Auditora Líder ISO 9001:2015, ISO 22000:2018 e ISO 31000:2016. Redatora do Blog da Qualidade e Especialista de Comunicação no Qualiex! Eu ajudo profissionais a resolverem problemas de qualidade por meio de tecnologia e acredito que esse é o primeiro passo para uma vida de Excelência. Gosto de rock, desenho animado e vejo qualidade e excelência em tudo isso. Não me leve tão a sério no Twitter, mas se preferir, você também pode me encontrar no Facebook e Linkedin.
Já faz algum tempo que tenho falado sobre gerenciamento e análise de riscos por aqui, mas neste texto, quero trazer uma abordagem mais prática sobre como analisar riscos e como isso fica mais consistente ao utilizar o Forlogic Risks, a ferramenta que eu utilizo para gerenciar riscos.
Antes de entrar na ferramenta propriamente dita, vamos falar um pouco sobre a análise de riscos. Então, mesmo que você ainda não esteja pensando em automatização por meio de um software para qualidade, esse post vai te trazer algumas dicas valiosas! Vamos lá?
Análise de riscos e a ISO 31000:2018
De acordo com a ISO 31000:2018 (norma de diretrizes para Gestão de Riscos), a análise de riscos está, graficamente, no centro do processo de gestão de riscos. É possível ver isso no diagrama disposto na própria ISO 31000:
Seguindo a ordem, isso quer dizer que somente depois de definir escopo, entender o contexto e identificar os riscos é que poderemos fazer a análise de riscos.
Para começar bem, vamos entender do que se trata a análise de riscos.
O que é análise de riscos?
De acordo com a – Técnicas para processo de avaliação de riscos, item 5.3.1:
A análise de riscos consiste na determinação das consequências e suas probabilidades para eventos identificados de risco, levando em consideração a presença (ou não) e a eficácia de quaisquer controles existentes. As consequências e suas probabilidades são então combinadas para determinar um nível de risco.
Isso significa que é na análise de riscos que a gente determina a probabilidade e o impacto do risco. Para fazer essa definição e garantir a padronização desta análise, você provavelmente deve ter feito alguma tabela de referência (ou coisa assim) no seu processo.
Eu vou usar uma que está no eBook que eu escrevi sobre “Como montar do zero um processo de gestão de riscos” que você pode baixar clicando aqui.
Sendo assim, os critérios para probabilidade que usaremos aqui são:
E os critérios para impacto serão:
Como fazer análise de riscos?
É prudente que os analistas de risco sejam pessoas que conhecem o processo e também pessoas que sabem os impactos daquele processo. Aqui, vamos considerar que estamos analisando os riscos de um “Projeto de implantação da ISO 9001:2015” e vamos analisar o risco de “Tratativa de não conformidade ineficaz”.
Logo de cara, vou te dar uma dica: você tem não conformidades que foram tratadas, analisadas, padronizadas, fechadas, mas voltaram a acontecer? Pois é, está na hora de analisar este risco por aí! Talvez, a gente aprofunde esse assunto em outro post, neste texto, só quero que você traga isso para atenção. “Olha uma promessa aí!” como diríamos no Qualicast.
Analisando a probabilidade do risco
Falar sobre probabilidade é falar sobre possibilidade de ocorrência ou frequência. Então levamos em conta questões como: “Qual a possibilidade disso acontecer?” ou “Isso já aconteceu antes?” A pessoa indicada para fazer essa análise é quem está mais perto do processo, pois ela conhecerá as vulnerabilidades e até a frequência que isso ocorreu ou poderá ocorrer.
Vale lembrar que esta análise de probabilidade deve ser feita com base estatística. O máximo possível! Infelizmente, nem sempre conseguimos. Essa falta de dados e de “competência estatística” ocorre muito quando se trata de um projeto ou processo novo, por exemplo, ou até algo que não estava na nossa atenção. Mas sempre que possível, embase essa análise em fatos, dados e evidências.
Aqui no exemplo de análise deste texto, estou imaginando o cenário onde o risco já aconteceu 3 ou 4 vezes no ano. Um valor apropriado, considerando o que acontece com a tabela de probabilidade que eu defini, a probabilidade de incidência do risco é de 50% (moderado), ou seja, ocorre mais de 1 vez por ano e menos que uma vez por mês.
Repito: em um caso real, é importante que sejam levantados dados e evidências para que sejam considerados de fato, ou seja, o mais próximo da realidade possível. Quando mais hipotética for sua análise, mais hipotética serão suas ações. O problema que isso gera é pessoas trabalhando em atividades que não agregam valor para organização, ou seja, desperdícios e prejuízos.
Analisando o impacto do risco
O impacto vai considerar qual é o “estrago” que vai ser gerado se o risco incidir (acontecer). Está relacionado às consequências do risco e a melhor pessoa para dizer que consequências são essas são os clientes, donos ou interessados no processo. Precisamos aqui de pessoas que tenham uma visão mais sistêmica sobre os riscos. Neste caso, os líderes da sua organização, a alta direção ou outras partes interessadas, teriam boas percepções sobre os impactos do risco.
“Mas Monise, isso significa que quem analisa a probabilidade não é a mesma pessoa que analisa o impacto?”
Olha, não é uma regra. Mas estou indicando aqui como boa prática para tirar as distorções por percepção pessoal, onde ao analisar o impacto, a pessoa se influencia pelo valor da probabilidade. Ação para diminuir a probabilidade é uma coisa, para diminuir impacto é outra totalmente diferente, então é importante ter uma visão bem consistente tanto de um quanto outro.
Pensando no risco que estamos analisando no artigo, a pergunta que devemos responder é: “QUANDO o processo de tratativa de não conformidades for ineficaz, qual impacto isso vai gerar na empresa?”
E aqui tem uma dica muito importante: ao analisar o processo/risco com as pessoas, ao invés de usar frases como “SE o processo…” é melhor basear a análise usando frase iniciadas como um tempo, ou seja, “QUANDO o processo…”. Isso fará as pessoas se imaginarem na situação com mais facilidade, criando nelas a impressão de que isso realmente vai acontecer e de que precisamos agir para nos preparar para isso. Desta forma, elas a farão contribuições mais assertivas.
Veja bem, estou buscando aqui te dizer boas práticas do processo para driblar as miragens humanas das análises. Isso vai ajudar muito a conduzir esse processo!
Voltando para a análise de impacto do nosso risco, poderíamos listar uma série de impactos em relação a esse risco, mas vou me ater ao que considero principal: o alto custo. Digo isso pensando o tempo gasto na tratativa, a quantidade de pessoas envolvidas e os investimentos em decorrência das ações propostas.
Dessa forma, os danos são até reversíveis, mas com custos altos. E estou falando isso imaginando que somos uma indústria ou empresa de serviços, por exemplo. Se o caso estiver relacionado a uma organização da área da saúde, o papo é outro! Afinal, alguns danos relacionados a tratativas ineficazes de não conformidades podem custar a vida de um paciente!
Assim, concretizando nossa análise de acordo com a nossa tabela de impacto, vamos classificá-lo como ALTO: Os riscos possuem danos reversíveis em curto e médio prazo, porém com custos altos.
Definindo a estratégia para tratar riscos
Pronto, já analisamos este risco e sabemos que ele tem uma probabilidade alta e um impacto alto. A partir destes dados, vamos definir que estratégia vamos abordar para dar uma “resposta” a esse risco. Agora que sabemos que ele tem uma criticidade alta, o que vamos fazer com ele?
A partir disso, temos algumas estratégias comuns que podemos adotar para um risco que é ameaça: eliminar, mitigar, compartilhar e aceitar. Eu já comentei sobre elas aqui no blog e também explorei com mais detalhes no eBook que citei acima.
Do ponto de vista prático, este é um processo no qual a gente não vai conseguir ELIMINAR do sistema de gestão, até porque ele é quase o coração de um SGQ. Também não dá para COMPARTILHAR, até porque é um processo que demanda conhecimento da empresa, então, contratar um terceiro não parece ser tão inteligente assim. ACEITAR não é uma opção, pois, um problema destes no processo de tratativa de NC é assumir um sistema de gestão falho, ineficaz. É quase assumir que o sistema de gestão não funciona.
O que nos resta é “MITIGAR”. Isso porque precisamos melhorar o processo a ponto de garantir que a tratativa seja eficaz. Este é um requisito da ISO 9001:2015, 10.2 Não conformidade e ação corretiva.
Considerando isso, vamos formalizar a análise que fizemos, quais dados consideramos para chegar nesse resultado. O texto pode ser algo como:
“A probabilidade foi considerada 50% por conta das não conformidades 001, 002 e 003 que após fechadas a tratativa, voltaram a acontecer conforme registramos nas não conformidades 004, 007 e 008 no período de 1 ano. A análise de impacto foi feita na análise crítica com a Alta Direção, onde entendemos os custos e prejuízos gerados pela tratativa ineficaz da não conformidade 002 e 003. A estratégia de MITIGAR é necessária para garantirmos que a ISO 9001:2015 seja implantada. ”
Registrando sua análise no Forlogic Risks
O Forlogic Risks tem uma maneira prática de documentar a análise de risco, inclusive, garantindo que você tenha um histórico confiável de análises e incidências daquela ameaça. Nele, você consegue guardar todas as informações de maneira simples e organizada, possibilitando que outros colaboradores possam fazer a análise com a mesma qualidade de informação.
Para fazer isso, é só preencher os dados e gravar conforme o exemplo abaixo:
O Forlogic Risks tem integração com as soluções para planos de ação e não conformidades, garantindo que sua análise fique centralizada com todas as informações necessárias. Portanto, sempre que fizer uma análise, você conseguirá vincular com um plano de ação que você vai executar para garantir a redução dos impactos indesejáveis.
Da mesma forma, quando o risco ocorrer, você conseguirá registrar a incidência do risco vinculando com uma não conformidade. Assim você irá garantir que sua análise não será apenas para “cumprir o processo”, mas vai gerar melhoria nos processos da sua organização.
Risco analisado, priorizado e seguro
Pronto, o risco agora está analisado, está no lugar apropriado, tem tudo o que precisa para ser priorizado, tratado e disseminado entre as pessoas da organização.
O que eu mais gosto do Qualiex é sua simplicidade, isso faz com que qualquer pessoa consiga tratar um risco, ajudando assim a Mentalidade de Risco ser estabelecida na organização por meio de um processo formal e que agrega valor para empresa. E eu nem falei sobre as customizações possíveis, você consegue dar o nome que quiser para a probabilidade, impacto e suas variáveis.
Não sabe se essa solução é para você? Não tem problema. Nossos especialistas estarão à disposição para fazer um diagnóstico do seu sistema de gestão e analisar se o Forlogic Risks atende às suas necessidades de um jeito bem prático e seguro. Então preencha o formulário abaixo e o pessoal entrará em contato com você:
Vale a pena reservar um tempinho para otimizar e melhorar seu processo de gestão de riscos. Não é apenas você (ou seu colaborador) que ganha tempo, mas sim a sua empresa que se torna mais profissional e mais proativa aos problemas que virão a acontecer!
2 comentários em “Como fazer análise de riscos com o Forlogic Risks”
Boa tarde,
Ótimo post. mas gostaria de saber se você tem algum post sobre a metodologia como identificar e analisar oportunidades (definir frequência e impacto da oportunidade. Obrigado e abraço.
Pingback: Análise de riscos como diferencial competitivo