ANÁLISE, AVALIAÇÃO E GERENCIAMENTO DE RISCOS

IDENTIFICAÇÃO DE CENÁRIOS:
 O propósito da análise de riscos é compreender a natureza do risco e suas características (causas, áreas impactadas, gerente do
risco, consequências e probabilidades, etc.
 O propósito da identificação de riscos é encontrar, reconhecer e descrever riscos que possam ajudar (riscos positivos) ou
impedir (riscos negativos) que uma organização alcance seus objetivos.
 Informações pertinentes, apropriadas e atualizadas são importantes na identificação de riscos.
 A organização pode usar uma variedade de técnicas para identificar incertezas que podem afetar um ou mais objetivos.
 Convém que os seguintes fatores e o relacionamento entre estes fatores sejam considerados: fontes tangíveis e intangíveis de
risco; causas e eventos; ameaças e oportunidades; vulnerabilidades e capacidades; mudanças nos contextos externo e interno;
indicadores de riscos emergentes; natureza e valor dos ativos e recursos; consequências e seus impactos nos objetivos;
limitações de conhecimento e de confiabilidade da informação; fatores temporais; vieses, hipóteses e crenças dos envolvidos.
 Convém que a organização identifique os riscos, independentemente de suas fontes estarem ou não sob seu controle.
 Convém considerar que pode haver mais de um tipo de resultado, o que pode resultar em uma variedade de consequências
tangíveis ou intangíveis.
 A identificação de riscos é o processo de encontrar, reconhecer e registrar os riscos.
 O propósito da identificação de riscos é identificar o que poderia acontecer ou quais situações poderiam existir que poderiam
afetar o alcance dos objetivos do sistema ou da organização.
 Uma vez que um risco é identificado, convém que a organização identifique quaisquer controles existentes, tais como
funcionalidades projetadas, pessoas, processos e sistemas.
 O processo de identificação de riscos inclui a identificação das causas e fontes do risco (perigo no contexto de dano físico),
eventos, situações ou circunstâncias que poderiam ter um impacto material sobre os objetivos e a natureza desse impacto.
 Os métodos de identificação de riscos podem incluir:
 métodos baseados em evidências, exemplos como listas de verificação e análises críticas de dados históricos;
 abordagens sistemáticas de equipe onde uma equipe de especialistas segue um processo sistemático para identificar os
riscos por meio de um conjunto estruturado de instruções ou perguntas; e
 técnicas de raciocínio Indutivo tais como HAZOP.
 Várias técnicas de apoio podem ser utilizadas para melhorar a exatidão e completeza na identificação de riscos, incluindo
"brainstorming" e o método Delphi.
 Independentemente das técnicas efetivamente empregadas, é importante que o devido reconhecimento seja dado a fatores
humanos e organizacionais na identificação de riscos. Assim sendo, convém que os desvios dos fatores humanos e
organizacionais em relação ao esperado sejam incluídos no processo de identificação de riscos, da mesma forma que os eventos
de "hardware" ou "software".

AVALIAÇÃO DE FREQUÊNCIA:
 Avaliação de frequência é o processo de determinar a probabilidade de ocorrência de eventos indesejados ou situações de risco
em um determinado período de tempo.
 A avaliação de frequência desempenha um papel crítico na avaliação de riscos, permitindo que as organizações identifiquem e
compreendam melhor as ameaças potenciais que podem afetar suas operações, projetos ou ativos.
 A avaliação de frequência se concentra na probabilidade de ocorrência de um evento indesejado, seja ele um acidente,
incidente ou qualquer outra situação adversa que possa afetar uma organização, projeto ou sistema.
 A avaliação de frequência visa quantificar a probabilidade de que um evento ocorra em um determinado período de tempo e
sob determinadas condições.
 Escala Qualitativa de Frequência: é útil para fornecer uma visão geral rápida da probabilidade de ocorrência de um evento
indesejado, mas pode ser subjetiva e imprecisa.
 Classificação de Frequência:
A – muito improvável/muito baixa: indica que a probabilidade de ocorrência do evento é muito improvável, talvez quase
inexistente;
B – improvável/baixa: a probabilidade de ocorrência é baixa, mas ainda possível em circunstâncias excepcionais;
C – ocasional/moderada: o evento tem uma probabilidade significativa de ocorrer em condições normais;
D – provável/alta: a probabilidade de ocorrência é alta e provável sob condições típicas;
E – frequente/muito alta: o evento é altamente provável e pode ser esperado regularmente.

AVALIAÇÃO DE CONSEQUÊNCIAS:
 A avaliação de consequências se concentra em entender e quantificar os impactos e danos potenciais que podem resultar de
eventos adversos ou situações de risco, ajudando a tomar decisões informadas sobre como gerenciar e mitigar os riscos.
 A avaliação de consequências visa quantificar os impactos sempre que possível, podendo ser feito usando dados quantitativos
(valores monetários, números de pessoas afetadas, duração do tempo de inatividade e medidas ambientais). Quando a
quantificação é difícil, podem ser usadas abordagens qualitativas.
 O foco principal da avaliação das consequências é determinar e quantificar os impactos e danos potenciais que podem resultar
de eventos adversos ou situações de risco.
 Os impactos que são avaliados podem pertencer às seguintes categorias: impacto financeiro, impacto operacional, impacto de
segurança, impacto ambiental e impacto na reputação.
 Impacto financeiro: é a avaliação de custos diretos e indiretos associados ao evento, como perdas de receita, custos de reparo e
recuperação, custos legais, entre outros.
 Impacto operacional: á a avaliação dos efeitos na continuidade das operações, no fornecimento de serviços e na capacidade de
entrega de produtos ou serviços.
 Impacto de segurança: avaliação dos riscos para a segurança dos funcionários, clientes e comunidades, bem como potenciais
lesões ou fatalidades.
 Impacto ambiental: avaliação dos efeitos sobre o meio ambiente, como poluição, danos à biodiversidade e aos ecossistemas.
 Impacto na reputação: avaliação dos danos à reputação da organização, que podem resultar de eventos negativos que afetam a
percepção pública da empresa.
 A avaliação de consequências envolve também a criação de cenários hipotéticos que descrevem como os eventos adversos se
desenrolariam e como afetariam a organização, permitindo explorar diferentes formas pelas quais os eventos podem impactar a
organização.
 A avaliação de consequências também considera a vulnerabilidade da organização aos impactos, envolvendo a avaliação da
capacidade da organização de resistir aos impactos, se recuperar deles e se adaptar a novas condições.
 A avaliação de consequências é crucial para a tomada de decisões sobre a mitigação ou gerenciamento dos riscos, com os
resultados ajudando a priorizar riscos e orientar a implementação de medidas de controle, tais como: planos de continuidade de
negócios, melhorias em processos, tecnologias de segurança, investimentos em infraestrutura, etc.
 Os resultados da avaliação de consequências devem ser comunicados de forma clara e eficaz a partes interessadas e para
manter a transparência no gerenciamento de riscos.
 A avaliação de consequências não é um processo estático, devendo ser revisada e atualizada regularmente para refletir as
mudanças nas condições, na organização e no ambiente de riscos.
 Classificação de Consequências/Severidade:
I – desprezível: sem danos aos equipamentos, à propriedade e/ou ao meio ambiente. Não ocorrem lesões/mortes de
funcionários, de terceiros (não funcionários) e/ou de pessoas extramuros (indústrias e comunidade).
II – marginal: danos leves aos equipamentos, à propriedade e/ou ao meio ambiente. Os danos materiais são controláveis e/ou
de baixo custo de reparo. Ocorrência de lesões leves em funcionários, terceiros e/ou em pessoas extramuros.
III – crítica: danos severos aos equipamentos, à propriedade e/ou ao meio ambiente, levando à parada ordenada da unidade
e/ou sistema. Ocorrência de lesões de gravidade moderada em funcionários, em terceiros e/ou em pessoas extramuros, com
probabilidade remota de morte de funcionários e/ou de terceiros. Exige ações corretivas imediatas para evitar seu
desdobramento em catástrofe.
IV – catastrófica: danos irreparáveis aos equipamentos, à propriedade e/ou ao meio ambiente, levando à parada desordenada
da unidade e/ou sistema, com reparação lenta ou impossível. Provoca mortes ou lesões graves em várias pessoas, sejam elas
funcionários, terceiros ou pessoas extramuros.