma
prioridade mais alta se for difícil de detectar.
B.2.3.2 Uso
O FMEA/FMECA pode ser aplicado durante o projeto, fabricação ou operação de um sistema

físico para melhorar o projeto, selecionar entre alternativas de projeto ou planejar um programa de
manutenção. Também pode ser aplicado a processos e procedimentos, como em procedimentos
médicos e processos de fabricação. Ele pode ser executado em qualquer nível de decomposição de
um sistema, desde diagramas de blocos até componentes detalhados de um sistema ou etapas de um
processo. O FMEA pode ser usado para fornecer informações para técnicas de análise, como análise
de árvore de falhas. Ele pode fornecer um ponto de partida para uma análise de causa-raiz.

B.2.3.3 Entradas
As entradas incluem informações sobre o sistema a ser analisado e os seus elementos em detalhes
suficientes para uma análise significativa das maneiras pelas quais cada elemento pode falhar e as
consequências em caso afirmativo. As informações necessárias podem incluir desenhos e fluxogramas,
detalhes do ambiente em que o sistema opera e informações históricas sobre falhas, quando
disponíveis. A FMEA é normalmente realizada por uma equipe multifuncional com conhecimento
especializado do sistema que está sendo analisado, liderada por um facilitador treinado. É importante
que a equipe cubra todas as áreas de especialização pertinentes.
B.2.3.4 Saídas
As saídas do FMEA são:
● uma planilha com modos de falha, efeitos, causas e controles existentes;
● uma medida da criticidade de cada modo de falha (se FMECA) e a metodologia usada para
determiná-lo;
● quaisquer ações recomendadas, por exemplo, para análises posteriores, alterações de projeto
ou recursos a serem incorporados aos planos de teste. O FMECA geralmente fornece uma
classificação qualitativa da importância dos modos de falha, mas pode fornecer uma saída
quantitativa, se dados de taxa de falha adequados e consequências quantitativas forem usados.
Os pontos fortes do FMEA/FMECA incluem o seguinte.
● Pode ser amplamente aplicado aos modos humano e técnico de sistemas, hardware, software
e procedimentos.
● Identifica os modos de falha, suas causas e efeitos no sistema, e os apresenta em um formato

de fácil leitura.
● Evita a necessidade de modificações dispendiosas de equipamentos em serviço, identificando

problemas no início do processo de projeto.
● Fornece informações para programas de manutenção e monitoramento, destacando os principais

recursos a serem monitorados.
● O FMEA só pode ser usado para identificar modos de falha única, não combinações de modos
de falha.
● A menos que sejam adequadamente controlados e direcionados, os estudos podem ser demorados
e caros.
● O FMEA pode ser difícil e tedioso para sistemas complexos de várias camadas.
[20] IEC 60812, Failure modes and effects analysis (FMEA and FMECA).

B.2.4 Estudos de perigo e operabilidade (HAZOP)
Um estudo HAZOP é um exame estruturado e sistemático de um processo, procedimento ou sistema

planejado ou existente que envolve a identificação de possíveis desvios da intenção do projeto e o
exame de suas possíveis causas e consequências. Em um workshop facilitado, a equipe de estudo:
● subdivide o sistema, processo ou procedimento em elementos menores;
● concorda com a intenção do projeto para cada elemento, incluindo a definição de parâmetros
pertinentes (como vazão ou temperatura, no caso de um sistema físico);
● aplica palavras-guia sucessivamente a cada parâmetro para cada elemento, para postular
possíveis desvios da intenção do projeto que poderiam ter resultados indesejáveis;
NOTA Nem todas as combinações de parâmetros de palavras-guia serão significativas.
● concorda com a causa e as consequências em cada caso, sugerindo como elas podem ser
tratadas;
● documenta a discussão e pactua as possíveis ações para tratar os riscos identificados.
A Tabela B.1 fornece exemplos de palavras-guia comumente usadas para sistemas técnicos. Palavras-guia
semelhantes, como “muito cedo”, “muito tarde”, “muito”, “muito pouco”, “muito longo”, “muito curto”,
“direção errada”, “objeto errado”, “ação errada”, podem ser usadas para identificar modos de erro
humano.
As palavras-guia são aplicadas a parâmetros como:
● propriedades físicas de um material ou processo;
● condições físicas como temperatura ou velocidade;
● cronometragem;
● uma intenção especificada de um componente de um sistema ou projeto (por exemplo,

transferência de informações);
● aspectos operacionais.
Tabela B.1 – Exemplos de palavras-guia básicas e seus significados genéricos (continua)
Palavras-guia Definições
Nenhuma parte do resultado pretendido é alcançada ou a
Não ou não
condição pretendida está ausente
Mais (maior) Aumento quantitativo
Menos (menor) Diminuição quantitativa
Assim como Modificação/aumento qualitativo (por exemplo, material adicional)

Tabela B.1 (conclusão)

Palavras-guia Definições
Modificação/diminuição qualitativa (por exemplo, apenas um dos
Parte de
dois componentes em uma mistura)
Reverter/oposto O oposto lógico da intenção do projeto (por exemplo, refluxo)
Substituição completa, algo completamente diferente acontece
Outro que não seja
(por exemplo, material errado)
Cedo Relativo à hora do relógio
Tarde Relativo à hora do relógio
B.2.4.2 Uso
Os estudos HAZOP foram inicialmente desenvolvidos para analisar sistemas de processos químicos,
mas foram estendidos a outros tipos de sistema, incluindo sistemas de energia mecânica, eletrônica
e elétrica, sistemas de software, mudanças organizacionais, comportamento humano e desenho e
análise crítica de contratos legais. O processo HAZOP pode lidar com todas as formas de desvio da
intenção do projeto, devido a deficiências no projeto, componente(s), procedimentos planejados e ações
humanas. É mais frequentemente usado para melhorar um projeto ou identificar riscos associados
a uma mudança de projeto. Geralmente é realizado no estágio de projeto de detalhe, quando um
diagrama completo do processo pretendido e informações de projeto de apoio estão disponíveis,
mas enquanto as alterações de projeto ainda são praticáveis. No entanto, pode ser realizado em uma
abordagem em fases, com diferentes palavras-chave para cada estágio, à medida que um projeto se
desenvolve em detalhes. Um estudo HAZOP também pode ser realizado durante a operação, mas as
alterações necessárias podem ser caras nesse estágio.
B.2.4.3 Entradas
As entradas incluem informações atuais sobre o sistema a ser analisado criticamente e a intenção e
as especificações de desempenho do projeto. Para hardware, isso pode incluir desenhos, folhas de
especificações, diagramas de fluxo, controle de processo e diagramas lógicos e procedimentos de
operação e manutenção. Para HAZOP não relacionado a hardware, as entradas podem ser qualquer
documento que descreva funções e elementos do sistema ou procedimento em estudo, por exemplo,
diagramas organizacionais e descrições de funções, ou um contrato ou procedimento preliminar.
Um estudo HAZOP é geralmente realizado por uma equipe multidisciplinar, que convém que inclua
projetistas e operadores do sistema, bem como pessoas não diretamente envolvidas no projeto ou no
sistema, processo ou procedimento sob análise crítica. Convém que o líder/facilitador do estudo seja
treinado e experiente no tratamento de estudos HAZOP.
B.2.4.4 Saídas
As saídas incluem atas da(s) reunião(ões) HAZOP com desvios para cada ponto de análise crítica
registrado. Convém que os registros incluam a palavra-chave usada e as possíveis causas dos desvios.
Eles também podem incluir ações para resolver os problemas identificados e a pessoa responsável
pela ação.
Os pontos fortes do HAZOP incluem o seguinte.
● Fornece os meios para examinar sistematicamente um sistema, processo ou procedimento, para

identificar como ele pode falhar em atingir o seu propósito.

● Fornece um exame detalhado e completo por uma equipe multidisciplinar.
● Identifica problemas potenciais no estágio de projeto de um processo.
● Gera soluções e ações de tratamento de riscos.
● É aplicável a uma ampla gama de sistemas, processos e procedimentos.
● Permite a consideração explícita das causas e consequências do erro humano.
● Cria um registro escrito do processo, que pode ser usado para demonstrar a devida diligência.
● Uma análise detalhada pode ser demorada e, portanto, cara.
● A técnica tende a ser repetitiva, encontrando os mesmos problemas várias vezes; portanto, pode
ser difícil manter a concentração.
● Uma análise detalhada requer um alto nível de documentação ou sistema/processo e especificações

de procedimento.
● Ele pode se concentrar em encontrar soluções detalhadas em vez de desafiar os pressupostos

fundamentais (no entanto, isso pode ser mitigado por uma abordagem em fases).
● A discussão pode ser focada em questões detalhadas de projeto, e não em questões mais amplas
ou externas.
● É limitado pelo projeto (rascunho) e pela intenção do projeto, e pelo escopo e objetivos dados à
equipe.
● O processo depende muito da experiência dos projetistas, que podem achar difícil ser
suficientemente objetivos para buscar problemas em seus projetos.
[21] IEC 61882, Hazard and operability studies (HAZOP studies) – Application guide.
B.2.5 Análise de cenários
Análise de cenários é o nome dado a uma série de técnicas que envolvem o desenvolvimento de
modelos de como o futuro pode ser. Em termos gerais, consiste em determinar um cenário plausível e
trabalhar o que pode acontecer, dados os vários desenvolvimentos futuros possíveis. Para escalas de
tempo relativamente curtas, pode envolver a extrapolação do que aconteceu no passado. Para escalas
de tempo mais longas, a análise de cenários pode envolver a construção de um cenário imaginário, mas
confiável, e então explorar a natureza dos riscos dentro desse cenário. É mais frequentemente aplicada
por um grupo de partes interessadas, com diferentes interesses e especialidades. A análise de cenários
envolve a definição de alguns detalhes do(s) cenário(s) a ser(em) considerado(s) e a exploração das
implicações do cenário e do risco associado. As mudanças comumente consideradas incluem:
● mudanças na tecnologia;

● possíveis decisões futuras que podem ter uma variedade de resultados;
● necessidades das partes interessadas e como elas podem mudar;
● mudanças no macroambiente (regulatório, demográfico etc.);
● mudanças no ambiente físico.
B.2.5.2 Uso
A análise de cenários é mais frequentemente usada para identificar riscos e explorar consequências.
Pode ser usada tanto no nível estratégico quanto no operacional, para a organização como um
todo ou parte dela. A análise de cenários de longo prazo tenta ajudar no planejamento de grandes
mudanças no futuro, como aquelas que ocorreram nos últimos 50 anos em tecnologia, preferências
do consumidor, atitudes sociais etc. A análise de cenários não está apta a prever as probabilidades
de tais mudanças, mas pode considerar as consequências e ajudar as organizações a desenvolver
pontos fortes e a resiliência necessárias para se adaptar a mudanças previsíveis. Pode ser usada para
antecipar como as ameaças e oportunidades podem se desenvolver, e pode ser usada para todos os
tipos de risco. A análise de cenários de curto prazo é usada para explorar as consequências de um
evento inicial. Os cenários prováveis podem ser extrapolados a partir do que aconteceu no passado
ou de modelos. Exemplos de tais aplicações incluem planejamento para situações de emergência ou
interrupções de negócios. Se não houver dados disponíveis, utiliza-se a opinião de especialistas, mas
neste caso é muito importante dar a maior atenção às explicações de seus pontos de vista.
B.2.5.3 Entradas
Para realizar uma análise de cenários, são necessários dados sobre tendências e mudanças atuais
e ideias para mudanças futuras. Para cenários complexos ou de muito longo prazo, é necessária
especialização na técnica.
B.2.5.4 Saídas
A saída pode ser uma “história” para cada cenário, que conta como alguém pode passar do presente
para o cenário do assunto. Os efeitos considerados podem ser benéficos e prejudiciais. As histórias
podem incluir detalhes plausíveis que agreguem valor aos cenários. Outros resultados podem incluir
uma compreensão dos possíveis efeitos da política ou planos para vários futuros plausíveis, uma lista
de riscos que podem surgir se os futuros se desenvolverem e, em algumas aplicações, uma lista de
indicadores antecedentes para esses riscos.
Os pontos fortes da análise de cenários incluem o seguinte.
● Leva em consideração uma gama de futuros possíveis. Isso pode ser preferível à abordagem
tradicional de confiar em previsões que pressupõem que os eventos futuros provavelmente
continuarão a seguir as tendências anteriores. Isso é importante para situações em que haja
pouco conhecimento atual no qual basear as previsões ou em que os riscos estejam sendo
considerados a longo prazo.
● Apoia a diversidade de pensamento.
● Incentiva o monitoramento dos indicadores principais de mudança.

● As decisões tomadas para os riscos identificados podem ajudar a construir resiliência para o que
quer que ocorra.
● Os cenários usados podem não ter uma base adequada, por exemplo, os dados podem ser
especulativos. Isso pode produzir resultados irreais que podem não ser reconhecidos como tal.
● Há poucas evidências de que os cenários explorados para o futuro de longo prazo sejam aqueles
que realmente ocorrem.
B.2.5.6 Documentos de Referência
[22] RINGLAND, Gill. Scenarios in business.
[32] Van der HEIJDEN, Kees. Scenarios: The art of strategic conversation.
[24] CHERMACK, Thomas J. Scenario planning in organizations.
[25] MUKUL PAREEK, Using Scenario analysis for managing technology risk.
B.2.6 Técnica estruturada “E se” (SWIFT)
SWIFT é uma técnica de identificação de risco de alto nível que pode ser usada de forma independente
ou como parte de uma abordagem em etapas para tornar os métodos ascendentes, como HAZOP ou
FMEA, mais eficientes. SWIFT usa brainstorming estruturado (B.1.2) em um workshop facilitado, em
que um conjunto predeterminado de palavras-guia (tempo, quantidade etc.) é combinado com prompts
eliciados dos participantes, que geralmente começam com frases como “e se?” ou “como poderia?”.
É semelhante ao HAZOP, mas aplicada em um sistema ou subsistema, e não na intenção do projetista.
Antes do início do estudo, o facilitador prepara uma lista pronta para permitir uma revisão abrangente
dos riscos ou fontes de risco. No início do workshop, o contexto, âmbito e propósito da SWIFT são
discutidos e os critérios para o sucesso são articulados. Usando as palavras-guia e prompts “e se?”,
o facilitador pede aos participantes que levantem e discutam questões como:
● riscos conhecidos;
● fontes e fatores de risco;
● experiências anteriores, sucessos e incidentes;
● controles conhecidos e existentes;
● requisitos regulatórios e restrições.
O facilitador usa a lista de sugestões para monitorar a discussão e sugerir questões e cenários
adicionais para a equipe discutir. A equipe considera se os controles são adequados e não considera
os tratamentos potenciais. Durante esta discussão, perguntas “e se?” são apresentadas.
Em alguns casos, riscos específicos são identificados e uma descrição do risco, suas causas,
consequências e controles podem ser registrados. Além disso, podem ser identificadas(os) fontes ou
fatores de risco mais gerais, problemas de controle ou problemas sistêmicos.

Quando uma lista de riscos é gerada, um método de avaliação de risco qualitativo ou semiquantitativo
é frequentemente usado para classificar as ações criadas em termos de nível de risco. Isso normalmente
leva em consideração os controles existentes e a sua eficácia.
B.2.6.2 Uso
A técnica pode ser aplicada a sistemas, itens de planta, procedimentos e organizações em geral. Em
particular, é usada para examinar as consequências das mudanças e o risco assim alterado ou criado.
Os resultados positivos e negativos podem ser considerados. Também pode ser usada para identificar
os sistemas ou processos para os quais valeria a pena investir os recursos para um HAZOP ou FMEA
mais detalhado.
B.2.6.3 Entradas
É necessária uma compreensão clara do sistema, procedimento, item da planta e/ou mudança e
os contextos externo e interno. Isso é estabelecido por meio de entrevistas, reunindo uma equipe
multifuncional e pelo estudo de documentos, planos e desenhos pelo facilitador. Normalmente o
sistema de estudo é dividido em elementos, para facilitar o processo de análise. Embora o facilitador
precise ser treinado na aplicação da SWIFT, isso geralmente pode ser feito rapidamente
B.2.6.4 Saídas
As saídas incluem um registro de riscos com ações ou tarefas classificadas por risco que podem ser
usadas como base para um plano de tratamento.
Os pontos fortes da SWIFT incluem o seguinte.
● É amplamente aplicável a todas as formas de planta ou sistema físico, situação ou circunstância,

organização ou atividade.
● Necessita de preparação mínima por parte da equipe.
● É relativamente rápida e os principais riscos e fontes de risco rapidamente se tornam aparentes

na sessão do workshop.
● O estudo é “orientado para sistemas” e permite que os participantes observem a resposta do

sistema aos desvios, em vez de apenas examinar as consequências da falha de componentes.
● Pode ser usada para identificar oportunidades de melhoria de processos e sistemas e geralmente
pode ser usada para identificar ações que levam e aumentam as suas probabilidades de sucesso.
● O envolvimento no workshop por aqueles que são responsáveis pelos controles existentes e por
outras ações de tratamento de risco reforça a sua responsabilidade.
● Cria um registro de riscos e um plano de tratamento de risco com pouco mais esforço.
● Se a equipe da oficina não tiver uma base de experiência ampla o suficiente ou se o sistema de
prompt não for abrangente, alguns riscos ou perigos podem não ser identificados.

● A aplicação de alto nível da técnica pode não revelar causas complexas, detalhadas ou
correlacionadas.
● As recomendações são frequentemente genéricas, por exemplo, o método não fornece suporte
para controles robustos e detalhados sem que análises adicionais sejam realizadas.
[26] CARD, Alan J. WARD, James R. and CLARKSON, P. John. Beyond FMEA: The structured what-if
technique (SWIFT).
B.3 Técnicas para determinar fontes, causas e fatores de risco
B.3.1 Generalidades
Uma compreensão das causas de eventos potenciais e fatores de risco pode ser usada para desenhar
estratégias para prevenir consequências adversas ou realçar aquelas positivas. Frequentemente, há
uma hierarquia de causas com diversos níveis antes que a causa-raiz seja alcançada. Geralmente,
causas são analisadas até que as ações possam ser determinadas e justificadas.
Técnicas de análise causal podem explorar percepções de causas sob posições predeterminadas,
como o método Ishikawa (ver B.3.3), ou podem se basear em uma abordagem mais lógica, como uma
análise de árvore de falhas e uma análise de árvore de sucessos (ver B.5.7).
A análise bow tie (ver B.4.2) pode ser usada para representar graficamente causas e consequências,
e mostrar como são controladas.
Diversas técnicas descritas na IEC 62740 [16] podem ser usadas proativamente para analisar
possíveis causas de eventos que podem acontecer no futuro, bem como aqueles que já ocorreram.
Estas técnicas não são repetidas aqui.
B.3.2 Abordagem cindínica
Cindínica significa literalmente a ciência do perigo. A abordagem cindínica identifica fontes de intangíveis
e fatores que podem dar origem a muitas diferentes consequências. Em particular, identifica e analisa:
● inconsistências, ambiguidades, omissões, ignorância (denominada deficiência), e
● divergências entre as partes interessadas (denominadas dissonância).
A abordagem cindínica começa pela coleta de informações no sistema ou na organização que é o

sujeito do estudo, e a situação cindínica determina por um espaço geográfico, temporal e cronológico
e um conjunto de redes de partes interessadas ou grupos.
Usa, então entrevistas semiestruturadas (ver B.1.5) para coletar informações em diferentes momentos
(t1, t2, ... ti) sobre o estado de conhecimento e o estado de espírito de cada parte interessada, enquanto
se relacionam com cinco critérios da abordagem cyndinc, conforme o seguinte:
● meta (objetivo principal da organização);

● valores (considerados em alta estima pelas partes interessadas);
● regras (direitos, normas, procedimentos etc., governando os seus resultados);
● dados (nos quais a tomada de decisão é baseada);
● modelos (técnicos, organizacionais, humanos etc. que usam dados na tomada de decisão).
NOTA Os elementos caracterizando os contextos interno e externo podem ser juntados de acordo com
os cinco critérios da abordagem cindínica.
A abordagem leva em conta percepções, bem como fatos.
Uma vez esta informação obtida, a coerência entre os objetivos a serem alcançados e os cinco critérios
da cindínica são analisados e tabelas são criadas para listar os déficits e dissonâncias.
B.3.2.2 Uso
O objetivo da abordagem cindínica é compreender porque, a despeito de todas as medidas de controle

tomadas para prevenir desastres, eles continuam acontecendo. A abordagem foi, desde então,
estendida para aprimorar a eficiência econômica das organizações. A técnica busca fontes sistêmicas
e fatores de risco em uma organização que podem levar a amplas consequências. É aplicada em nível
estratégico e pode ser usada para identificar fatores atuando de maneira favorável ou desfavorável
durante a evolução do sistema para novos objetivos.
Também pode ser usada para validar a consistência de qualquer projeto, e é especialmente útil no
estudo de sistemas complexos.
B.3.2.3 Entradas
Informação conforme descrito acima. A análise envolve, usualmente, uma equipe multidisciplinar,
incluindo aqueles com experiência operacional real e aqueles que executam ações de tratamento
para abordar as fontes de risco identificadas.
B.3.2.4 Saídas
As saídas são tabelas que indicam as dissonâncias e deficiências entre as partes interessadas,
conforme ilustrado nos exemplos abaixo. A Tabela B.2 mostra uma matriz indicando as deficiências
de cada parte interessada em relação a cinco critérios de análise (objetivos, valores, regras, modelos
e dados). Ao comparar a informação reunida como entrada entre situações nos tempos t1, t2, ... ti,,
é possível identificar deficiências entre diferentes situações.

Tabela B.2 – Tabela de deficiências para cada parte interessada
Parte Critérios de análise

interessada Objetivos Valores Regras Dados Modelos
Foco em
Sem Sem
um número Sem referência
S1 referência a referência
restrito de a medidas
procedimentos a modelos
valores
Ignorância de
Inconsistência Falta de Falta de experiência ou Ignorância
S2 entre objetivos classificação classificação comentários de modelos
e regras entre valores entre regras de outros específicos
países
Nenhuma
Foco em atenção
um valor dispensada Falta de
Inconsistência Falta de
específico a dados priorização
S3 entre objetivos classificação
(por específicos na seleção
e padrões entre as regras
exemplo, (por exemplo, de modelos
emprego) lesões
ocupacionais)
A Tabela B.3 é uma matriz em que as partes interessadas pertinentes são representadas em ambos os
eixos e as diferenças de visões entre as partes interessadas (chamadas dissonâncias) são mostradas
nas células da matriz. Estas tabelas permitem estabelecer um programa para a redução de deficiências
e dissonâncias.
Tabela B.3 – Tabela de dissonâncias entre as partes interessadas
Parte Parte interessada

interessada S1 S2 S3 S4
S1 e S4 não
S1 e S2 não S1 e S3 não
compartilham
compartilham compartilham
S1 os mesmos
os mesmos os mesmos
sistemas de
objetivos valores
medida
S2 e S3 não
concordam na S2 e S4 não
S2 interpretação concordam
de sobre os dados
procedimentos
S3 e S4
discordam na
S3
interpretação
de regras
S4

Os pontos fortes da abordagem cindínica incluem o seguinte:
● É uma abordagem sistêmica, multidimensional e multidisciplinar.
● Fornece conhecimento sobre o potencial de risco de um sistema e a sua consistência.
● Considera aspectos humanos e organizacionais do risco em qualquer nível de responsabilidade.
● Integra as noções de tempo e espaço.
● Fornece soluções para reduzir os riscos.
As limitações incluem o seguinte:
● Não procura priorizar fontes de risco ou riscos.
● Apenas recentemente passou a ser disseminada na indústria. Desta forma, não se beneficia da
mesma maturidade adquirida em desenvolvimentos passados de abordagens tradicionais.
● Dependendo do número de partes interessadas envolvidas, pode requerer tempo e recursos

significativos.
[27] KERVERN, G-Y. Elements fondamentaux des cindyniques.
[28] KERVERN, G-Y. Latest advances in cindynics.
[29] KERVERN, G-Y. & BOULENGER, P. Cindyniques – Concepts et mode d’emploi.
B.3.3 Método de análise de Ishikawa (espinha de peixe)
A análise de Ishikawa usa uma abordagem de equipe para identificar possíveis causas de qualquer
evento, efeito, problema ou situação desejável ou indesejável. Os possíveis fatores contributivos
são organizados em categorias amplas para cobrir causas humanas, técnicas e organizacionais.
A informação é retratada como um diagrama de espinha de peixe (também chamado Ishikawa)
(ver Figura B.1). As principais etapas na realização da análise são as seguintes:
● Estabelecer o efeito a ser analisado e colocar em uma caixa no topo do diagrama de espinha de
peixe. O efeito pode ser tanto positivo (um objetivo) quanto negativo (um problema);
● Concordar nas principais categorias de causas. Exemplos de categorias comumente usadas

incluem:
— 4Ms, 1G e 1D, por exemplo, métodos, máquinas, gestão, materiais, mão de obra, dinheiro;
— materiais, métodos e processos, ambiente, equipamento, pessoas, medidas.
NOTA Qualquer conjunto de categorias acordadas que se encaixem nas circunstâncias em análise
pode ser usado. A Figura B.1 ilustra outras possibilidades.

● Perguntar “por quê?” e “como isso pode acontecer?” iterativamente para explorar as causas e
os fatores influenciadores em cada categoria, adicionando cada um às espinhas do diagrama de
espinha de peixe.
● Analisar criticamente todos os galhos para verificar a consistência e a completude e para garantir
que as causas se apliquem ao efeito principal.
● Identificar os fatores mais importantes com base na opinião da equipe e na disponibilidade de evidências.
Ambiente Materiais Fornecedores
Fatores levando a
uma falha
Saída pretendida ou
sucesso
Fatores levando a
um sucesso
Pessoal Processo Infraestrutura
Figura B.1 – Exemplo de diagrama de Ishikawa (espinha de peixe)

O diagrama é frequentemente desenvolvido em um cenário de workshop. IEC
B.3.3.2 Uso
A análise de Ishikawa pode ser usada ao realizar uma análise de causa-raiz de eventos que tenham
ocorrido ou para identificar fatores que possam contribuir para as saídas que ainda não ocorreram.
O método pode ser usado para examinar situações em qualquer nível em uma organização, ao longo
de qualquer escala de tempo.
O diagrama é geralmente usado qualitativamente. É possível atribuir probabilidades a causas genéricas,

e, subsequentemente, às subcausas, com base no nível de crença sobre a sua relevância. Contudo,
fatores contributivos frequentemente interagem e contribuem no efeito de maneiras complexas,
e podem ocorrer causas não identificadas que tornam a quantificação inválida.
B.3.3.3 Entrada
As entradas são a expertise e a experiência dos participantes, e uma compreensão da situação em

exame.
B.3.3.4 Saída
As saídas são causas percebidas do efeito em análise, normalmente apresentadas como uma espinha
de peixe ou diagrama de Ishikawa. O diagrama de espinha de peixe é estruturado, representando
as principais categorias como espinhas maiores saindo da espinha dorsal do peixe, com galhos
e subgalhos que descrevem subcausas mais específicas nessas categorias.

Os pontos fortes da técnica Ishikawa incluem o seguinte:
● Encoraja a participação e usa o conhecimento do grupo.
● Fornece uma abordagem focada para um brainstorm ou técnicas de identificação semelhantes.
● Pode ser aplicada a uma ampla variedade de situações.
● Fornece uma análise estruturada de causa com uma saída gráfica de fácil leitura.
● Permite que pessoas relatem problemas em um ambiente neutro.
● Pode ser usada para identificar fatores contributivos para efeitos almejados ou não almejados.
NOTA Um foco positivo pode encorajar maior pertencimento e participação.
● A separação de fatores causais em categorias maiores no início da análise significa que interações
entre categorias podem não ser consideradas adequadamente.
● Causas potenciais não cobertas pelas categorias selecionadas não são identificadas.
[30] ISHIKAWA, K. Guide to Quality Control.
Ver também IEC 62740 [16], para outras técnicas de análise causal.
B.4 Técnicas para analisar controles
B.4.1 Generalidades
As técnicas da Seção B.4 podem ser usadas para verificar se os controles são apropriados e adequados.
A análise bow tie (B.4.2) e a LOPA (B.4.4) identificam as barreiras entre a fonte de risco e as suas
possíveis consequências, e podem ser usadas para verificar que as barreiras são suficientes.
A APPCC (B.4.3) procura apontar em um processo em que as condições podem ser monitoradas e os
controles introduzidos, quando há uma indicação de que as condições estão mudando.
A análise de árvore de eventos (B.5.6) também pode ser usada com um meio quantitativo de análise
de controles, ao calcular a influência de diferentes controles na probabilidade das consequências.
Qualquer técnica de análise causal pode ser usada como base para verificação de que cada causa
é controlada.

B.4.2 Análise bow tie
A análise bow tie é uma representação gráfica de caminhos das causas de um evento até suas
consequências. Mostra os controles que modificam a possibilidade de um evento e aqueles que
modificam as consequências se o evento ocorrer. Pode ser considerada uma representação simplificada
de uma árvore de falhas ou árvore de sucessos (analisando a causa de um evento) e uma árvore de
eventos (analisando as consequências). Diagramas de bow tie podem ser construídos a partir das
árvores de falhas e árvore de eventos, porém são mais frequentemente desenhados diretamente por
uma equipe em um cenário de workshop.
Consequência 3
Fator de intensificação Fator de intensificação
Figura B.2 – Exemplo de bow tie

A bow tie é desenhada conforme a seguir:
● O evento de interesse é representado pelo nó central de uma bow tie, ver Figura B.2.
● As fontes de risco (ou perigos/ameaças em um contexto de segurança) são listadas do lado

esquerdo do nó e ligadas ao nó por linhas representando os diferentes mecanismos pelos quais
fontes de risco podem levar ao evento.
● Barreiras ou controles para cada mecanismos são mostradas como barras verticais através das
linhas.
● Do lado direito do nó, linhas são desenhadas para irradiar do evento para cada consequência
potencial.
● Após o evento, as barras verticais representam controles reativos ou barreiras que modificam
consequências.
● Fatores que podem causar a falha dos controles (fatores de intensificação) são incluídos, junto
com os controles para os fatores de intensificação.

● Funções de gestão que suportam os controles (como treinamento e inspeção) podem ser
mostrados sob a bow tie e vinculadas ao respectivo controle.
Algum nível de quantificação de um diagrama de bow tie pode ser possível quando os caminhos
forem independentes, a probabilidade de uma consequência ou resultado específicos é conhecida
e a probabilidade que um controle venha a falhar pode ser estimada. Entretanto, em muitas situações,
os caminhos e as barreiras não são independentes, e os controles podem ser procedimentais e sua
eficácia incerta. A quantificação é muitas vezes realizada mais apropriadamente utilizando análise de
árvore de falhas (B.5.7) e análise de árvore de eventos (B.5.6) ou LOPA (B.4.4).
B.4.2.2 Uso
A análise bow tie é usada para representar e comunicar informações sobre riscos em situações onde
um evento possui uma gama de possíveis causas e consequências. Pode ser usada para explorar em
detalhes as causas e consequências de eventos registrados em um formulário de registro de riscos
simples (B.10.2). É particularmente usada para analisar eventos com consequências mais sérias.
A bow tie é usada quando da avaliação de controles, para verificar que cada caminho da causa ao
evento e do evento à consequência tem controles efetivos, e que fatores que poderiam causar falhas
nos controles (incluindo falhas nos sistemas de gestão) são reconhecidos. Pode ser usada como base
para um meio para gravar informações sobre risco que não cabem em uma simples representação
linear de um registro de riscos. Pode ser usada proativamente para considerar eventos potenciais
e também retrospectivamente para modelar eventos que já ocorreram.
A análise bow tie é usada quando a situação não assegura a complexidade de uma análise de árvore
de falhas e análise de árvore de eventos completas, mas é mais complexa que o representado por um
simples caminho de causa-evento-consequência.
Para algumas situações, bow ties em cascata podem ser desenvolvidas onde as consequências de
um evento se tornam causas do próximo.
B.4.2.3 Entrada
A entrada inclui informações sobre as causas e consequências de um evento predefinido, e os controles

que podem modificá-lo. Esta informação pode ser tirada da saída de técnicas para identificar riscos
e controles ou da experiência dos indivíduos.
B.4.2.4 Saída
A saída é um diagrama simples mostrando os principais caminhos de risco, os controles existentes

e os fatores que podem levar a uma falha nos controles. Também mostra as consequências potenciais
e as medidas que podem ser tomadas após o evento ter ocorrido para modifica-las
Pontos fortes da análise de bow tie incluem o seguinte:
● É simples de entender e fornece uma representação gráfica clara de um evento e suas causas e
consequências.
● Foca a atenção nos controles supostamente existentes e sua eficácia.
● Pode ser usada para consequências desejáveis, bem como indesejáveis.

● Não necessita de um alto nível de especialização para utilizar.
Limitações incluem o seguinte:
● A bow tie não está apta a representar uma situação em que caminhos de causas para eventos
não são independentes (ou seja, onde houver portas “AND” em uma árvore de falhas);
● Pode simplificar demasiadamente situações complexas, particularmente quando se pretende a

quantificação.
[31] LEWIS, S. SMITH, K., Lessons learned from real world application of the bow-tie method. [31]
[32] HALE, A. R., GOOSSENS L.H.J., ALE, B.J.M., BELLAMY L.A. POST J. Managing safety barriers
and controls at the workplace
[33] MCCONNELL, P. and DAVIES, M. Scenario Analysis under Basel II
B.4.3 Análise de perigos e pontos críticos de controle (APPCC)
A análise de perigos e pontos críticos de controle (APPCC) (Hazard analysis and critical control points –
HACCP) foi desenvolvida para assegurar a segurança dos alimentos no programa espacial da
NASA, mas pode ser usada para processos ou atividades não alimentares. A técnica fornece uma
estrutura para identificar fontes de risco (perigos ou ameaças) e pôr em prática controles em todas as
partes pertinentes de um processo para proteger contra estas fontes. A APPCC é usada nos níveis
operacionais embora seus resultados apoiem a estratégia geral de uma organização. A APPCC
tem como objetivo assegurar que os riscos sejam minimizados por monitoramentos e por controles
ao longo do processo em vez de mediante à inspeção ao fim do processo.
A APPCC consiste nos seguintes sete princípios:
1) identificar os perigos, os fatores que influenciam o risco e as possíveis medidas preventivas;
2) determinar os pontos no processo em que o monitoramento é possível e o processo pode ser
controlado para minimizar as ameaças (os pontos críticos de controle ou PCC);
3) estabelecer limites críticos para os parâmetros a serem monitorados, ou seja, convém que cada
PCC opere dentro de parâmetros específicos para assegurar que o risco está controlado;
4) estabelecer os procedimentos para monitorar os limites críticos para cada PCC a intervalos
definidos;
5) estabelecer ações corretivas para uso quando o processo estiver fora dos limites estabelecidos;
6) estabelecer procedimentos de verificação;
7) implementar a manutenção de registros e procedimentos de documentação para cada etapa.

B.4.3.2 Uso
A APPCC é um requisito na maioria dos países para organizações que operam em qualquer lugar dentro
da cadeia de alimentos, desde a colheita até o consumo, para controlar os riscos de contaminantes
físicos, químicos e biológicos.
Também foi estendida para uso na fabricação de produtos farmacêuticos, dispositivos médicos e em
outras áreas onde riscos biológicos, químicos e físicos são inerentes à organização.
O princípio da técnica é identificar as fontes de risco relacionadas à qualidade da saída do processo,

e definir os pontos em um processo em que parâmetros críticos podem ser monitorados e as fontes de
risco controladas. Isto pode ser generalizado para outros processos, incluindo por exemplo processos
financeiros.
B.4.3.3 Entradas
As entradas incluem:
● um diagrama de fluxo básico ou diagrama de processo;
● informações sobre fontes de risco que possam afetar a qualidade, segurança ou confiabilidade do
produto ou saída do processo;
● informação sobre as etapas no processo onde indicadores podem ser monitorados e controles
podem ser introduzidos.
B.4.3.4 Saídas
As saídas incluem registros, incluindo uma planilha de análise de perigos e um plano APPCC.
A planilha de análise de perigos lista para cada etapa do processo:
● os perigos que poderiam ser introduzidos, controlados ou exacerbados nesta etapa;
● se os perigos apresentam um risco significativo (com base na consideração da consequência

e probabilidade a partir da combinação da experiência, dados e literatura técnica);
● uma justificativa para a significância;
● possíveis medidas preventivas para cada perigo;
● se as medidas de monitoramento ou controle podem ser aplicadas nesta etapa (ou seja, é um PCC?).
O plano APPCC delineia os procedimentos a serem seguidos para assegurar o controle de um projeto,
produto, processo ou procedimento específicos. O plano inclui uma lista de todos os PCC e para cada
PCC lista:
● os limites críticos para as medidas preventivas;
● as atividades de monitoramento e controle contínuos (incluindo o que, como e quando o monitoramento

será realizado e por quem);
● as ações corretivas requeridas se desvios dos limites críticos forem detectados;
● as atividades de verificação e manutenção de registros.

Pontos fortes da APPCC incluem o seguinte:
● a APPCC é um processo estruturado que fornece evidência documentada de controle da

qualidade, bem como a identificação e a redução de riscos;
● foca nos aspectos práticos de como e onde, em um processo, as fontes de risco podem ser
encontradas e os riscos controlados;
● fornece um controle de risco em todo o processo em vez de depender da inspeção do produto

final;
● chama a atenção para o risco introduzido por meio de ações humanas e como este pode ser
controlado.
● a APPCC requer que os perigos sejam identificados, os riscos que eles representam definidos
e sua significância entendida como entradas no processo. Controles apropriados também
precisam ser definidos. A APPCC pode necessitar ser combinada com outras ferramentas para
fornecer estas entradas.
● tomar ações somente quando os parâmetros de controle excedem limites definidos pode levar
à perda de alterações graduais nos parâmetros de controle as quais são estatisticamente
significativas e que, portanto, convém que sejam acionadas.
[34] ABNT NBR ISO 22000, Sistemas de gestão da segurança de alimentos – Requisitos para qualquer
organização na cadeia produtiva de alimentos
[35] Food Quality and Safety Systems – A Training Manual on Food Hygiene and the Hazard Analysis
and Critical Control Point (HACCP) System
B.4.4 Análise de camadas de proteção (LOPA)
O LOPA analisa a redução de risco alcançada pelo conjunto de controles. Pode ser considerado como
um caso particular de uma árvore de eventos (B.5.6) e às vezes é realizado como acompanhamento
de um estudo HAZOP (B.2.4).
Um par causa-consequência é selecionado de uma lista de riscos identificados e as camadas de

proteção independentes (IPL) são identificadas. Um IPL é um dispositivo, sistema ou ação capaz
de prevenir que um cenário evolua para sua consequência indesejada. Convém que cada IPL seja
independente do evento causal ou de qualquer outra camada de proteção associada ao cenário
e convém que seja auditável. IPL incluem:
● características de projeto;
● dispositivos de proteção física;

● sistemas de intertravamentos e desligamentos;
● alarmes críticos e intervenção manual;
● proteção física pós-evento;
● sistemas de resposta a emergências.
Procedimentos-padrão e/ ou inspeções não adicionam barreiras diretamente à falha, portanto, em

geral, convém que não sejam considerados IPL. A probabilidade de falha de cada IPL é estimada
e um cálculo de ordem de magnitude é realizado para determinar se a proteção geral é adequada para
reduzir o risco a um nível tolerável.
A frequência de ocorrência da consequência indesejada pode ser encontrada combinando a frequência

da causa inicial com as probabilidades de falha de cada IPL, considerando quaisquer modificadores
condicionais. (Um exemplo de modificador condicional é se uma pessoa estará presente e poderá ser
influenciada.) Ordens de magnitude são usadas para frequências e probabilidades.
B.4.4.2 Uso
O LOPA pode ser usado qualitativamente para analisar criticamente as camadas de proteção entre
um fator causal e uma consequência. Também pode ser usado quantitativamente para alocar recursos
a tratamentos, analisando a redução de risco produzida por cada camada de proteção. Pode ser
aplicado a sistemas com horizonte de longo ou curto prazo e geralmente é usado para lidar com riscos
operacionais.
O LOPA também pode ser usado quantitativamente para a especificação de IPL e níveis de integridade
de segurança (níveis SIL) para sistemas instrumentados, conforme descrito na IEC 61508 (todas as
partes) e na IEC 61511 (todas as partes), e para demonstrar que um SIL especificado é alcançado.
NOTA Um SIL é um nível discreto (um em cada quatro possíveis) para especificar a confiabilidade
requerida de um sistema relacionado à segurança. O nível 4 tem o nível mais alto de integridade de segurança
e o nível 1, o mais baixo.
B.4.4.3 Entradas
As entradas para o LOPA incluem:
● informações básicas sobre fontes, causas e consequências de eventos;
● informações sobre controles em uso ou tratamentos propostos;
● a frequência do evento causal e as probabilidades de falha das camadas de proteção, medições

de consequência e uma definição do risco tolerável.
B.4.4.4 Saídas
As saídas são recomendações para quaisquer tratamentos adicionais e estimativas do risco residual.
Os pontos fortes do LOPA incluem o seguinte.
● Requer menos tempo e recursos do que a análise de árvore de eventos ou o processo de avaliação
de riscos totalmente quantitativa, mas é mais rigorosa que os julgamentos qualitativos subjetivos.

● Ajuda a identificar e concentrar os recursos nas camadas mais críticas de proteção.
● Identifica operações, sistemas e processos para os quais as salvaguardas são insuficientes.
● Foca nas consequências mais graves.
As limitações do LOPA incluem o seguinte.
● Concentra-se em um par de causa-consequência e um cenário de cada vez; interações complexas

entre riscos ou entre controles não são cobertas.
● Quando usado quantitativamente, pode não ser responsável por falhas de modo comum.
● Não se aplica a cenários muito complexos, onde existem muitos pares de causa-consequência ou
onde há uma variedade de consequências que afetam diferentes partes interessadas.
[36] IEC 61508 (all parts), Functional safety of electrical/electronic/programmable electronic safety-
related systems
[37] IEC 61511 (all parts), Functional safety – Safety instrumented systems for the process industry
sector
[38] Layer of protection analysis – Simplified process risk assessment
B.5 Técnicas para entender as consequências e a probabilidade
B.5.1 Generalidades
As técnicas descritas na Seção B.5 visam fornecer uma maior compreensão das consequências e de
suas probabilidades. Em geral, as consequências podem ser exploradas por:
● experimentação, como estudos celulares para explorar as consequências da exposição a toxinas

com resultados aplicados aos riscos à saúde humana e ecológica;
● pesquisa de eventos passados, incluindo estudos epidemiológicos;
● modelagem para determinar como as consequências se desenvolvem seguidas de um evento

e como isso depende dos controles em uso. Isso pode incluir modelos matemáticos ou de
engenharia e métodos lógicos, como análise de árvore de eventos (B.5.6);
● técnicas para incentivar o pensamento imaginativo, como análise de cenários (B.2.5).
A probabilidade de um evento ou de uma consequência específica pode ser estimada por:
● extrapolação de dados históricos (desde que haja dados históricos pertinentes suficientes para
que a análise seja estatisticamente válida). Isso se aplica especialmente a zero ocorrências,
quando não se pode presumir que, porque um evento ou consequência não ocorreu no passado,
não ocorrerá no futuro próximo;

● síntese a partir de dados relacionados a taxas de falha ou sucesso de componentes dos sistemas:
usando técnicas como análise de árvore de eventos (B.5.6), análise de árvore de falhas (B.5.7)
ou análise de causa-consequência (B.5.5);
● técnicas de simulação, para gerar, por exemplo, a probabilidade de falhas de equipamentos

e estruturais devido ao envelhecimento e outros processos de degradação.
Pode-se solicitar aos especialistas que expressem sua opinião sobre probabilidades e consequências,
considerando informações pertinentes e dados históricos. Existem vários métodos formais para obter
julgamento de especialistas que tornam o uso do julgamento visível e explícito (ver Seção B.1).
Consequência e probabilidade podem ser combinadas para fornecer um nível de risco. Isso pode
ser usado para avaliar a significância de um risco comparando o nível de risco com um critério de
aceitabilidade ou para colocar os riscos em uma ordem de classificação.
As técnicas para combinar valores qualitativos de consequência e probabilidade incluem métodos

de índice (B.8.6) e matrizes de probabilidade/consequência (B.10.3). Uma única medição de risco
também pode ser produzida a partir de uma distribuição de probabilidade de consequências [ver, por
exemplo, VaR (B.7.2) e CVaR (B.7.3) e curvas S (B.10.4)].
B.5.2 Análise bayesiana

É comum encontrar problemas em que há dados e informações subjetivas. A análise bayesiana

permite que ambos os tipos de informações sejam usados na tomada de decisões. A análise bayesiana
é baseada em um teorema atribuído ao reverendo Thomas Bayes (1760). De forma simples, o teorema
de Bayes fornece uma base probabilística para mudar a opinião de alguém à luz de novas evidências.
É geralmente expresso como na Fórmula (1):
Pr (B | A ) Pr ( A ) (1)
Pr ( A | B ) =
Pr (B )
onde
Pr(A) é a avaliação prévia da probabilidade de A;
Pr(B) é a avaliação prévia da probabilidade de B;
Pr(A|B) é a probabilidade de A, dado que B ocorreu (a avaliação posterior);
Pr(B|A) é a probabilidade de B dado que A ocorreu.
O teorema de Bayes pode ser estendido para abranger vários eventos em um espaço de amostra
específico.
Por exemplo, suponha que tenhamos alguns dados, D, que desejamos usar para atualizar nosso
entendimento anterior (ou a falta dele) de risco. Queremos usar esses dados para avaliar os méritos
relativos de um número (N) de hipóteses concorrentes e não sobrepostas, que iremos denotar
por (onde = 1, 2, ..., N). Então o teorema de Bayes pode ser usado para calcular a probabilidade
da j-ésima hipótese usando a Fórmula (2):
 Pr ( D | H j )  (2)
Pr ( H j | D ) = Pr ( H j )  
 ∑ Pr ( Hn ) Pr ( D | Hn ) 
onde j = 1, 2 ..., .

Isso mostra que, uma vez que os novos dados são contabilizados, a probabilidade atualizada da
hipótese j [ou seja, é obtida multiplicando sua probabilidade anterior pela fração entre parênteses.
O numerador dessa fração é a probabilidade de obter esses dados se a j-ésima hipótese for verdadeira.
O denominador vem da “lei da probabilidade total” - a probabilidade de obter esses dados se, uma
a uma, cada hipótese fosse verdadeira. O denominador é o fator de normalização.
Uma probabilidade Bayesiana pode ser mais facilmente compreendida se for considerado o grau de
crença de uma pessoa em um determinado evento, em oposição à probabilidade clássica, baseada
em evidências físicas.
B.5.2.2 Uso
A análise Bayesiana é um meio de inferência a partir de dados, tanto de julgamento quanto empíricos.
Métodos Bayesianos podem ser desenvolvidos para fornecer inferência para parâmetros dentro de
um modelo de risco desenvolvido para um contexto específico; por exemplo, a probabilidade de um
evento, a taxa de um evento ou o tempo para um evento.
Os métodos Bayesianos podem ser usados para fornecer uma estimativa prévia de um parâmetro de
interesse com base em crenças subjetivas. Uma distribuição de probabilidade anterior é geralmente
associada a dados subjetivos, pois representa incertezas no estado do conhecimento. Uma estimativa
anterior pode ser construída usando apenas dados subjetivos ou usando dados pertinentes de situações
semelhantes. Uma estimativa anterior pode fornecer uma previsão probabilística da probabilidade de
um evento e ser útil para o processo de avaliação de riscos para a qual não há dados empíricos.
Os dados de eventos observados podem ser combinados com a distribuição anterior por meio de uma
análise Bayesiana para fornecer uma estimativa posterior do parâmetro de risco de interesse.
O teorema de Bayes é usado para incorporar novas evidências em crenças anteriores para formar
uma estimativa atualizada.
A análise bayesiana pode fornecer estimativas pontuais e de intervalo para um parâmetro de interesse.
Essas estimativas capturam incertezas associadas à variabilidade e ao estado do conhecimento.
Isso é diferente da inferência frequentista clássica, que representa a variação aleatória estatística
na variável de interesse.
O modelo de probabilidade subjacente a uma análise Bayesiana depende da aplicação. Por

exemplo, um modelo de probabilidade de Poisson pode ser usado para eventos como acidentes, não
conformidades ou entregas tardias, ou um modelo de probabilidade binomial pode ser usado para
itens de uma só vez. Cada vez mais, é comum construir um modelo de probabilidade para representar
os relacionamentos causais entre variáveis na forma de uma rede Bayesiana (B.5.3).
B.5.2.3 Entradas
As entradas para uma análise Bayesiana são os dados empíricos e de julgamento necessários para
estruturar e quantificar o modelo de probabilidade.
B.5.2.4 Saídas
Como a estatística clássica, a análise Bayesiana fornece estimativas, tanto para números únicos
quanto para intervalos, para o parâmetro de interesse e pode ser aplicada a uma ampla gama
de saídas.

Os pontos fortes são os seguintes.
● Declarações inferenciais são fáceis de entender.
● Fornece um mecanismo para o uso de crenças subjetivas sobre um problema.
● Fornece um mecanismo para combinar crenças anteriores com novos dados.
As limitações são as seguintes.
● Pode produzir distribuições posteriores que são fortemente dependentes da escolha prévia.
● A solução de problemas complexos pode envolver altos custos computacionais e requerer muito
trabalho.
[39] GHOSH, J., DELAMPADY, M. and SAMANTA, T. An introduction to Bayesian analysis, New York
Springer-Verlag, 2006
[40] QUIGLEY, J.L., BEDFORD, T.J. and WALLS, L.A. Prior Distribution Elicitation
B.5.3 Redes bayesianas e diagramas de influência
Uma rede Bayesiana (rede de Bayes ou BN) é um modelo gráfico cujos nós representam as variáveis
aleatórias (discretas e/ou contínuas) (Figura B.3). Os nós são conectados por arcos direcionados que
representam dependências diretas (que geralmente são conexões causais) entre variáveis.
Os nós que apontam para um nó X são chamados de pais e são designados pa(X). A relação entre
variáveis é quantificada por distribuições de probabilidade condicional (CPD) associadas a cada nó,
denotado P (X|pa(X)), em que o estado dos nós filhos depende da combinação dos valores dos nós
pais. Na Figura B.3, as probabilidades são indicadas por estimativas pontuais.

Uso de pesticidas Chuvas anuais Condições de seca

Alto 90,0 Abaixo da média 10,0 Sim 50,0
Baixo 10,0 Média 70,0 Não 50,0
Acima da média 20,0
Condições da árvore
Pesticidas no rio Fluxo de pesticidas
Boa 46,4 Boa 10,0
Alto 57,0
Danificada 70,0
Baixo 43,0 Pobre 53,6
Morta 8,30
Abundância de peixes nativos

Alta 21,4
Média 20,8
Baixa 57,8
Figura B.3 – Uma rede Bayesiana mostrando uma versão simplificada de um problema
ecológico real: modelando populações de peixes nativos em Victoria, Austrália
B.5.3.2 Uso
Um BN básico contém variáveis que representam eventos incertos e podem ser usadas para estimar
probabilidade ou risco ou inferir os principais fatores de risco que levam a consequências especificadas.
Um BN pode ser estendido para incluir ações de decisão e avaliações, bem como incertezas, nesse
caso, é conhecido como diagrama de influência, que pode ser usado para avaliar o impacto dos
controles/ mitigações de risco ou para avaliar opções de intervenção.
Um modelo de BN pode ser construído como uma representação qualitativa de um problema pelas
partes interessadas e quantificado usando dados pertinentes, incluindo julgamentos (por exemplo,
análise de risco do centro de distribuição de medicamentos) ou um modelo de BN pode ser aprendido
a partir de dados empíricos (por exemplo, mecanismos de pesquisa na web, riscos financeiros).
Independentemente da forma de um BN, o mecanismo de inferência subjacente é baseado no teorema
de Bayes e possui as propriedades gerais da análise Bayesiana (B.5.2).
O BN tem sido usado em uma ampla gama de aplicações: incluindo tomada de decisão ambiental,
diagnóstico médico, extensão crítica da vida da infraestrutura, risco da cadeia de suprimentos,
modelagem de imagens para desenvolvimento de novos produtos e processos, genética,
reconhecimento de fala, economia, exploração espacial e em mecanismos de busca na web .
Em geral, os BN fornecem modelos visuais que suportam a articulação de problemas e a comunicação

entre as partes interessadas. Os modelos BN permitem que a análise de sensibilidade seja realizada
para explorar cenários “e se?”. A construção da estrutura qualitativa de BN pode ser suportada pelo
uso de mapeamento causal (B.6.1) e um BN pode ser usado em conjunto com a análise de cenários
(B.2.5) e a análise de impacto cruzado (B.6.2).
Os BN são úteis para obter contribuição e concordância das partes interessadas para decisões em
que há alta incerteza e divergência de visões das partes interessadas. A representação é facilmente
compreensível, embora seja necessária experiência para produzi-la.

Os BN podem ser úteis para mapear análises de risco para partes interessadas não técnicas,
promovendo a transparência de premissas e processos e tratando a incerteza de uma maneira
matematicamente sólida.
B.5.3.3 Entradas
As entradas para os BN requerem um entendimento das variáveis do sistema (nós), os elos causais entre
eles (arcos direcionados) e as probabilidades anteriores e condicionais para esses relacionamentos.
No caso de um diagrama de influência, as avaliações também são necessárias (por exemplo, perdas
financeiras, lesões etc.).
B.5.3.4 Saídas
Os BN fornecem distribuições condicionais e marginais em uma saída gráfica que geralmente

é considerada fácil de interpretar, pelo menos em comparação com outros modelos de caixa preta.
O modelo BN e os dados podem ser facilmente modificados para visualizar facilmente relacionamentos
e explorar a sensibilidade dos parâmetros a diferentes entradas.
Os pontos fortes dos BN incluem o seguinte.
● Existe software prontamente disponível que é relativamente fácil de usar e entender.
● Eles possuem uma estrutura transparente e são capazes de executar rapidamente cenários e
analisar a sensibilidade do produto a diferentes premissas.
● Eles podem incluir crenças subjetivas sobre um problema, juntamente com dados.
● Definir todas as interações para sistemas complexos é difícil e pode se tornar intratável
computacionalmente quando as tabelas de probabilidade condicional se tornam muito grandes.
● Os BN geralmente são estáticos e normalmente não incluem loops de feedback. No entanto, o

uso de BN dinâmicos está aumentando.
● A definição de parâmetros requer o conhecimento de muitas probabilidades condicionais,

geralmente fornecidas por julgamento de especialistas. Os BN só podem fornecer respostas com
base nessas premissas (uma limitação comum a outras técnicas de modelagem).
● O usuário pode inserir erros, mas a saída ainda pode dar uma resposta confiável; verificar
extremos pode ajudar a localizar erros.
[41] NEIL, Martin and FENTON, Norman. Risk Assessment and Decision Analysis with Bayesian
Networks CRC Press, 2012
[42] JENSEN, F.V., NIELSEN T. D. Bayesian Networks and Decision Graphs, 2nd ed. Springer, New
York, 2007

[43] NICHOLSON, A., WOODBERRY O and TWARDY C, The “Native Fish” Bayesian networks.
Bayesian Intelligence Technical Report 2010/3, 2010
[44] NETICA TUTORIAL
B.5.4 Análise de impacto nos negócios (BIA)
A análise de impacto nos negócios analisa como incidentes e eventos podem afetar as operações
de uma organização e identifica e quantifica as capabilidades necessárias para gerenciá-los.
Especificamente, uma BIA fornece um entendimento acordado de:
● qual é a criticidade dos principais processos de negócios, funções e recursos associados e as

principais interdependências existentes para uma organização;
● como eventos disruptivos afetam a capacidade e a capabilidade de alcançar objetivos críticos de

negócios;
● a capacidade e capabilidade necessárias para gerenciar o impacto de uma disrupção e recuperar

os níveis de operação acordados. A BIA pode ser realizada usando questionários, entrevistas,
workshops estruturados ou uma combinação dos três.
B.5.4.2 Uso
A BIA é usada para determinar os prazos críticos e de recuperação dos processos e recursos associados
(por exemplo, pessoas, equipamentos e tecnologia da informação) para permitir o planejamento
adequado para eventos disruptivos. A BIA também auxilia na determinação de interdependências
e inter-relações entre processos, partes internas e externas e quaisquer vínculos na cadeia de
suprimentos.
Também pode ser usado como parte da análise de consequências ao considerar as consequências
de eventos disruptivos.
A BIA fornece informações que ajudam a organização a determinar e selecionar estratégias de

continuidade de negócios apropriadas para permitir resposta e recuperação efetiva de um incidente
disruptivos.
B.5.4.3 Entradas
● informações sobre os objetivos, direção estratégica, ambiente, ativos e interdependências da

organização;
● visão geral dos produtos e serviços de negócios da organização e sua relação com os processos
de negócios;
● uma avaliação das prioridades da análise crítica prévia pela direção;
● detalhes das atividades e operações da organização, incluindo processos, recursos, relacionamentos

com outras organizações, cadeias de suprimentos, acordos terceirizados e partes interessadas;

● informações para permitir a avaliação das consequências financeiras, legais e operacionais

da perda de processos críticos;
● um questionário preparado ou outro meio de coleta de informações;
● resultados de outros processos de avaliação de riscos e análises de incidentes críticos relacionadas

aos resultados de incidentes disruptivos.
● uma lista de pessoas de áreas pertinentes da organização e/ ou partes interessadas que serão
contatadas.
B.5.4.4 Saídas
As saídas incluem:
● uma lista priorizada de produtos e serviços da organização;
● documentos detalhando as informações coletadas como entradas;
● uma lista priorizada de processos críticos e interdependências associadas;
● impactos documentados de uma perda dos processos críticos, incluindo impactos financeiros,
legais, ambientais e operacionais;
● informações sobre recursos e atividades de apoio necessários para restabelecer processos

críticos;
● uma avaliação dos impactos ao longo do tempo de não fornecer esses produtos e serviços
a curto, médio e longo prazo;
● prazos priorizados para retomar a entrega desses produtos e serviços em um nível mínimo
especificado, considerando o tempo após o qual os impactos da não retomada dos mesmos se
tornariam inaceitáveis;
● prazos de interrupção para processo crítico e os prazos de recuperação de tecnologia

}da informação associados.
Os pontos fortes da BIA incluem que ela fornece:
● um profundo entendimento dos processos críticos que permitem à organização atingir seus
objetivos e que podem indicar áreas para melhoria dos negócios;
● informações necessárias para planejar a resposta de uma organização a um evento disruptivo;
● um entendimento dos principais recursos necessários no caso de uma disrupção;
● uma oportunidade de redefinir o processo operacional de uma organização para ajudar a melhorar
a resiliência da organização.

● A BIA conta com o conhecimento e as percepções dos participantes envolvidos no preenchimento

de questionários ou na realização de entrevistas ou workshops. Isso pode levar a expectativas
simplistas ou otimistas demais dos requisitos de recuperação.
● A dinâmica do grupo pode afetar adversamente a análise completa de um processo crítico.
● Pode haver expectativas simplistas ou otimistas demais dos requisitos de recuperação.
● Pode ser difícil obter um nível adequado de entendimento das operações e atividades da
organização.
[45] ABNT ISO TS 22317, Segurança da sociedade – Sistemas de gestão de continuidade de negócios –
Diretrizes para análise de impacto nos negócios (BIA)
[46] ABNT NBR ISO 22301, Segurança e resiliência – Sistema de gestão de continuidade de negócios –
Requisitos
B.5.5 Análise de causa-consequência (CCA)
Em algumas circunstâncias, um evento que pode ser analisado por uma árvore de falhas é melhor
abordado pelo CCA. Por exemplo:
● se é mais fácil desenvolver sequências de eventos do que relações causais;
● se o FTA pode se tornar muito grande;
● se houver equipes separadas lidando com diferentes partes da análise.
Na prática, geralmente não é o evento principal que é definido primeiro, mas os eventos em potencial
na interface entre o domínio funcional e o técnico.
Por exemplo, considerar o evento “perda de tripulação ou veículo” para uma missão de nave espacial.
Em vez de construir uma grande árvore de falhas com base nesse evento principal, eventos indesejados
intermediários, como falha de ignição ou falha de impulso, podem ser definidos como eventos principais
e analisados como árvores de falha separadas. Esses eventos principais, por sua vez, seriam usados
como entradas para as árvores de eventos para analisar as consequências operacionais.
Dois tipos de CCA podem ser distinguidos, dependendo de qual parte da análise é mais pertinente para
as circunstâncias. Quando causas detalhadas são necessárias, mas uma descrição mais geral das
consequências é aceitável, a parte da análise da árvore de falhas é expandida e a análise é referida
como CCA-SELF (árvore de eventos pequena). Quando uma descrição detalhada da consequência
é necessária, mas a causa pode ser considerada com menos detalhes, a análise é chamada de
CCA-LESF (árvore de eventos grandes e pequena falha). A Figura B.4 mostra um diagrama conceitual
de uma análise de causa-consequência típica.

B.5.5.2 Uso
Como a análise da árvore de falhas, o CCA é usado para representar a lógica de falha que leva
a um evento crítico, mas aumenta a funcionalidade de uma árvore de falhas, permitindo que as falhas
sequenciais de tempo sejam analisadas. O método também permite que os atrasos sejam incorporados
à análise de consequências, o que não é possível com as árvores de eventos. Ele analisa os vários
caminhos que um sistema pode seguir após um evento crítico, dependendo do comportamento de
subsistemas específicos (como sistemas de resposta a emergências).
Se quantificada, uma análise de causa-consequência fornece uma estimativa da probabilidade

de diferentes possíveis consequências após um evento crítico.
Como cada sequência em um diagrama de causa-consequência é uma combinação de árvores

de subfalhas, a análise de consequências de causas pode ser usada para construir grandes árvores
de falhas.
Como os diagramas são complexos de produzir e usar, a técnica tende a ser aplicada quando
a magnitude da consequência potencial da falha justificar um esforço intensivo.
Descrição da Descrição da Descrição da

consequência consequência consequência
Descrição da
consequência
Não Sim
Condição
Não Sim
Condição
Atraso de tempo
Árvore de falha
Não Sim
Condição
Evento inicial
Árvore de falha
Árvore de falha
Figura B.4 – Exemplo de diagrama de causa-consequência

B.5.5.3 Entradas
É necessária uma compreensão do sistema e seus modos de falha e cenários de falha.

B.5.5.4 Saídas
As saídas do CCA são:
● uma representação esquemática de como um sistema pode falhar mostrando causas e consequências;
● uma estimativa da probabilidade de ocorrência de cada consequência potencial com base na

análise de probabilidades de ocorrência de condições particulares após o evento crítico.
B.5.6 Análise de árvore de eventos (ETA)
O ETA é uma técnica gráfica que representa as sequências mutuamente exclusivas de eventos
que podem surgir após um evento iniciador, conforme ocorra ou não o funcionamento dos vários
sistemas projetados para alterar as consequências. A árvore pode ser quantificada para fornecer
as probabilidades dos diferentes resultados possíveis (ver a Figura B.5).
A árvore começa com o evento iniciador e, para cada controle, linhas são desenhadas para representar
seu sucesso ou falha. A probabilidade de falha ou sucesso pode ser atribuída a cada controle,
por julgamento especializado, a partir de dados ou de análises individuais de árvore de falhas.
As probabilidades são probabilidades condicionais. Por exemplo, a probabilidade de um item funcionar
não é a probabilidade obtida de testes em condições normais, mas a probabilidade de funcionar sob
as condições do evento iniciador.
A frequência dos diferentes resultados é representada pelo produto das probabilidades condicionais
individuais e a probabilidade ou frequência do evento iniciador, dado que os vários eventos são
independentes. Na Figura B.5, a probabilidade do evento inicial é assumida como 1.
B.5.6.2 Uso
O ETA pode ser usado qualitativamente para ajudar a analisar possíveis cenários e sequências de
eventos após um evento iniciador e para explorar como os resultados são afetados por vários controles.
Pode ser aplicado em qualquer nível de uma organização e em qualquer tipo de evento iniciador.
A ETA quantitativa pode ser usada para considerar a aceitabilidade dos controles e a importância
relativa de diferentes controles para o nível geral de risco. A análise quantitativa requer que os controles
estejam funcionando ou não (isto é, não é possível ser responsabilizada por controles degradados)
e que os controles sejam independentes. Esse é principalmente o caso relacionado a problemas
operacionais. O ETA pode ser usado para modelar eventos iniciadores que podem trazer perda ou
ganho. No entanto, circunstâncias em que se buscam caminhos para otimizar ganhos são modelados
com mais frequência usando uma árvore de decisões (B.9.3).

Trem e carro alcançam A cautela do motorista O trem para a Resultados

Barreiras no lugar
a travessia juntos para o carro tempo
Sim
Estado seguro Pr = 0,940 5
Pr = 0,99
Sim
Pr = 0,95
Não
Atinge a barreira Pr = 0,009 5
Pr = 0,01
Sim
Estado seguro Pr = 0,025
Pr = 0,5
Não
Sim
Pr = 0,05 Próximo de colisão/ Pr = 0,000 5
Pr = 0,02 trem atrasado
Não
Pr = 0,5 Não 0,024 5

Carro e trem
Pr =
Pr = 0,98 colidem 1,000 0
Figura B.5 – Exemplo de análise de árvore de eventos

B.5.6.3 Entradas
● um evento iniciador especificado;
● informações sobre barreiras e controles, e, para análises quantitativas, suas probabilidades de falha;
● uma compreensão de possíveis cenários.
B.5.6.4 Saídas
As saídas do ETA incluem o seguinte:
● descrições qualitativas dos resultados potenciais de eventos iniciadores;
● estimativas quantitativas de taxas/ frequências ou probabilidades de eventos e a importância

relativa de várias sequências de falhas e eventos contribuintes;
● avaliações quantitativas da efetividade dos controles.
Os pontos fortes da ETA incluem o seguinte.
● Os cenários potenciais após um evento iniciador são analisados e a influência do sucesso ou

falha dos controles é mostrada de uma maneira diagramática clara que pode, se necessário, ser
quantificada.
● Ele identifica eventos finais que não seriam previstos de outra forma.
● Ele identifica possíveis falhas pontuais, áreas de vulnerabilidade do sistema e medidas reativas
de baixo retorno e, portanto, pode ser usado para melhorar a eficiência do controle.

● A técnica representa o tempo e os efeitos de dominó que são difíceis de modelar em árvores de
falhas.
● Para uma avaliação abrangente, todos os possíveis eventos iniciadores precisam ser identificados.
Existe sempre a possibilidade de perda de alguns eventos iniciadores ou sequências de eventos
importantes.
● Somente os estados de sucesso e falha de um sistema são tratados e é difícil incorporar controles
parcialmente operacionais, eventos de sucesso atrasados ou eventos de recuperação.
● Qualquer caminho é condicional em relação aos eventos que ocorrem em pontos anteriores
ao longo do caminho. Muitas dependências ao longo dos caminhos possíveis são, portanto,
tratadas. Entretanto, algumas dependências como componentes comuns, sistemas de consumo
e operadores podem ser ignoradas levando a estimativas otimistas da probabilidade de
consequências específicas.
● Para sistemas complexos, a árvore de eventos pode ser difícil de se construir do zero.
[49] IEC 62502, Analysis techniques for dependability – Event tree analysis
[50] IEC TR 63039, Probabilistic risk analysis of technological systems – Estimation of final event rate
at a given initial state
B.5.7 Análise de árvore de falhas (FTA)
A FTA é uma técnica para identificar e analisar os fatores que podem contribuir para um evento específico
indesejado (chamado “evento-topo”). O evento-topo é analisado identificando primeiro suas causas
imediatas e necessárias. Podem ser falhas de hardware ou software, erros humanos ou quaisquer
outros eventos pertinentes. O relacionamento lógico entre essas causas é representado por um
número de portas, como “E” e “OU”. Cada causa é então analisada passo a passo da mesma maneira
até que análises seguintes se tornem improdutivas. O resultado é representado pictoricamente em
um diagrama em árvore (ver a Figura B.6), que é a representação gráfica de uma equação Booleana.
B.5.7.2 Uso
A FTA é usada principalmente no nível operacional e em questões de curto e médio prazo. É usado
qualitativamente para identificar possíveis causas e caminhos para o evento-topo ou quantitativamente
para calcular a probabilidade do evento-topo. Para análise quantitativa, uma lógica estrita precisa ser
seguida. Isso significa que os eventos nas entradas de uma porta “E” precisam ser necessários e
suficientes para causar o evento acima e os eventos em uma porta “OU” representam todas as causas
possíveis do evento acima, qualquer uma das quais pode ser a única causa. Técnicas baseadas em
diagramas de decisão binária ou álgebra Booleana são usadas para contabilizar modos de falha
duplicados.
A FTA pode ser usada durante o projeto, para selecionar entre diferentes opções ou durante a operação,
para identificar como as principais falhas podem ocorrer e a importância relativa de diferentes caminhos
para o evento topo.

Técnicas estreitamente relacionadas são a árvore de causas, as quais são usadas retrospectivamente
para analisar eventos que já ocorreram e a árvore de sucesso, onde o evento-topo é um sucesso.
O último é usado para estudar as causas do sucesso, a fim de alcançar sucessos futuros.
As probabilidades tendem a ser maiores em uma árvore de sucesso do que em uma árvore de falhas
e, ao calcular a probabilidade do evento-topo, convém que seja considerada a possibilidade de que os
eventos não sejam mutuamente exclusivos.
B.5.7.3 Entradas
As entradas para análise de árvore de falhas são as seguintes.
● É necessária uma compreensão do sistema e as causas de falha ou sucesso, bem como uma
compreensão técnica de como o sistema se comporta em diferentes circunstâncias. Diagramas
detalhados são úteis para ajudar na análise;
● Para análise quantitativa de uma árvore de falhas, são necessários dados sobre taxas de falha
ou a probabilidade de estar em um estado com falha ou a frequência de falhas e onde são
necessárias taxas pertinentes de reparo/recuperação etc. para todos os eventos de base.
● Para situações complexas, o software e o entendimento da teoria das probabilidades e da álgebra

Booleana são recomendados para que as entradas do software sejam feitas corretamente.
Falha no início automático

Evento topo
do gerador
Sem sinal de início Falha no gerador a diesel
Ausência de
Falha na Falha no Falha
Falha no combustível
transmissão recebimento mecânica no
envio de
de sinal de sinal gerador
sinal
Falha no Entrada B
A Condutor Tanque
módulo de bloqueada vazio
quebrado
controle
Legenda para os símbolos
Porta “E” – falha ocorre se todos os eventos de entrada forem verdadeiros

Falha no Falha no
circuito A circuito B Porta “OU” – falha ocorre se algum dos eventos de entrada forem verdadeiros
Eventos-base
Eventos não analisados no detalhe neste momento
Eventos que foram mais analisados
Eventos analisados no ponto A em outra página
Figura B.6 – Exemplo de árvore de falhas

B.5.7.4 Saídas
As saídas da análise de árvore de falhas são:
● uma representação pictórica de como o evento-topo pode ocorrer, mostrando caminhos de

interação, cada um dos quais envolve a ocorrência de dois ou mais eventos (de base);

● uma lista de conjuntos mínimos de cortes (caminhos individuais para a falha) com a probabilidade
de cada um ocorrer, desde que os dados estejam disponíveis;
● no caso de análise quantitativa, a probabilidade do evento-topo e a importância relativa dos

eventos-base.
Os pontos fortes da FTA incluem o seguinte.
● É uma abordagem disciplinada, altamente sistemática, mas ao mesmo tempo suficientemente

flexível para permitir a análise de uma variedade de fatores, incluindo interações humanas
e fenômenos físicos.
● É especialmente útil para analisar sistemas com muitas interfaces e interações.
● Fornece uma representação pictórica, levando a uma compreensão mais fácil do comportamento
do sistema e dos respectivos fatores.
● A análise lógica das árvores de falhas e a determinação dos conjuntos de corte são úteis na
identificação de caminhos simples de falha em um sistema complexo, onde as combinações
particulares de eventos e sequências de eventos que levam ao evento-topo podem ser ignoradas.
● Pode ser adaptada a problemas simples ou complexos com o nível de esforço diretamente
relacionado à complexidade.
● Em algumas situações, pode ser difícil verificar se todos os caminhos importantes para o evento-
topo estão incluídos; por exemplo, a inclusão de todas as fontes de ignição de uma análise de um
incêndio. Nessas situações, não é possível calcular a probabilidade do evento-topo.
● Interdependências de tempo não são abordadas.
● A FTA lida apenas com estados binários (sucesso/falha).
● Embora os modos de erro humano possam ser incluídos em uma árvore de falhas, a natureza e
a extensão dessas falhas podem ser difíceis de se definir.
● A FTA analisa um evento-topo. Ela não analisa falhas secundárias ou incidentais.
● Uma FTA pode ficar muito extensa para sistemas de grande escala.
[51] IEC 61025, Fault tree analysis (FTA)
[16] IEC 62740, Root cause analysis (RCA)

B.5.8 Análise da confiabilidade humana (HRA)
A HRA se refere a um grupo de técnicas que visam avaliar a contribuição de uma pessoa para
a confiabilidade e segurança do sistema, identificando e analisando o potencial de uma ação incorreta.
Embora na maioria das vezes seja aplicado ao desempenho degradado dos operadores em um contexto
de segurança, métodos semelhantes podem ser aplicados a níveis aprimorados de desempenho.
A HRA é aplicada em um nível tático para tarefas específicas em que o desempenho correto é crítico.
Uma análise da hierarquia de tarefas é realizada primeiro para identificar etapas e subetapas em uma
atividade. Os mecanismos de erro em potencial são identificados para cada subetapa usualmente com
um conjunto de palavras-chave (como muito cedo, muito tarde, objeto errado, ação errada, objeto certo).
As fontes desses erros (como distração, tempo disponível muito curto etc.) podem ser identificadas e
as informações podem ser usadas para reduzir a probabilidade de erro na tarefa. Fatores na própria
pessoa, na organização ou no ambiente que possam influenciar a probabilidade de erro (PSF) também
são identificados.
A probabilidade de uma ação incorreta pode ser estimada por vários métodos, incluindo o uso de um
banco de dados de tarefas semelhantes ou julgamento de especialistas. Normalmente, uma taxa de
erro nominal para um tipo de tarefa é definida e um multiplicador é aplicado para representar fatores
comportamentais ou ambientais que aumentam ou diminuem a probabilidade de falha. Vários métodos
foram desenvolvidos para aplicar essas etapas básicas.
Os métodos iniciais deram uma forte ênfase à estimativa da probabilidade de falha. Os métodos
qualitativos mais recentes se concentram nas causas cognitivas das variações no desempenho
humano, com maior análise da maneira como o desempenho é modificado por fatores externos e
menos na tentativa de calcular uma probabilidade de falha.
B.5.8.2 Uso
A HRA qualitativa pode ser usada:
● durante o projeto, para que os sistemas sejam projetados para minimizar a probabilidade de erro
dos operadores;
● durante a modificação do sistema, para verificar se é provável que o desempenho humano seja
influenciado em qualquer direção;
● para melhorar procedimentos para reduzir erros;
● para auxiliar na identificação e redução de fatores indutores de erros no ambiente ou em arranjos

organizacionais.
A HRA quantitativa é usada para fornecer dados sobre o desempenho humano como entrada para
métodos de árvore lógica ou outras técnicas para o processo de avaliação de riscos.
B.5.8.3 Entradas
● informações para definir tarefas que convêm que as pessoas executem;

● experiência dos tipos de erro ou desempenho extraordinário que acontecem na prática;
● experiência no desempenho humano e fatores que a influenciam;
● perícia nas técnicas a serem usadas.
B.5.8.4 Saídas
As saídas incluem:
● lista de erros ou desempenho extraordinário que possam ocorrer e métodos pelos quais eles
podem ser aprimorados através da reformulação do sistema;
● modos de desempenho humano, tipos, causas e consequências;
● uma avaliação qualitativa ou quantitativa do risco apresentado por diferenças de desempenho.
Os pontos fortes da HRA incluem o seguinte.
● Mecanismo formal para incluir o desempenho humano ao considerar os riscos associados aos
sistemas em que as pessoas desempenham um papel importante.
● A consideração formal dos modos e mecanismos de desempenho humano, com base no

entendimento dos mecanismos cognitivos, pode ajudar a identificar maneiras de modificar o risco.
● Os métodos são mais adequados para tarefas de rotina realizadas em ambientes bem controlados.
Eles são menos úteis para tarefas complexas ou onde as ações devem se basear em múltiplas e
possivelmente fontes de informação contraditórias.
● Muitas atividades não possuem uma forma simples de aprovação/reprovação. A HRA tem
dificuldade em lidar com impactos parciais no desempenho, como na qualidade das ações ou
decisões.
● A quantificação tende a depender muito da opinião de especialistas, porque poucos dados

confiáveis estão disponíveis.
[51] IEC 62508, Guidance on human aspects of dependability
[52] BELL Julie, HOLROYD Justin, Review of human reliability assessment method
[53] OECD, Establishing the Appropriate Attributes in Current Human Reliability Assessment
Techniques for Nuclear Safety

B.5.9 Análise de Markov
A análise de Markov é uma técnica quantitativa que pode ser aplicada a qualquer sistema que possa
ser descrito em termos de um conjunto de estados discretos e transições entre eles, desde que
a evolução de seu estado atual não dependa de seu estado em nenhum momento no passado.
Geralmente, supõe-se que as transições entre estados ocorram em intervalos especificados com
probabilidades de transição correspondentes (cadeia de Markov em tempo discreto). Na prática,
isso geralmente ocorre se o sistema for examinado em intervalos regulares para determinar seu
estado. Em algumas aplicações, as transições são governadas por tempos aleatórios distribuídos
exponencialmente com taxas de transição correspondentes (cadeia de Markov em tempo contínuo).
Isso é comumente usado para análises de confiabilidade, ver a IEC 61165.
Os estados e suas transições podem ser representados em um diagrama de Markov, como na Figura B.7.
Aqui, os círculos representam os estados e as setas representam as transições entre os estados e
suas probabilidades de transição relacionadas. Este exemplo possui apenas quatro estados: bom (S1),
regular (S2), ruim (S3) e com falha (S4). Supõe-se que todas as manhãs, o sistema seja inspecionado
e classificado em um desses quatro estados. Se o sistema falhar, ele sempre será reparado naquele
dia e retornará a um bom estado.
O sistema também pode ser representado por uma matriz de transição, como mostrado na Tabela B.4.
Observar que nesta tabela a soma de cada uma das linhas é 1, pois os valores representam as
probabilidades de todas as transições possíveis em cada caso.
0,8 0,85
S1 S2
0,15 Razoável
Bom
0,05
0,1
1,0
0,05 0,5
S4 S3
Com falha Ruim
0,5
Figura B.7 – Exemplo de diagrama de Markov

Tabela B.4 – Exemplo de matriz de Markov

Próximo estado após a transição
S1, Bom S2, Razoável S3, Ruim S4, Com falha
S1, Bom 0,8 0,15 0,05 0
Estado S2, Razoável 0 0,85 0,1 0,05

atual S3, Ruim 0 0 0,5 0,5
S4, Com falha 1 0 0 0
B.5.9.2 Uso
A análise de Markov pode ser usada para estimar:
● a probabilidade no longo prazo do sistema estar em um determinado estado; por exemplo, essa

pode ser a chance de uma máquina de produção operar conforme necessário, um componente
com falha ou um nível de suprimento caindo abaixo de um limite crítico;
● o tempo esperado para a primeira falha de um sistema complexo (o primeiro tempo de passagem)
ou o tempo esperado antes que um sistema retorne a um estado especificado (o tempo de
recorrência).
Exemplos de sistemas, estados e transições em diferentes áreas são fornecidos na Tabela B.5.

Tabela B.5 – Exemplos de sistemas nos quais a análise de Markov pode ser aplicada
Sistemas Estados Transições
Sistemas técnicos Condição das máquinas Deterioração, avaria, reparo
Produção Nível de produção Operação, limpeza, reset
Marketing Compra de marcas Lealdade da marca, troca de marca
Contabilidade Contas, recebíveis, status Pagamento, baixa, extensão
Infecção, recuperação, tratamento,
Seguro saúde Status do paciente
recaída
Reservatório Quantidade de água Entradas, saídas, evaporação
Movimentação entre posições
Recursos humanos Categorias de emprego
profissionais e saída.
B.5.9.3 Entradas
As entradas para uma análise de Markov são um conjunto de estados discretos que o sistema pode
ocupar, um entendimento das possíveis transições que precisam ser modeladas e estimativas das
probabilidades ou taxas de transição (no caso de uma cadeia Markov de tempo contínuo - CTMC ).
B.5.9.4 Saídas
A análise de Markov gera estimativas da probabilidade de um sistema estar em qualquer estado

especificado. Ele suporta diversos tipos de decisões sobre os tipos de intervenções que um gerente
pode tomar em um sistema complexo (por exemplo, para modificar os estados do sistema e as
transições entre eles).
● Os pontos fortes da análise de Markov incluem o seguinte.
● Ela pode ser usada para modelar sistemas dinâmicos e de vários estados.
● Os diagramas de transição de estado fornecem estruturas simples e de fácil comunicação.
● As premissas podem não se aplicar a todos os sistemas de interesse, em particular, as probabilidades

ou taxas de transição entre estados podem mudar ao longo do tempo à medida que o sistema se
deteriora ou se adapta.
● A modelagem pode exigir uma extensa coleta e validação de dados.
● O excesso de dados reduz a resposta a uma média.
[51] IEC 61165, Application of Markov techniques
[52] OXLEY, ALAN. Markov Processes in Management Science

B.5.10 Simulação de Monte Carlo
Alguns cálculos realizados na análise de riscos envolvem distribuições. Entretanto, executar cálculos
com distribuições não é fácil, pois muitas vezes não é possível derivar soluções analíticas, a menos
que as distribuições tenham formas bem especificadas e apenas com restrições e premissas, o que
pode acabar não sendo realista. Nessas circunstâncias, técnicas como a simulação de Monte Carlo
fornecem uma maneira de realizar os cálculos e desenvolver resultados. A simulação geralmente
envolve a coleta de valores de amostra aleatória de cada uma das distribuições de entrada, a execução
de cálculos para derivar um valor como resultado e a repetição do processo por meio de uma série de
iterações para criar uma distribuição dos resultados. O resultado pode ser dado como uma distribuição
de probabilidade do valor ou alguma estatística, como o valor médio.
Os sistemas podem ser desenvolvidos usando planilhas e outras ferramentas convencionais,

mas ferramentas de software mais sofisticadas estão disponíveis para ajudar com requisitos mais
complexos.
B.5.10.2 Uso
Em geral, a simulação de Monte Carlo pode ser aplicada a qualquer sistema para o qual:
● um conjunto de entradas interaja para definir uma saída;
● o relacionamento entre as entradas e saídas pode ser expresso como um conjunto de dependências;
● técnicas analíticas não são capazes de fornecer resultados pertinentes ou quando há incerteza
nos dados de entrada.
A simulação de Monte Carlo pode ser usada como parte do processo de avaliação de riscos para dois
propósitos diferentes:
● propagação da incerteza em modelos analíticos convencionais;
● cálculos probabilísticos quando as técnicas analíticas não funcionam ou não são viáveis.
As aplicações incluem, entre outras coisas, modelagem e avaliação da incerteza nas previsões
financeiras, desempenho do investimento, previsões de custo e cronograma do projeto, interrupções
de processos de negócios e requisitos de pessoal.
B.5.10.3 Entradas
As entradas para uma simulação de Monte Carlo são:
● um modelo do sistema que contém a relação entre diferentes entradas e entre entradas e saídas;
● informações sobre os tipos de insumos ou as fontes de incerteza que devem ser representadas;
● a forma de saída necessária.
Os dados de entrada com incerteza são representados como variáveis aleatórias com distribuições
mais ou menos dispersas, de acordo com o nível de incertezas. Distribuições uniformes, triangulares,
normais e log normais são frequentemente usadas para esse fim.

B.5.10.4 Saídas
A saída pode ser um valor único ou pode ser expressa como a distribuição de probabilidade ou
frequência ou pode ser a identificação das principais funções do modelo que têm maior impacto na
saída.
Em geral, o resultado de uma simulação de Monte Carlo será a distribuição inteira dos resultados que
podem surgir ou as principais medidas de uma distribuição como:
● a probabilidade de um resultado definido surgir;
● o valor de um resultado em que os proprietários do problema tenham um certo nível de confiança

que não será excedido. Por exemplo, um determinado custo que tem menos de 10 % de chance
de exceder ou uma duração que tem 80 % de chance de ser excedida.
Uma análise das relações entre entradas e saídas pode lançar luz sobre o significado relativo
da incerteza nos valores de entrada, além de identificar metas para esforços a fim de influenciar
a incerteza no resultado.
Os pontos fortes da análise de Monte Carlo incluem o seguinte.
● O método pode, em princípio, acomodar qualquer distribuição em uma variável de entrada,

incluindo dados empíricos derivados de observações de sistemas relacionados.
● Os modelos são relativamente simples de desenvolver e podem ser estendidos conforme

a necessidade.
● Quaisquer influências ou relações podem ser representados, incluindo efeitos como dependências
condicionais.
● A análise de sensibilidade pode ser aplicada para identificar influências fortes e fracas;
● Os modelos podem ser facilmente entendidos, uma vez que a relação entre entradas e saídas
é transparente.
● Ela fornece uma medida da exatidão de um resultado.
● O software está prontamente disponível.
As limitações são as seguintes.
● A precisão das soluções depende do número de simulações que podem ser executadas.
● O uso da técnica depende da possibilidade de se representar incertezas nos parâmetros por meio
de uma distribuição válida.
● Pode ser difícil configurar um modelo que represente adequadamente a situação.
● Modelos grandes e complexos podem ser desafiadores para o modelador e dificultam o envolvimento
das partes interessadas no processo.
● A técnica tende a enfatizar os riscos de alta consequência/baixa probabilidade.

A análise de Monte Carlo impede que haja excesso de peso sendo atribuído a resultados improváveis
e de alta consequência, reconhecendo que é improvável que todos esses resultados ocorram
simultaneamente em uma carteira de riscos. Isso pode resultar na remoção de eventos extremos
que poderiam ser considerados, principalmente quando um grande portfólio está sendo considerado.
Logo, pode gerar um efeito de confiança sem embasamento ao tomador de decisão.
[56] ISO/IEC Guide 98-3:2008/Suppl 1, Uncertainty of measurement – Part 3: Guide to the expression of
uncertainty in measurement (GUM 1995) – Propagation of distributions using a Monte Carlo method
B.5.11 Análise de impacto de privacidade (PIA)/Avaliação de Impacto de Proteção de

Dados (DPIA)
Os métodos de análise de impacto de privacidade (PIA) (também chamados de avaliação de impacto

de privacidade) e avaliação de impacto de proteção de dados (DPIA) analisam como incidentes
e eventos podem afetar a privacidade (PI) de uma pessoa e identificam e quantificam os recursos
necessários para gerenciá-la. Uma PIA/DPIA é um processo para identificar os potenciais efeitos
sobre a privacidade de uma pessoa.
As PIA e DPIA ajudam as organizações a identificar, avaliar e tratar os riscos de privacidade associados
às atividades de tratamento de dados. Eles são particularmente importantes quando um novo processo,
sistema ou tecnologia de tratamento de dados estiver sendo introduzido. As PIA e DPIA são parte
integrante de uma abordagem de concepção de proteção da privacidade (privacy by design).
As DPIA também ajudam as organizações a cumprirem os requisitos dos regulamentos de proteção

de dados (por exemplo, Regulamento Geral de Proteção de Dados da União Europeia, GDPR)
e demonstram que foram tomadas as medidas apropriadas para assegurar a conformidade.
Especificamente, o processo:
● analisa as possíveis consequências de uma violação de privacidade em uma pessoa viva (com
Base na triagem de risco);
● leva em consideração se o tratamento de informações pessoais apresenta um alto risco em caso

de invasão de privacidade;
● realiza uma análise de risco detalhada para o tratamento de dados pessoais identificáveis.
Uma PIA/DPIA pode ser realizada usando questionários, entrevistas, workshops estruturados ou uma
combinação dos três, utilizando as orientações do Grupo de Trabalho do Artigo 29 da UE e vários
modelos desenvolvidos por, por exemplo, OIC (Reino Unido), CNIL (França), NOREA (NL).
B.5.11.2 Uso
Uma PIA/DPIA é usada para determinar as consequências de altos riscos nos processos e recursos
associados (por exemplo, pessoas, equipamentos e tecnologia da informação) para limitar possíveis
consequências negativas à privacidade das pessoas decorrentes da maneira como as informações
são tratadas. Também pode ser usado como parte da análise de consequências ao considerar as
consequências do tratamento de dados de maneira mais geral.

B.5.11.3 Entradas
● informações sobre os objetivos, direção estratégica, ambiente, ativos e interdependências da

organização;
● uma avaliação das prioridades da triagem básica de risco anterior;
● detalhes das atividades e operações da organização ao lidar com informações pessoais, incluindo
processos, recursos, relacionamentos com outras organizações, cadeias de suprimentos, acordos
terceirizados e partes interessadas;
● informações para permitir a avaliação das consequências financeiras, legais e operacionais de um

vazamento ou perda de informações pessoais (especialmente informações pessoais altamente
sensíveis);
● um questionário preparado ou outro meio de coleta de informações;
● resultados de outros processos de avaliação de riscos e análises de incidentes críticos

relacionados aos resultados de incidentes pertinentes (especialmente vazamentos de dados ou
perda de dados e outros incidentes de segurança da informação que possam afetar o tratamento
de dados pretendido);
● uma lista de pessoas de áreas pertinentes da organização e/ou partes interessadas que serão
contatadas.
B.5.11.4 Saídas
As saídas incluem:
● documentos detalhando as informações coletadas como insumos;
● uma lista priorizada de processos críticos de informação e interdependências associadas;
● um conjunto de cenários em que o risco é alto para o tratamento de dados pessoais conforme
pretendido;
● impactos documentados de vazamento ou perda de informações pessoais em uma pessoa física viva;
● informações sobre recursos e atividades de apoio necessárias para limitar possíveis consequências
para os titulares dos dados;
● uma lista prioritária dos produtos e serviços da organização que estão envolvidos;
● uma avaliação dos impactos ao longo do tempo e meios de não assegurar a confidencialidade,
● integridade e disponibilidade de dados pessoais (de alto risco) e consequências para os titulares
dos dados;
● prazos de interrupção das ações a serem tomadas para contenção e/ou recuperação de informações,
declarações às autoridades competentes e, em alguns casos, ao(s) titular(es) de dados.

Os pontos fortes da PIA/DPIA incluem o que ela proporciona a seguir:
● um profundo entendimento dos processos críticos que lidam com informações pessoais (sensíveis)
dentro ou em nome de uma organização;
● avaliação da implementação dos princípios da concepção de proteção da privacidade e privacidade

por padrão;
● informações necessárias para planejar a resposta de uma organização a um incidente de dados

pessoais;
● um entendimento dos principais recursos necessários no caso de vazamento ou perda de dados

pessoais;
● uma oportunidade de redefinir e reconsiderar o tratamento operacional de dados pessoais por

uma organização;
● no caso de uma obrigação legal (por exemplo, Regulamento Geral Europeu de Proteção de
Dados), a documentação para informar as autoridades de proteção de dados antes do início do
tratamento de dados pessoais de alto risco.
● Pode haver um cálculo simplista ou subestimado da gravidade potencial do risco para a privacidade
de uma pessoa na fase inicial (triagem de impacto de privacidade).
● A PIA/DPIA conta com o conhecimento e as percepções dos participantes envolvidos no

preenchimento de questionários ou na realização de entrevistas ou workshops.
● A dinâmica do grupo e a pressão do tempo podem afetar adversamente a análise completa de

um processo crítico.
● Pode ser difícil obter um nível adequado de entendimento das operações e atividades necessárias
da organização ao tratar os dados pessoais.
[57] EU: General Data Protection Regulation (European Union Official Journal, 04.05.2016)
[58] ICO (UK): Data protection impact assessments
[59] CNIL (FR), Privacy Impact Assessment (PIA)

B.6 Técnicas para analisar dependências e interações
B.6.1 Mapeamento causal
O mapeamento causal captura as percepções individuais na forma de cadeias de argumento em

um gráfico direcionado passível de exame e análise. Eventos, causas e consequências podem ser
representados no mapa.
Normalmente, os mapas são desenvolvidos em um ambiente de oficina, onde os participantes de

uma gama de diferentes disciplinas recebem a tarefa de elicitação, estruturação e análise do material.
As percepções são aumentadas com informações de documentos, quando apropriado. As entradas
podem ser capturadas usando várias ferramentas, que variam desde notas com papel adesivo (post-it)
até apoio à decisão de grupo especializado em softwares. Este último permite a entrada direta de
problemas e podem ser um meio altamente produtivo de se trabalhar. Convém que as ferramentas
selecionadas permitam a captura anônima de problemas, para que um ambiente aberto e sem conflitos
possa ser criado para apoiar a discussão focada em relacionamentos causais.
Em geral, o processo começa gerando contribuições que impactam ou causam eventos em relação
ao problema considerado. Estes são agrupados de acordo com o seu conteúdo e posteriormente
explorados para assegurar uma cobertura abrangente. Os participantes então consideram como cada
um dos eventos pode impactar um ao outro. Isso permite que os eventos discretos sejam vinculados para
formar caminhos de raciocínio causal no mapa. O processo visa facilitar o entendimento compartilhado
de eventos incertos, além de desencadear contribuições por meio do processo explicativo imposto,
necessário para construir as cadeias de argumentação sobre como um evento afeta outro. Existem
regras claras para a captura de ambos os nós que representam eventos e os relacionamentos, para
assegurar uma robusta e abrangente modelagem.
Depois que a rede de eventos é desenvolvida para formar um mapa completo, ela pode ser analisada
para determinar propriedades que podem ser úteis para gerenciar riscos: por exemplo, para
determinar os nós centrais que são aqueles eventos cuja ocorrência é central e pode ter um sistema
sistêmico substancial de efeitos; ou determinar ciclos de retroalimentação, que possam resultar em
comportamentos dinâmicos e destrutivos.
B.6.1.2 Uso
O mapeamento causal identifica relações e interações entre riscos e temas em uma lista de riscos.
Ele pode ser usado legalmente para desenvolver um mapa causal para um evento que tenha ocorrido
(por exemplo, saturação do projeto, falha do sistema). Os mapas causais legais podem revelar gatilhos,
consequências e mudanças. Eles permitem a determinação da causalidade, o que pode ser crítico
para as reclamações.
Os mapas causais também podem ser usados proativamente para capturar uma abordagem abrangente
e sistêmica de apreciação de cenários de eventos. O mapa pode então ser examinado para permitir
uma aprendizagem profunda, além de formar a base para a análise quantitativa dos riscos para ajudar
a determinar prioridades.
Eles permitem que um programa de tratamento integrado seja desenvolvido, em vez de cada risco ser
considerado separadamente.

Os workshops de análise causal podem ser executados em intervalos regulares para assegurar que a
natureza dinâmica do risco seja apreciada e gerenciada adequadamente.
B.6.1.3 Entradas
Os dados para informar o desenvolvimento de mapas causais podem vir de fontes diferentes, como
entrevistas individuais, onde os mapas produzidos fornecem uma representação detalhada do que
ocorreu ou poderia ocorrer. Os dados também podem ser obtidos da documentação, como relatórios,
materiais de reclamações etc. Esses dados podem ser usados diretamente ou para informar o processo
de análise das cadeias de discussões relacionadas aos eventos pelos participantes de um workshop.
B.6.1.4 Saídas
As saídas incluem:
● mapas causais que fornecem uma representação visual dos eventos de risco e as relações
sistêmicas entre esses eventos;
● os resultados de uma análise dos mapas causais usados para identificar grupos emergentes de
eventos, eventos críticos devido à sua centralidade, loops de feedback etc.;
● um documento traduzindo os mapas em texto e relatando os principais resultados, além de

explicar a seleção de participantes e o processo usado para o desenvolvimento dos mapas.
Convém que os resultados forneçam informações pertinentes para as decisões da gestão de riscos
e uma pista para a auditoria do processo usados para gerar essas informações.
Os pontos fortes dos mapas causais incluem o seguinte:
● Os riscos pertinentes para a questão em análise são considerados sob as múltiplas perspectivas
dos participantes.
● A natureza divergente e aberta do processo permite que o risco seja explorado, reduzindo
a chance de negligenciar eventos ou relacionamentos críticos.
● O processo permite a captura eficaz e eficiente das interações entre os eventos e fornece uma
compreensão de seus relacionamentos.
● O processo de determinação da rede de eventos que formam o mapa pode criar a linguagem e
o entendimento comuns que são vitais para uma gestão de riscos eficaz.
● O processo de mapeamento não é fácil de aprender, pois requer não apenas habilidade na
técnica de mapeamento, mas também a capacidade de gerenciar grupos enquanto trabalha com
a ferramenta de mapeamento.
● Os mapas são de natureza qualitativa e, quando é necessária quantificação, os mapas precisam

ser usados como entrada para outros modelos apropriados.
● O conteúdo do mapa é determinado pelas fontes e, portanto, uma consideração cuidadosa da

composição dos participantes é crítica, caso contrário, áreas vitais podem ser omitidas.

[60 BRYSON, J. M., ACKERMANN, F., EDEN, C., & FINN, C. Visible thinking unlocking causal
mapping for practical business results
[61] ACKERMANN, F, HOWICK, S, QUIGLEY, J, WALLS, L, HOUGHTON, T. Systemic risk elicitation:

Using causal maps to engage stakeholders and build a comprehensive view of risks
B.6.2 Análise de impacto cruzado
A análise de impacto cruzado é o nome geral dado a uma família de técnicas projetadas para avaliar
alterações na probabilidade de ocorrência de um determinado conjunto de eventos, consequentes
à ocorrência real de um deles.
A análise de impacto cruzado envolve a construção de uma matriz para mostrar as interdependências
de diferentes eventos. Um conjunto de eventos ou tendências que podem ocorrer é listado ao longo
das linhas e os eventos ou tendências que possivelmente seriam afetados pelos eventos da linha ao
longo das colunas.
Especialistas são então necessários para estimar:
● a probabilidade de cada evento (isoladamente dos outros) em um determinado horizonte de

tempo;
● a probabilidade condicional de cada evento, dado que ocorre outro evento, ou seja, para o par de
eventos i / j, os especialistas estimam:
— P (i / j) - a probabilidade de i se j ocorrer,
— P (i / não j) - a probabilidade de i se j não ocorrer.
Isso é inserido em um computador para análise.
Existem vários métodos diferentes para calcular as probabilidades de um evento, considerando todos
os outros eventos. Independentemente de como isso é feito, o procedimento usual é realizar uma
simulação de Monte Carlo, em que o modelo do computador seleciona sistematicamente conjuntos
consistentes de eventos e opera várias vezes. À medida que mais e mais execuções de computador
são executadas, uma nova probabilidade posterior de ocorrência de cada evento é gerada.
Uma análise de sensibilidade é realizada selecionando uma estimativa de probabilidade inicial ou uma
estimativa de probabilidade condicional, sobre a qual existe incerteza. Esse julgamento é alterado e a
matriz é executada novamente.
B.6.2.2 Uso
A análise de impacto cruzado é usada em estudos de previsão e como uma técnica analítica para
prever como diferentes fatores afetam as decisões futuras. Ela pode ser combinada com a análise de
cenários (B.2.5) para decidir qual dos cenários produzidos é o mais provável. Pode ser usada quando
houver múltiplos riscos de interação, por exemplo, em projetos complexos ou na gestão de riscos de
segurança.

O horizonte temporal da análise de impacto cruzado é geralmente de médio a longo prazo e pode
ser do presente até cinco anos ou até 50 anos no futuro. Convém que o horizonte temporal seja
explicitamente declarado.
A matriz de eventos e suas interdependências podem ser úteis para os tomadores de decisão mesmo
sem a probabilidade calculada a partir da análise.
B.6.2.3 Entradas
O método requer especialistas que estejam familiarizados com a questão em estudo e tenham
capacidade para prever desenvolvimentos futuros e que possam estimar probabilidades de maneira
realista.
É necessário um software de suporte para calcular as probabilidades condicionais. A técnica requer

conhecimento específico de modelagem se o usuário quiser entender como os dados são processados
pelo software. Geralmente, é necessário um tempo significativo (vários meses) para desenvolver
e executar os modelos.
B.6.2.4 Saída
A saída é uma lista de possíveis cenários futuros e sua interpretação. Cada execução do modelo
produz um histórico ou síntese de cenário futuro, que inclui a ocorrência de alguns eventos e a não
ocorrência de outros. Com base no modelo específico de impacto cruzado aplicado, os cenários de
saída tentam gerar o cenário mais provável ou um conjunto de cenários estatisticamente consistentes
ou um ou mais cenários plausíveis do conjunto total.
Os pontos fortes da análise de impacto cruzado incluem o seguinte:
● é relativamente fácil implementar um questionário de impacto cruzado.
● força a atenção em cadeias de causalidade (a afeta b; b afeta c etc.).
● pode esclarecer e aumentar o conhecimento sobre desenvolvimentos futuros.
● é útil para explorar uma hipótese e encontrar pontos de concordância e divergência.
● O número de eventos que podem ser incluídos é limitado na prática pelo software e pelo tempo
exigido pelos especialistas. O número de execuções necessárias e o número de probabilidades
condicionais a serem estimadas aumentam rapidamente à medida que o número de eventos
incluídos aumenta (por exemplo, com um conjunto de dez eventos que um especialista precisa
fornecer 90 julgamentos de probabilidade condicional).
● Um estudo realista requer um trabalho considerável de especialistas e geralmente ocorre uma

alta taxa de desistência.
● É difícil definir os eventos a serem incluídos e qualquer influência não incluída no conjunto de
eventos será completamente excluída do estudo; por outro lado, a inclusão de eventos irrelevantes
pode complicar desnecessariamente a análise dos resultados finais.

● Como em outras técnicas baseadas na obtenção de conhecimento de especialistas, o método se

baseia no nível de experiência dos entrevistados.
[62] JOINT RESEARCH CENTRE, EUROPEAN COMMISSION, Cross impact analysis [visualizado
2017-9-14]
B.7 Técnicas que fornecem uma medida de risco
B.7.1 Processo de avaliação de risco toxicológico
O processo de avaliação de riscos no contexto de riscos para plantas, animais, domínios ecológicos
e humanos como resultado da exposição a uma variedade de riscos ambientais envolve as seguintes
etapas.
Os riscos para plantas, animais, domínios ecológicos e humanos podem ser causados por agentes
físicos, químicos e/ ou biológicos, resultando em danos ao DNA, defeitos congênitos, disseminação de
doenças, contaminação de cadeias alimentares e contaminação da água. O processo de avaliação
destes riscos pode exigir aplicação de várias técnicas nas etapas a seguir:
a) Formulação do problema: Envolve o estabelecimento do contexto da avaliação, definindo o

objetivo da avaliação, a faixa de populações-alvo e os tipos de risco de interesse.
b) Identificação e análise de perigos: Isso envolve identificar todas as fontes possíveis de danos
à população-alvo dentro do escopo do estudo e entender a natureza do perigo e como ele
interage com o alvo. Por exemplo, ao considerar a exposição humana a um produto químico,
as consequências consideradas podem incluir o potencial de danificar o DNA ou causar câncer
ou defeitos congênitos. A identificação e análise de perigos normalmente se baseiam em
conhecimento especializado e em uma análise crítica da literatura.
c) Avaliação da resposta à dose: A resposta da população-alvo geralmente é em função do nível

de exposição ou dose. As curvas de resposta à dose geralmente são desenvolvidas a partir de
testes em animais ou de sistemas experimentais, como culturas de células. Para riscos como
micro-organismos ou espécies introduzidas, a curva de resposta à dose pode ser determinada
a partir de dados de campo e estudos epidemiológicos. Sempre que possível, é determinado
o mecanismo pelo qual o efeito é produzido.
A Figura B.8 mostra uma curva de resposta à dose simplificada.

Resposta observada
Curva de
resposta
à dose
Limiar de
resposta
adversa
Dose
NOEL Sem limite de efeito observável

LOAEL Nível mais baixo de efeito adverso observável
Figura B.8 – Exemplo de curva de resposta à dose

d) Avaliação da exposição: A dose que será experimentada na prática pela população-alvo
é estimada. Isso geralmente envolve uma análise do caminho que considera as diferentes rotas
que o risco pode seguir, as barreiras que podem impedir que ele atinja o alvo e os fatores que
podem influenciar o nível de exposição. Por exemplo, na avaliação do risco de pulverização
química, a análise de exposição considera a quantidade de produto químico pulverizado e sob
quais condições, se houve exposição direta de seres humanos ou animais, quanto poderia ser
deixado como resíduo nas plantas, o destino ambiental de qualquer pesticida que chegasse ao
solo, se pode se acumular nos animais, se entrar nas águas subterrâneas etc.
e) Caracterização do risco: As informações das etapas anteriores são reunidas para estimar
a probabilidade de consequências específicas quando os efeitos de todos os percursos forem
combinados.
B.7.1.2 Uso
O método fornece uma medida para a magnitude do risco à saúde humana ou ao meio ambiente.
É usado nas declarações de impacto ambiental para mostrar se o risco de uma determinada exposição
é aceitável. Também é usado como base para definir limites para riscos aceitáveis.
B.7.1.3 Entradas
As entradas incluem informações sobre os riscos toxicológicos, o sistema ecológico de preocupação

(incluindo a saúde humana) e, sempre que possível, os mecanismos envolvidos. Normalmente, são
necessárias medições para estimar as exposições.

B.7.1.4 Saídas
O resultado é uma estimativa do risco para a saúde humana ou para o meio ambiente, expressa
quantitativamente ou com uma mistura de informações qualitativas e quantitativas fornecidas. A saída
pode incluir limites a serem usados para definir limites aceitáveis para o risco ambiental, como o limite
de efeito adverso não observado (ver a Figura B.8).
Os pontos fortes dessa forma de análise incluem o seguinte:
● Fornece uma compreensão muito detalhada da natureza do risco e dos fatores que aumentam o
risco.
● A análise de caminhos é uma ferramenta muito útil geralmente para todas as áreas de risco para
identificar como e onde pode ser possível melhorar os controles ou introduzir novos.
● A análise pode formar a base para regras simples sobre exposições aceitáveis que geralmente
podem ser aplicadas.
● Requer bons dados que podem não estar disponíveis imediatamente. Uma pesquisa mais
investigativa pode ser necessária.
● Requer um alto nível de conhecimento para ser aplicado.
● Frequentemente, existe um alto nível de incerteza associado às curvas de resposta à dose e aos
modelos usados para desenvolvê-las.
● Onde o alvo é ecológico e não humano e o risco não é químico, pode não haver uma boa
compreensão dos sistemas envolvidos.
[63] WORLD HEALTH ORGANISATION, Human health risk assessment toolkit – chemical hazards
[64] US EPA, Guidelines for ecological risk assessment
B.7.2 Valor em risco (VaR)
O valor em risco (VaR) é amplamente usado no setor financeiro para fornecer um indicador da quantia
de perda possível em uma carteira de ativos financeiros durante um período específico dentro de um
determinado nível de confiança. Perdas maiores que o VaR são sofridas apenas com uma pequena
probabilidade especificada.
A distribuição de lucros e perdas é geralmente derivada de uma de três maneiras:
● A simulação de Monte Carlo (ver B.5.10) é usada para modelar os fatores de variabilidade na
carteira e derivar a distribuição. Essa abordagem é particularmente útil, pois fornece informações
sobre riscos nos extremos de distribuição e permite que premissas de correlação sejam testadas.

● Modelos históricos de simulação fazem projeções com base em retrospectivas dos resultados
e distribuições observados. Essa é uma abordagem simples, mas pode ser muito enganadora
se desenvolvimentos futuros não corresponderem às experiências passadas, uma limitação
importante em períodos de estresse do mercado.
● Os métodos analíticos são baseados em premissas de que os fatores de mercado subjacentes

têm uma curva de distribuição normal multivariada. Dessa forma, os lucros e perdas, que também
são normalmente distribuídos, podem ser determinados.
Muitas organizações financeiras usam uma combinação dessas abordagens.
Em alguns setores, é necessário que o VaR seja calculado com base em mercados estressados e em
condições de alta volatilidade, para fornecer um conjunto crível de resultados de “pior caso”.
Medidas comuns do VaR estão relacionadas a perdas no horizonte de um dia e duas semanas, com
probabilidades de perda de 1 % e 5 %. Por convenção, o VaR é relatado como um número positivo,
embora se refira a uma perda.
Por exemplo, a Figura B.9 mostra a distribuição de valor para uma carteira de ativos financeiros
durante um período, com a distribuição mostrada de forma cumulativa. A Figura B.10 mostra a região
em que a carteira sofre uma perda, com valores de VaR de 1,6 milhão a 1 % (probabilidade de perda
de 0,01) e 0,28 milhão a 5 % (probabilidade de perda de 0,05).
Porcentagem cumulativa
5-percentil,
VaR = 0,28
milhão
1-percentil,
VaR = 1,16
milhão
Valor de carteira Valor de carteira (região de perda)
Figura B.10 – Detalhe da perda valores de

Figura B.9 – Distribuição do valor
VaR da região
B.7.2.2 Uso
O VaR possui três parâmetros: uma quantidade de perda potencial, a probabilidade dessa quantidade
de perda e o período de tempo em que a perda pode ocorrer. É usado para os seguintes fins:
● definir limites para um gerente de carteira sobre a perda máxima do portfólio dentro de uma
tolerância ou apetite pelo risco acordado;
● monitorar o “risco” de uma carteira de ativos em um determinado momento e tendências em risco;
● determinar quanto capital econômico, prudencial ou regulatório pode precisar ser reservado para
um portfólio especificado;
● reportar aos reguladores.

B.7.2.3 Entradas
Os insumos são fatores de mercado que afetam o valor da carteira, como taxas de câmbio, taxas de
juros e preços das ações. Normalmente, eles são identificados decompondo os instrumentos do portfólio
em instrumentos mais simples, diretamente relacionados aos fatores básicos de risco de mercado;
interpretar os instrumentos reais como portfólios dos instrumentos mais simples. Financiadores
e reguladores podem exigir que métodos específicos sejam adotados ao avaliar variáveis de entrada.
B.7.2.4 Saída
Durante um período indicado, o VaR calcula a perda potencial de uma carteira de ativos financeiros
para uma probabilidade especificada. A análise também pode fornecer a probabilidade de uma
quantidade especificada de perda.
Os pontos fortes incluem o seguinte:
● A abordagem é direta e aceita (ou exigida) pelos reguladores financeiros.
● Podem ser usados para calcular requisitos de capital econômico diariamente, se necessário.
● Fornece um meio de estabelecer limites para uma carteira de negociação de acordo com um
apetite pelo risco acordado, monitorar o desempenho em relação a esses limites e, assim, apoiar
a governança.
● VaR é um indicador, não uma estimativa específica de perda possível. A perda máxima possível
para qualquer situação não é evidente a partir de um único valor correspondente ao VaR com 1%
ou 5% de probabilidade de perda derivada da análise do VaR.
● O VaR possui várias propriedades matemáticas indesejáveis; por exemplo, o VaR é uma medida de
risco coerente quando baseado em uma distribuição elíptica, como a distribuição normal padrão,
mas não em outras circunstâncias. Os cálculos na parte final da distribuição geralmente são
instáveis e podem depender de premissas específicas sobre formas e correlações de distribuição
que podem ser difíceis de justificar e podem não se sustentar em tempos de estresse no mercado.
● Modelos de simulação podem ser complexos e demorados para serem executados.
● As organizações podem exigir sistemas sofisticados de TI para capturar informações de mercado

de uma forma que possa ser usada facilmente, e em tempo hábil, para cálculos de VaR.
● É necessário assumir valores para um conjunto de parâmetros que são então fixados para
o modelo.
Se a situação mudar para que essas premissas não sejam pertinentes, o método não fornecerá resultados
razoáveis. Em outras palavras, não é possível usar este modelo de risco em condições instáveis.
[65] CHANCE, D., BROOKS, R. (2010). An introduction to derivatives and risk management
[66] THOMAS J. and PEARSON Neil D. Value at risk. Financial Analysts Journal 2000 56, 47-67

B.7.3 Valor em risco condicional (CVaR) ou déficit esperado (ES)
O valor em risco condicional (CVaR), também chamado de déficit esperado (ES), é uma medida
da perda esperada de uma carteira financeira no menor percentual dos casos. Essa é uma medida
semelhante ao VaR, mas é mais sensível ao formato da cauda (perda) mais baixa da distribuição de
valor da carteira.
CVaR (a) é a perda esperada relativa às perdas que ocorrem apenas em uma determinada porcentagem
do tempo. Por exemplo, na Figura B.10, quando a é 5, CVaR (5) é o valor esperado das perdas
representadas pela curva à esquerda da linha vertical a 5%, ou seja, a média de todas as perdas
superiores a 0,28 milhão.
B.7.3.2 Uso
As técnicas CVaR foram aplicadas à mensuração do risco de crédito, que fornece aos credores uma
visão das mudanças no risco extremo entre os setores desde o início da crise financeira.
A Figura B.11 ilustra melhor a diferença entre o CVaR e o VaR em uma carteira em situação de risco.
Perda de carteira S
Figura B.11 – VaR e CVaR para possível perda de carteira

B.7.3.3 Entradas e saídas
Ver a descrição do valor em risco (VaR) em B.7.2.
● O CVaR é mais sensível ao formato de cauda de distribuição do que o VaR.
● O CVaR previne algumas das limitações matemáticas do VaR.
● O CVaR é uma medida mais conservadora que o VaR, porque se concentra nos resultados que
geram as maiores perdas.
● CVaR é um indicador de potencial de perda, não uma estimativa da perda máxima possível;

● assim como o VaR, o CVaR é sensível as premissas fundamentais sobre a volatilidade do valor
do ativo;
● o CVaR depende de matemática complexa e requer uma grande variedade de premissas.
[67] CHOUDHRY, M. An introduction to Value at Risk
[68] Value at Risk. New York University [visualizado 2017-9-14]. Disponível em: http://people.stern.
nyu.edu/adamodar/pdfiles/papers/VAR.pdf
B.8 Técnicas para avaliação da significância do risco
B.8.1 Generalidades
As técnicas discutidas na Seção B.8 são usadas em um processo que envolve decidir se, e como,
tratar o risco. Algumas podem ser usadas para decidir se um risco específico é tolerável, ou aceitável
e outras para indicar a importância relativa de um risco, ou para classificá-los em uma ordem
de prioridade.
B.8.2 Tão baixo quanto razoavelmente praticável (ALARP) e na medida do razoável,

praticável (SFAIRP)
ALARP e SFAIRP são acrônimos que incorporam o princípio de “razoavelmente praticável”. Eles
representam os critérios nos quais o teste de aceitabilidade ou tolerabilidade de um risco é somente
razoavelmente praticável para fazer mais, a um fim de reduzir o risco. O ALARP geralmente requer
que o nível de risco seja reduzido para o menor valor possível. O SFAIRP em geral requer que
a segurança 5 seja assegurada na medida do possível. Razoavelmente praticável já foi definido
na legislação, ou na jurisprudência em alguns países.
Os critérios SFAIRP e ALARP visam obter o mesmo resultado, porém diferem em um ponto semântico.
O ALARP alcança segurança, tornando o risco o mais baixo possível, enquanto o SFAIRP não faz
referência ao nível de risco. O SFAIRP é geralmente interpretado como um critério pelo qual os controles
são avaliados para verificar se outros tratamentos são possíveis; então, se eles são possíveis, seriam
praticáveis. Tanto o ALARP quanto o SFAIRP concedem descontos para tratamentos de risco com
base no fato de que os custos são desproporcionais aos benefícios obtidos, embora a extensão em
que isso esteja disponível dependa da jurisdição. Por exemplo, em algumas jurisdições, os estudos
de custo-benefício (ver B.9.2) podem ser usados para apoiar e argumentar que o ALARP ou o SFAIRP
foi alcançado
O conceito de ALARP, como originalmente expresso pela Executiva de Saúde e Segurança do Reino
Unido, é ilustrado na Figura B.12. Em algumas jurisdições, os níveis quantificados de risco são
colocados nas fronteiras entre regiões intoleráveis, ALARP e as regiões amplamente aceitáveis.

B.8.2.2 Uso
ALARP e SFAIRP são usados como critérios para decidir se um risco precisa ser tratado. Eles são
mais comumente usados para riscos relacionados à segurança e são usados pelos legisladores em
algumas jurisdições.
NOTA BRASILEIRA Nesta subseção, o termo “segurança” (safety) está relacionado à segurança física.
O modelo ALARP pode ser usado para classificar riscos em uma das três categorias da seguinte
maneira:
● uma categoria de risco intolerável, onde não é possível justificar o risco (não é aceitável), exceto
em circunstâncias extraordinárias;
● uma categoria de risco amplamente aceitável em que o risco é tão baixo que não é necessário
considerar uma redução adicional (mas pode ser implantada se praticável e razoável);
● uma região entre esses limites (a região ALARP) onde convém que uma redução adicional de
risco seja implantada, apenas se for razoavelmente praticável.
Figura B.12 – Diagrama ALARP

B.8.2.3 Entradas
Informação sobre:
● a fonte do risco e o risco associado;
● critérios dos limites da região ALARP;
● controles em vigor e quais outros controles seriam possíveis;
● potenciais consequências;
● a probabilidade dessas consequências ocorrerem;
● o custo de possíveis tratamentos.

B.8.2.4 Saídas
A saída é uma decisão se o tratamento é necessário e sobre o tratamento a ser aplicado.
Os pontos fortes do uso do critério ALARP/SFAIRP incluem:
● definir um padrão comum de atendimento, com base na jurisprudência e na legislação, que apoie
o princípio da equidade, na medida em que todos os indivíduos têm direito a um nível igual
de proteção contra riscos considerados por lei e não como uma variável considerada tolerável
ou aceitável por sua organização;
● apoiar o princípio da utilidade, pois convém que a redução dos riscos não exija mais esforço
do que é razoavelmente aplicável;
● permitir o estabelecimento de metas não prescritivas;
● apoiar a melhoria contínua em direção à meta de minimizar riscos;
● fornecer uma metodologia transparente e objetiva para discutir e determinar riscos aceitáveis, ou
toleráveis por meio de consulta às partes interessadas.
● A interpretação da ALARP, ou SFAIRP, pode ser desafiadora porque exige que as organizações
entendam o contexto legislativo racionalmente praticável e exerçam julgamento em relação
a esse contexto.
● A aplicação de ALARP, ou SFAIRP, às novas tecnologias pode ser problemática, pois riscos
e possíveis tratamentos podem não ser conhecidos, ou bem compreendidos.
● ALARP e SFAIRP estabelecem um padrão comum de atendimento que pode não ser
financeiramente acessível para as organizações menores, resultando em risco ou interrupção de
uma atividade.
[69] HSE, 2010a, HID’S Approach To ‘As Low As Reasonably Practicable’ (ALARP) Decisions
[70] HSE, 2010b, Guidance on (ALARP) decisions in control of major accident hazards (COMAH)
[71] HSE, Principles and guidelines to assist HSE in its judgments that duty-holders have reduced risk
as low as reasonably practicable
B.8.3 Diagramas F-N (Frequência-Número)
Um diagrama F-N é um caso especial de uma matriz quantitativa de consequências/probabilidades

(B.10.3). Nesta aplicação, o eixo X representa o número acumulado de fatalidades e o eixo Y,
a frequência com que elas ocorrem. Ambas as escalas são logarítmicas para se ajustarem aos dados
típicos. Os critérios de risco geralmente são exibidos como linhas retas no gráfico, onde quanto maior

a inclinação da linha, maior a aversão a um número maior de fatalidades, em comparação com um

número menor.
B.8.3.2 Uso
Os diagramas F-N são usados como um registro histórico do resultado de incidentes envolvendo
a perda de vidas humanas, ou para exibir os resultados de uma análise quantitativa do risco de perda
de vidas em comparação com critérios predefinidos para aceitabilidade.
A Figura B.13 mostra dois exemplos de critérios rotulados como A e A-1 e B e B-1. Eles distinguem
entre uma região intolerável (acima de A ou B), uma região amplamente aceitável (abaixo de A-1 e B-1)
e uma região entre as linhas em que os riscos forem aceitáveis e tão baixos quanto razoavelmente
possível (ALARP) (B.8.2). Os critérios B mostram uma inclinação mais alta (ou seja, menos tolerância
a múltiplas fatalidades) e limites mais conservadores em geral. Também são mostrados seis pontos na
curva C, representando os resultados de uma análise quantitativa do nível de risco a ser comparado
com os critérios.
Figura B.13 -Exemplo de Diagrama F-N (Frequência-Número)

A aplicação mais comum é para representar o risco da sociedade a partir de locais de perigos principais
propostos, que estão sujeitos ao planejamento do uso da terra ou a avaliações de segurança (física)
semelhantes.
NOTA Risco da sociedade se refere a preocupações sociais devidas à ocorrência de várias fatalidades
em um único evento.
B.8.3.3 Entradas
Dados de incidentes ou de análises quantitativas de riscos que preveem a probabilidade de fatalidades.

B.8.3.4 Saída
Uma representação gráfica dos dados em comparação com critérios predefinidos.
Os pontos fortes dos diagramas F-N incluem o seguinte.
● Eles fornecem uma saída fácil de entender em que as decisões podem se basear.
● A análise quantitativa necessária para desenvolver um gráfico F-N fornece uma boa compreensão
do risco e suas causas e consequências.
● Os cálculos para produzir as parcelas geralmente são complexos, com muitas incertezas.
● Uma análise completa requer que todos os cenários potenciais de acidentes graves sejam
analisados. Isso consome tempo e requer um alto nível de conhecimento.
● Não é possível que os diagramas F-N sejam facilmente comparados entre si para fins de classificação
(por exemplo, decidir qual desenvolvimento oferece maior risco social).
[72] Understanding and using F-N Diagrams, Annex in Guidelines for Developing Quantitative Safety
Risk Criteria
[73] EVANS, A. Transport fatal accidents and FN-curves
B.8.4 Gráficos de Pareto
Um gráfico de Pareto (ver a Figura B.14) é uma ferramenta para selecionar um número limitado de
tarefas que produzirão um efeito geral significativo. Ele usa o princípio de Pareto (também conhecido
como regra 80/20), que é a ideia de que 80 % dos problemas são produzidos por 20 % das causas ou
que, ao realizar 20 % do trabalho, pode-se gerar 80 % do benefício.
A produção de um gráfico de Pareto que seleciona as causas a serem abordadas envolve as seguintes
etapas:
● identificar e listar problemas;
● identificar a causa de cada problema;
● agrupar problemas por causa;
● somar as pontuações de cada grupo;
● desenhar um gráfico de colunas com as causas exibidas com as quais tiverem as pontuações
mais altas primeiro.

O princípio de Pareto se aplica ao número de problemas e não considera a significância. Em outras

palavras, problemas de alta consequência podem não estar associados às causas mais comuns de
problemas de menor consequência. Isso pode ser ajustado marcando os problemas de acordo com
a consequência, para fornecer uma ponderação. Uma análise de Pareto é uma abordagem bottom-up
e pode fornecer resultados quantitativos. Embora não exista uma ferramenta sofisticada, ou
treinamento, ou competência específica necessária para aplicar essa técnica, alguma experiência
é muito útil para evitar limitações e erros comuns.
NOTA As figuras 80 % e 20 % são ilustrativas – o princípio de Pareto ilustra a falta de simetria que
geralmente aparece entre o trabalho realizado e os resultados alcançados. Por exemplo, 13 % do trabalho
pode gerar 87 % dos retornos. Ou 70 % dos problemas poderiam ser resolvidos lidando com 30%
das causas.
Figura B.4 – Exemplo de um gráfico de Pareto

B.8.4.2 Uso
A análise de Pareto é útil no nível operacional quando muitas linhas de ação possíveis estiverem
competindo por atenção. Pode ser aplicada sempre que for necessária alguma forma de priorização.
Por exemplo, ela pode ser usada para ajudar a decidir quais causas são as mais importantes a serem
abordadas, ou quais tratamentos de risco são os mais benéficos.
Uma representação típica de uma análise de Pareto é mostrada no gráfico de barras no qual
o eixo horizontal representa as categorias de interesse (por exemplo, tipos de materiais, tamanhos,
códigos de sucata, centros de processo), em vez de uma escala contínua (por exemplo, de 0 a 100).
As categorias geralmente são “defeitos”, fontes de defeitos, ou entradas em um processo. O eixo
vertical representa algum tipo de contagem, ou frequência (por exemplo, ocorrências, incidentes,
partes, tempo). Um gráfico de linha da porcentagem cumulativa é então desenhado.
As categorias à esquerda, de onde a porcentagem cumulativa é interceptada pela linha dos 80 %, são
as tratadas.
B.8.4.3 Entradas
Dados a serem analisados, como dados relacionados a sucessos e falhas do passado e suas causas.

B.8.4.4 Saídas
O resultado é um gráfico de Pareto que ajuda a demonstrar quais categorias são mais significativas,
para que o esforço possa ser focado nas áreas em que as maiores melhorias podem ser feitas.
Um gráfico de Pareto pode ajudar a determinar visualmente quais das categorias compreendem os
“poucos vitais” e quais representam os “muitos triviais”. Embora a análise seja quantitativa, o resultado
é uma categorização de problemas, causas etc. classificados por importância.
Se a primeira análise contiver muitos problemas pequenos, ou pouco frequentes, eles podem ser
consolidados juntos, em uma “outra” categoria. Isso é mostrado por último no gráfico de Pareto
(mesmo que não seja a menor barra). A linha de contribuição percentual cumulativa (a soma rolante
da contribuição de cada categoria como uma fração do total) também pode ser mostrada.
Os pontos fortes da análise de Pareto incluem o seguinte.
● A análise de Pareto analisa as causas comuns de riscos individuais como base para um plano
de tratamento.
● Fornece uma saída gráfica indicando claramente onde os maiores ganhos podem ser alcançados.
● O tempo e o esforço necessários para alcançar os resultados provavelmente serão de moderados,

a baixos.
● Não se considera o custo, ou a dificuldade relativa de lidar com cada causa subjacente.
● Os dados aplicáveis à situação que está sendo analisada precisam estar disponíveis.
● Os dados precisam poder ser divididos em categorias e ajustar a regra 80/20, para que o método
seja válido.
● É difícil construir pesos relativos quando os dados são inadequados.
● Geralmente, apenas os dados históricos são considerados e não há consideração de possíveis

mudanças.
[74] Pareto Chart, Excel Easy
[75] Pareto Chart
B.8.5 Manutenção centrada em confiabilidade (RCM)
A manutenção centrada em confiabilidade (RCM) é uma técnica de avaliação baseada em risco usada
para identificar as políticas e tarefas de manutenção apropriadas para um sistema e seus componentes,
a fim de alcançar de forma eficiente e eficaz a segurança, a disponibilidade e a economia de operação
necessárias para todos os tipos de equipamentos. Ela abrange todas as etapas do processo para
executar um processo de avaliação de riscos, incluindo identificação, análise e avaliação de risco.

As etapas básicas de um programa RCM são:
● iniciação e planejamento;
● análise de falhas funcionais;
● seleção de tarefas de manutenção;
● implementação;
● melhoria contínua.
A análise funcional na RCM é mais comumente realizada executando um modo de falha, análise de
efeitos e criticidade (FMECA, B.2.3), com foco em situações em que possíveis falhas possam ser
eliminadas ou reduzidas em frequência e/ ou consequência pela execução de tarefas de manutenção.
As consequências são estabelecidas pela definição dos efeitos das falhas e, em seguida, o risco
é analisado estimando a frequência de cada modo de falha sem a manutenção. Uma matriz de riscos
(B.10.3) permite categorizar os níveis de riscos a serem estabelecidos.
A política de gestão de falhas apropriada para cada modo de falha é então selecionada. Geralmente,
uma lógica de seleção de tarefas-padrão é aplicada para selecionar as tarefas mais apropriadas.
Um plano é preparado para implementar as tarefas de manutenção recomendadas, determinando as

tarefas detalhadas, intervalos de tarefas, procedimentos envolvidos, peças de reposição necessárias
e outros recursos necessários para executar as tarefas de manutenção. Um exemplo é mostrado na
Tabela B.6.
Todo o processo RCM é extensivamente documentado para referência e análise crítica futuras.
A coleta de dados relacionados a falhas e manutenção permite o monitoramento dos resultados
e a implementação de melhorias.
B.8.5.2 Uso
A RCM é usada para permitir que a manutenção aplicável e eficaz seja realizada. Geralmente
é aplicada durante a fase de projeto e desenvolvimento de um sistema e, em seguida, implementado
durante a operação e a manutenção. O maior benefício é alcançado direcionando a análise para
casos em que as falhas teriam sérios efeitos na segurança, ambientais, econômicos ou operacionais.
A RCM é iniciada depois que uma análise de alto nível de criticidade identifica o sistema e o equipamento
que exigem que as tarefas de manutenção sejam determinadas. Isso pode ocorrer durante a fase
inicial do projeto ou posteriormente, durante a utilização, se não tiver sido feito de maneira estruturada
antes, ou se houver necessidade de analisar criticamente, ou melhorar, a manutenção
B.8.5.3 Entradas
A aplicação bem-sucedida da RCM necessita de um bom entendimento do equipamento e sua

estrutura, do ambiente operacional e dos sistemas, subsistemas e itens de equipamento associados,
juntamente com as possíveis falhas e as consequências dessas falhas.
O processo requer uma equipe com conhecimento e experiência necessários, controlada por um
facilitador treinado e experiente.

B.8.5.4 Saídas
O resultado final do processo é um julgamento sobre a necessidade de executar uma tarefa de

manutenção, ou outra ação, como mudanças operacionais. As saídas são políticas de gestão de
falhas apropriadas para cada modo de falha, como monitoramento de condições, localização de falhas,
restauração de agendamento, substituição com base em um intervalo (como calendário, horário de
funcionamento, ou número de ciclos) ou execução até a falha. Outras ações possíveis que podem
resultar da análise incluem redesenho, alterações nos procedimentos de operação, ou manutenção,
ou treinamento adicional. Um exemplo é dado na Tabela B.6.
Um plano é preparado para implementar as tarefas de manutenção recomendadas. Ele detalha as

tarefas, intervalos de tarefas, procedimentos envolvidos, peças de reposição necessárias e outros
recursos necessários para executar as tarefas de manutenção.

Tabela B.6 – Um exemplo de seleção de tarefa da RCM

● O processo permite que a magnitude do risco seja usada para tomar decisões de manutenção.
● As tarefas são baseadas em sua aplicabilidade, ou seja, se atingirão o resultado esperado.
● As tarefas são avaliadas para garantir que são rentáveis e valem a pena implementar.
● Ações de manutenção desnecessárias são eliminadas com justificativa adequada.
● O processo e as decisões são documentados para análise posterior.
● O processo geralmente consome tempo para ser eficaz.
● O processo depende muito de um facilitador treinado e experiente.
● A equipe deve ter toda a experiência e conhecimento de manutenção necessárias para que as
decisões sejam válidas.
● Pode haver uma tendência a tomar atalhos no processo, com impacto na validade das decisões
que estão sendo tomadas.
● As tarefas de potencial a serem consideradas estarão limitadas pelo conhecimento das técnicas
disponíveis, como aquelas para o monitoramento das condições.
[76] IEC 60300-3-11, Dependability management – Part 3-11: Application guide – Reliability centred
maintenance
B.8.6 Índices de risco
Índices de risco fornecem uma medida do risco que é derivada utilizando uma abordagem de pontuação
mediante escalas ordinais. Fatores que se acredita que influenciam a magnitude do risco são
identificados, pontuados e combinados utilizando uma equação que tenta representar a relação entre
eles. Nas suas formulações mais simples, fatores que aumentam o nível do risco são multiplicados
entre si e divididos por aqueles que diminuem o nível do risco. Onde possível as escalas e a maneira
como elas são combinadas são baseadas em evidência e dados.
É importante que as pontuações para cada parte do sistema sejam internamente consistentes
e mantenham suas relações corretas.
Não é possível aplicar fórmulas matemáticas a escalas ordinais. Portanto, uma vez que o sistema
de pontuação tenha sido desenvolvido, convém que o modelo seja validado pela sua aplicação a um
sistema que seja bem compreendido.

O desenvolvimento de um índice é uma abordagem iterativa e convém que vários sistemas diferentes
de combinação das pontuações sejam experimentados para validar o método.
B.8.6.2 Uso
Os índices de risco são essencialmente uma abordagem qualitativa ou semiquantitativa para classificar
e comparar riscos. Eles podem ser usados para riscos internos ou externos de escopo limitado ou
ampliado. Eles são geralmente específicos para um tipo particular de risco e usados para comparar
diferentes situações em que aquele risco ocorre. Embora números sejam usados, isto é simplesmente
para permitir a manipulação. Em casos onde o modelo ou sistema subjacente não é bem conhecido ou
não é capaz de ser representado, é geralmente melhor utilizar uma abordagem qualitativa mais aberta
que não sugira um nível de precisão que é impossível utilizando escalas ordinais.
EXEMPLO 1 Um indicador do risco de doença é usado para estimar o risco de um indivíduo contrair uma
doença em particular pela combinação de pontuações para vários fatores de risco identificados em estudos
epidemiológicos, levando em conta a força da associação entre o fator de risco e a doença.
EXEMPLO 2 Classificações de perigo de incêndio florestal comparam o risco de incêndio em dias diferentes
considerando condições previstas como umidade, intensidade do vento, secura da paisagem e a carga
de combustível.
EXEMPLO 3 Credores calculam os riscos de crédito para clientes utilizando índices que representam
componentes de sua estabilidade financeira.
B.8.6.3 Entradas
As entradas são derivadas da análise do sistema. Isto requer uma boa compreensão de todas as
fontes de risco, e de como consequências podem surgir.
Ferramentas como FTA (B.5.7), ETA (B.5.6) e MCA (B.9.5) podem ser usadas assim como dados
históricos para apoiar o desenvolvimento de índices de risco.
Uma vez que a escolha de escalas ordinais é, em certa medida, arbitrária, dados suficientes são
necessários para validar o índice.
B.8.6.4 Saídas
As saídas são uma série de números (índices compostos) que se relacionam com um risco específico
e que podem ser comparados com índices desenvolvidos para outros riscos dentro do mesmo sistema.
Pontos fortes dos índices de risco incluem o seguinte.
● Eles podem fornecer uma ferramenta simples e fácil de utilizar para classificar diferentes riscos.
● Eles permitem que múltiplos fatores que afetam o nível de risco sejam incorporados em uma
única pontuação numérica.
Limitações incluem o seguinte.
● Se o processo (modelo) e sua saída não forem bem validados, os resultados podem ser sem
sentido.

● O fato de que a saída é um valor numérico para o risco pode ser mal interpretado e mal usado,
por exemplo, em análise subsequente de custo/benefício.
● Em muitas situações onde os índices são usados, não existe um modelo fundamental para definir
se as escalas individuais para os fatores de risco são lineares, logarítmicas ou com alguma
outra forma, e nenhum modelo para definir como convenientemente combinar fatores. Nestas
situações, a classificação é inerentemente não confiável e a validação contra dados reais é
particularmente importante.
● Muitas vezes é difícil obter evidência suficiente para validar escalas.
● A utilização de valores numéricos pode sugerir um nível de precisão que não é possível justificar.
[77] MACKENZIE Cameron A. Summarizing risk using risk measures and risk indices
B.9 Técnicas para selecionar entre opções
B.9.1 Generalidades
Técnicas na Seção B.9 são usadas para ajudar tomadores de decisão a decidir entre opções que
envolvem riscos múltiplos e onde trade-offs tem que ser feitas. As técnicas ajudam a fornecer uma
base lógica para justificar razões para uma decisão. Já que os métodos têm filosofias diferentes, pode
ser de grande valia explorar opções utilizando mais de um método.
Análise de árvore de decisões e análise de custo/benefício baseiam decisões na expectativa de perda

ou ganho financeiro. Análise de decisão por multicritérios permite diferentes critérios serem pesados e
concessões feitas. Análise de cenários (ver B.2.5) também pode ser usada para explorar as possíveis
consequências se diferentes opções forem seguidas. Este método é particularmente útil onde há
elevada incerteza. Problemas de decisão também podem ser modelados utilizando diagramas de
influência (B.5.3).
B.9.2 Análise de custo/benefício (ACB)
A análise de custo/benefício pondera os custos totais esperados das opções em termos monetários
contra seus benefícios totais esperados a fim de escolher a opção mais eficaz ou a mais rentável.
Ela pode ser qualitativa ou quantitativa, ou envolver uma combinação de elementos quantitativos e
qualitativos, e pode ser aplicada a qualquer nível de uma organização.
As partes interessadas que possam estar sujeitas a custos ou receber benefícios (tangíveis ou
intangíveis) são identificadas junto com os benefícios e custos diretos e indiretos de cada uma.
NOTA Custos diretos são aqueles que são diretamente associados com a ação. Custos indiretos são
aqueles custos ocasionais adicionais, como perda de utilidade, desvio de atenção do tempo de gestão ou
o desvio de capital em detrimento de outros investimentos potenciais.
Em uma ACB quantitativa, um valor monetário é atribuído a todos os custos e benefícios tangíveis
e intangíveis. Muitas vezes acontece que o custo incorre durante um curto período de tempo (por
exemplo, um ano) e o fluxo de benefícios por um longo período. É então necessário descontar os

custos e benefícios para trazê-los ao “dinheiro de hoje”, de modo que uma comparação válida possa
ser feita entre custos e benefícios. O valor presente de todos os custos (VPC) e o valor presente dos
benefícios (VPB) para todas as partes interessadas podem ser combinados para produzir um valor
presente líquido (VPL): VPL = VPB – VPC
Um VPL positivo sugere que a ação pode ser uma opção adequada. A opção com o maior VPL não é
necessariamente a opção de melhor valor. A maior razão entre o VPL e o valor presente dos custos é um
indicador útil da opção de melhor valor. Convém que a seleção baseada em ACB seja combinada com
escolha estratégica entre opções satisfatórias as quais possam individualmente oferecer tratamento
de menor custo, benefício mais acessível, ou melhor valor (retorno do investimento mais lucrativo).
Estas escolhas estratégicas podem ser requeridas tanto ao nível de política quanto operacional.
Incerteza nos custos e benefícios pode ser considerada pelo cálculo da probabilidade ponderada
dos benefícios líquidos (valor líquido presente esperado ou VLPE). Neste cálculo, presume-se que
o usuário seja indiferente entre um pequeno retorno com uma alta probabilidade de ocorrência,
e um grande retorno com uma baixa probabilidade de ocorrência, desde que ambos tenham o mesmo
valor esperado. Cálculos de VPL também podem ser combinados com árvores de decisões (B.9.3)
para modelar incerteza em decisões futuras e seus resultados. Em algumas situações é possível
adiar alguns dos custos até que informação melhor esteja disponível sobre custos e benefícios.
A possibilidade de fazer isto tem um valor que pode ser estimado utilizando-se análise de opções reais.
Na ACB qualitativa nenhuma tentativa é feita para encontrar um valor monetário para custos
e benefícios intangíveis e, em vez de fornecer um único número que resuma os custos e benefícios,
as relações e trade-offs entre os diferentes custos e benefícios são consideradas qualitativamente.
Uma técnica relacionada é uma análise de custo-eficácia. Isso pressupõe que um certo benefício
ou resultado é desejado, e que há diversas formas alternativas para alcançá-lo. A análise examina
somente custos e procura identificar a maneira mais barata para alcançar o benefício.
Apesar de valores intangíveis serem geralmente tratados dando-se a eles um valor monetário também
é possível aplicar um fator de ponderação a outros custos, por exemplo dar maior peso a benefícios
em segurança que a benefícios financeiros.
Uma variante da ACB – análise de risco de custo/benefício (ARCB) – coloca maior ênfase no risco.
Enquanto ACB utiliza distribuições pontuais ou binárias, com ARCB o valor para o risco também pode
considerar distribuições completas de probabilidade para consequências negativas e positivas [78].
B.9.2.2 Uso
ACB é usada nos níveis operacional e estratégico para ajudar a decidir entre opções. Na maioria das
situações essas opções envolverão incerteza. A variabilidade no valor presente esperado dos custos,
e benefícios, e a possibilidade de eventos inesperados necessitam ambas ser levadas em conta nos
cálculos. Uma análise de sensibilidade ou análise de Monte Carlo (B.5.10) pode ser usada para isto.
ACB pode também ser usada na tomada de decisões sobre riscos e seus tratamentos, por exemplo:
● como entrada em uma decisão sobre se convém que um risco seja tratado;
● para decidir sobre a melhor forma de tratamento do risco;
● para comparar opções de tratamento de longo prazo e de curto prazo.

B.9.2.3 Entradas
Entradas incluem informações sobre custos e benefícios para partes interessadas pertinentes e sobre
incertezas nesses custos e benefícios. Convém que custos e benefícios tangíveis e intangíveis sejam
considerados. Custos incluem quaisquer recursos que possam ser gastos, incluindo custos diretos
e indiretos, despesas gerais atribuíveis e impactos negativos. Benefícios incluem resultados positivos,
e prevenção de custos (os quais podem resultar de tratamentos do risco). Custos irrecuperáveis já
despendidos não são parte da análise. Uma simples análise de planilha ou discussão qualitativa não
requer esforço substancial, mas aplicação a sistemas mais complexos envolve tempo considerável na
coleta de dados necessários e na estimativa de um valor monetário adequado para intangíveis.
B.9.2.4 Saída
A saída de uma análise de custo/benefício é informação sobre custos e benefícios relativos de diferentes
opções ou ações. Isto pode ser expresso quantitativamente como um valor presente líquido (VPL),
uma melhor relação (VPL/VPC) ou como a razão entre o valor presente dos benefícios e o valor
presente dos custos.
Uma saída qualitativa é geralmente uma tabela comparando custos e benefícios dos diferentes tipos
de custo e benefício, com atenção chamada para trade-offs.
Pontos fortes da ACB incluem o seguinte.
● ACB permite que custos e benefícios sejam comparados usando uma métrica única (geralmente
monetária).
● Fornece transparência à informação usada para fundamentar decisões.
● Encoraja que informações detalhadas sejam coletadas em todos os aspectos possíveis da decisão
(isto pode ser valioso para revelar ignorância, bem como para comunicar conhecimento).
● ACB requer uma boa compreensão dos possíveis benefícios, então não se adequa a uma situação
nova com alta incerteza.
● ACB quantitativa pode gerar números dramaticamente diferentes, dependendo dos pressupostos
e métodos usados para atribuir valores econômicos a benefícios não econômicos e intangíveis.
● Em algumas aplicações é difícil definir uma taxa de desconto válida para custos e benefícios
futuros.
● Benefícios que revertem em favor uma grande população são difíceis de estimar, particularmente
aqueles relativos ao bem público que não são transacionados em mercados. Contudo, quando
combinados com “disposição para pagar ou aceitar”, é possível contabilizar estes benefícios
externos ou sociais.
● Dependendo da taxa de desconto escolhida, a prática de calcular valores presentes usando

taxas de desconto significa que os benefícios ganhos no futuro de longo prazo têm influência
insignificante na decisão, desestimulando investimento a longo prazo.

● ACB não lida bem com incerteza na tempestividade de quando custos e benefícios ocorrerão ou
com flexibilidade em futuras tomadas de decisão.
[79] The Green book, Appraisal and Evaluation in Central Government
[80] ANDOSEH, S., et al. The case for a real options approach to ex-ante cost-benefit analyses of
agricultural research projects
B.9.3 Análise de árvore de decisões
Uma árvore de decisões modela os caminhos possíveis que seguem a partir de uma decisão inicial
que deve ser tomada (por exemplo, se prosseguir com o Projeto A ou Projeto B). À medida que
os dois projetos hipotéticos prosseguem, uma gama de eventos pode ocorrer e diferentes decisões
previsíveis necessitarão ser tomadas. Estes são representados em formato de árvore, similar a uma
árvore de eventos. A probabilidade dos eventos pode ser estimada juntamente com o custo ou utilidade
esperados do resultado final de cada caminho.
Informação concernente à melhor decisão de caminho é logicamente aquela que produz o melhor valor
esperado, calculado como o produto de todas as probabilidades condicionais ao longo do caminho
e o valor do resultado.
B.9.3.2 Uso
Uma árvore de decisões pode ser usada para estruturar e resolver problemas de decisão sequencial,
e é especialmente vantajosa quando a complexidade do problema cresce. Ela habilita uma organização
a quantificar os possíveis resultados de decisões e, portanto, auxilia tomadores de decisão a selecionar
a melhor linha de ação quando resultados forem incertos. A apresentação gráfica também pode auxiliar
a comunicar razões para decisões.
É usada para avaliar uma decisão proposta, geralmente utilizando estimativas subjetivas de
probabilidades de evento, e auxilia tomadores de decisão a superar vieses de percepção para sucesso
ou falha. Ela pode ser usada em questões de curto, médio e longo prazos em um nível operacional
ou estratégico.
B.9.3.3 Entradas
O desenvolvimento de uma árvore de decisões requer um plano de projeto com pontos de decisão,
informação sobre possíveis resultados de decisões e sobre eventos fortuitos que possam afetar
decisões. É necessária expertise para formar a árvore corretamente, particularmente em situações
complexas.
Dependendo da construção da árvore, são necessários dados quantitativos ou informação suficiente

para justificar opinião de especialista sobre probabilidades.
B.9.3.4 Saídas
Saídas incluem:
● uma representação gráfica do problema de decisão;

● um cálculo do valor esperado para cada caminho possível;
● uma lista priorizada dos resultados possíveis baseados no valor esperado, ou o caminho
recomendado a ser seguido.
Pontos fortes da análise de árvore de decisões incluem o seguinte.
● Fornece uma representação gráfica clara dos detalhes de um problema de decisão.
● O exercício do desenvolvimento da árvore pode levar a uma melhor compreensão do problema.
● Encoraja pensamento e planejamento claros.
● Permite um cálculo do melhor caminho através de uma situação e o resultado esperado.
● Grandes árvores de decisão podem tornar-se muito complexas para uma comunicação fácil.
● Pode haver uma tendência de simplificar demais a situação de modo a permitir sua representação
como um diagrama de árvore.
● Depende de dados históricos que podem não se aplicar à decisão sendo modelada.
● Simplifica os resultados do problema de decisão tornando-o discreto, o que elimina valores

extremos.
[81] KIRKWOOD Craig, Decision Tree Primer
B.9.4 Teoria dos jogos
B.9.4.1.1 Generalidades
Teoria dos jogos é um meio para modelar as consequências de diferentes decisões possíveis dado um
número de situações futuras possíveis. As situações futuras podem ser determinadas por um tomador
de decisão diferente (por exemplo, um competidor) ou por um evento externo, como sucesso ou
falha de uma tecnologia ou um teste. Por exemplo, supondo que a tarefa é determinar o preço de um
produto levando em conta as diferentes decisões que podem ser tomadas por diferentes tomadores
de decisão (chamados jogadores) em diferentes momentos. O retorno para cada jogador envolvido no
jogo, pertinente ao período de tempo em questão, pode ser calculado e selecionada a estratégia com
o retorno ótimo para cada jogador. Teoria dos jogos também pode ser usada para determinar o valor
da informação sobre o outro jogador ou os diferentes resultados possíveis (por exemplo, sucesso de
uma tecnologia).
Há diferentes tipos de jogos, por exemplo, cooperativo/não cooperativo, simétrico/assimétrico, soma

zero/ não soma zero, simultâneo/sequencial, informação perfeita e informação imperfeita, jogos
combinatórios, resultados estocásticos.

B.9.4.1.2 Comunicação e jogos cooperativos/não cooperativos
Um fator importante é se comunicação entre jogadores é possível ou permitida. Um jogo é cooperativo

se os jogadores são capazes de formar compromissos vinculativos. Em jogos não cooperativos, isto não
é possível. Jogos híbridos contêm elementos cooperativos e não cooperativos. Por exemplo, colisões
de jogadores são formadas em um jogo cooperativo, mas estas jogam de forma não cooperativa.
O exemplo clássico de jogos sem comunicação entre os jogadores é o chamado “dilema do

prisioneiro”. Ele mostra que em alguns casos o ato de cada jogador melhorar seu próprio resultado
sem consideração pelo outro pode causar a pior situação para ambos. Este tipo de jogo tem sido
usado para analisar conflito e cooperação entre dois jogadores onde a falta de comunicação pode
causar uma situação instável que poderia resultar no pior resultado possível para ambos os jogadores.
No jogo do dilema do prisioneiro, supõe-se que duas pessoas cometeram um crime juntas. Elas são
mantidas separadas e não podem se comunicar. A polícia sugere um acordo. Se cada prisioneiro
assumir que ambos são culpados e testemunhar contra o outro ele receberá uma sentença menor,
mas o outro prisioneiro receberá uma sentença maior. Um prisioneiro recebe pena máxima se ele não
confessar e testemunhar e o outro sim. Portanto para melhorar sua situação ambos são tentados a
confessar e testemunhar, mas neste caso ambos receberão a pena máxima. Sua melhor estratégia
teria sido rejeitar o acordo e não admitir nada. Nesse caso ambos receberiam a pena mínima.
B.9.4.1.3 Jogos de soma zero/não soma zero e simétricos/assimétricos
Em um de jogo soma zero, o que um jogador ganha o outro jogador perde. Em um jogo de não soma
zero a soma dos resultados pode variar com as decisões. Por exemplo, baixar os preços pode custar
a um jogador mais que a outro, mas pode aumentar o volume de mercado para ambos.
B.9.4.1.4 Jogos simultâneos/sequenciais
Em alguns jogos, o cálculo é feito para apenas uma interação entre os jogadores. Mas em jogos
sequenciais os jogadores interagem muitas vezes, e podem mudar sua estratégia de um jogo para o
próximo.
Por exemplo, foram feitos jogos simulados para investigar o efeito de trapaças em um mercado.
Há duas possibilidades para cada jogador. O fornecedor pode entregar ou não entregar, e o cliente
pode pagar ou não pagar. Dos quatro resultados possíveis, o resultado normal favorece ambos os
jogadores (o fornecedor entrega e o cliente paga). O resultado onde o fornecedor não entrega e o
cliente não paga é uma oportunidade perdida. As duas últimas possibilidades são uma perda para
o fornecedor (o cliente não paga) ou para o cliente (o fornecedor não entrega). A simulação tentou
diferentes estratégias como sempre jogar honesto, sempre trapacear ou trapacear aleatoriamente. Foi
determinado que a estratégia ótima seria jogar honesto na primeira interação e na próxima vez fazer
o que o outro jogador fez da última vez (jogar honesto ou trapacear).
NOTA Na vida real, é provável que um fornecedor reconheça os clientes que trapaceiam e pare de jogar
com eles.
B.9.4.2 Uso
A teoria dos jogos permite que o risco seja avaliado em casos onde o resultado de um número de
decisões depende da ação de outro jogador (por exemplo, um competidor) ou em um número de
resultados possíveis (por exemplo, se uma nova tecnologia vai funcionar). O exemplo seguinte ilustra
a informação que pode ser obtida por uma análise de jogo.

A Tabela B.7 ilustra a situação onde uma companhia pode escolher entre três tecnologias diferentes.
Mas o lucro depende da ação de um competidor (ação 1, 2 ou 3). Não é conhecido que ação
o competidor escolherá, mas as probabilidades são estimadas conforme indicado. Os lucros, em
milhões de unidades monetárias (UM), são calculados na tabela.
Tabela B.7 – Exemplo de uma matriz de jogo

Competidor
Lucro Lucro Arrependimento
Ação 1 Ação 2 Ação 3
esperado garantido máximo
Probabilidade 0,4 0,5 0,1
Tecnologia 1 0,10 0,50 0,90 0,38 0,10 0,50
Tecnologia 2 0,50 0,50 0,50 0,50 0,50 0,40
Tecnologia 3 0,60 0,60 0,30 0,57 0,30 0,60
A seguinte informação pode ser extraída da tabela para apoiar a decisão.
Claramente a tecnologia 3 é a melhor, com um lucro esperado de 0,57 milhões de UM. Mas convém
que a sensibilidade à ação do competidor seja considerada. A coluna lucro garantido mostra que o
lucro para uma dada tecnologia será independente do que o competidor faça. Aqui a tecnologia 2 é a
melhor com um lucro garantido de 0,50 milhões de UM. Convém que seja considerado se vale a pena
escolher a tecnologia 3 para ganhar apenas 0,07 milhões de UM, arriscando a perda de 0,20 milhões
de UM.
É possível ainda computar o arrependimento máximo, que é a diferença entre o lucro proveniente da
escolha de uma dada tecnologia e o lucro possível caso fosse conhecida a ação do competidor. Isto
dá o benefício monetário do conhecimento aumentado da decisão do competidor.
Isto pode ser conseguido por negociação ou por outros meios legais. Neste exemplo, o valor da
informação aumentada é maior para a tecnologia 3.
B.9.4.3 Entradas
Para ser completamente definido, um jogo tem que especificar pelo menos os seguintes elementos
como entradas:
● os jogadores ou as alternativas do jogo;
● a informação e as ações disponíveis para cada jogador em cada ponto de decisão.
B.9.4.4 Saída
A saída é o retorno para cada opção no jogo, geralmente tomada para representar a utilidade dos
jogadores individuais. Geralmente na modelagem de situações, os retornos representam dinheiro,
mas outros resultados são possíveis (por exemplo, participação no mercado ou atraso de um projeto).
Pontos fortes da teoria dos jogos incluem o seguinte.
● Ela desenvolve uma estrutura para análise de tomada de decisões onde várias decisões são
possíveis, mas onde o resultado depende da decisão de outro jogador ou do resultado de um
evento futuro.

● Ela desenvolve uma estrutura para análise de tomada de decisões onde a interdependência de
decisões tomadas por organizações diferentes é considerada.
● Ela fornece percepções sobre vários conceitos menos conhecidos que surgem em situações de
conflito de interesse; por exemplo, descreve e explica os fenômenos de negociação e formação
de coalisão.
● Pelo menos em jogos de soma zero entre duas organizações, a teoria dos jogos delineia uma
técnica quantitativa científica que pode ser usada para chegar a uma estratégia ótima.
• Assume-se que os jogadores tenham conhecimento sobre seus próprios retornos e pode não ser
prático sobre as ações e retornos de outros.
• As técnicas de solução de jogos envolvendo estratégias mistas (particularmente no caso de uma

grande matriz de retorno) são muito complicadas.
• Nem todos os problemas competitivos podem ser analisados com a ajuda da teoria dos jogos.
[82] MYERSON, ROGER B., Game Theory: Analysis of Conflict
[83] MARYNARD, SMITH JOHN, Evolution and Theory of Games
[84] ROSENHEAD, J. and MINGER, J. (Eds), Rational Analysis for a Problematic World Revisited
B.9.5 Análise por multicritérios (AMC)
A AMC utiliza uma faixa de critérios para avaliar de forma transparente e comparar o desempenho
global de um conjunto de opções. Em geral, a meta é produzir uma ordem de preferência entre as
opções disponíveis. A análise envolve o desenvolvimento de uma matriz de opções e critérios que
são classificados e agregados para fornecer uma pontuação global para cada opção. Estas técnicas
também são conhecidas como tomada de decisão de multiatributo (ou múltiplo atributo) ou multiobjetivo.
Há muitas variantes desta técnica, com muitos aplicativos de software para apoiá-las.
Em geral, um indivíduo ou um grupo de partes interessadas conhecedoras realizam o seguinte

processo.
● Definem o(s) objetivo(s); determinam os atributos (critérios ou medidas de desempenho funcional)

que se relacionam a cada objetivo.
● Estruturam os atributos dentro de uma hierarquia de requisitos necessários e desejáveis.
● Determinam a importância de cada critério e atribuem pesos a cada um.
● Obtêm consenso das partes interessadas sobre a hierarquia de pesos.
● Avaliam as alternativas com relação aos critérios (isto pode ser representado como uma matriz
de pontuações).

● Combinam múltiplas pontuações de atributo único em uma pontuação multiatributo ponderada

global.
● Avaliam os resultados para cada opção.
● Avaliam a robustez da classificação das opções executando uma análise de sensibilidade para
explorar o impacto de mudanças na ponderação da hierarquia de atributos.
Existem diferentes métodos pelos quais a ponderação para cada critério pode ser elicitada e
diferentes formas de agregar as pontuações dos critérios para cada opção em uma pontuação única
multiatributos. Por exemplo, as pontuações podem ser agregadas como uma soma ponderada ou um
produto ponderado ou utilizando o processo analítico hierárquico (uma técnica de elicitação para as
ponderações e pontuações baseada em comparações por pares). Todos estes métodos assumem que
a preferência por qualquer critério não depende dos valores dos outros critérios. Onde esta premissa
não for válida, modelos diferentes são usados.
Uma vez que pontuações são subjetivas, a análise de sensibilidade é útil para examinar a extensão
em que as ponderações e pontuações influenciam preferências globais entre opções.
B.9.5.2 Uso
A AMC pode ser usada para:
● comparar múltiplas opções para uma primeira análise para determinar opções preferenciais e as
inapropriadas;
● comparar opções onde existam critérios múltiplos e algumas vezes conflitantes;
● alcançar um consenso sobre uma decisão onde diferentes partes interessadas têm objetivos ou
valores conflitantes.
B.9.5.3 Entradas
As entradas são um conjunto de opções para análise e critérios, baseados em objetivos, que podem
ser usados para avaliar o desempenho das opções.
B.9.5.4 Saídas
As saídas podem ser apresentados como:
● apresentação das opções em ordem de classificação da melhor para a menos preferida;
● uma matriz onde os eixos da matriz são os critérios ponderados e a pontuação dos critérios para
cada opção.
A apresentação dos resultados em uma matriz permite que opções que falhem em critérios altamente
ponderados ou que não atendam um critério necessário sejam eliminadas.
Pontos fortes da AMC incluem que ela pode:
● fornecer uma estrutura simples para uma tomada de decisão eficaz e apresentação de premissas
e conclusões;

● tornar mais gerenciáveis problemas de decisão complexos, que não são passíveis de análise de
custo/benefício;
● auxiliar a considerar racionalmente problemas onde precisam ser feitos trade-offs;
● auxiliar a atingir um acordo quando as partes interessadas têm objetivos diferentes e, portanto,
valores e critérios diferentes.
● AMC pode ser afetada por viés e por má seleção dos critérios de decisão.
● Algoritmos de agregação que calculam critérios de ponderação a partir de preferências estabelecidas

ou agregam diferentes pontos de vista podem obscurecer a verdadeira base da decisão.
● O sistema de pontuação pode simplificar demais o problema de decisão.
[85] EN 16271:2012, Value management – Functional expression of the need and functional
performance specification – Requirements for expressing and validating the need to be satisfied
within the process of purchasing or obtaining a product
NOTA A EN 16271:2012 estabelece abordagens para conciliar necessidades conflitantes de partes

interessadas, métodos que podem ser usados para derivar requisitos de desempenho funcional, e orientações
para estabelecer a granularidade para análise por multicritétrios antes de comparar opções.
[86] DEPARTMENT FOR COMMUNITIES AND LOCAL GOVERNMENT, Multi-criteria analysis: a

manual 2009
[87] RABIHAH MHD.SUM (2001), Risk Management Decision Making
[88] VELASQUEZ, M., HESTER, P. An Analysis of Multi-criteria Decision Making Methods
B.10 Técnicas para registro e relato
B.10.1 Generalidades
A Seção B.10 cobre técnicas usadas para relatar e registrar informações gerais sobre riscos. Requisitos
para relatos detalhados são cobertos em 6.6.
Uma abordagem comum para relatar e registrar informações sobre riscos é inserir informações básicas
para cada risco em um registro de riscos tal como uma planilha ou base de dados (ver B.10.2). Alguns
riscos podem requerer uma descrição mais complexa que aquela que pode ser acomodada em um
registro de riscos tradicional. Por exemplo, uma descrição pode necessitar incluir múltiplas fontes de
risco levando a um único evento, múltiplos resultados possíveis a partir de um evento ou fonte únicos,
repercussões e potenciais falhas de controle. O diagrama bow tie é um exemplo de ferramenta que
pode ser usada para organizar e comunicar este tipo de informação (ver B.4.2.).
Informação sobre a magnitude do risco também pode ser reportada de várias maneiras diferentes.
O método mais comum utiliza a matriz de probabilidade/consequência (ver B.10.3). Assim como
a probabilidade, consequência e nível de risco, indicados pela posição na matriz, informações adicionais

como a natureza dos controles, até que ponto tratamentos foram implementados etc. podem ser
fornecidas através do tamanho dos pontos assinalando o risco ou de sua cor.
A matriz de probabilidade/consequência requer que um risco seja representado por um único

par probabilidade/consequência. Riscos, onde este não for o caso, podem algumas vezes serem
representados por uma função distribuição de probabilidade ou uma função distribuição cumulativa
(ver B.10.4).
B.10.2 Registros de riscos
Um registro de riscos reúne informações sobre riscos para informar aqueles expostos aos riscos e
aqueles que têm responsabilidade sobre sua gestão. Pode ser em papel ou em formato de base de
dados e geralmente inclui:
● uma curta descrição do risco (por exemplo, um nome, as consequências e sequência de eventos
que levam às consequências etc.);
● uma declaração sobre a probabilidade de ocorrência das consequências;
● fontes ou causas do risco;
● o que está sendo feito atualmente para controlar o risco.
Riscos podem ser classificados em diferentes categorias para ajudar nos relatos (B.2.2).
Riscos são geralmente listados individualmente como eventos separados, mas convém que
interdependências sejam sinalizadas.
Ao registrar informações sobre riscos, convém que esteja explícita a distinção entre riscos (os efeitos
potenciais do que pode acontecer) e fontes de risco (como ou por que aquilo pode acontecer) e
controles que podem falhar. Também pode ser útil indicar os sinais de alerta precoce de que um
evento pode estar prestes a ocorrer.
Muitos registros de risco também incluem alguma classificação da significância de um risco, uma
indicação sobre se um risco é considerado aceitável ou tolerável, ou se é necessário tratamento
adicional e os motivos dessa decisão. Nos casos em que uma classificação de significância é aplicada
a um risco com base nas consequências e em sua probabilidade, convém que isso considere a
possibilidade de os controles falharem. Não convém que um nível de risco seja alocado para a falha
de um controle como se isso fosse um risco independente.
Riscos onde as consequências são positivas podem ser registrados no mesmo documento daqueles
onde as consequências são negativas ou em separado. Oportunidades (que são circunstâncias
ou ideias que poderiam ser exploradas em vez de eventos aleatórios) são geralmente registradas
separadamente e analisadas de maneira a levar em conta custos, benefícios e quaisquer consequências
negativas potenciais. Isto pode às vezes ser referido como registro de valor e oportunidades.
B.10.2.2 Uso
Um registro de riscos é usado para registrar e rastrear informações sobre riscos individuais e como
eles estão sendo controlados. Pode ser usado para comunicar informações sobre riscos às partes
interessadas e destacar riscos particularmente importantes. Pode ser usado nos níveis corporativo,

departamental, operacional e de projeto, onde houver um grande número de riscos, controles e

tratamentos que precisem ser rastreados. Informações de um registro de riscos podem ser consolidadas
para fornecer informações para a Ata Direção.
Um registro de riscos pode ser usado como base para rastrear a implementação de tratamentos
propostos, assim pode conter informações sobre tratamentos e como serão implementados, ou fazer
referência a outros documentos ou bases de dados com esta informação. (Tais informações podem
incluir proprietários de riscos, ações, proprietários de ações, resumos de casos de negócios de ação,
orçamentos e cronogramas etc.). Uma forma de registro de riscos pode ser mandatória em algumas
situações.
B.10.2.3 Entradas
Entradas para um registro de riscos são geralmente as saídas das técnicas do processo de avaliação
de riscos, como descritas nas Seções B.1 a B.4, complementadas por registros de falhas.
B.10.2.4 Saídas
As saídas são registros de informações e relatos sobre riscos.
Pontos fortes dos registros de risco incluem o seguinte.
● Informações sobre riscos são reunidas de uma forma em que ações necessárias podem ser
identificadas e rastreadas.
● Informações sobre diferentes riscos são apresentadas em um formato comparável, que pode ser
usado para indicar prioridades e é relativamente fácil de interrogar.
● A construção de um registro de riscos geralmente envolve muitas pessoas e aumenta a conscientização

geral sobre a necessidade de gerenciar riscos.
● Riscos capturados em registros de risco são tipicamente baseados em eventos, o que pode tornar
difícil caracterizar precisamente algumas formas de risco (ver 4.2).
● A aparente facilidade de uso pode dar confiança imerecida às informações, pois pode ser difícil
descrever riscos de maneira consistente e fontes de risco, riscos e fraquezas nos controles do
risco são frequentemente confundidas.
● Existem muitas maneiras diferentes de descrever um risco e qualquer prioridade alocada depende
da maneira como o risco é descrito e do nível de desagregação da questão.
● Para manter um registro de riscos atualizado é necessário esforço considerável (por exemplo
convém que todos os tratamentos propostos assim que implementados sejam listados como
controles atuais, convém que novos riscos sejam continuamente adicionados e aqueles que não
existem mais sejam removidos).
● Riscos são tipicamente capturados individualmente em registros de risco. Isto pode tornar difícil
consolidar informações para o desenvolvimento de um programa global de tratamento.

Não há documentos de referência para esta técnica.
B.10.3 Matriz de probabilidade/consequência (matriz de riscos ou mapa de calor)
A matriz de probabilidade/consequência (também conhecida como matriz de riscos ou mapa de calor)

é uma maneira de exibir riscos de acordo com suas consequências e probabilidades e combinar estas
características para exibir uma classificação para a significância do risco.
Escalas personalizadas para consequência e probabilidade são definidas para os eixos da matriz.
As escalas podem ter qualquer número de pontos – escalas de três, quatro ou cinco pontos são mais comuns
– e podem ser qualitativas, semiquantitativas ou quantitativas. Se forem usadas descrições numéricas para
definir as etapas das escalas, convém que elas sejam consistentes com os dados disponíveis e convém
que as unidades sejam fornecidas. Geralmente, para ser consistente com os dados, cada ponto de escala
nas duas escalas precisa ser uma ordem de magnitude maior que o anterior.
A escala (ou escalas) de consequência pode retratar consequências positivas ou negativas. Convém
que escalas sejam diretamente conectadas aos objetivos da organização e convém que se estendam da
máxima consequência crível à menor consequência de interesse. Um exemplo parcial de consequências
adversas é mostrado na Figura B.15.
Classificação Financeiro Saúde e segurança Meio ambiente e Etc.
comunidade
a Perda máxima crível ($) Múltiplas vítimas fatais Dano significativo

irreversível; indignação da
comunidade
e Mínimo de interesse ($) Primeiros socorros apenas Pequeno dano temporário
Figura B.15 – Exemplo parcial de tabela definindo escalas de consequência

NOTA Exemplos parciais são usados para que não seja possível usar os exemplos diretamente, para
enfatizar que convém que as escalas sejam sempre personalizadas.
Categorias de consequência adicionais ou a menos podem ser usadas e as escalas podem ter menos
ou mais que cinco pontos, dependendo do contexto. A coluna de classificação da consequência pode
ser em palavras, números ou letras.
Convém que a escala de probabilidade abranja o intervalo pertinente aos dados para os riscos a
serem classificados. Um exemplo parcial de uma escala de probabilidade é mostrado na Figura B.16.

Classificação Descritor Significado do descritor
5 Provável Ocorrência esperada dentro de semanas
1 Remotamente po ssível Teoricamente possível, mas extremamente improvável
Figura B.16 – Exemplo parcial de uma escala de probabilidade

A escala de classificação de probabilidade pode ter mais ou menos que cinco pontos e as classificações
podem ser dadas como palavras, numerais ou letras.
Convém que a escala de probabilidade seja personalizada à situação e pode precisar cobrir uma faixa
diferente para consequências positivas ou negativas. Se a consequência mais alta for considerada
tolerável em uma baixa probabilidade, convém que o degrau mais baixo na escala de probabilidade
represente uma probabilidade aceitável para a consequência mais alta definida (caso contrário, todas
as atividades com a consequência mais alta são definidas como intoleráveis e não é possível torná-las
toleráveis). Ao decidir a probabilidade tolerável para um único risco, de alta consequência, convém
que o fato de que múltiplos riscos possam levar à mesma consequência seja considerado.
Uma matriz é desenhada com consequência em um eixo e probabilidade no outro correspondendo

às escalas definidas. Uma classificação de prioridade pode ser vinculada a cada célula. No exemplo
fornecido, existem cinco classificações de prioridade, indicadas aqui por algarismos romanos.
Tipicamente, as células são coloridas para indicar a magnitude do risco. Regras de decisão ( como
o nível de atenção da direção ou a urgência da resposta) podem ser vinculadas às células da matriz.
Estas dependerão das definições usada para as escalas e da atitude da organização em relação ao
risco. Convém que a concepção permita que a prioridade de um risco seja baseada na extensão em
que o risco leve a resultados que estejam fora dos limites de desempenho definidos pela organização
para seus objetivos.
A matriz pode ser configurada para dar peso extra às consequências (como mostrado na Figura B.17)
ou à probabilidade, ou pode ser simétrica, dependendo da aplicação.

Classificação de consequência
Classificação de probabilidade
Figura B.17 – Exemplo de matriz probabilidade/consequência

B.10.3.2 Uso
Uma matriz de probabilidade/consequência é usada para avaliar e comunicar a magnitude relativa dos
riscos com base em um par probabilidade/consequência que está tipicamente está associado a um
evento focal.
Para classificar um risco, o usuário primeiro encontra o descritor de consequência que melhor se
adapta à situação e depois define a probabilidade com a qual se acredita que a consequência ocorrerá.
Um ponto é colocado na célula que combina estes valores, e o nível de risco e a regra de decisão
associada são lidos da matriz.
Riscos com consequências potencialmente altas são frequentemente mais preocupantes para
tomadores de decisão mesmo quando a probabilidade for muito baixa, porém um risco frequente,
mas de baixo impacto pode ter consequências cumulativas grandes ou de longo prazo. Pode ser
necessário analisar ambos os tipos de riscos, pois os tratamentos de risco pertinentes podem ser bem
diferentes.
Onde um intervalo de diferentes valores de consequência é possível a partir de um evento, a

probabilidade de qualquer consequência específica será diferente da probabilidade do evento que
produz essa consequência. Geralmente é usada a probabilidade da consequência especificada.
Convém que a maneira como a probabilidade é interpretada e usada seja consistente em todos os
riscos sendo comparados.
A matriz pode ser usada para comparar riscos com diferentes tipos de consequência potencial e tem
aplicação em qualquer nível em uma organização. É comumente usada como uma ferramenta de
triagem quando muitos riscos foram identificados, por exemplo, para definir quais riscos precisam ser
encaminhados a um nível gerencial mais alto. Também pode ser usado para ajudar a determinar se um
dado risco é amplamente aceitável ou não aceitável, de acordo com a zona onde que está localizado
na matriz. Pode ser usado em situações onde há dados insuficientes para análise detalhada ou a
situação não permite tempo e esforço para uma análise mais detalhada ou quantitativa. Uma forma de
matriz de probabilidade/consequência pode ser usada para análise de criticidade no FMECA (B.2.3)
ou para definir prioridades após HAZOP (B.2.4) ou SWIFT (B.2.6).
B.10.3.3 Entradas
Uma matriz de probabilidade/consequência precisa ser desenvolvida para se adequar ao contexto.

Isto requer que alguns dados estejam disponíveis para estabelecer escalas realistas. Matrizes de

esboço precisam ser testadas para assegurar que as ações sugeridas pela matriz correspondam
à atitude da organização em relação ao risco e que os usuários entendam corretamente a aplicação
das escalas.
O uso da matriz precisa de pessoas (idealmente uma equipe) com um entendimento dos riscos
que estão sendo classificados e dos dados que estejam disponíveis para ajudar no julgamento das
consequências e de sua probabilidade.
B.10.3.4 Saída
A saída é uma apresentação que ilustra a probabilidade da consequência relativa e o nível do risco
para diferentes riscos e uma classificação de significância para cada risco.
Pontos fortes incluem o seguinte.
● É relativamente fácil de utilizar.
● Fornece uma classificação rápida dos riscos em diferentes níveis de significância.
● Fornece uma clara apresentação visual da significância pertinente do risco por consequência,
probabilidade ou nível de risco.
● Pode ser usada para comparar riscos com diferentes tipos de consequências.
● Requer boa expertise para delinear uma matriz válida.
● Pode ser difícil definir escalas comuns que se apliquem a toda uma série de circunstâncias
pertinentes a uma organização.
● É difícil definir as escalas sem ambiguidade para permitir que os usuários ponderem consequências
e probabilidades de forma consistente.
● A validade das classificações do risco depende de quão bem as escalas foram desenvolvidas
e calibradas.
● Requer um único valor indicativo para que seja definida consequência, enquanto em muitas
situações são possíveis uma gama de valores de consequência e a classificação do risco depende
de qual é escolhido.
● Uma matriz devidamente calibrada envolverá níveis de probabilidade muito baixos para muitos
riscos individuais que são difíceis de conceituar.
● Sua utilização é muito subjetiva e diferentes pessoas frequentemente alocam classificações muito
diferentes ao mesmo risco. Isto a deixa aberta à manipulação.
● Não é possível agregar riscos diretamente (por exemplo, não é possível definir se um número
específico de riscos baixos ou um risco baixo identificado um número específico de vezes
é equivalente a um risco médio).

● É difícil combinar ou comparar o nível de risco para diferentes categorias de consequências.
● Uma classificação válida requer uma formulação consistente de riscos (o que é difícil de alcançar).
● Cada classificação depende da maneira como um risco é descrito e do nível de detalhe fornecido
(por exemplo, quanto mais detalhada for a identificação, maior será o número de cenários
registrados, cada um com uma probabilidade menor). Convém que a maneira pela qual os cenários
são agrupados na descrição de risco seja consistente e definida antes da classificação.
[89] ELMONSTRI, Mustafa, Review of the strengths and weaknesses of risk matrices
[90] BAYBUTT, Paul, Calibration of risk matrices for process safety
B.10.4 Curvas S
Onde um risco possa ter uma gama de valores de consequência, eles podem ser apresentados como
uma distribuição de probabilidade (FDP) das consequências. Ver, por exemplo, a curva sólida na
Figura B.18. Os dados também podem ser representados como uma distribuição cumulativa (FDC),
às vezes chamada de curva S (linha tracejada na Figura F.18). A FPD pode ser paramétrica ou não
paramétrica.
A probabilidade de que uma consequência exceda um valor específico pode ser lida diretamente na
curva S. Por exemplo, a Figura B.18 indica que há uma probabilidade de 90 % de que as consequências
não excedam o valor de consequência C.
Figura B.18 – Função de distribuição de probabilidade e função de distribuição cumulativa

Em alguns casos, a forma da distribuição é conhecida em bases teóricas. Em outros, a forma da
distribuição pode ser obtida a partir de dados ou é a saída de um modelo.
Também é possível usar o julgamento de especialistas para estimar o ponto baixo da faixa de
consequências, o provável ponto médio e o ponto superior da faixa. Várias fórmulas podem então
ser usadas para determinar o valor médio da consequência e a variância, e uma curva pode ser
construída a partir dessa informação.

B.10.4.2 Uso
Uma FDP indica a probabilidade de diferentes valores de consequência em uma forma visual que
mostra o valor mais provável, a extensão da variabilidade e a extensão em que há uma probabilidade
de um evento extremo.
Em algumas circunstâncias, pode ser útil obter um único valor representativo da distribuição de
probabilidade, por exemplo, para comparar com os critérios de avaliação. Frequentemente o
valor esperado (equivalente à média) é usado para representar a melhor estimativa da magnitude
das consequências. (Isto é equivalente à soma dos produtos de probabilidades e consequência
representados pela curva.) Outras medidas incluem a variância da distribuição ou alguma faixa de
percentil, tal como a dispersão entre quartis (a largura da escala delimitada pelos percentis 25 e 75) ou
percentis 5 e 95 (ver por exemplo, VaR B.7.2). No entanto, estas medidas ainda podem não dar ênfase
suficiente à possibilidade de consequências extremas, que podem ser importantes para as decisões
a serem tomadas. Por exemplo, na seleção de um investimento, tanto o retorno esperado quanto
as flutuações nos retornos são considerados; no planejamento de como responder a um incêndio,
eventos extremos precisam ser considerados assim como as consequências esperadas.
A curva S é uma ferramenta útil ao discutir valores de consequência que representem um risco
aceitável. É um meio de apresentação de dados que facilita visualizar a probabilidade de que as
consequências excedam um valor específico.
B.10.4.3 Entradas
Produzir uma curva S requer dados ou julgamentos a partir dos quais uma distribuição válida possa ser
produzida. Embora as distribuições possam ser produzidas por julgamento a partir de poucos dados,
a validade da distribuição e as estatísticas obtidas serão melhores quanto mais dados estiverem
disponíveis.
B.10.4.4 Saídas
As saídas são um diagrama que pode ser usado por tomadores de decisão ao considerar a aceitabilidade
de um risco, e várias estatísticas a partir da distribuição que podem ser comparadas com critérios.
Pontos fortes incluem o seguinte.
● A técnica representa a magnitude de um risco onde haja uma distribuição de consequências.
● Especialistas geralmente podem fazer julgamentos de valores máximos, mínimos e mais prováveis
de consequência e produzir uma razoável estimativa da forma provável de uma distribuição.
Transferir isto para a forma de uma distribuição cumulativa torna mais fácil para um leigo utilizar
estas informações. À medida que mais dados confiáveis de entrada estejam disponíveis, a
precisão da curva S melhora.
● O método pode dar uma impressão de precisão que não é justificada pelo nível de certeza dos
dados a partir dos quais a distribuição foi produzida.

● Para qualquer método de obtenção de um valor ou valores pontuais para representar uma
distribuição de consequências, há premissas e incertezas subjacentes sobre:
— a forma da distribuição (por exemplo, normal, discreta ou altamente assimétrica);
— a maneira mais apropriada de representar essa distribuição como um valor pontual;
— o valor da estimativa do ponto devido a incertezas inerentes aos dados dos quais é derivada.
● As distribuições e suas estatísticas baseadas em experiência ou em dados passados ainda

fornecem pouca informação sobre a probabilidade de eventos futuros com consequências
extremas, mas baixa probabilidade.
[91] GARVEY, P., BOOK S.A., COVERT R.P. Probability Methods for Cost Uncertainty Analysis:
A Systems Engineering Perspective

Bibliografia
Geral
[1] Principe “GAME” (Globalement au moins équivalent) Methodologie de demonstration, Les guides
d’application. Systèmes de transport public guidés urbains de personnes. 2011
[2] FEKETE ISTVAN, Integrated Risk Assessment for supporting Management decisions Scholars
Press, Saarbrücken, Germany 2015
[3] PEACE, C. The reasonably practicable test and work health and safety-related risk assessments
New Zealand Journal of Employment Relations. 2017, 42(2), 61-78.”
Técnicas para obter pontos de vista das partes interessadas e especialistas
[4] EN 12973, Value Management
[5] PROCTOR, A. Creative problem solving for managers. Abingdon: Routledge
[6] GOLDENBERG, Olga, WILEY, Jennifer. Quality, conformity, and conflict: Questioning the
assumptions of Osborn’s brainstorming technique, The Journal of Problem Solving. 2011,
3(2),96-108 [visualizado 2019-02-13] disponível: http://docs.lib.purdue.edu/cgi/viewcontent.
cgi?article=1093&context=jps
[7] ROWE, G. WRIGHT, G. The Delphi technique: Past, present, and future prospects. Technological
forecasting and social change. 2011, 78, Special Delphi Issue
[8] MCDONALD, D. BAMMER, G. and DEANE, P. Research Integration Using Dialogue Methods,
ANU press Canberra. 2009 Chapter 3 Dialogue methods for understanding a problem: integrating
judgements. Section 7 Nominal Group Technique [visualizado 2019-02- 13]. Disponível
http://press.anu.edu.au/node/393/download
[9] HARRELL, M.C. BRADLEY, M.A. 2009 Data collection methods – A training Manual – Semi
structured interviews and focus groups, RAND National defence research Institute USA [visualizado
2019-02-13]. Disponível em: http://www.rand.org/content/dam/rand/pubs/technical_reports/2009/
RAND_TR718.pdf
[10] GILL, J. JOHNSON, P. Research methods for managers 4th ed. 2010 London: Sage Publications
Ltd
[11] SAUNDERS, M. LEWIS, P. THORNHILL, A. Research Methods for Business Students 7th ed.
2016 Harlow: Pearson Education Ltd.
[12] UNIVERSITY OF KANSAS COMMUNITY TOOL BOX Section 13 Conducting surveys; [visualizado
2019-02-13]. Disponível em: https://ctb.ku.edu/en/table-of-contents/assessment/assessing-
community-needs-andresources/conduct-surveys/main

Técnicas para identificar riscos
[13] MATHERLY, Carter The Red Teaming Essential: Social Psychology Premier for Adversarial Based
Alternative Analysis. 2013 [visualizado 2019-02-13]. Disponível em: https://works.bepress.com/
matherly/6/download/
[14] Pestle analysis Free Management eBooks [visualizado 2019-02-13]. Disponível em: http://www.
free-management-ebooks.com/dldebk/dlst-pestle.htm
[15] POPOV, G., LYON, B., HOLLCROFT, B., Risk Assessment: A Practical Guide to Assessing
Operational Risks. Hoboken, NJ: Wiley, 2016
[16] IEC 62740, Root cause analysis (RCA)
[17] BROUGHTON, Vanda. Essential classification. Facet Publishing 2015
[18] BAILEY, Kenneth. Typologies and taxonomies: An introduction to classification technique.

Quantitative applications in the social sciences Series 7,102 1994 Sage publications
[19] VDI 2225 Blatt 1, Konstruktionsmethodik- Technisch-wirtschaftliches Konstruieren - Vereinfachte

Kostenermittlung, 1997 Beuth Verlag
[20] IEC 60812, Failure modes and effects analysis (FMEA and FMECA)
[21] IEC 61882, Hazard and operability studies (HAZOP studies) – Application guide
[22] RINGLAND, Gill. Scenarios in business, Chichester: John Wiley, 2002
[23] Van der HEIJDEN, Kees. Scenarios: The art of strategic conversation, Chichester; John Wiley,
2005
[24] CHERMACK, Thomas J. Scenario planning in organizations, San Francisco: Berrett Koehler
publishers Inc. 2011
[25] MUKUL PAREEK, Using Scenario analysis for managing technology risk: [visualizado 2019-02-
13]. Disponível em: http://www.isaca.org/Journal/archives/2012/Volume6/Pages/Using-Scenario-
Analysis-for-Managing-Technology-Risk.aspx
[26] CARD, Alan J. WARD, James R. and CLARKSON, P. John. Beyond FMEA: The structured what-if
technique (SWIFT) Journal of Healthcare Risk Management, 2012, 31,(4) 23–29
Técnicas para determinar fontes, causas e fatores de risco
[27] KERVERN, G-Y. Elements fondamentaux des cindyniques, Editions Economica 1995
[28] KERVERN, G-Y. Latest advances in cindynics, Editions Economica,1994
[29] KERVERN, G-Y. & BOULENGER, P. Cindyniques – Concepts et mode d’emploi, Edition Economica
2007
[30] ISHIKAWA, K. Guide to Quality Control, Asia Productivity Organization, 1986

Técnicas para analisar controles existentes
[31] LEWIS, S. SMITH, K., Lessons learned from real world application of the bow-tie method. 6th AIChE.
Global Congress of Process Safety, 2010, San Antonio, Texas [visualizado 2019-02-13]. Disponível
em: http://risktecsolutions.co.uk/media/43525/bowtie%20lessons%20learned%20-%20aiche.pdf
[32] HALE, A. R., GOOSSENS L.H.J., ALE, B.J.M., BELLAMY L.A. POST J. Managing safety barriers
and controls at the workplace. In Probabilistic safety assessment and management. Editors
SPITZER C, SCHMOCKER, U, DANG VN,. Berlin: Springer; 2004. pp. 608–13
[33] MCCONNELL, P. and DAVIES, M. Scenario Analysis under Basel II. [visualizado 2019-02- 13].
Disponível em http://www.continuitycentral.com/feature0338.htm
[34] ABNT NBR ISO 22000, Sistemas de gestão de segurança de alimentos – Requisitos para qualquer
organização na cadeia produtiva de alimentos
[35] Food Quality and Safety Systems – A Training Manual on Food Hygiene and the Hazard Analysis
and Critical Control Point (HACCP) System [visualizado 2019-02-13]. Disponível em http://www.
fao.org/docrep/W8088E/w8088e05.htm
[36] IEC 61508 (all parts), Functional safety of electrical/electronic/programmable electronic safety-
related systems
[37] IEC 61511 (all parts), Functional safety – Safety instrumented systems for the process industry
sector
[38] CENTRE FOR CHEMICAL PROCESS SAFETY OF THE AMERICAN INSTITUTE OF CHEMICAL
ENGINEERS New York 2001. Layer of protection analysis – Simplified process risk assessment
Técnicas para entender consequências e probabilidades
[39] GHOSH, J., DELAMPADY, M. and SAMANTA, T. An introduction to Bayesian analysis, New York
Springer-Verlag, 2006
[40] QUIGLEY, J.L., BEDFORD, T.J. and WALLS, L.A. Prior Distribution Elicitation. In: Encyclopaedia
of Statistics in Quality and Reliability. Wiley. 2008 ISBN 9780470018613
[41] NEIL, Martin and FENTON, Norman. Risk Assessment and Decision Analysis with Bayesian
Networks. CRC Press, 2012
[42] JENSEN, F.V., NIELSEN T. D. Bayesian Networks and Decision Graphs, 2nd ed. Springer, New
York, 2007
[43] NICHOLSON, A., WOODBERRY O and TWARDY C, The “Native Fish” Bayesian networks.
Bayesian Intelligence Technical Report 2010/3, 2010
[44] NETICA TUTORIAL Introduction to Bayes Nets: What is a Bayes Net? [visualizado 2019-02- 13].
Disponível em https://www.norsys.com/tutorials/netica/secA/tut_A1.htm
[45] ABNT ISO/TS 22317, Segurança da sociedade – Sistemas de gestão de continuidade de negócios –
Diretrizes para análise de impacto nos negócios (BIA)

[46] ABNT NBR ISO 22301, Segurança e resiliência – Sistema de gestão de continuidade de negócios –
Requisitos
[47] ANDREWS J.D, RIDLEY L.M. 2002. Application of the cause-consequence diagram method to
static systems, Reliability engineering and system safety 75(1) 47-58: também em: https://dspace.
lboro.ac.uk/dspace-jspui/bitstream/2134/695/1/01-22.pdf [visualizado 2019- 02-13]
[48] NIELSEN D.S. The Cause/Consequence Diagram Method as a Basis for Quantitative Accident
Analysis, Danish Atomic Energy Commission, RISO-M-1374, May 1971
[49] IEC 62502, Analysis techniques for dependability – Event tree analysis (ETA)
[50] IEC TR 63039:2016, Probabilistic risk analysis of technological systems – Estimation of final
event rate at a given initial state
[51] IEC 62508, Guidance on human aspects of dependability
[52] BELL Julie, HOLROYD Justin, Review of human reliability assessment methods. Health and
Safety Executive UK, HMSO 2009, [visualizado 2019-02-13]. Disponível em http://www.hse.gov.
uk/research/rrpdf/rr679.pdf
[53] OECD Establishing the Appropriate Attributes in Current Human Reliability Assessment Techniques
for Nuclear Safety, NEA/CSNI/R 2015 [visualizado 2019-02-13] Disponível em: http://www.oecd.
org/officialdocuments/publicdisplaydocumentpdf/?cote=NEA/CSNI/R(2 015)1&docLanguage=En
[54] IEC 61165, Application of Markov techniques
[55] OXLEY, ALAN. Markov Processes in Management Science, published by Applied Probability
Trust, 2011 [visualizado 2019-02-13]. Disponível em https://studylib.net/doc/8176892/markov-
processes-in-management-science
[56] ISO/IEC Guide 98-3:2008/Suppl.1:2008, Uncertainty of measurement – Part 3: Guide to

the expression of uncertainty in measurement (GUM:1995) – Supplement 1: Propagation of
distributions using a Monte Carlo method
[57] EU: General Data Protection Regulation (European Union Official Journal, 04.05.2016)
[58] ICO (UK): Conducting privacy impact assessments code of practice [visualizado 2019-02-13]
Disponível em: https://ico.org.uk/media/about-the-ico/consultations/2052/draftconducting-
privacy-impact-assessments-code-of-practice.pdf
[59] CNIL (FR), Privacy Impact assessment (PIA) [visualizado 2019-02-13]. Disponível em: https://
www.cnil.fr/en/privacy-impact-assessment-pia
Técnicas para analisar dependências e interações
[60] BRYSON, J. M., ACKERMANN, F., EDEN, C., & FINN, C. (2004). Visible thinking unlocking causal
mapping for practical business results. Chichester: John Wiley & Sons
[61] ACKERMANN, F, HOWICK, S, QUIGLEY, J, WALLS, L, HOUGHTON, T. Systemic risk elicitation:

Using causal maps to engage stakeholders and build a comprehensive view of risks, European
Journal of Operational Research 2014, 238(1), 290-299

[62] JOINT RESEARCH CENTRE, EUROPEAN COMMISSION, Cross-impact analysis [visualizado

2019-02-13] Disponível em: http://forlearn.jrc.ec.europa.eu/guide/2_design/meth_cross-impact-
analysis.htm
Técnicas para fornecer medida de risco
[63] WORLD HEALTH ORGANISATION Human health risk assessment toolkit – chemical hazards.
2010 [visualizado 2019-02-13]. Disponível em http://www.inchem.org/documents/harmproj/
harmproj/harmproj8.pdf
[64] US EPA Guidelines for ecological risk assessment 1998 [visualizado 2019-02-13]. Disponível em:
https://www.epa.gov/sites/production/files/2014-11/documents/eco_risk_assessment1998.pdf
[65] CHANCE, D., BROOKS, R. An introduction to derivatives and risk management, (9th ed.).
Published Mason, Ohio: South-Western Cengage Learning 2013
[66] THOMAS J. and PEARSON Neil D. Value at risk. Financial Analysts Journal 2000 56, 47-67
[67] CHOUDHRY , M. An introduction to Value at Risk, Ed. 5, John Wiley and Sons, Chichester UK,
2013
[68] Value at Risk New York University. [visualizado 2019-02-13]. Disponível em: http://people.stern.
nyu.edu/adamodar/pdfiles/papers/VAR.pdf
Técnicas para avaliação da significância do risco
[69] UK HEALTH AND SAFTY EXECUTIVE, 2010a: HID’S Approach To ‘As Low As Reasonably
Practicable’ (ALARP) Decisions [visualizado 2019-02-13] disponível em: http://www.hse.gov.uk/
risk/theory/alarpglance.htm
[70] UK HEALTH AND SAFTY EXECUTIVE, 2010b: Guidance on (ALARP) decisions in control of
major accident hazards (COMAH), [visualizado 2019-02-13] Disponível em: http://www.hse.gov.
uk/foi/internalops/hid_circs/permissioning/spc_perm_37/
[71] UK HEALTH AND SAFTY EXECUTIVE, 2014: Principles and guidelines to assist HSE in its
judgments that duty-holders have reduced risk as low as reasonably practicable [visualizado
2019-02-13] Disponível em: http://www.hse.gov.uk/risk/theory/alarp1.htm
[72] AMERICAN INSTITUTE FOR CHEMICAL ENGINEERS: Understanding and using F-N Diagrams:
Annex A in Guidelines for Developing Quantitative Safety Risk Criteria. New York. John Wiley
2009
[73] EVANS, A. Transport fatal accidents and FN-curves: 1967-2001. Health and Safety Executive
Research Report RR 073 [visualizado 2019-02-13]. Disponível em: http://webarchive.
nationalarchives.gov.uk/20101111125221/http://www.railreg.gov.uk/upload/pdf/rr073.pdf
[74] Pareto Chart, Excel Easy [visualizado 2019-02-13]. Disponível em: http://www.exceleasy.com/
examples/pareto-chart.html
[75] Pareto Chart [visualizado 2019-02-13]. Disponível em: http://www.uphs.upenn.edu/gme/pdfs/

Pareto%20Chart.pdf

[76] IEC 60300-3-11, Dependability management – Part 3-11: Application guide – Reliability centred
maintenance
[77] MACKENZIE Cameron A. Summarizing risk using risk measures and risk indices. Risk Analysis,
34,12 2143-2163 2014
Técnicas para selecionar entre opções
[78] KHOJASTEH, P, (2016). Application of benefit-cost-risk formula and key change indicators to
meet project objectives [visualizado 2019-02-13]. Disponível em: https://www1.bournemouth.
ac.uk/sites/default/files/asset/document/Mon%205.1%20Kh ojasteh%20Pejman%20Risk.pdf
[79] The Green book, Appraisal and Evaluation in Central Government; 2011 Treasury Guidance
LONDON: TSO London
[80] ANDOSEH, S., et al. The case for a real options approach to ex-ante cost-benefit analyses of
agricultural research projects. Food policy 44, 2014, 218-226 [visualizado 2019-02-13]. Disponível
em: http://pdf.usaid.gov/pdf_docs/pnaec758.pdf
[81] KIRKWOOD, CRAIG . Decision Tree Primer University of Arizona in Decision Analysis and
System Dynamics resources 2002 [visualizado 2019-02-13]. Disponível em: http://www.public.
asu.edu/~kirkwood/DAStuff/decisiontrees/
[82] MYERSON, ROGER B., Game Theory: Analysis of Conflict, Harvard University Press, 1991
[83] MARYNARD, SMITH JOHN Evolution and Theory of Games, Cambridge University Press 1982
[84] ROSENHEAD, J. and MINGER, J. (Eds), Rational Analysis for a Problematic World Revisited,
2nd ed. Wiley, Chichester UK, 2001
[85] EN 16271:2012, Value management – Functional expression of the need and functional
performance specification – Requirements for expressing and validating the need to be satisfied
within the process of purchasing or obtaining a product
[86] DEPARTMENT FOR COMMUNITIES AND LOCAL GOVERNMENT, Multi-criteria analysis:

a manual 2009 [visualizado 2019-02-13]. Disponível em: https://www.gov.uk/government/
publications/multi-criteria-analysis-manual-for-makinggovernment-policy
[87] RABIHAH MHD.SUM, Risk Management Decision Making, 2001 [visualizado 2019-02-13].
Disponível em: http://www.isahp.org/uploads/47.pdf
[88] VELASQUEZ, M., HESTER, P. An Analysis of Multi-criteria Decision Making Methods, International
Journal of Operations Research, 10 (2), 55-66, 2013 [visualizado 2019-02-13]. Disponível em:
http://www.orstw.org.tw/ijor/vol10no2/ijor_vol10_no2_p56_p66.pdf
Técnicas para registro e relato
[89] ELMONSTRI, Mustafa, Review of the strengths and weaknesses of risk matrices, Journal of Risk
Analysis and Crisis Response, 4 (1), 49-57, 2014 [visualizado 2019-02-13]. Disponível em: http://
www.atlantis-press.com/php/download_paper.php?id=11718

[90] BAYBUTT, Paul, Calibration of risk matrices for process safety. Journal of Loss Prevention in the
Process Industries, 38, 163-168, 2015
[91] GARVEY, P., BOOK S.A., COVERT R.P. Probability Methods for Cost Uncertainty Analysis: A
Systems Engineering Perspective, Ed 2 Annex E Unravelling the S curve. CRC 2016

NBR IEC 31010/2021 Gestão de Riscos e Técnicas para o Processo de Trabalho

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

NBR IEC 31010/2021 Gestão de Riscos e Técnicas para o Processo de Trabalho

Enviado por

Direitos autorais:

Formatos disponíveis

NORMA ABNT NBR

Gestão de riscos ― Técnicas para o processo de

ICS 03.100.01 ISBN 978-85-07-08641-3

© IEC 2019 - © ABNT 2021

ii © IEC 2019 - © ABNT 2021 - Todos os direitos reservados

© IEC 2019 - © ABNT 2021 - Todos os direitos reservados iii

Anexo A (informativo) Categorização das técnicas..........................................................................28

iv © IEC 2019 - © ABNT 2021 - Todos os direitos reservados

© IEC 2019 - © ABNT 2021 - Todos os direitos reservados v

vi © IEC 2019 - © ABNT 2021 - Todos os direitos reservados

B.5.3.1 Visão geral.........................................................................................................................81

© IEC 2019 - © ABNT 2021 - Todos os direitos reservados vii

viii © IEC 2019 - © ABNT 2021 - Todos os direitos reservados

B.7.2.2 Uso.................................................................................................................................... 110

© IEC 2019 - © ABNT 2021 - Todos os direitos reservados ix

B.8.6.1 Visão geral.......................................................................................................................123

x © IEC 2019 - © ABNT 2021 - Todos os direitos reservados

B.10.2.5 Pontos fortes e limitações..............................................................................................136

© IEC 2019 - © ABNT 2021 - Todos os direitos reservados xi

xii © IEC 2019 - © ABNT 2021 - Todos os direitos reservados

A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas

Os Documentos Técnicos internacionais adotados são elaborados conforme as regras da

O Escopo da ABNT NBR IEC 31010 em inglês é o seguinte:

© IEC 2019 - © ABNT 2021 - Todos os direitos reservados xiii

As técnicas são usadas:

● no processo de gestão de riscos, levando a ações para tratar o risco.

O público potencial para este Documento é:

● qualquer pessoa envolvida no processo de avaliação ou na gestão de riscos;

● pessoas que precisam tomar decisões onde há incerteza, incluindo:

— aquelas que encomendam ou avaliam os processos de avaliação de riscos,

— aquelas que necessitam compreender os resultados dos processos de avaliação, e

xiv © IEC 2019 - © ABNT 2021 - Todos os direitos reservados

Gestão de riscos ― Técnicas para o processo de avaliação de riscos

ABNT ISO Guia 73:2009, Gestão de riscos – Vocabulário

ABNT NBR ISO 31000:2018, Gestão de riscos – Diretrizes

● IEC Electropedia: disponível em http://www.electropedia.org/

● ISO Online browsing platform: disponível em http://www.iso.org/obp

[FONTE: ABNT NBR ISO 31000:2018, 3.7]

© IEC 2019 - © ABNT 2021 - Todos os direitos reservados 1

Nota 1 de entrada: Ver definição 3.1, Nota 2 de entrada.

e continuam sendo desenvolvidas, para categorizar os tipos de incertezas, incluindo:

Outras comumente reconhecidas formas de incerteza incluem:

● incerteza linguística, que reconhece a imprecisão e a ambiguidade inerente à linguagem falada;

2 © IEC 2019 - © ABNT 2021 - Todos os direitos reservados

Exemplos de incerteza incluem:

● variabilidade nos parâmetros nos quais a decisão está baseada;

● eventos (incluindo mudanças em circunstâncias ou condições) cuja ocorrência, caráter ou

● incerteza associada a eventos disruptivos;

O risco é frequentemente descrito em termos de fontes de risco, eventos potenciais, suas

© IEC 2019 - © ABNT 2021 - Todos os direitos reservados 3

5 Utilização de técnicas para o processo de avaliação de riscos

Técnicas do processo de avaliação de riscos descritas neste Documento são usadas

● dentro de um processo de gestão de riscos, levando a ações para tratar os riscos;

Em particular, as técnicas podem ser usadas para:

● esclarecer as implicações das premissas sobre o atingimento dos objetivos;

● auxiliar na determinação de objetivos estratégicos e operacionais realistas;

● levar em conta o risco ao especificar ou analisar criticamente as prioridades;

4 © IEC 2019 - © ABNT 2021 - Todos os direitos reservados

● reconhecer e explorar as oportunidades com mais sucesso;

● identificar ações de tratamento de riscos eficazes e eficientes;

● comunicar sobre riscos e suas implicações;

● demonstrar que os requisitos regulatórios e outros requisitos foram atendidos.

6 Implementação do processo de avaliação de riscos