NBR IEC 31010:2021 - Gestão de Riscos - Técnicas para o processo de avaliação de riscos
ISO 31010: A norma internacional para avaliação de riscos
A gestão de riscos é uma atividade essencial para qualquer organização que busca alcançar seus objetivos e criar valor para seus stakeholders. Mas como identificar, compreender e avaliar os riscos que podem afetar o desempenho e a sustentabilidade de um negócio ou projeto?
iso 31010 pdf portugues download
É aí que entra a ISO 31010, uma norma internacional que fornece orientações sobre a seleção e aplicação de técnicas para o processo de avaliação de riscos em uma ampla gama de situações. Neste artigo, vamos explicar o que é a ISO 31010, quais são seus objetivos e benefícios, quais são suas principais características, como aplicá-la na prática e como obtê-la em português.
O que é a ISO 31010?
A ISO 31010 é uma norma internacional que faz parte da família ISO 31000 de gestão de riscos. Ela foi desenvolvida pelo grupo de trabalho conjunto JWG 16, que reúne especialistas dos comitês técnicos IEC TC 56 e ISO/TC 262. A primeira edição da norma foi publicada em 2009, e a segunda edição em 2019. A versão em português, publicada pela ABNT em 2021, é chamada de NBR IEC 31010:2021.
A ISO 31010 não é uma norma certificável, mas sim uma norma de apoio à implementação da ISO 31000, que estabelece os princípios e diretrizes para a gestão de riscos. A ISO 31010 descreve as vantagens e desvantagens das diferentes técnicas que podem ser usadas em cada etapa do processo de gestão de riscos (conforme estabelecido na ISO 31000), bem como o processo a ser seguido ao avaliar riscos, desde a definição do escopo até a comunicação dos resultados da avaliação.
Quais são os objetivos e benefícios da ISO 31010?
Os objetivos da ISO 31010 são:
Ajudar as organizações a selecionar e aplicar as técnicas mais adequadas para o processo de avaliação de riscos, considerando o contexto, os critérios e os objetivos específicos de cada situação;
Facilitar a compreensão dos riscos e suas causas, fontes, consequências e probabilidades;
Apoiar a tomada de decisão baseada em evidências e informações sobre os riscos;
Promover a melhoria contínua do processo de gestão de riscos.
Os benefícios da ISO 31010 são:
Aumentar a confiança e a credibilidade das organizações na gestão de riscos;
Melhorar o desempenho e a eficiência das organizações na realização de seus objetivos;
Reduzir as perdas e maximizar as oportunidades decorrentes dos riscos;
Fortalecer a cultura e o engajamento dos stakeholders na gestão de riscos.
Quais são as principais características da ISO 31010?
As principais características da ISO 31010 são:
Ela apresenta uma visão abrangente e atualizada das técnicas para avaliação de riscos, incluindo novas técnicas que foram desenvolvidas ou aprimoradas desde a primeira edição da norma;
Ela aborda tanto o contexto de negócios como o contexto técnico, podendo ser aplicada em diversos setores, áreas e tipos de organizações;
Ela é compatível com a ISO 31000, seguindo os mesmos termos e definições, bem como o mesmo processo de gestão de riscos;
Ela é flexível e adaptável às necessidades e preferências das organizações, permitindo que elas escolham as técnicas mais adequadas para cada caso, sem impor uma abordagem única ou prescritiva.
Como aplicar a ISO 31010 na prática?
A aplicação da ISO 31010 na prática envolve duas etapas principais: seguir o processo de avaliação de riscos e selecionar as técnicas para avaliação de riscos.
Quais são as etapas do processo de avaliação de riscos?
O processo de avaliação de riscos é composto por sete etapas, conforme ilustrado na figura abaixo:
As etapas são:
Definir o escopo e os critérios de risco
Nesta etapa, deve-se definir o propósito, o alcance, os limites e as responsabilidades da avaliação de riscos. Também deve-se estabelecer os critérios para avaliar a significância dos riscos, considerando fatores como o apetite ao risco, os requisitos legais, as expectativas dos stakeholders e os objetivos da organização.
Identificar os riscos
Nesta etapa, deve-se identificar todos os possíveis eventos ou circunstâncias que possam afetar negativamente ou positivamente os objetivos da organização. Também deve-se identificar as causas, fontes, consequências e controles existentes para cada risco. A identificação dos riscos pode ser feita por meio de diversas técnicas, como brainstorming, análise SWOT, análise preliminar de perigos (APP), entre outras.
Analisar os riscos
Nesta etapa, deve-se estimar a probabilidade e o impacto dos riscos identificados, considerando os controles existentes. A análise dos riscos pode ser feita por meio de diversas técnicas, como matriz de probabilidade x impacto (P x I), árvore de falhas (FTA), árvore de eventos (ETA), entre outras.
Avaliar os riscos
Nesta etapa, deve-se comparar os níveis dos riscos com os critérios estabelecidos na primeira etapa. A avaliação dos riscos pode ser feita por meio de diversas técnicas, como curva ABC (Pareto), análise multicritério (AMC), entre outras.
Tratar os riscos
Nesta etapa, deve-se definir e implementar as ações para modificar os níveis dos riscos, seja para reduzi-los, eliminá-los, transferi-los ou aproveitá-los. O tratamento dos riscos pode ser feito por meio de diversas técnicas, como plano de ação 5W2H, matriz de responsabilidades (RACI), entre outras.
Comunicar e consultar os stakeholders
Nesta etapa, deve-se informar e envolver os stakeholders sobre os resultados da avaliação de riscos e as ações de tratamento dos riscos. A comunicação e a consulta dos stakeholders podem ser feitas por meio de diversas técnicas, como relatório de riscos, matriz de comunicação, entre outras.
Monitorar e revisar os riscos
Nesta etapa, deve-se acompanhar e avaliar a eficácia do processo de avaliação de riscos e das ações de tratamento dos riscos. Também deve-se identificar e incorporar as mudanças internas e externas que possam afetar os riscos. O monitoramento e a revisão dos riscos podem ser feitos por meio de diversas técnicas, como indicadores de desempenho (KPIs), auditoria interna, entre outras.
Quais são as técnicas para avaliação de riscos?
A ISO 31010 apresenta 42 técnicas para avaliação de riscos, que podem ser classificadas em três categorias: qualitativas, semi-qualitativas e quantitativas. A escolha da técnica mais adequada depende de vários fatores, como o tipo e a complexidade do risco, o nível de detalhamento necessário, o tempo e os recursos disponíveis, a experiência e o conhecimento dos participantes, entre outros.
Técnicas qualitativas
As técnicas qualitativas são aquelas que usam palavras ou escalas descritivas para expressar a probabilidade e o impacto dos riscos. Elas são úteis para avaliar riscos que não podem ser medidos numericamente ou que têm poucos dados históricos disponíveis. Algumas das técnicas qualitativas são:
Brainstorming: uma técnica que consiste em gerar ideias sobre os riscos por meio de um grupo de pessoas que expressam livremente suas opiniões;
Análise SWOT: uma técnica que consiste em identificar as forças (strengths), fraquezas (weaknesses), oportunidades (opportunities) e ameaças (threats) relacionadas aos objetivos da organização;
Análise preliminar de perigos (APP): uma técnica que consiste em identificar os perigos potenciais e suas consequências em um sistema ou processo;
Matriz de probabilidade x impacto (P x I): uma técnica que consiste em classificar os riscos em uma matriz bidimensional que representa os níveis de probabilidade e impacto dos riscos;
Curva ABC (Pareto): uma técnica que consiste em ordenar os riscos em ordem decrescente de importância, com base no produto da probabilidade pelo impacto dos riscos.
Técnicas semi-qualitativas
As técnicas semi-qualitativas são aquelas que usam números ou símbolos para representar a probabilidade e o impacto dos riscos. Elas são úteis para avaliar riscos que podem ser estimados com base em critérios pré-definidos ou em julgamentos subjetivos. Algumas das técnicas semi-qualitativas são:
Análise multicritério (AMC): uma técnica que consiste em atribuir pesos aos critérios de avaliação dos riscos e pontuar cada risco com base nesses critérios;
Análise da árvore de falhas (FTA): uma técnica que consiste em representar graficamente as combinações de eventos que podem levar a uma falha indesejada;
Análise da árvore de eventos (ETA): uma técnica que consiste em representar graficamente as sequências possíveis de eventos que podem ocorrer após um evento inicial;
Análise da causa raiz (ACR): uma técnica que consiste em identificar as causas fundamentais dos problemas ou incidentes;
Análise do modo e efeito da falha (FMEA): uma técnica que consiste em identificar os modos potenciais de falha de um sistema ou processo e seus efeitos sobre o desempenho ou a segurança.
Técnicas quantitativas
As técnicas quantitativas são aquelas que usam dados numéricos para expressar a probabilidade e o impacto dos riscos. Elas são úteis para avaliar riscos que podem ser medidos objetivamente ou que têm dados históricos suficientes disponíveis. Algumas das técnicas quantitativas são:
Análise estatística: uma técnica que consiste em usar métodos matemáticos para descrever, analisar e inferir informações sobre os dados relacionados aos riscos;
Análise probabilística: uma técnica que consiste em usar modelos matemáticos para estimar a frequência ou a probabilidade de ocorrência dos eventos relacionados aos riscos;
Análise do valor monetário esperado (VME): uma técnica que consiste em calcular o valor monetário médio resultante da ocorrência dos eventos relacionados aos riscos;
Análise do valor presente líquido (VPL): uma técnica que consiste em calcular o valor atualizado dos fluxos de caixa futuros esperados decorrentes dos eventos relacionados aos riscos;
Análise do ponto de equilíbrio (PE): uma técnica que consiste em determinar o nível de atividade ou receita no qual os custos totais se igualam às receitas totais.
Como obter a ISO 31010 em português?
A versão em português da ISO 31010 pode ser adquirida na ABNT por aqui. A norma tem 126 páginas e custa R$ 330,00. Ela é válida desde 30/08/2021.
A norma também pode ser visualizada gratuitamente no site ISO 31000.net, um portal especializado em gestão de riscos. Para acessar a pré-visualização da norma em português, clique aqui.
Além disso, o site ISO 31000.net oferece cursos exclusivos sobre a ISO 31010, como o curso Nova NBR IEC 31010:2021 - AVALIAÇÃO DE RISCOS - Seleção de Ferramentas e Técnicas de Risk Assessment. O curso inclui um aplicativo exclusivo chamado Risk Selector 31010, que automaticamente seleciona e recomenda a técnica de avaliação de riscos mais indicada para cada caso, tendo por base a nova norma NBR IEC 31010:2021. Para saber mais sobre o curso, clique aqui.
Conclusão
A ISO 31010 é uma norma internacional que fornece orientações sobre a seleção e aplicação de técnicas para o processo de avaliação de riscos em uma ampla gama de situações. Ela é compatível com a ISO 31000, seguindo os mesmos termos e definições, bem como o mesmo processo de gestão de riscos.
A aplicação da ISO 31010 na prática envolve seguir as sete etapas do processo de avaliação de riscos e selecionar as técnicas mais adequadas para cada caso. A norma apresenta 42 técnicas para avaliação de riscos, que podem ser classificadas em três categorias: qualitativas, semi-qualitativas e quantitativas.
A versão em português da ISO 31010 pode ser adquirida na ABNT ou visualizada gratuitamente no site ISO 31000.net. O site também oferece cursos exclusivos sobre a ISO 31010, incluindo um aplicativo exclusivo chamado Risk Selector 31010.
Perguntas frequentes
O que é a diferença entre a ISO 31010 e a ISO 31000?
A ISO 31010 é uma norma de apoio à implementação da ISO 31000, que estabelece os princípios e diretrizes para a gestão de riscos. A ISO 31010 fornece orientações sobre a seleção e aplicação de técnicas para o processo de avaliação de riscos, que é uma das etapas do processo de gestão de riscos. A ISO 31010 não é uma norma certificável, mas sim uma norma de referência.
Como posso aprender mais sobre as técnicas para avaliação de riscos?
Você pode aprender mais sobre as técnicas para avaliação de riscos por meio de cursos, livros, artigos, vídeos e outros recursos disponíveis na internet. Um dos cursos mais completos e atualizados sobre a ISO 31010 é o curso Nova NBR IEC 31010:2021 - AVALIAÇÃO DE RISCOS - Seleção de Ferramentas e Técnicas de Risk Assessment, oferecido pelo site ISO 31000.net. O curso inclui um aplicativo exclusivo chamado Risk Selector 31010, que automaticamente seleciona e recomenda a técnica de avaliação de riscos mais indicada para cada caso, tendo por base a nova norma NBR IEC 31010:2021.
Como posso aplicar a ISO 31010 na minha organização?
Você pode aplicar a ISO 31010 na sua organização seguindo os passos abaixo:
Defina o propósito, o alcance, os limites e as responsabilidades da avaliação de riscos;
Estabeleça os critérios para avaliar a significância dos riscos;
Identifique todos os possíveis eventos ou circunstâncias que possam afetar os objetivos da sua organização;
Estime a probabilidade e o impacto dos riscos identificados;
Compare os níveis dos riscos com os critérios estabelecidos;
Defina e implemente as ações para modificar os níveis dos riscos;
Informe e envolva os stakeholders sobre os resultados da avaliação de riscos e as ações de tratamento dos riscos;
Acompanhe e avalie a eficácia do processo de avaliação de riscos e das ações de tratamento dos riscos;
Identifique e incorpore as mudanças internas e externas que possam afetar os riscos.
Para cada etapa do processo de avaliação de riscos, escolha e aplique as técnicas mais adequadas para cada caso, conforme as orientações da ISO 31010.
Quais são os desafios e limitações da ISO 31010?
Alguns dos desafios e limitações da ISO 31010 são:
A escolha da técnica mais adequada para cada caso depende de vários fatores, como o tipo e a complexidade do risco, o nível de detalhamento necessário, o tempo e os recursos disponíveis, a experiência e o conhecimento dos participantes, entre outros. Não há uma técnica única ou ideal para todas as situações;
A aplicação das técnicas requer um grau de julgamento profissional e subjetivo, que pode variar entre diferentes pessoas ou organizações. Não há uma forma única ou correta de interpretar ou comunicar os resultados da avaliação de riscos;
A disponibilidade e a qualidade dos dados podem afetar a precisão e a confiabilidade das técnicas. Nem sempre há dados suficientes ou confiáveis para estimar a probabilidade ou o impacto dos riscos;
A avaliação de riscos é um processo dinâmico e contínuo, que deve ser adaptado às mudanças internas e externas que possam afetar os riscos. Não há uma solução definitiva ou permanente para os riscos.
Como posso avaliar a qualidade e a eficácia da ISO 31010?
Você pode avaliar a qualidade e a eficácia da ISO 31010 por meio dos seguintes critérios:
A adequação das técnicas escolhidas para o processo de avaliação de riscos, considerando o contexto, os critérios e os objetivos específicos de cada situação;
A consistência e a coerência das técnicas aplicadas em cada etapa do processo de avaliação de riscos;
A clareza e a transparência dos resultados da avaliação de riscos e das ações de tratamento dos riscos;
A conformidade com os princípios e diretrizes da ISO 31000;
O alinhamento com as expectativas e necessidades dos stakeholders;
O impacto na melhoria do desempenho e da eficiência da organização na realização de seus objetivos.