Processo e metodologia da gestão de riscos

De acordo com a BSI PAS 55-1 (2008), a gestão de riscos é parte integrante de todos os processos de gestão de ativos. No entanto, há uma necessidade específica de se dispor de processos para identificar e controlar riscos, ligados a mecanismos de controlo para monitorizar, mitigar ou registar. É uma exigência legal em que a segurança dos colaboradores, de terceiros e do público em geral, é gerida de acordo com uma norma adequada. A organização deve estabelecer, implementar e manter um processo documentado e/ou procedimentos para a constante identificação e avaliação dos riscos relacionados com a gestão do património, bem como a identificação e implementação de medidas de controlo que são necessárias ao longo do ciclo de vida dos seus ativos. O principal objetivo da gestão de riscos é o de compreender a causa, o efeito e a dos eventos adversos que podem ocorrer, e também para gerir da melhor forma os riscos para um nível aceitável, conseguido do seguinte modo:

- Identificar os potenciais riscos associados aos ativos, e estimar os níveis de risco associados, com base no controlo de riscos existentes ou propostas;

- Determinar se esses riscos são toleráveis;

- Determinar a necessidade de uma análise mais aprofundada, verificar se os riscos são ou não são toleráveis.

Segundo a BSI PAS 55-1 (2008), a metodologia da organização para a gestão de riscos deve:

- Ser proporcional ao nível de risco em causa;

- Ser definida relativamente ao seu âmbito, natureza e assegurar que ela seja proactiva em vez de reativa;

- Incluir, se necessário, a variação da avaliação de riscos ou a forma como esta pode variar ao longo do tempo e da utilização;

58 - Prever a classificação de riscos e a identificação autorizada desses riscos, que devem ser evitados, eliminados ou controlados por objetivos e planos de gestão de ativos; - Ser consistente com a experiência operacional da organização e da capacidade das medidas de controlo de risco empregues;

- Dispor sobre o acompanhamento das ações necessárias para garantir a eficácia e a oportunidade da sua execução.

De acordo com a BSI PAS 55-1/2 (2008), a identificação e avaliação dos riscos deve ter em conta a probabilidade de eventos credíveis e das suas consequências, que devem incluir, no mínimo:

- Os riscos de falhas físicas, tais como falha funcional, dano por incidente, danos maliciosos ou ação terrorista;

- Riscos operacionais, incluindo o controlo do ativo, fatores humanos e todas as outras atividades que afetam o seu desempenho, condição ou segurança;

- Eventos naturais ambientais (tempestade, inundações, etc., incluindo os efeitos prováveis das alterações climáticas);

- Fatores fora do controle da organização, tais como falhas de material e de serviços fornecidos externamente;

- Riscos das partes interessadas, tais como insuficiência para atender aos requisitos de desempenho de regulação ou de riscos para a reputação da organização;

- Riscos associados às diferentes fases do ciclo de vida de ativos.

O risco é definido, conforme documento normativo DNP - Documento Normativo Português ISO Guide 73:2009, como o produto da probabilidade de ocorrência de uma falha pela consequência desse acontecimento indesejável. Segundo a BSI PAS 55-2 (2008), a identificação dos riscos e das necessidades de avaliação, levam à consideração de ambos estes dois fatores. A complexidade de modelagem do risco e do controlo devem ser proporcionais à natureza e magnitude dos riscos a serem geridos. É importante que a avaliação de riscos seja aplicada de forma coerente e consistente em toda a organização. Desejavelmente, a avaliação de riscos deve basear-se numa abordagem e metodologia com uma escala comum calibrada para a sua quantificação. Ainda segundo esta especificação, existem diferentes setores de atividades técnicas para identificar, quantificar e gerir riscos patrimoniais, com diferentes níveis de complexidade.

59

Identificação de riscos (BSI PAS 55-2, 2008):

- Analise SWOT - Strengths, Weaknesses, Opportunities and Threats (forças, fraquezas, oportunidades e ameaças);

- Análise HAZOP - Hazard and Operability Study (Riscos e Estudos de Operação); - Análise BPEST – Business, political, economic, social and technological analysis (Negócio, político, económico, social e tecnológico);

- PESTLE - Political, Economic, Sociological, Technological, Legal, Environmental (político, económico, social, técnico, jurídico, ambiental);

- Workshops para análise de riscos; - Indústria de benchmarking; - Investigação de incidentes; - Auditoria e inspeção.

Análise do risco (BSI PAS 55-2, 2008):

- Análise de ameaças;

- Análise do Modo de Efeito de Falhas (FMEA - Failure Mode and Effects Analysis); - Análise da Criticidade e Modo de Efeito de Falhas (FMECA - Failure Modes, Effects and Criticality Analysis);

- Análise da Causa Raiz (RCA - Root Cause Analysis); - Análise da Árvore de Eventos (ETA - Event Tree Analysis); - Análise da Árvore de Falhas (FTA - Fault Tree Analysis);

- Declínio, dependência ou modelagem do desempenho do sistema.

Seleção dos Controlos (BSI PAS 55-2, 2008):

- Manutenção Centrada na Fiabilidade (RCM - Reliability-centered Maintenance); - Inspeção Baseada no Risco (RBI - Risk-based inspection);

- Instrumento Função de Proteção (IPF - Instrument Protective Function).

De acordo com a BSI PAS 55-2 (2008), estas listas não são exaustivas, pelo que as organizações devem considerar a adoção de combinações de técnicas, como adequadas às situações críticas de ativos e diversidade de tipos de risco. Além destes métodos e técnicas, há uma variedade de ferramentas de apoio à decisão. Em particular, há uma série de

60 metodologias de fiabilidade e baseadas no risco para determinar as estratégias de inspeção e manutenção adequadas, otimização de custos e riscos de tais estratégias.

As organizações devem ter em consideração as suas necessidades individuais, incluindo a natureza e escala dos seus negócios, a disponibilidade de informações e execução prática para a adoção dos métodos e técnicas apropriadas. Algumas técnicas exigem formação significativa e compromisso contínuo de recursos, por forma a serem implementados de forma eficaz.

Etapas do processo de gestão de riscos

Os requisitos da metodologia da BSI PAS 55-1 (2008), foram, em grande medida, garantidos passo a passo, e adotada uma abordagem sistemática para a gestão de riscos dos ativos, do seguinte modo:

- Classificar os ativos e definir o âmbito da gestão de riscos: preparar uma lista de sistemas ativos e seus ativos que o compõem, recolher informação, incluindo as atividades de gestão e controlo que afetam o desempenho dos ativos; definir o alcance e os limites das avaliações de risco de ativos individuais;

- Identificar os riscos credíveis: criar uma tabela de eventos potenciais e suas causas; - Identificar os controlos de risco existentes (ou estão propostos para ativos e atividades planeadas);

- Determinar o nível de risco: estimar a probabilidade e as consequências para cada evento com potencial, assumindo que os controlos planeados ou já existentes estão adequados. A eficácia de quaisquer controlos de risco existentes, e a probabilidade e consequências da sua falha, também devem ser considerados;

- Determinar a tolerabilidade dos riscos: decidir se o planeamento (se houver) é suficiente para manter os riscos controlados e a cumprir todas as exigências legais, estatutárias e outras de gestão de ativos.

Portanto, a gestão de riscos dos ativos físicos deve incluir a possibilidade de riscos em todo o ciclo de vida do ativo. Por exemplo, o processo associado ao projeto deve incluir a identificação e gestão de riscos para toda a vida do ativo, tendo em conta as condições de funcionamento e a criticidade da utilização de ativos (BSI PAS 55-2, 2008).

61

A criticidade dos ativos

De acordo com a BSI PAS 55-2 (2008), o conceito de criticidade do ativo é uma manifestação particular da gestão de riscos - este é o reconhecimento de que os ativos e os sistemas ativos têm diferentes importâncias (valor), ou representam diferentes vulnerabilidades para a organização. A criticidade geralmente inclui, mas não se limita, a riscos de falha ou ausência de desempenho. A criticidade também pode considerar o valor do capital ativo, o desempenho ou a eficiência, a flexibilidade, e outras características que refletem os objetivos e valores da organização. As características dos ativos correspondentes devem ser avaliadas e ponderadas ou escaladas, de forma consistente, para determinar a importância dos ativos para fins de prioridade na gestão dos mesmos. Alguns ativos de baixo valor material, ou contribuição empresarial indireta, ainda podem ter o potencial de causar grande impacto em caso de falha (por exemplo, válvulas de segurança de alívio). Devem ser tomados alguns cuidados na definição e determinação da criticidade dos ativos que inclui elementos de risco. Algumas organizações referem-se a criticidade apenas em termos das potenciais consequências de falha dos ativos ou dos sistemas ativos; estes podem ser adequados para dar prioridade a reparações ou ações corretivas devido a falhas que já ocorreram, mas os verdadeiros riscos devem ser normalmente utilizados dentro de situações críticas dos ativos, para efeitos da gestão do planeamento dos ativos (e gestão de riscos). Em alguns casos, os riscos representam uma probabilidade muito baixa, de eventos com grandes consequências (como os principais riscos de segurança). Para esses casos deve ser considerado um grau de "desproporcionalidade" para aumentar artificialmente a criticidade, em reconhecimento das maiores incertezas associadas a essas estimativas de risco.