|
Gestão de Riscos ANÁLISE DE RISCOS - UM PROCESSO SUBJETIVO Felix Redmill No dia-a-dia, tomamos decisões intuitivas sem atribuir conscientemente valores quantitativos ou qualitativos aos riscos envolvidos. Mas, nas organizações públicas e privadas e na aplicação de tecnologias modernas, as decisões precisam ser informadas com mais objetividade. Para tanto, utilizamos a análise de riscos. Geralmente, supomos que a análise de riscos é objetiva, e seus resultados – valores de riscos e decisões baseadas neles – corretos. Porém, todos os estágios do processo, incluindo as técnicas utilizadas, envolvem subjetividade. Sempre há incerteza, necessidade de julgamento e considerável espaço para parcialidade e inexatidão. Dificilmente os resultados obtidos por um analista de riscos serão obtidos por outros com as mesmas informações. Há também um impedimento natural para se chegar a valores “corretos”. O futuro está implícito no risco, o que não define um problema atual ou uma certeza futura, mas o potencial para perigos futuros. Por isso, um risco pode ser estimado e não medido, e seus valores não podem ser considerados corretos. O ILGRA (Interdepartmental Liaison Group on Risk Assessment), comitê de avaliação de riscos do Reino Unido, reconhece esse fato ao dizer que a avaliação de riscos é "uma ferramenta para fazer extrapolações a partir de dados estatísticos e científicos" até chegar a "um valor que seja aceito como estimativa do risco ligado a uma atividade ou evento em particular" [ref. 1]. Duas perguntas pertinentes seriam: A estimativa é uma aproximação suficientemente boa para o propósito em questão? Que nível de confiança se tem na estimativa?
Falando da determinação de riscos em sistemas tecnológicos, Lowrance [ref. 2] salienta que as estimativas de riscos, quer feitas por cientistas ou pessoas leigas, não podem escapar a ter elementos de subjetividade. Essas estimativas, segundo ele, penetram "na própria definição das perguntas, no projeto dos experimentos e só depois na ponderação da importância social do risco." Costuma-se alegar que o maior valor da análise de riscos não se encontra nos valores resultantes, mas no fato de o processo nos forçar a pensar com profundidade nos riscos e, assim, conhecê-los melhor. Wharton [ref. 3] adverte que "há uma abundância de falhas no tratamento de incertezas na gestão de riscos tecnológicos. As causas incluem: confiar excessivamente no conhecimento científico, subestimar a probabilidade ou as conseqüências de falhas, não admitir a possibilidade de erro humano e apresentar total irresponsabilidade em relação aos riscos potenciais para outros." Wharton continua dizendo: "E, ainda, evitar esses riscos adotando uma atitude demasiadamente conservadora em relação à inovação tecnológica pode significar a negação de possíveis benefícios para as partes interessadas, incluindo os funcionários e a sociedade." Na verdade, o êxito depende de aceitar os riscos, e essa é a razão da análise de riscos – precisamos conhecer os riscos para tomarmos decisões fundamentadas. Por isso, devemos reconhecer e admitir a subjetividade inerente à nossa análise e tomada de decisões. “Dificilmente os resultados obtidos por um analista de riscos serão obtidos por outros com as mesmas informações.” O objetivo deste artigo é mostrar a subjetividade no processo de análise de riscos. Não como uma crítica destrutiva, mas para discutir a análise de riscos e sua subjetividade como requisito para reflexão e julgamento. Não é uma mera aplicação de um conjunto de regras. Entretanto, nos casos em que a subjetividade é aleatória mas pode ser reduzida, ou nos casos em que um maior conhecimento dela pode melhorar a exatidão dos resultados, a exposição à subjetividade pode ser benéfica. Conhecendo sua própria subjetividade e o espaço para erros, o analista de riscos poderá julgar melhor suas hipóteses e avaliar com mais profundidade a confiança que deposita em seus resultados. Isso poderá também levar a um entendimento mais profundo dos processos e das próprias técnicas de análise de riscos. O Processo de Análise de
Riscos
O objetivo do primeiro estágio é identificar os perigos que possam resultar em brechas de segurança. O segundo é analisar os perigos identificados, estimar a freqüência e a gravidade de possíveis perigos e, assim, definir os riscos que eles acarretam. O terceiro estágio é avaliar os riscos em relação a critérios predefinidos, a fim de determinar sua tolerabilidade. Os termos “análise de riscos” e “avaliação de riscos” não possuem definições regulares. Diferentes autores usam ambos de forma diferente e, às vezes, como sinônimos ou alternadamente. Neste artigo, a "análise de riscos" se refere ao processo total, e a “avaliação de riscos ", ao seu estágio final. A análise de riscos é genérica, podendo ser aplicada a qualquer situação ou forma de tomada de decisão, desde a determinação da política e da estratégia, passando por todos os níveis de planejamento, até a tomada de decisão. A natureza da aplicação e o objetivo da análise influenciam o nível de formalidade, as técnicas usadas e a escolha entre uma abordagem quantitativa ou qualitativa. Por isso, é útil e importante definir um estágio de planejamento ou “definição do escopo” que anteceda os três estágios técnicos definidos acima. Definição do Escopo
Os termos de referência de um estudo colocam limitações quanto às fontes de informação disponíveis e ao local onde as informações podem ser procuradas. A forma como o estudo é conduzido (sejam quais forem os termos de referência) pode ter os mesmos efeitos. Por exemplo, se o público não é consultado, certas perspectivas e opiniões e talvez as principais fontes de oposição a uma proposta podem ser evitadas. Wynne [refs. 5, 6] relata como a consulta pública sobre a fábrica de produtos nucleares de Windscale, em 1977, estava propensa à evidência dos “especialistas” e como isso colocou os oponentes do projeto em desvantagem. Os limites físicos e lógicos do sistema a ser analisado, quer seja um sistema tangível ou uma política proposta, precisam ser definidos. Depois, deve-se identificar e analisar os riscos que possam estar relacionados a pessoas, propriedades ou ao ambiente externo. Os termos de referência também podem estabelecer um limite maior ao escopo da análise. Se o sistema é um estabelecimento industrial, como em muitos casos, e o estudo se limita aos riscos presentes dentro da fábrica, então, por definição, todos os riscos que afetem o público são desconsiderados. Da mesma forma, a análise de riscos pode se limitar a um tipo de risco – como riscos financeiros, por exemplo, que são de interesse da direção – e excluir outros tipos como, por exemplo, os riscos de segurança, que são de maior preocupação do público. Por mais precisos que sejam os aspectos técnicos de uma análise de riscos, os resultados são determinados ou distorcidos pela definição dos termos de referência, pela exclusão de certos tipos de evidência, pela definição dos limites do sistema e do estudo e, no geral, pelo planejamento estratégico da análise em si. As decisões a serem tomadas no quarto estágio (avaliação de riscos) da análise com relação à tolerabilidade de riscos também são influenciadas pelo primeiro estágio subjetivo, pois os critérios que serão usados nessas decisões devem ser definidos aí. Deve-se identificar os responsáveis pelas decisões, definir o processo de tomada de decisões e estabelecer seus mecanismos. Caso estejam envolvidos políticos, o público ou outros leigos, deve-se fazer planos para definir quais informações serão comunicadas a eles e como e quando isso será feito. Não podemos evitar a subjetividade. Identificação de Perigos
Há várias técnicas para a identificação de perigos, e todas dependem de observação, julgamento e criatividade humana. Assim como são atributos essenciais de um bom estudo, também apresentam subjetividade e, portanto, possibilidade de parcialidade. Um meio rudimentar de identificação de perigos consiste simplesmente em ponderar as circunstâncias. Esse método pode servir em situações de baixo risco. Mas na área de segurança industrial e ambiental, onde os riscos são altos e onde se espera demonstração de profissionalismo – tanto no campo pertinente como na identificação de perigos –, várias técnicas têm sido desenvolvidas. Em certas situações ou sistemas mais conhecidos, pode ser adequada uma lista de verificação. Por exemplo: no Reino Unido, a verificação anual de segurança veicular feita pelo Ministério dos Transportes consiste em testar, com base em critérios predefinidos, uma lista de componentes que possam ser perigosos em condições ruins. Contudo, a adequação da lista de verificação depende de um conhecimento total do que pode dar errado. Sem uma vasta experiência passada e um histórico documentado de falhas e perigos, a lista de verificação não terá uma base sólida. Além disso, sua adequação depende também de que as circunstâncias de uso sejam as mesmas nas quais foi criada; se forem diferentes, a lista de verificação poderá estar desatualizada ou ser inaplicável, resultando em perigoso engano. Mesmo sendo adequada, a lista de verificação deve ser analisada periodicamente. (A lista de verificação do Ministério dos Transportes do Reino Unido já foi atualizada várias vezes.) Em sistemas que não sejam tão conhecidos (talvez porque só agora estejam sendo planejados ou projetados), são necessárias técnicas que empreguem a criatividade da investigação humana. O brainstorming é utilizado às vezes, mas, embora seja um método criativo, geralmente possui pouca formalidade no processo. As informações para a identificação de perigos também podem ser resultado de auditorias e entrevistas formais ou informais com o pessoal, sendo que todos esses métodos dependem de habilidades humanas, atitudes e meticulosidade. O método mais poderoso utilizado atualmente é o HAZOP (estudo de perigos e operabilidade), primeiramente desenvolvido no setor químico e posteriormente estendido até a área de sistemas de informação [refs. 7, 8]. Reconhecendo o fato de que dificilmente algum indivíduo pode identificar todos os perigos possíveis, essa técnica exige a representação de vários pontos de vista. Não apenas uma equipe é essencial, mas o planejamento do estudo, a liderança da equipe e a formalidade do processo também são cruciais para a eficiência e a eficácia da identificação de perigos. Porém, ironicamente, as características essenciais para o sucesso também podem ser a semente do fracasso. Um estudo HAZOP pode ser demorado (em alguns casos pode levar várias semanas) e caro. Por isso, é natural que se procure reduzir custos. O planejamento de uma quantidade apropriada de reuniões para o estudo, a inclusão de membros especialistas na equipe (em vez de uma equipe que por acaso esteja disponível) e a nomeação de um líder de equipe treinado e competente dependem todos do discernimento da direção. Se esses ou outros parâmetros do estudo estiverem comprometidos, os resultados inevitáveis serão um estudo conduzido de forma ineficiente e uma identificação de perigos ineficaz. Além disso, é bem provável que a direção considere o baixo retorno do estudo como justificativa para sua própria economia, e não como resultado de sua decisão. Pensando dessa forma, a direção esquece o fato de que a identificação de perigos é o alicerce de toda a análise de riscos e da segurança. Os perigos não identificados não são analisados ou mitigados; portanto, a economia nesse estágio do processo só deve ser feita à luz de uma clara compreensão, devendo ser sempre justificada. Um outro fator prejudicial para a maximização da identificação de perigos é a tendência humana de considerar os problemas como únicos, quando, na verdade, são exemplos de uma classe mais ampla [ref. 9]. É comum adotarmos a perspectiva “interna” em vez da “externa”. Adotando essa última, seríamos levados a fazer perguntas como: “O que aconteceu da última vez que fizemos algo assim?” e “Alguém já fez algo assim e, se sim, o que aconteceu?”. Adotando a perspectiva interna, deixamos de considerar ou mesmo reconhecer informações relevantes. Negligenciamos lições que deveriam ser aprendidas e uma experiência à qual poderíamos recorrer. Podemos confiar excessivamente em nossos planos (ex.: projeto de sistema), enfatizar demais nossas virtudes e esquecer nossos pontos francos. “É comum adotarmos a perspectiva ‘interna’ em vez da ‘externa’.” Um forma de neutralizar a perspectiva interna é engajar uma equipe e não um indivíduo na identificação de perigos. Contudo, a equipe deve ser cuidadosamente escolhida [ref. 8]. Os membros devem ter experiências, responsabilidades e perspectivas diferentes, pois precisam complementar-se uns aos outros. Cuidado com o “pensamento coletivo” de indivíduos com experiências e visões semelhantes [ref. 10], pois, ironicamente, fortalece a convicção de que sua perspectiva interna coletiva é boa e correta. Uma outra técnica muito usada na identificação de perigos é a FMEA, geralmente chamada de “análise de modos de falha e efeitos”. Essa técnica busca perigos examinando os efeitos da falha de cada componente de um sistema. Como a necessidade de se utilizar uma equipe não é muito enfatizada, normalmente uma única pessoa realiza a análise. Contudo, um indivíduo não dispõe dos vários pontos de vista necessários para a identificação de perigos, está sujeito à perspectiva interna, tem a tendência de ser muito confiante e dificilmente é capaz de realizar uma investigação meticulosa. Além disso, a FMEA tem grande probabilidade de deixar escapar perigos que resultem das interações de componentes, em vez da falha dos componentes em si; e esses perigos são freqüentes nos complexos sistemas modernos, principalmente aqueles controlados por programas de computador. Em suma, a identificação de perigos depende da escolha subjetiva de técnicas, e cada técnica não apenas carrega em si a propensão para o erro como também se baseia no julgamento. Se é necessário reduzir os efeitos adversos da subjetividade, deve-se determinar no estágio de definição doe escopo quais são as técnicas mais apropriadas, dada a natureza do sistema a ser estudado. Assim, no planejamento do estudo, deve-se considerar a neutralização da subjetividade. A amplitude e os tipos de perigos até mesmo em pequenas empresas ou projetos podem ser tão grandes que um único método de identificação dificilmente abrangerá todos eles. Por isso, uma combinação de métodos tem mais chance de ter êxito. Quer o assunto da análise de riscos seja uma política de alto nível ou um sistema industrial, a identificação de perigos jamais poderá ser considerada concluída. Lowrance [ref. 2] fez a seguinte observação: “Nós simplesmente cometemos o pecado do orgulho quando nos achamos tão espertos a ponto de antecipar absolutamente todas as possibilidades de falha.” Na verdade, a busca de perigos jamais deveria cessar. Deve-se manter um registro de perigos durante toda a vida dos sistemas operacionais e projetos relacionados com a segurança, e exibir continuamente o feedback de auditorias e entrevistas como indicativo de perigos. Além disso, os estudos formais de identificação de perigos devem ser realizados em vários estágios da vida do sistema [ref. 8], principalmente quando prevalecem novas circunstâncias e novas informações para serem consideradas. Decisões subjetivas sobre o momento de realizar a identificação de perigos podem ter uma forte influência nos resultados das análises de riscos e da segurança. Na verdade, uma das maiores fontes de erro na análise de riscos é não identificar perigos ou as formas como ocorrem. Conforme salienta Kletz [ref. 11], todo esforço maior é gasto na tentativa de melhorar a exatidão das estimativas de probabilidades e conseqüências dos perigos identificados, enquanto, em muito casos, até mesmo os perigos maiores permanecem invisíveis. Análise de Perigos Avaliação de Riscos A tolerabilidade depende de como é considerado o risco. A opinião sobre um risco difere bastante de pessoa para pessoa, podendo a razão ser psicológica, social ou cultural. Slovic, Fischhoff and Lichtenstein [ref. 12] concluem que a opinião é uma função de muitas variáveis. Por exemplo: O risco é assumido voluntariamente? Quem tem controle sobre ele? Ele apresenta grandes conseqüências? Wynne [ref. 5] mostra a relação entre a confiança nas variáveis e a responsabilidade de gerenciar os riscos. Quando as decisões quanto à tolerabilidade dos riscos estão baseadas apenas na probabilidade e nas conseqüências e são impostas ao público, geralmente causam ressentimento e oposição. A ampla questão da avaliação de riscos é obviamente o estágio mais subjetivo da análise de riscos, porém o espaço aqui não nos permite ir além. O Papel da Subjetividade O processo de análise de riscos envolve o julgamento subjetivo em todos os estágios. Não é um processo exato e objetivo, mas sim uma ferramenta para se chegar a valores aproximados e auxiliar a tomada de decisões. Como toda ferramenta, deve ser usada dentro de suas limitações, com a compreensão de suas hipóteses de trabalho. Não deve ser considerada um fim em si mesma, e seus resultados não devem ser a única base para a tomada de decisões. São necessários julgamentos, não apenas para realizar a análise de riscos, mas também para utilizar seus resultados – os quais seria errado considerá-los definitivos. Mas mesmo as estimativas aproximadas podem ser de valor considerável, contanto que reconheçamos que os números são estimativos – e o fato de ter que focalizar os riscos é recompensado com um maior conhecimento deles. “Comparar os riscos com os benefícios é uma tarefa extremamente subjetiva, pois o que é benefício para uma pessoa é anátema para outra, assim como um risco intolerável pode ser bem aceito por uma outra.” Certos riscos – por exemplo, os riscos provocados por organismos geneticamente modificados – carregam enorme incerteza como, por exemplo, de que os valores numéricos usados para probabilidades e conseqüências são, na maior parte, especulativos. Nesses casos, a tentativa de realizar análises quantitativas de perigos é, na melhor das hipóteses, otimista, podendo resultar em engano, pois os números são geralmente confundidos com exatidão. Porém, a maioria dos riscos sujeitos a análise estão relacionados à operação de equipamentos, aos perigos envolvidos no processo e à segurança de produtos. Esses, na maioria dos casos, são mais conhecidos. Isso não significa que não carreguem incertezas ou que estejam imunes à subjetividade. Porém, sua análise, seja quantitativa ou qualitativa, é em geral eficaz, no sentido de resultar na redução dos riscos. Evidência disso está em um vasto número de estabelecimentos industriais em operação e nos produtos no mercado, que o público não considera como uma questão de risco. Embora possa ser subjetiva, a análise é uma ferramenta valiosa, e as normas de segurança modernas exigem que ela seja realizada. Na verdade, as leis do Reino Unido exigem que a maioria das empresas produzam análises de riscos documentadas. Mas isso pode melhorar. A subjetividade identificada acima é uma vulnerabilidade, mas também é um dos pontos fortes principais do processo. A identificação e análise de perigos e a tomada de decisões relacionadas com riscos exigem raciocínio e investigação. Se o processo fosse automatizado, não se beneficiaria da capacidade humana de investigar e identificar a situação como ela é. Porém, investigação humana significa que sempre haverá a possibilidade de erro ou avaliação equivocada. Por isso, é importante que o analista de riscos conheça e permita as influências subjetivas do processo. Isso deve ser abordado em treinamentos e no planejamento e gerenciamento dos processos de análise de riscos. Referências 1.UK-ILGRA. United Kingdom Interdepartmental Liaison Group on Risk Assessment, Use of Risk Assessment within Government Departments, 1996. 2.Lowrance, W.W. "The Nature of Risk. In Societal Risk Assessment - How Safe is Safe Enough? R.C. Schwing and W.A. Albers, Jr., eds. New York: Plenum Press, 1980. 3.Wharton, F. "Risk Management: Basic Concepts and General Principles." In Risk Analysis, Assessment and Management. J. Ansell and F. Wharton, eds. Chichester, U.K.: John Wiley & Sons, 1992. 4.Kasper, R.G. "Perceptions of Risk and their Effects on Decision Making." In Societal Risk Assessment - How Safe is Safe Enough? R.C. Schwing and W.A. Albers, Jr., eds. New York: Plenum Press, 1980. 5.Wynne, B. "Technology, Risk, and Participation: On the Social Treatment of Uncertainty." In Society, Technology, and Risk. J. Conrad, ed. New York: Academic Press, 1980. 6.Wynne, B. Rationality and Ritual: The Windscale Inquiry and Nuclear Decisions in Britain. Chalfont St Giles: British Society for the History of Science, 1982. 7.Interim Defence Standard 00-58: HAZOP Studies on Systems Containing Programmable Electronics. Ministry of Defence, Glasgow, U.K., 1996. 8.Redmill, F., M. Chudleigh and J. Catmur. System Safety: HAZOP and System HAZOP. Chichester, U.K.: John Wiley & Sons, 1999. 9.Kahneman, D. and D. Lovallo, "Timid Choices and Bold Forecasts: A Cognitive Perspective on Risk Taking." Management Science, 39, 17-31, 1993. 10.Janis, I.L. Victims of Groupthink. Second Edition. Boston: Houghton-Mifflin, 1982. 11.Kletz, T. HAZOP and HAZAN. Fourth edition, Institution of Chemical Engineers, 1999. 12.Slovic, P., B. Fischhoff and S. Lichtenstein. "Characterising Perceived Risk." In Perilous Progress: Managing the Hazards of Technology. R.W. Kates, C. Hohenemser and J.X. Kasperson, eds. Boulder: Westview Press, 1985.
Tradução:Marily Sales dos Reis. |
