ISO 31010 Gesto de Riscos - Tcnicas para o Processo Da Avaliao

NORMA ABNT NBR
BRASILEIRA ISO/IEC
31010
Primeira edio
04,04,2012
Vlida a partir de
04,05.2012
Gesto de riscos - Tcnicas para o processo

de avaliao de riscos
Risk management - Risk assessment techniques
C)
.>
O;;) ICS 03.100.01 ISBN 978-85-07-03360-8
:1
''-.'t. BRASilEIRA
ASSOClAAo Nmero de referncia
ABNT NBR ISO!IEC 31010:2012
DE NORMAS
. TCNICAS 96 pginas
><
LU
@ ISO/IEC 2009 - @ABNT 2012
lir:presso por Dretora de Gesto Irlternn

ABNT NBR ISO/lEC 31010:2012
.
z
@ ISOflEC 2009
Todos os direitos reservados. A menos que especificado de outro modo. nenhuma parte desta publicao pode ser
reproduzida ou utilizada por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por
escrito da ABNT, nico representante da ISO no territrio brasileiro.
@ABNT2012
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicao pode ser
reproduzida ou utilizada por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por
escrito da ABNT.
ABNT
AV.Treze de Maio. 13 - 28 andar
20031-901 - Rio de Janeiro - RJ
TeL: + 55 21 3974-2300
Fax: + 55 21 3974-2346
abnt@abnt.org.br
o www.abnt.org.br
</l
:::>
ii @ ISO/IEC 2009. (; ABNT 2012. Todos os direitos reservados
. Dretona de Interna
ABNT NBR ISOIIEC 31010:2012
Sumrio Pgina
Prefcio Nacional iv
Introduo , vi
1 Escopo 1
2 Referncias normativas 1
3 Termos e defin ies 1
4 Conceitos do processo de avaliao de riscos 1
4.1 Final idade e benefcios 1
4.2 Processo de avaliao de riscos e estrutura da gesto de riscos 2
4.3 Processo de avaliao de riscos e o processo de gesto de riscos 3
4.3.1 Generalidades , 3
4.3.2 Comun icao e consulta 3
4.3.3 Estabeleci mento do contexto 3
4.3.4 Processo de avaliao de riscos 5
4.3.5 Tratamento de riscos 6
4.3.6 Mon itoramento e anl ise crtica 6
5 Processo de avaliao de riscos 6
5.1 Viso geral 6
5.2 Identificao de riscos 7
5.3 Anlise de riscos 8
5.3.1 Generalidades 8
5.3.2 Ava I iao dos controles 9
5.3.3 Anlise de consequncias , 9
5.3.4 Anlise e estimativa de probabilidades 1O
5.3.5 Anlise prel i mi nar 11
5.3.6 Incertezas e sensibilidades 11
5.4 Aval iao de riscos 11
5.5 Documentao 12
5.6 Monitoramento e anlise crtica do processo de avaliao de riscos 13

5.7 Aplicao do processo de avaliao de riscos durante as fases do ciclo de vida 13
6 Seleo de tcnicas para o processo de avaliao de riscos 14
6.1 Generalidades 14
6.2 Seleo de tcnicas 14
6.3 Disponibilidade de recursos 15
6.4 A natureza e o grau de incerteza 15
6.5 Complexidade 16
6.6 Aplicao do processo de avaliao de riscos durante as fases do ciclo de vida 16
6.7 Tipos de tcnicas do processo de avaliao de riscos 16
Bibl iografia 96
s
X
LU
@ ISO/IEC 2009. @ABNT 2012. Todos os direitos reservados iii
Lrpressc por Dreton8 de Gesto Inten,,'l

ABNT NBR ISO/IEC 31010:2012
Anexos
Anexo A (informativo) Comparao das tcnicas para o processo de avaliao de riscos 17

A.1 Tipos de tcnicas 17
A.1.1 Fatores que influenciam na seleo das tcnicas para o processo de avaliao
de riscos 17
Anexo B (informatvo) Tcnicas para o processo de avaliao de risco 24
B.1 Brainstorming 24
B.1.1 Viso geral 24
B.1.2 Utilizao 24
B.1.3 Entradas 24
8.1.4 Processo 24
B.1.5 Sadas 25
B.1.6 Pontos fortes e Iim itaes 25
B.2 Entrevistas estruturadas ou sem i-estruturadas 25
B.2.1 Viso geral 25
8.2.2 Utilizao 26
8.2.3 Entradas 26
8.2.4 Processo 26
8.2.5 Sadas 26
8.2.6 Pontos fortes e \im itaes 26
B.3 Tcnica Delph i 27
B.3.1 Viso geral 27
8.3.2 Uti lizao , 27
B.3.3 E ntra das 27
B.3.4 Processo 27
B.3.5 Sadas 27
()
B.3.6 Pontos fortes e limitaes o 28
'::
',",
8.4 Listas de verificao o o0 28

o.
::)
<[
"'>
_ . .; B.4.1 Viso geral o 28
<[
B.4.2 Util izao 28
o:
Lu
(l">o
-(
B.4.3 Entradas o 28
C2
B.4.4 Processo 28
o
o B.4.5 Sadas 29
<
-'
o
B.4.6 Pontos fortes e \im itaes 29
cc
f- B.5 Anlise preliminar de perigos (APP) 29
z
o 8.5.1 Viso geral 29
(j
B.5.2 Utilizao 29
'"
>
. :')
:::1 8.5.3 Entradas 29
X
() 8.5.4 Processo 30
B.5.5 Sa das , 30
v

\V B.5.6 Pontos fortes e Iim itaes 30

Q.
8.6 Estudo de perigos e operabilidade (HAZOP) 30

8.6.1 Viso geral o 30
iv @ ISOilEC 2009 . (j ABNT 2012 Todos os direitos reservados
TA'ess,c por: Dlmtora de Gest<lo Interna

A8NT N8R ISO/lEC 31010:2012
8.6.2 Util izao 31

8.6.3 Entradas 31
8.6.4 Processo 31
8.6.5 Sadas , 33
8.6.6 Pontos fortes e I imitaes 33
8.6.7 Documento de referncia 34
8.7 Anlise de perigos e pontos crticos de controle (APPCC) 34
8.7.1 Viso geral 34
8.7.2 Utilizao '" 34
8.7.3 Entradas 34
8.7.4 Processo 34
8.7.5 Sadas 35
8.7.6 Pontos fortes e limitaes 35
8.8 Ava liao da toxicidade 36
8.8.1 Viso geral 36
8.8.2 Utilizao , 36
8.8.3 Entradas 36
8.8.4 Processo 36
8.8.5 Sadas o 37
8.8.6 Pontos fortes e li mitaes 38
8.9 Tcnica estruturada "E se" (SWIFT) 38
8.9.1 Viso geral o 38
8.9.2 Uti I izao o o '" o' o 00 38
8.9.3 Entradas 38
8.9.4 Processo oo 0 39
8.9.5 Sadas oo 39
8.9.6 Pontos fortes e limitaes o o 0 40
8.10 Anl ise de cenrios oo 40
8.10.1 Viso geral 40
8.10.2 Uti I izao o o o o o o o 0 41
8.10.3 Entradas 41
8.10.4 Processo o .. 0 41
8.10.5 Sadas o , 42
8.10.6 Pontos fortes e I i Initaes 0 42

8.11 A nlise de impactos nos negcios (8IA) .43
8.11.2 Utilizao 43
8.11.3 Entradas 43
8.11.4 Processo 44
8.11.5 Sadas 44
8.11.6 Pontos fortes e I imitaes o o o 45
8.12 A nlise de causa-raiz (RCA) 45
X
UJ
@ISOfIEC 2009 - () ABNT 2012 - Todos os direitos reservados v
Irnpresso D:retcna de Gesto interna

A8NT N8R ISOIIEC 31010:2012

8.12.2 Utilizao 45
8.12.3 Entradas 46
8.12.4 Processo , 46
8.12.5 Sadas 47
8.12.6 Pontos fortes e li m itaes 47
8.13 Anlise de modo e efeito de falha (FMEA) e anlise de modo, efeito e criticidade
de falha (FMECA) 47
8.13.1 Viso geral , 47
8.13.2 Utilizao 48
8.13.3 Entradas 48
8.13.4 Processo 49
8.13.5 Sadas 50
8.13.6 Pontos fortes e Iim itaes 50
8.14 Anlise de rvore de falhas (FTA) 51
8.14.2 Utilizao 52
8.14.3 Entradas 52
8.14.4 Processo 52
8.14.5 Sadas 53
8.14.6 Pontos fortes e lim itaes 53
8.15 Anlise de rvore de eventos (ETA) 54
8.15.2 Util izao , , 55
8.15.3 Entradas 55
8.15.4 Processo 56
.:-:f
CJ 8.15.5 Sadas , 56
8.16 Anlise de causa e consequncia 57
8.16.1 Generalidades 57
8.16.2 Uti I izao 57
8.16.3 Entradas 57
8.16.4 Processo 57
8.16.5 Sada 58
8.17 Anl ise de causa e efeito 59
8.17.2 Uti Iizao 59
8.17.3 Entradas 60
8.17.4 Processo 60
8.17.5 Sa da 61
vi @ ISO/IEC 2009 (C) ABNT 2012 ,Todos os direitos reservados
Irnpresso de Interna
B.17.6 Pontos fortes e Iilnitaes 62

B.18 Anlise de camadas de proteo (LOPA) 62
B.18.1 Viso geral 62
B.18.2 Uti I izao , 62
B.18.3 Entradas 63
B.18.4 Processo 63
B.18.5 Sada 64
B.18.6 Pontos fortes e limitaes , 64
B.18.7 Documentos de referncia 64
B.19 Anlise de rvore de decises , 65
B.19.2 Utilizao , 65
B.19.3 Entradas , 65
B.19.4 Processo 65
B.19.5 Sadas 65
B.19.6 Pontos fortes e I imitaes 65
B.20 Avaliao da confiabilidade h u mana (ACH) 66
B.20.2 Uti lizao 66
B.20.3 Entradas 66
8.20.4 Processo 66
8.20.5 Sadas 67
B.21 Anlise bow tie 68
8.21.3 Entradas 69
8.21.4 Processo 69
8.21.5 Sada 70
8.22 Manuteno centrada em confiabilidade 70
C} 8.22.3 Entradas ,. 71
:x
t= 8.22.4 Processo 71
z
C)
u
B.22.5 Sada 72
B.22.6 Docu mentos de referncia 72
B.23 Sneak ana/ysis (SA) e sneak circuit ana/ysis (SCA) 72
B.23.2 Uti Iizao 72
B.23.3 Entradas 72
B.23.4 Processo 73
B.23.5 Sada 73
CC,) ISO!IEC 2009 - (9 ABNT 2012 - Todos os direitos reservados vii
Lrpresso Dlretcria de Gesto Intema

A8NT N8R ISO/IEC 31010:2012

8.24 Anl ise de Markov 74
8.24.3 Entradas 74
8.24.4 Processo 75
8.24.5 Sa das 77
8.24.7 Comparaes 77
8.24.8 Documentos de referncia 78
8.25 Si mulao de Monte Cario 78
8.25.2 Utilizao , 78
8.25.3 Entradas 78
8.25.4 Processo 78
8.25.5 Sadas , , 80
8.25.7 Documentos de referncia 81
8.26 Estatstica 8ayesiana e Redes de 8ayes 81
8.26.2 Util izao 82
8.26.3 Entradas 82
8.26.5 Sadas 84
8.27 Cu rvas FN 85
8.27.2 Util izao 85
8.27.3 Entradas 86
_J
8.27.4 Processo 86
Q.
LU
(') 8.27.5 Sa das 86
s:: 8.27.6 Pontos fortes e Iim itaes 86
Cc
-,
ndices de risco 87
',j
Q 8.28
<
-,
r,
',.-f
cc
r- 8.28.2 Util izao , 0 87
z
O 8.28.3 Entradas 0 87
()
O 8.28.4 Processo o 87
>
))
.? 8.28.5 Sadas 88
X
() 8.28.6 Pontos fortes e limitaes 88
n
jj
::5 8.29 Matriz de probabi I idade/consequncia 88
,o
b
m 8.29.1 Viso geral 88

Q.
8.29.2 Uti Iizao 89

8.29.3 Entradas 89
vii (c';) ISO/IEC 2009. (j ABNT 2012 - Todos os direitos reservados
!cnpress() , Diretcrla de Gesto Interna

A8NT N8R ISOIJEC 31010:2012
8.29.4 Processo 91
8.29.5 Sadas 91
8.29.6 Pontos fortes e li mitaes 91
8.30 Anlise de custo/benefcio (AC8) 92
8.30.2 Uti lizao 92
8.30.3 Entradas 92
8.30.4 Processo 92
8.30.5 Sada 93
8.31 Anlise de deciso por multicritrios (MCDA) 94
8.31.1 Viso geral , 94
8.31.3 Entradas 94
8.31.5 Sada 95
8.31.6 Pontos fortes e limitaes 95
Figuras
Figura 1 - Contribuio do processo de avaliao de riscos para o processo de gesto
de riscos 7
Figura 8.1 - Curva dose-resposta 37

Figura 8.2 - Exemplo de uma anlise de rvore de falhas (FTA) da IEC 60300-3-9 52
Figura 8.3 - Exemplo de uma rvore de eventos 55
Figura 8.4 - Exemplo de anlise causa e conseqncia 58
Figura 8.5 - Exemplo de diagrama de Ishikawa ou espinha de peixe 61
Figura 8.6 - Exemplo de formulao de rvore de anlise de causa e efeito 61
Figura 8.7 - Exemplo de avaliao da confiabilidade humana 68
Figura 8.8 - Exemplo de diagrama de" bow fie" para consequncias indesejadas 70
Figura 8.9 - Exemplo de diagrama de Markov do sistema 75
Figura 8.10 - Exemplo de diagrama de transio de estado 76

Tabela 8.4 - Exemplo de simulao de Monte Cario 79
Figura 8.11 - Exemplo de rede de 8ayes 83
Figura 8.12 - O conceito ALARP 85
@ISOfIEC 2009 - (9) ABNT 2012 - Todos os direitos reservados ix
Diretoria de Gesto Interna

A8NT N8R ISO/lEC 31010:2012
Tabelas
Tabela A.1 - Aplicabilidade das ferramentas utilizadas para o processo de avaliao

de riscos 18
Tabela A.2 - Atributos de uma seleo de ferramentas de avaliao de riscos 20
Tabela 8.1 - Exemplo de palavras-guia HAZOP possveis 32
Tabela 8.2 - Matriz de Markov 75
Tabela 8.3 - Matriz de Markov final 76
Tabela 8.5 - Dados da tabela de 8ayes 82
Tabela 8.6 - Probabilidades a priori para os ns A e 8 83
Tabela 8.7 - Probabilidades condicionais para o n C com o n A e o n 8 definidos 83
Tabela 8.8 - Probabilidades condicionais para o n D com o n A e o n C definidos 83
Tabela 8.9 - Probabilidade a posteriori para os ns A e 8 com o n D e o n C definidos 84
Tabela 8.10 - Probabilidade a posteriori para o n A, com o n D e o n C definidos 84
Figura 8.13 - Exemplo de parte de uma tabela critrios de consequncia 90
Figura 8.14 - Exemplo de parte de uma matriz de classificao de riscos 90
Figura 8.15 - Exemplo de parte de uma matriz de critrios de probabilidade 90
@ ISO/IEC 2009 -@ABNT 2012 - Todos os direitos reservados

x
Impresso , Dretcr!8 de Gesto Interna

4.3 Processo de avaliao de riscos e o processo de gesto de riscos
4.3.1 Generalidades
o processo de avaliao de riscos engloba os elementos centrais do processo de gesto de riscos que
so definidos na ABNT NBR ISO 31000 e contm os seguintes elementos:
comunicao e consulta;
estabelecimento do contexto;
processo de avaliao de riscos (abrangendo a identificao de riscos, a anlise de riscos e a ava

liao de riscos);
tratamento de riscos;
monitoramento e anlise crtica.
O processo de avaliao de riscos no uma atividade autnoma e convm que seja totalmente inte
grado aos outros componentes do processo de gesto de riscos.
4.3.2 Comunicao e consulta
O processo de avaliao de riscos bem-sucedido depende de comunicao e consulta eficazes com

as partes interessadas.
O envolvimento das partes interessadas no processo de gesto de riscos ir auxiliar
no desenvolvimento de um plano de comunicao,
na definio do contexto de forma apropriada,
a assegurar que os interesses das partes interessadas so compreendidos e considerados,

f)
:S
z
,-.1 a reunir diferentes reas de conhecimento especializado para a identificao e anlise de riscos,
<
/',
c
a assegurar que diferentes pontos de vista sejam devidamente considerados na avaliao de riscos,
a assegurar que os riscos sejam devidamente identificados,
a assegurar aprovao e apoio para um plano de tratamento.
Convm que as partes interessadas contribuam para a interface do processo de avaliao de riscos
com outras disciplinas de gesto, incluindo a gesto de mudanas, gesto de projetos e programas.
e tambm a gesto financeira.
4.3.3 Estabelecimento do contexto
O estabelecimento do contexto define os parmetros bsicos para a gesto de riscos e define o escopo
e os critrios para o resto do processo. O estabelecimento do contexto inclui considerar os parmetros
internos e externos relevantes para a organizao como um todo, bem como o conhecimento dos
riscos especficos a serem avaliados.
() ISO/IEC 2009.@ABNT 2012 - Todos os direitos reservados 3
lrnpresso Dir,ltmi<! de Gesto nternH

Ao se estabelecer o contexto. os objetivos do processo de avaliao de riscos, os critrios de risco e

o programa para o processo de avaliao de riscos so determinados e acordados.
Para um processo de avaliao de riscos especfico, convm que o estabelecimento do contexto inclua
a definio do contexto externo, interno e de gesto de riscos e a classificao dos critrios de risco:
a) Estabelecer o contexto externo envolve a familiarizao com o ambiente em que a organizao

e o sistema operam, incluindo:
os fatores culturais, polticos, legais, regulatrios, financeiros, econmicos e ambientais com

petitivos, seja em nvel internacional. nacional. regional ou local:
fatores-chave e tendncias que tenham impacto sobre os objetivos da organizao: e
percepes e valores das partes interessadas externas.
b) Estabelecer o contexto interno envolve o entendimento
das capacidades da organizao em termos de recursos e conhecimento,
dos fluxos de informao e processos de tomada de deciso,
das partes interessadas internas,
dos objetivos e das estratgias que esto em vigor, a fim de atingi-los,
das percepes, valores e cultura,
das polticas e processos,
de normas e modelos de referncia adotados pela organizao, e
das estruturas (por exemplo, governana, papis e responsabilizaes)
NOTA BRASilEIRA Foi utilizado o termo "responsabilizaes" para a traduo de "accountabilities",
c) Estabelecer o contexto do processo de gesto de riscos inclui
a definio de responsabilizaes e responsabilidades,
a definio da extenso das atividades de gesto de riscos a serem conduzidas, contemplando

incluses e excluses especficas,
a definio da extenso do projeto, processo, funo ou atividade em termos de tempo e local,
a definio das relaes entre um projeto ou atividade especficos e outros projetas ou ativi
dades da organizao,
a definio das metodologias do processo de avaliao de riscos.
a definio dos critrios de risco.
a definio de como o desempenho na gesto de riscos avaliado,
4 () ISOilEC 2009 - () ABNT 2012 - Todos os direitos reservados
L'npresso , Diretorla de Gestao lnternn

Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas

Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNTCB), dos Organismos
de Normalizao Setorial (ABNTONS) e das Comisses de Estudo Especiais (ABNTCEE), so
elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos,
delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros).
Os Documentos Tcnicos ABNT so elaborados conforme as regras da Diretiva ABNT, Parte 2.
A Associao Brasileira de Normas Tcnicas (ABNT) chama ateno para a possibilidade de que
alguns dos elementos deste documento podem ser objeto de direito de patente. A ABNT no deve ser
considerada responsvel pela identificao de quaisquer direitos de patentes.
A ABNT NBR ISO/IEC 31010 foi elaborada pela Comisso de Estudo Especial de Gesto de Riscos
(ABNTCEE-63). O Projeto circulou em Consulta Nacional conforme Edital n 11, de 25.11.2011 a
10.01.2012, com o nmero de Projeto 63:000.01-002.
Esta Norma uma adoo idntica, em contedo tcnico, estrutura e redao, ISOlEC 31010:2009,
que foi elaborada pelo Technical Commttee Dependability (I EC/TC 56) em conjunto com ISO TMB
"Risk managemenf', conforme ISO/IEC Guide 21-1 :2005.
A seguir so relacionadas as siglas e seus respectivos significados:
a) ALARP - As Low As Reasonably Practicable;
b) BIA - Busness Impact Analysis:
c) Bow Te Analyss (Anlise Bow Te);
d) CHAZOP - Control Hazards and Operablty Analyss:
e) ETA - Event Tree Analysis:
f) FMEA - Falure Mode and Effect Analyss;
g) FMECA - Falure Mode and Effect Criticalty Analyss;
h) FTA - Fault Tree Analyss:
i) HAZOP - Hazard and Operablty Studies;
j) IPL -Independent Protecton Layers;
k) LOPA - Layer Protection Analyss;
I) MCDA - Multi-criteria Decison Analysis;
eh
-J m) NOAEL - No Observable Adverse Effect LeveI;

n) NOEL - No Observable Effect Leve!;
:-k
o) RCA - Root Cause Analyss:

X
<-<'.1
@ ISO/IEC 2009 - () ABNT 2012 - Todos os direitos reservados

xi
Ges:ao Interna
p) RCFA - Root Cause Failure Analysls;
q) RCM - Refabilty Centred Malntenance;
r) SA - Sneak analysls;
s) SCA - Sneak Clrcult Analysis;
t) SIL - Safety Integrity Leveis;
u) SWIFT - Structured What If Technique.
o Escopo desta Norma Brasileira em ingls o seguinte.
Scope
Thls Standard Is a supportlng standard for ABNT NBR ISO 31000 and provldes guldance on selecton
and applcation of systematic technlques for rsk assessment.
Risk assessment carried out in accordance with thls standard Gontributes to other rlsk management
actvities.
The applcation of a range of technlques is ntroduced, wth specific references to olheI' internalonal
standards where the concept and application of techniques are described in greater detaif.
This Standard Is not intended for certifcation. regulatory or contractual use.
Ths Standard does not provide specifc crlteria for identifying fhe need for risk ana/yss. nor does it
specify the type of risk analysis method fhat is required tor a particular applcaton.
Th/s Standard does not reter to ali techniques. and omisson of a technique from ths standard does not
mean t s not valid. The fact lhat a method s applicable to a particular crcumstance does not mean
that the method should necessarily be applied.
NOTE Ths Standard does not deal specfica!ly wth safetr. It is a generc risk management standard
and any references to safety are purely of an informatve nature. Guidance on lhe introduction of safety
aspects Into IEC standards is laid down ln ISOIIEC Gude 51.
xii @ ISO/IEC 2009.@ABNT2012. Todos os direitos reservados
Intsnln
Introduo
Organizaes de todos os tipos e tamanhos enfrentam uma srie de riscos que podem afetar
a realizao de seus objetivos.
Estes objetivos podem estar relacionados a uma srie de atividades da organizao. desde iniciativas
estratgicas at suas operaes. processos e projetos. e se refletir em termos de resultados para a
sociedade. ambientais, tecnolgicos, de segurana, medidas comerciais, financeiras e econmicas.
bem como impactos sodais, culturais, polticos e na reputao.
Todas as atividades de uma organizao envolvem riscos que devem ser gerenciados. O processo
de gesto de riscos auxilia a tomada de deciso, levando em considerao as incertezas e a possi
bilidade de circunstncias ou eventos futuros (intencionais ou no intencionais) e seus efeitos sobre
os objetivos acordados.
A gesto de riscos inclui a aplicao de mtodos lgicos e sistemticos para
comunicao e consulta ao longo de todo processo;
estabelecimento do contexto para identificar. analisar, avaliar e tratar o risco associado a qualquer
atividade. processo. funo ou produto;
montoramento e anlise crtica de riscos;
reporte e registro dos resultados de forma apropriada.
O processo de avaliao de riscos a parte da gesto de riscos que fornece um processo estruturado
para identificar como os objetivos podem ser afetados. e analisa o risco em termos de consequncias
e suas probabilidades antes de decidir se um tratamento adicional requerido.
o processo de avaliao de riscos tenta responder s seguintes questes fundamentais:
o que pode acontecer e por qu (pela identificao de riscos)?
quais so as consequncias?
qual a probabilidade de sua ocorrncia futura?
existem fatores que mitigam a consequncia do risco ou que reduzam a probabilidade do risco?
o nvel de risco tolervel ou aceitvel e requer tratamento adicional?
Esta Norma destina-se a refletir as boas prticas atuais na seleo e utilizao das tcnicas para
o processo de avaliao de riscos e no se refere a conceitos novos ou em evoluo que no tenham
atingido um nvel satisfatrio de consenso profissional.
Esta Norma geral por natureza. de forma que pode dar orientaes para muitos setores e tipos
de sistemas. Pode haver normas mais especficas em vigor dentro desses setores que estabelecem
metodologias preferidas e nveis de avaliao para aplicaes especficas. Se essas normas estiverem
em harmonia com esta Norma, as normas especficas geralmente sero suficientes.
@ ISO/IEC 2009 - @ABNT 2012 - Todos os direitos reservados xiii
Diretcria de Gestao Interna

n"T,rm;Sc por: Diretoria de Gesto Interna
NORMA BRASILEIRA ABNT NBR ISO/IEC 31010:2012
Gesto de riscos - Tcnicas para o processo de avaliao de riscos
1 Escopo
Esta Norma uma norma de apoio ABNT NBR ISO 31000 e fornece orientaes sobre a seleo
e aplicao de tcnicas sistemticas para o processo de avaliao de riscos.
O processo de avaliao de riscos conduzido de acordo com esta Norma contribui para outras ativi
dades de gesto de riscos.
A aplicao de uma srie de tcnicas introduzida, com referncias especficas a outras normas onde
o conceito e a aplicao de tcnicas so descritos mais detalhadamente.
Esta Norma no se destina certificao, uso regulatrio ou contratual.
Esta Norma no fornece critrios especficos para identificar a necessidade de anlise de riscos, nem
especifica o tipo de mtodo de anlise de riscos que requerido para uma aplicao especfica.
Esta Norma no se refere a todas as tcnicas, e a omisso de uma tcnica nesta Norma no significa
que ela no vlida. O fato de um mtodo ser aplicvel a uma determinada circunstncia particular
no significa que esse mtodo seja necessariamente aplicado.
NOTA Esta Norma no trata especificamente de segurana. Esta uma Norma genrica de gesto de
riscos e quaisquer referncias segurana so puramente de natureza informativa. Orientao sobre a intro
duo de aspectos de segurana em normas IEC estabelecida no ISO/IEC Guide 51.
2 Referncias normativas
Os documentos relacionados a seguir so indispensveis aplicao deste documento. Para refe

rncias datadas, aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se
as edies mais recentes do referido documento (incluindo emendas).
ABNT NBR ISO 31000, Gesto de riscos -- Princpios e diretrizes
ABNT ISO Guia 73, Gesto de riscos - Vocabulrio
3 Termos e definies
Para os efeitos deste documento, aplicam-se os termos e definies do ABNT ISO Guia 73.
4 Conceitos do processo de avaliao de riscos
4.1 Finalidade e benefcios
A finalidade do processo de avaliao de riscos fornecer informaes baseadas em evidncias e anli

se para tomar decises informadas sobre como tratar riscos especficos e como selecionar entre opes.
() ISO/IEC 2009 - @ABNT 2012 - Todos os direitos reservados 1
Diretona de Gesto Interna

Alguns dos principais benefcios da realizao do processo de avaliao de riscos incluem:
entender o risco e seu potencial impacto sobre os objetivos;
fornecer informaes aos tomadores de deciso;
contribuir para o entendimento dos riscos a fim de auxiliar na seleo das opes de tratamento;
identificar os principais fatores que contribuem para os riscos e os elos fracos em sistemas
e organizaes;
comparar riscos em sistemas, tecnologias ou abordagens alternativos;
comunicar riscos e incertezas;
auxiliar no estabelecimento de prioridades:
contribuir para a preveno de incidentes com base em investigao ps-incidente;
selecionar diferentes formas de tratamento de riscos;
atender aos requisitos regulatrios;
fornecer informaes que ajudaro a avaliar a convenincia da aceitao de riscos quando com
parados com critrios predefinidos;
avaliar os riscos para o descarte ao final da vida til.
4.2 Processo de avaliao de riscos e estrutura da gesto de riscos
Esta Norma considera que o processo de avaliao de riscos realizado no mbito da estrutura e
do processo de gesto de riscos descritos na ABNT NBR ISO 31000.
A estrutura da gesto de riscos fornece polticas, procedimentos e arranjos organizacionais que incor
poraro a gesto de riscos atravs da organizao em todos os nveis.
Como parte desta estrutura, convm que a organizao tenha uma poltica ou estratgia para decidir
quando e como avaliar os riscos.
Em particular, convm que aqueles que realizam processos de avaliaes de risco tenham clareza
sobre
C)
::r:
o contexto e os objetivos da organizao,
a extenso e o tipo de riscos que so tolerveis e como tratar os riscos inaceitveis,
como o processo de avaliao de riscos se integra nos processos organizacionais,
os mtodos e tcnicas a serem utilizados no processo de avaliao de riscos e sua contribuio

para o processo de gesto de riscos,
os recursos disponveis para realizar o processo de avaliao de riscos,
como o processo de avaliao de riscos ser reportado e analisado criticamente.
2 @ ISOlEC 2009 - ,) ABNT 2012 - Todos os direitos reservados
Diretora de Gestao Interna

a identificao e a especificao das decises e aes que precisam ser tomadas, e
a identificao dos estudos necessrios para o escopo ou enquadramento, sua extenso,

e objetivos, e os recursos requeridos para tais estudos.
d) Definir os critrios de risco envolve decidir
a natureza e os tipos de consequncias a serem includos e como eles sero medidos,
a forma como as probabilidades devem ser expressas,
como um nvel de risco ser determinado,
os critrios pelos quais ser decidido quando um risco necessita de tratamento,
os critrios para decidir quando um risco aceitvel e/ou tolervel,
se e como as combinaes de riscos sero levadas em considerao.
Os critrios podem ser baseados em fontes como
objetivos acordados do processo.
critrios identificados em especificaes,
fontes gerais de dados,
critrios setoriais geralmente aceitos, tais como os nveis de integridade de segurana,
apetite ao risco da organizao,
requisitos legais e outros requisitos para equipamentos ou aplicaes especficos.
4.3.4 Processo de avaliao de riscos
, O processo de avaliao de riscos o processo global de identificao de riscos, anlise de riscos

z
e avaliao de riscos.
C)
Os riscos podem ser avaliados em nvel organizacional, em nvel departamental, para projetas, ativi
dades individuais ou riscos especficos. Diferentes ferramentas e tcnicas podem ser apropriadas em
diferentes contextos.
O processo de avaliao de riscos possibilita um entendimento dos riscos, suas causas, consequn
cias e probabilidades. Isto proporciona uma entrada para decises sobre:
se convm que uma atividade seja realizada;
como maximizar oportunidades;
se os riscos necessitam ser tratados:
a escolha entre opes com diferentes riscos;
a priorizao das opes de tratamento de riscos:
a seleo mais apropriada de estratgias de tratamento de riscos que trar riscos adversos a
um nvel tolervel.
LU
() ISO/IEC 2009 - @ ABNT 2012 Todos os direitos reservados 5
, Di.retorl8 de (;esto !nterrli3

4.3.5 Tratamento de riscos
Completado um processo de avaliao de riscos, o tratamento de riscos envolve selecionar e acordar

uma ou mais opes pertinentes para alterar a probabilidade de ocorrncia, o efeito dos riscos. ou
ambos, e a implementao destas opes.
Isto acompanhado por um processo cclico de reavaliao do novo nvel de risco, tendo em vista a
determinao de sua tolerabilidade em relao aos critrios previamente definidos. a fim de decidir se
tratamento adicional requerido.
4.3.6 Monitoramento e anlise crtica
Como parte do processo de gesto de riscos, convm que os riscos e os controles sejam regularmente
monitorados e analisados criticamente para verificar que
as premissas sobre os riscos permanecem vlidas;
as premissas nas quais o processo de avaliao de riscos baseado, incluindo o contexto externo
e interno. permanecem vlidas;
os resultados esperados esto sendo alcanados;
os resultados do processo de avaliao de riscos esto alinhados com a experincia corrente;
as tcnicas do processo de avaliao de riscos esto sendo aplicadas de maneira apropriada:
os tratamentos de risco so eficazes.
Convm que seja estabelecida a responsabilizao pelo monitoramento e pela realizao de anli
ses criticas.
,:::;. 5 Processo de avaliao de riscos
5.1 Viso geral
o processo de avaliao de riscos fornece aos tomadores de deciso e s partes responsveis um

entendimento aprimorado dos riscos que poderiam afetar o alcance dos objetivos, bem como a ade
quao e eficcia dos controles em uso. Isto fornece uma base para decises sobre a abordagem
mais apropriada a ser utilizada para tratar os riscos. A sada do processo de avaliao de riscos uma
entrada para os processos de tomada de deciso da organizao.
o processo de avaliao de riscos o processo global de identificao de riscos, anlise de riscos e

avaliao de riscos (ver Figura 1). A maneira como este processo realizado dependente no so
mente do contexto do processo de gesto de riscos, mas tambm dos mtodos e tcnicas utilizados
para conduzir o processo de avaliao de riscos.
6 @ ISO/IEC 2009. () ABNT 2012 - Todos os direitos reservados
Impresso de Gdstao Interna

Comunicao e Monitoramento e
consulta anlise critica
Figura 1 - Contribuio do processo de avaliao de riscos para o processo de gesto de riscos
o processo de avaliao de riscos pode requerer uma abordagem multidisciplinar, uma vez que
os riscos podem abranger uma ampla gama de causas e consequncias.
5.2 Identificao de riscos
A identificao de riscos o processo de encontrar, reconhecer e registrar os riscos.
o propsito da identificao de riscos identificar o que poderia acontecer ou quais situaes poderiam
existir que poderiam afetar o alcance dos objetivos do sistema ou da organizao. Uma vez que um
risco identificado, convm que a organizao identifique quaisquer controles existentes, tais como
funcionalidades projetadas, pessoas, processos e sistemas.
o processo de identificao de riscos inclui a identificao das causas e fontes do risco (perigo no
contexto de dano fsico), eventos, situaes ou circunstncias que poderiam ter um impacto material
sobre os objetivos e a natureza desse impacto
Os mtodos de identificao de riscos podem incluir:
mtodos baseados em evidncias. exemplos como listas de verificao e anlises crticas de

dados histricos;
abordagens sistemticas de equipe onde uma equipe de especialistas segue um processo

sistemtico para identificar os riscos por meio de um conjunto estruturado de instrues ou
perguntas;
tcnicas de raciocnio indutivo tais como HAZOP.
Vrias tcnicas de apoio podem ser utilizadas para melhorar a exatido e completeza na identificao
de riscos. incluindo "branstorming' e o mtodo Delphi.
() ISO/IEC 2009. () ABNT 2012. "Todos os direitN; reservados 7
de
Independentemente das tcnicas efetivamente empregadas, importante que o devido reconhecimento

seja dado a fatores humanos e organizacionais na identificao de riscos. Assim sendo, convm que os
desvios dos fatores humanos e organizacionais em relao ao esperado sejam includos no processo
de identificao de riscos, da mesma forma que os eventos de "hardware' ou "software".
5.3 Anlise de riscos
5.3.1 Generalidades
A anlise de riscos diz respeito ao entendimento do risco. Ela fornece uma entrada para o processo de
avaliao de riscos e s decises sobre se os riscos necessitam ser tratados e sobre as estratgias
e mtodos de tratamento mais apropriados.
A anlise de riscos consiste na determinao das consequncias e suas probabilidades para eventos
identificados de risco, levando em considerao a presena (ou no) e a eficcia de quaisquer controles
existentes. As consequncias e suas probabilidades so ento combinadas para determinar um nvel
de risco.
A anlise de riscos envolve a considerao das causas e fontes de risco, suas consequncias e a
probabilidade de que essas consequncias possam ocorrer. Convm que os fatores que afetam as
consequncias e a probabilidade sejam identificados. Um evento pode ter mltiplas consequncias e
pode afetar mltiplos objetivos. Convm que controles de risco existentes e sua eficcia sejam levados
em considerao.
Vrios mtodos para estas anlises esto descritos no Anexo B. Mais de uma tcnica pode ser reque
rida para aplicaes complexas.
A anlise de riscos normalmente inclui uma estimativa da gama de consequncias potenciais que
podem surgir de um evento, situao ou circunstncia, e suas probabilidades associadas, a fim de
medir o nvel de risco. Entretanto, em alguns casos. tais como quando as consequncias provveis
so insignificantes, ou a probabilidade esperada extremamente baixa, uma (mica estimativa pode
ser suficiente para uma tomada de deciso.
Em algumas circunstncias, uma consequncia pode ocorrer como resultado de uma gama de
diferentes eventos ou condies, ou onde o evento especfico no identificado. Neste caso. o foco do
processo de avaliao de riscos est na anlise da importncia e vulnerabilidade dos componentes do
sistema com uma viso para definio de tratamentos que se relacionam com os nveis de proteo
ou estratgias de recuperao.
Os mtodos utilizados na anlise de riscos podem ser qualitativos, semi-quantitativos ou quantitativos.

O grau de detalhe requerido depender da aplicao em particular, da disponibilidade de dados confi
veis e das necessidades de tomada de deciso da organizao. Alguns mtodos e o grau de detalhe
da anlise podem ser prescritos pela legislao.
A avaliao qualitativa define consequncia, probabilidade e nvel de risco por nveis de significncia.
tais como "alto" ;'mdio" e "baixo", pode combinar consequncia e probabilidade, e avalia o nvel
de risco resultante em comparao com os critrios qualitativos.
Os mtodos sem i-quantitativos utilizam escalas de classificao numrica para consequncia e pro
babilidade e as combinam para produzir um nvel de risco utilizando uma frmula. As escalas podem
ser lineares ou logartmicas, ou podem ter alguma outra relao; as frmulas utilizadas tambm po
dem variar.
X
lU
8 @ ISOilEC 2009 ,; ABNT 2012 . Todos os dir<itos reservados
de Gesto ImelO;;
A anlise quantitativa estima valores prticos para consequncias e suas probabilidades, e produz va
lores do nvel de risco em unidades especficas definidas quando se desenvolveu o contexto. A anlse
quantitativa completa pode nem sempre ser possvel ou desejvel devido a informaes insuficientes
sobre o sistema ou atividade que est sendo analisado, falta de dados, influncia dos fatores huma
nos etc., ou porque o esforo da anlise quantitativa no justificvel ou requerido. Em tais circunstn
cias uma classificao comparativa sem i-quantitativa ou qualitativa de riscos por especialstas, conhece
dores em suas respectivas reas, pode tambm ser eficaz.
Em casos em que a anlise qualitativa, convm que exista uma explicao clara de todos os termos
empregados e que a base para todos os critrios seja registrada.
Mesmo onde uma completa quantificao tenha sido conduzida. preciso reconhecer que os nveis de
risco calculado so estimativas. Convm que se tome cuidado para assegurar que no seja atribudo
um nvel de exatido e preciso incompatvel com a exatido dos dados e mtodos empregados.
Convm que os nveis de risco sejam expressos nos termos mais adequados para cada tipo de risco
e numa forma que auxilie a avaliao de riscos. Em alguns casos, a magnitude de um risco pode ser
expressa como uma distribuio da probabilidade sobre uma faixa de consequncias,
5.3.2 Avaliao dos controles
o nvel de risco depender da adequao e eficcia dos controles existentes, As questes a serem
abordadas incluem:
quais so os controles existentes para um risco em particular?
So esses controles capazes de tratar adequadamente o risco, de modo que ele seja controlado
a um nvel que seja tolervel?
na prtica, os controles esto operando na forma pretendida e pode ser demonstrado que so
eficazes quando requerido?
Estas questes somente podem ser respondidas com confiana se houver documentao e processos
de garantia apropriados e implementados,
o nvel de eficcia para um controle particular, ou conjunto de controles relacionados, pode ser
expresso qualitativa, semi-quantitativa ou quantitativamente. Na maioria dos casos, um alto nvel de
exatido no justificvel. Entretanto, pode ser valioso expressar e registrar uma medida de eficcia
de controle de riscos de modo que julgamentos possam ser efetuados sobre se o esforo me/t"lor
despendido melhorando um controle ou fornecendo um tratamento de risco diferente.
5.3.3 Anlise de consequncias
A anlise de consequncias determina a natureza e o tipo de impacto que pode ocorrer assumindo
que uma particular situao, evento ou circunstncia ocorreu. Um evento pode ter uma gama de
impactos de diferentes magnitudes e afetar uma gama de diferentes objetivos e de diferentes partes
interessadas. Os tipos de consequncia a serem analisados e as partes interessadas afetadas tero
sido decididos quando o contexto foi estabelecido.
A anlise de consequncias pode variar de uma descrio simples de resultados at uma modelagem
quantitativa ou anlise de vulnerabilidade detalhadas,
(Q ISO!IEC 2009 @ABNT 2012 -Todos os direitos; reservados 9

Os impactos podem ter uma baixa consequncia, porm alta probabilidade, ou uma alta consequncia
e baixa probabilidade, ou algum resultado intermedirio. Em alguns casos, apropriado focar sobre os
riscos com resultados potencialmente muito grandes, uma vez que estes so muitas vezes de maior
preocupao para os gestores. Em outros casos. pode ser importante analisar os riscos de alta e baixa
consequncias separadamente. Por exemplo, um problema frequente, porm de baixo impacto (ou
crnico) pode ter grandes efeitos cumulativos ou de longo prazo. Alm disso, as aes de tratamento
para lidar com esses dois tipos distintos de riscos so muitas vezes bastante diferentes, portanto til
analis-los separadamente.
A anlise de consequncias pode envolver:
levar em considerao os controles existentes para tratar as consequncias, juntamente com to

dos os fatores contributivos pertinentes que tenham um efeito sobre as consequncias:
relacionar as consequncias do risco aos objetivos originais;
considerar tanto as consequncias imediatas quanto aquelas que podem surgir aps um certo
tempo decorrido. se isto for compatvel com o escopo da avaliao;
considerar as consequncias secundrias, tais como aquelas que impactam os sistemas, ativida
des, equipamentos ou organizaes associados.
5.3.4 Anlise e estimativa de probabilidades
Trs abordagens gerais so comumente empregadas para estimar a probabilidade; elas podem ser
utilizadas individual ou conjuntamente:
a) A utilizao de dados histricos pertinentes para identificar eventos ou situaes que ocorreram
no passado e, assim, capazes de extrapolar a probabilidade de sua ocorrncia no futuro. Convm
que os dados utilizados sejam pertinentes ao tipo de sistema, instalao, organizao ou atividade
que est sendo considerado e tambm s normas operacionais da organizao envolvida. Se
historicamente h uma frequncia muito baixa de ocorrncia, ento qualquer estimativa da
probabilidade ser muito incerta. Isso se aplica especialmente para ocorrncias zero, quando no
se pode assumir que o evento, situao ou circunstncia no ocorrer no futuro.
b) Previses de probabilidade utilizando tcnicas preditivas tais como anlise de rvore de falhas
e anlise de rvore de eventos (ver Anexo B). Quando os dados histricos forem indisponveis
ou inadequados, necessrio deduzir a probabilidade pela anlise do sistema, atividade, equi
pamento ou organizao e seus estados bem sucedidos ou com falha associados. Os dados
numricos para equipamentos, pessoas, organizaes e sistemas a partir da experincia ope
racional ou fontes de dados publicados, so ento combinados para produzir uma estimativa da
probabilidade do evento principal. Ao utilizar tcncas preditivas, mportante assegurar que a
devida considerao tenha sido efetuada na anlise para a possibilidade de modos de falha em
comum envolvendo a coincidncia de falha de um nmero de partes ou componentes diferentes
dentro do sistema, resultantes da mesma causa. Tcnicas de simulao podem ser requeridas
para gerar a probabilidade de falhas no equipamento ou estruturais devido ao envelhecimento
e outros processos de degradao, pelo clculo dos efeitos das incertezas.
c) A opinio de especialistas pode ser utilizada em um processo sistemtico e estruturado para

estimar a probabilidade. Convm que os julgamentos dos especialistas recorram a todas as
informaes pertinentes disponveis. incluindo informaes histricas, especficas do sistema,
especficas da organizao, experimentais, de projeto etc. Existem diversos mtodos formais para
induzir o julgamento dos especialistas que fornecem um auxlio para a formulao das questes
apropriadas. Os mtodos disponveis incluem a abordagem Delphi, comparaes emparelhadas,
classificao de categorias e julgamentos de probabilidade absoluta.
10 CC,) ISO/IEC 2009 - @ABNT 2012 - Todos os direitos reservados
. Dlretcria de Gestao Internn

5.3.5 Anlise preliminar
Os riscos podem ser filtrados a fim de identificar os riscos mais significativos ou para excluir riscos
menos significativos ou menores de anlises adicionais. O objetivo assegurar que os recursos sero
focados sobre os riscos mais importantes. Convm que se tome cuidado para no deixar de fora riscos
baixos que ocorrem com frequncia e tenham um efeito cumulativo significativo.
Convm que a seleo seja baseada em critrios definidos no contexto. A anlise preliminar determina
um ou mais dos seguintes modos de ao:
decidir tratar os riscos sem avaliao adicional;
excluir riscos insignificantes que no justificariam tratamento:
proceder a um processo de avaliao de riscos mais detalhado.
Convm que as premissas iniciais e os resultados sejam documentados.
5.3.6 Incertezas e sensibilidades
Muitas vezes h incertezas considerveis associadas anlise de riscos. Um entendimento das incertezas
necessrio para interpretar e comunicar os resultados da anlise de riscos eficazmente. A anlise
das incertezas associadas aos dados, mtodos e modelos utilizados para identificar e analisar o risco
desempenha um papel importante na sua aplicao. A anlise de incertezas envolve a deterrninao da
variao ou impreciso nos resultados, decorrentes da variao coleliva nos parmetros e premissas
utilizados para definir os resultados. Uma rea estreitamente relacionada anlise de incertezas a
anlise de sensibilidade.
A anlise de sensibilidade envolve a determinao do tamanho e significncia da magnitude do risco

resultante de alteraes nos parmetros de entrada individuais. Ela utilizada para identificar aqueles
dados que necessitam ser exatas e aqueles que so menos sensveis e, assim tem, menos efeito
sobre a exatido total.
Convm que a completeza e a exatido da anlise de riscos sejam estabelecidas to completamente

quanto possvel. Convm que as fontes de incerteza sejam identificadas onde possvel e convm que
abordem tanto as incertezas dos dados quanto as do modelo/mtodo. Convm que os parmetros
para os quais a anlise sensvel, e o grau de sensibilidade, sejam explicitados.
5.4 Avaliao de riscos
A avaliao de riscos consiste em comparar os nveis estimados de risco com critrios de risco definidos
quando o contexto foi estabelecido, a fim de determinar a significncia do nvel e do tipo de risco.
A avaliao de riscos utiliza a compreenso do risco, obtida durante a anlise de riscos, para tomar
decises sobre as aes futuras. Consideraes ticas, legais, financeiras e outras, incluindo as per
cepes do risco, so tambm dados de entrada para a deciso.
As decises podem incluir:
se um risco necessita de tratamento;
as prioridades para o tratamento;

.
X
LU
) ISO/IEC 2009 - @ABNT 2012 - Todos os direitos Ieservadcs 11
Diretoria de Gesto Interna

se uma atividade deve ser realizada;
qual de um nmero de caminhos alternativos deve ser seguido.
A natureza das decises que necessitam ser tomadas e os critrios que sero utilizados para tomar
essas decises foram decididos no estabelecimento do contexto, mas precisam ser revistos em mais
detalhes nesta fase, agora que se sabe mais sobre os riscos identificados em particular.
A estrutura mais simples para a definio dos critrios de risco um nvel nico que divide os riscos
que necessitam de tratamento daqueles que no necessitam. Isso fornece resultados atrativamente
simples, porm no reflete as incertezas envolvidas na estimativa de riscos e na definio da fronteira
entre aqueles que necessitam de tratamento e aqueles que no necessitam.
A deciso sobre se e como tratar o risco pode depender dos custos e beneficias de assumir o risco
e os custos e benefcios da implementao de controles melhorados.
Uma abordagem comum dividir os riscos em trs faixas:
a) uma faixa superior, onde o nvel de risco considerado intolervel quaisquer que sejam os benefcios
que possam trazer atividade, e o tratamento de risco essencial qualquer que seja o seu custo;
b) uma faixa intermediria (ou rea "cinzenta") onde os custos e benefcios so levados em conside
rao. e oportunidades so comparadas com potenciais consequncias;
c) uma faixa inferior, onde o nvel de risco considerado desprezvel ou to pequeno que nenhuma
medida de tratamento de risco seja necessria.
o sistema de critrios to baixo quanto for razoavelmente praticvel ou ALARP (As Low As Reasonably
Practicable) utilizado em aplicaes de segurana segue esta abordagem, onde, na faixa intermediria,
h uma escala mvel para baixos riscos - onde os custos e benefcios podem ser diretamente
comparados -, enquanto que para altos riscos o potencial de danos tem que ser reduzido at que
o custo de reduo adicional seja inteiramente desproporcional ao benefcio de segurana adquirido.
5.5 Documentao
Convm que o processo de avaliao de riscos seja documentado juntamente com os resultados do
processo de avaliao. Convm que os riscos sejam expressos em termos compreensveis, e convm
que as unidades em que o nvel de risco expresso sejam claras.
A extenso do relatrio depender dos objetivos e do escopo da avaliao. Exceto para avaliaes
muito simples, a documentao pode incluir:
-'
()
8= objetivos e escopo;
,;;
<J
U descrio de partes pertinentes do sistema e suas funes;
um resumo dos contextos externo e interno da organizao e como eles se relacionam com
a situao, sistema ou circunstncias que esto sendo avaliados;
os critrios de risco aplicados e sua justificativa;
limitaes, premissas e justificativa de hipteses;
12 @ ISO/IEC 2009 -@ABNT2012 - Todos os direitos reservados
Lrpressc . Diretoria de Gesto Internb

metodologia de avaliao;
resultados da identificao de riscos;
dados, premissas e suas fontes e validao;
resultados da anlise de riscos e sua avaliao;
anlise de sensibilidade e de incerteza;
premissas crticas e outros fatores que necessitam ser monitorados;
discusso dos resultados;
concluses e recomendaes;
referncias.
Se o processo de avaliao de riscos apoia um processo sistemtico de gesto de riscos, convm que
seja realizado e documentado de tal forma que possa ser mantido durante o ciclo de vida do sistema,
organizao, equipamento ou ativdade. Convm que a avaliao seja atualizada sempre que novas
informaes significativas estejam disponveis e o contexto se altere, de acordo com as necessidades
do processo de gesto.
5.6 Monitoramento e anlise crtica do processo de avaliao de riscos
o processo de avaliao de riscos destacar o contexto e outros fatores que se pode esperar que variem
ao longo do tempo e que poderiam alterar ou invalidar o processo de avaliao de riscos. Convm que
estes fatores sejam especificamente identificados para o contnuo monitoramento e anlise crtica,
de modo que o processo de avaliao de riscos possa ser atualizado quando necessrio.
Convm tambm que os dados a serem monitorados para refinar o processo de avaliao de riscos
sejam identificados e coletados.
o
':s Convm que a eficcia dos controles tambm seja monitorada e documentada a fim de fornecer dados
S para uso na anlise de riscos. Convm que as responsabilidades para a criao e anlise crtica das
evidncias e da documentao sejam definidas.
5.7 Aplicao do processo de avaliao de riscos durante as fases do ciclo de vida
Muitas atividades, projetos e produtos podem ser considerados como tendo um ciclo de vida que se
inicia a partir do conceito e definio iniciais, passa pela realizao at uma concluso final que pode
incluir o descomissionamento e descarte final do hardware.
o processo de avaliao de riscos pode ser aplicado a todos os estgios do ciclo de vida e normal
mente aplicado muitas vezes com diferentes nveis de detalhe para auxiliar nas decises que precisam
ser tomadas em cada fase.
As fases dos ciclos de vida tm requisitos diferentes e necessitam de diferentes tcnicas. Por exemplo,
durante a fase de conceito e definio, quando uma oportunidade identificada, o processo de avalia
o de riscos pode ser utilizado para decidir se se quer continuar ou no.
Onde diversas opes estiverem disponveis, o processo de avaliao de riscos pode ser utilizado
para avaliar conceitos alternativos para auxiliar na deciso sobre quais proporcionam o melhor balano
entre os riscos positivos e negativos.
@ISO/IEC 2009 @ABNT 2012 - Todos os direitos reservados 13
Dintoria de Interna
Durante a fase de projeto e desenvolvimento, o processo de avaliao de riscos contribui para
assegurar que os riscos do sistema so tolerveis,
o processo de refinamento do projeto,
os estudos de do custo-eficcia,
identificao dos riscos que impactam as fases subsequentes do ciclo de vida.
Conforme a atividade progride, o processo de avaliao de riscos pode ser utilizado para fornecer infor
maes que auxiliem no desenvolvimento de procedimentos para condies normais e de emergncia.
6 Seleo de tcnicas para o processo de avaliao de riscos
6.1 Generalidades
Esta Seo descreve como as tcnicas para o processo de avaliao de riscos podem ser selecionadas.
Os anexos listam e explicam em detalhes uma gama de ferramentas e tcnicas que podem ser
utilizadas para realizar um processo de avaliao de riscos ou auxiliar no processo de avaliao de
riscos. Algumas vezes pode ser necessrio empregar mais de um mtodo de avaliao.
6.2 Seleo de tcnicas
O processo de avaliao de riscos pode ser conduzido em vrios graus de profundidade e detalhe e
utilizando um ou muitos mtodos que vo do simples ao complexo. Convm que a forma de avaliao
e sua sada sejam compatveis com os critrios de risco, desenvolvidos como parte do estabelecimen
to do contexto. O Anexo A ilustra a relao conceituai entre as amplas categorias das tcnicas para
o processo de avaliao de riscos e os fatores presentes numa determinada situao de risco e fornece
exemplos ilustrativos de como as organizaes podem selecionar as tcnicas apropriadas para o pro
cesso de avaliao de riscos para uma situao em particular.
Em termos gerais, convm que as tcnicas apropriadas apresentem as seguintes caracterfsticas:
convm que sejam justificveis e apropriadas situao ou organizao em questo;
convm que proporcionem resultados de uma forma que amplie o entendimento da natureza
do risco e de como ele pode ser tratado:
convm que sejam capazes de utilizar uma forma que seja rastrevel, repetvel e verificvel.
Convm que as razes para a escolha das tcnicas sejam dadas com relao a pertinncia e adequa
o. Ao integrar os resultados de diferentes estudos, convm que as tcnicas utilizadas e as sadas
sejam comparveis.
Uma vez que a deciso tenha sido tomada para realizar um processo de avaliao de riscos e os objeti
vos e o escopo tenham sido definidos, convm que as tcnicas sejam selecionadas com base em fatores
aplicveis, tais como:
os objetivos do estudo, Os objetivos do processo de avaliao de riscos tero uma influncia direta
sobre as tcnicas utilizadas. Por exemplo, se um estudo comparativo entre as diferentes opes
est sendo realizado, pode ser aceitvel utilizar modelos menos detalhados de consequncia
para partes do sistema no afetadas pela diferena;
14 @ ISOilEC 2009 - (13) ABNT 2012 - Todos os direitos reservados
Diretoria de Gesto InternH

as necessidades dos tomadores de deciso. Em alguns casos, um alto nvel de detalhe neces
srio para tomar uma boa deciso, em outros um entendimento mais geral suficiente;
o tipo e a gama de riscos que esto sendo analisados;
a magnitude potencial das consequncias. Convm que a deciso sobre a profundidade em que
o processo de avaliao de riscos conduzido reflita a percepo inicial das consequncias
(embora isto possa ter que ser modificado uma vez que uma avaliao preliminar foi concluda);
o grau de conhecimento especializado. recursos humanos e outros recursos necessrios. Um

mtodo simples e bem feito pode fornecer melhores resultados do que um procedimento mais
sofisticado e mal feito, contanto que atenda aos objetivos e o escopo do processo de avaliao.
Normalmente, convm que o esforo aplicado ao processo de avaliao seja compatvel com o
nvel potencial de risco que est sendo analisado;
a disponibilidade de informaes e dados. Algumas tcnicas requerem mais informaes e dados

do que outras;
a necessidade de modificao/atualizao do processo de avaliao de riscos. O processo de

avaliao pode necessitar ser modificado/atualizado no futuro e algumas tcnicas so mais ajus
tveis do que outras a este respeito;
quaisquer requisitos regulatrios e contratuais.
Vrios fatores influenciam a seleo de uma abordagem ao processo de avaliao de riscos, tais como
a disponibilidade de recursos, a natureza e o grau de incerteza nos dados e informaes disponveis,
bem como a complexidade da aplicao (ver Tabela A.2).
6.3 Disponibilidade de recursos
Os recursos e as capacidades que podem afetar a seleo de tcnicas do processo de avaliao de

riscos incluem:
as habilidades. experincia, capacidade e competncia da equipe do processo de avaliao de riscos:
as restries de tempo e outros recursos dentro da organizao;
o oramento disponvel, se recursos externos forem requeridos.
6.4 A natureza e o grau de incerteza
--1
(j
A natureza e o grau de incerteza requerem um entendimento da qualidade. quantidade e integridade
:r::

das Informaes disponveis sobre o risco em considerao. Isto inclui quo disponveis e suficientes
z
() so as informaes sobre o risco, suas fontes e causas, e suas consequncias para o atendimento
u
dos objetivos. A incerteza pode ser proveniente da qualidade pobre dos dados ou da falta de dados
essenciais e confiveis. Para ilustrar, os mtodos de coleta de dados podem se modificar, a forma que
as organizaes utilizam tais mtodos pode ser alterada ou a organizao pode simplesmente no ter
um mtodo de coleta eficaz implementado. para coleta de dados sobre o risco identificado.
A incerteza tambm pode ser inerente aos contextos externo e interno da organizao. Os dados
disponveis nem sempre fornecem uma base confivel para a previso do futuro. Para tipos singulares
de riscos, os dados histricos podem no estar disponveis ou pode haver diferentes interpretaes
de dados disponveis por diferentes partes interessadas. Os encarregados do processo de avaliao
Q) ISO/IEC 2009. @ABNT 2012. Todos os direitos reservados 15
\,rpresso por- Diretcfi8 de Gesto interna

de riscos precisam entender o tipo e a natureza da incerteza e interpretar suas implicaes para
a confiabilidade dos resultados do processo de avaliao de riscos. Convm que isto seja sempre
comunicado aos tomadores de deciso.
6.5 Complexidade
Os riscos podem ser complexos em si mesmos, como, por exemplo, em sistemas complexos que pre
cisam ter seus riscos avaliados em todo o sistema ao invs de tratar cada componente separadamente
e ignorando as interaes. Em outros casos, tratar um risco individual pode ter implicaes em outros
locais e pode impactar outras atividades. Os impactos resultantes e as dependncias do risco neces
sitam ser entendidos para assegurar que na gesto de um determinado risco, uma situao intolervel
no seja criada em outros locais. Entender a complexidade de um risco individual ou de um portflio de
riscos de uma organizao crucial para a seleo do mtodo adequado ou tcnicas para o processo
de avaliao de riscos.
6.6 Aplicao do processo de avaliao de riscos durante as fases do ciclo de vida
Muitas atividades, projetos e produtos podem ser considerados como tendo um ciclo de vida que se
inicia a partir do conceito e definio inicial, passa pela realizao e vai at o encerramento final que
poder incluir a desmontagem e descarte do equipamento.
O processo de avaliao de riscos pode ser aplicado em todos os estgios do cicio de vida e normal
mente aplicado muitas vezes com diferentes nveis de detalhe para auxliar nas decises que precisam
ser tomadas em cada fase.
As fases dos ciclos de vida tm necessidades diferentes e requerem diferentes tcnicas. Por exemplo,
durante a fase de concepo e definio. quando uma oportunidade identificada. o processo de
avaliao de riscos pode ser utilizado para decidir se convm continuar ou no.
Quando diversas opes estiverem disponveis, o processo de avaliao de riscos pode ser utilizado
para avaliar conceitos alternativos a fim de auxiliar na deciso sobre quais proporcionam o melhor
equilbrio de riscos.
Durante a fase de projeto e desenvolvimento, o processo de avaliao de riscos contribui para
assegurar que os riscos do sistema so tolerveis,
o processo de refinamento do projeto,
os estudos de eficcia do custo,
identificao dos riscos que impactam as fases subsequentes do cicio de vida.
Conforme a atividade progride, o processo de avaliao de riscos pode ser utilizado para fornecer infor
maes que auxiliem no desenvolvimento de procedimentos para condies normais e de emergncia.
6.7 Tipos de tcnicas do processo de avaliao de riscos
As tcnicas do processo de avaliao de riscos podem ser classificadas de vrias formas para auxiliar
no entendimento de seus pontos fortes e fracos relativos. As tabelas no Anexo A correlacionam aigu-
e: mas tcnicas potenciais e suas categorias para fins ilustrativos.
x
Q...
Cada uma das tcnicas descrita com mais detalhes no Anexo B quanto natureza da avaliao que
elas fornecem e a orientao para sua aplicabilidade em certas situaes.
16 @ISO/IEC 2009. (<;) A8NT 2012. Todos os direitos reservados
de
Anexo A
(informativo)
Comparao das tcnicas para o processo de avaliao de riscos
A.1 Tipos de tcnicas
A primeira classificao mostra como as tcnicas se aplicam para cada etapa do processo de avaliao
de riscos conforme descrito a seguir:
identificao de riscos;
anlise de riscos - anlise de consequncias;
anlse de riscos - estimativa qualitativa, sem i-quantitativa ou quantitativa da probabilidade;
anlse de riscos - avaliao da eficcia de quaisquer controles existentes;
anlise de riscos - estimativa do nvel de risco;
avaliao de riscos.
Para cada etapa no processo de avaliao de riscos, a aplicao do mtodo descrita como sendo
fortemente aplicvel, aplicvel ou no aplicvel (ver Tabela A.1).
A.1.1 Fatores que influenciam na seleo das tcnicas para o processo de avaliao
de riscos
Em seguida os atributos dos mtodos so descritos em termos
da complexidade do problema e os mtodos necessrios para analis-lo,
da natureza e o grau de incerteza do processo de avaliao de riscos baseado na quantidade

de informaes disponveis e o que requerido para atender aos objetivos,
da extenso de recursos requeridos em termos de tempo e nvel de conhecimento especializado.

necessidades de dados ou custo,
se o mtodo pode fornecer uma sada quantitativa,
Os exemplos de tipos de mtodos disponveis para o processo de avaliao de riscos esto listados na
Tabela A.2, onde cada mtodo classificado como alto, mdio ou baixo em funo desses atributos,
Ci) ISO/IEC 2009 -@ABNT 2012 - Todos os direitos reservados 17
L'npresso , Diretona de Gestao Interna

Tabela A.1 - Aplicabilidade das ferramentas utilizadas para o processo de avaliao de riscos
Processo de avaliao de riscos
Anlise de riscos Ver

Ferramentas e tcnicas Avaliao
Anexo
Nvel de
de de riscos
Probabilidade
risco
f---------..
Brainstormng FA 1 2
NA NA NA B 01
f--... - .. - ...................... --- ........
En1revis1as estruturadas ou
FA NA NA NA NA 802
semi-estruturadas
Delphi FA NA NA NA NA B 03
f----....-.-..-------....
I L' f" FA NA NA NA NA 804

Sl" de ,e" 'caao
- ---- - - ----------_.
Analise prellnllnal de
FA NA NA NA B 05
perigos (APP)
- - -- ---- -_. . f-._. ._--------- ..
Estudo de pengos e
FA FA A3 A A 806
operabilidade (HAZOP)
Anlise de perigos e pontos

FA FA NA NA FA B 07
crticos de controle (APPCC)
Avaliao de risco ambiental FA FA FA FA B OS

_._-
Tcnica estruturada "E se"

FA FA FA FA FA B 09
(SWIFT)
.... _-_ ..... _-_ .....
Anlise de cenrios FA FA A A A B10
Anlise de impactos no
A3 FA A A A B 11
negcio
Anlise de causa-raiz NA FA FA FA FA 812
Anlise de modos de
FA FA FA FA FA B 13
e efeito
Anlise de rvore de A NA FA A A 814
Anlise de rvore de eventos A FA A A NA 8 15
Anlise de causa e
A FA FA A 816
conseqncia
Anlise de causa e FA FA NA NA 817
Anlise de camadas
A FA A A NA 818
de proteo (LOPA)
rvore de decises NA FA FA A A B 19
,.
Anlise da
FA FA FA
humana
Bow tie NA A FA
An, .;<. ",m

FA FA B 22

IlJ
18 @ ISOilEC 2009 - () ABNT 2012 .. Todos os direitos reservados
Itrpre)s() D!r6tora de Gesto Interna

Tabela A.1 (continuao)
Processo de avaliao de riscos
Anlise de riscos Ver

Ferramentas e tcnicas
Identificao Avaliao
Anexo
Nvel de
de riscos de riscos
risco
A NA NA NA NA 823
Anlise de Markov A FA NA 824
Simulao de Monte Cario NA FA 825
Estatstica Bayesiana
NA FA NA NA FA B 26
e Redes de Bayes
Curvas FN A FA FA
indices de risco A FA FA
Matriz de probabilidadel
FA FA A B 29
consequncia
Anlise de custo/benefcio FA A A 830
Anlise de deciso por

FA A FA A B 31
rnulticritrios (MCDA)
1 FA - Fortemente aplcvel.
2
NA - No aplcveL
3
A - Aplicvel.
<1..'
C(
LU
C;
-o,
X
lU
11',) ISO/IEC 2009 - 0) ABNT 2012 - Todos os direitos reservados 19
por: Diretorla de Int81nd

p1ra USO CXCIUS1VD DA UNI)\O " Ub914CBbiOOOl
I\)
o
Tabela A.2 - Atributos de uma seleo de ferramentas de avaliao de riscos >
to
Z
-t
Z
to
Tpode Pertinnela da influncia de fatoro
::o
teniea para o Pode fOmeef
'_"''''''-
... ''''._'K_'
.. _._",
CL
(I)
processa de Descrio Recursos e
Naturela ft
resuft.ttdos
cn
G)
avaliao de grau de Complexidade
qmtntitativos 1
Q
;p eapa<:id.do
(h ineertla m
/i$cos
S (")
()
(,,)
.....

;;;;
o
.....
r:; fouma lisla de o

BaiXO Baixa Nio
consideradas Os usurios CcOttSultam N
o
prevatne'nledesenv<ilviOs .....
N
Anh Ummlodo
de perigos e sllUa6ils e eventos pengosas AlIO Mdia No
para uma determinada al1Ililde. lf1stalao
Um mei\J da coletar um conjunto de idias e avall30

c1asslficando-o por uma eqwpe. O t>ratnstormmg BaiXO BaJ:lfO Baixa No
estimulado atravs de mstruoos ou por tcnicas de entrEMsla
mela de oornOlmar opllns de Que possam

Detphi apoiar a fonte e Influenciar a estimativa de idenlfflcaao,
(0 probabilidade e CQnsequncnll e a aVl:llla,.'o de fiSCOS E uma
MOOIQ Mlo Mm3 Nao
(j] lcmca colaoomlwa para a CQIFlslru,;o de um consenso entre os
Q
m
o Erwolve a anlise Indeplf1denj'e e voto ds especialistas
.)
o
o SWiFT sistema para sollCltlilr uma para j!nhfiCllr os fiSCOS
<o
Sfrucluro/d Normaimente ullJUtada dentro um '4'Ofksflop factlltado
6) MdiO MdiO No
What II Normalmente assocIada <fuma tcnica 00 anall e avabaac de

co nscos
z
-I
fv
Anlise oe A 8V;JJ[ao da coofiatnldade humana (HRA) trata do Jmpactc de
o
conflsbihdade hlJm3nossobH o desempenho do SJstema li! pode r utilIzada para
N Md!o Mdi Medja S1m
,
humana avaliaras Influncias de erro humaoo 00 sistema
2 lACH)
o.
o
(f)
o
(f>
que oconeu anallsada fi flmde entender as

CD causas oontnblJtwas e como o SJs!ema ou processo pode ser
6'
(f>
melhorado para 6vltar perdas futUras Aanlse deve considerar MOOl() Bat:<l) Mdia No
ro CQf)lrolesestavam em no momento da perda ooornda
O"
2
(l)
e como os controles podem ser meJhocrados
C>
D
w
Exemplar para uso exclusivo COHTHOLi\DORI/\-GERAL DA. Ur-JIO OS914G8S,OOOl
'"
."
ifJ
(,.f"J
o
U
?,
@
ii)
o

3' m
o
!\)
Tipo de
Poeprover
J o tc:nlea de
o o..erio ",sulbWO'il
Ct CD
iltviltll.aio de ad
w qU4I\taVO'il?
@
'"'
ui
n)
(fi
> Possivei-Sct!n$Jlos !ulutoS idt>nllflcados atravS da Irna9'lUi<1O ou
ClJ
(i), Z ct!MrO l!xtfapola!o dos n!lCOS aluaJ!> e diferentes ooofkde-mdo5 ptesUfTUOOO que
Q -i
Mdio Allo Mdia Nao
,\)
cada um desses oonno!> pede ocorrer 1m pode ser !e-ito formal ou
3' O
,13
:;
!\)
Os per'9O$sio ldentlllcados eanafieoose os pOl$h'el$ caminhos pelos
m
O' fiSCO quais um alvo especificado pode sef llX{>Os-to ao peflgo $&i i1ficadO$
Q.
O tOltICl6g!CO lnftma6e5 $oorl! \) nhle! de eXl)l)$iib e ,$ natureza dos danos causados Afte AlIo MdHi'I $ifl1
(f>
por um determlna<$o nlvel de eXllof,lAo do comblnltool> pltra dar I,lmit
O
w
Q.
. 11.1001;'1

(f'J
ii)
(f>

c3 Ao AJlo Mecha S,m
O-
O
(n
Mooia
Al!o Y-tO AlIa
AnlsOO que
caus " efeito em diferentes ca'lel:ilon:as Os fatores conltibultvos so

&l.xo Elan>:) MI;l.:l,a N 20-o
Identlbcados muitas vezes atravs de mmstom1lllge apresentados em um
diagrama de eltrutura de rvoreoiJ espinha de peixe
>
m
z
-I
Z
m
:ti
)
g
m
O
to)
.....
O
.....
O
j...)
O
.....
I'\)
.....
I\)
p,;Jfa USU CONTF-(C)Lj\DOF<!f\wC;EP!\L D/\ UJj,1\C)
I\)
I\)
Tabela A.2 (continuao) >
m
z
-f
(; Tipod_ Z
Pode p.tovet
tcnica de m
De$crto resultadO$ :o
)' avallaiod.
quanttativO$'f'
risco (j;
1t FMEA'"' ..... que lder#n::8" ,.,
"
ui
e
Q
(])
FMECA os modos e os mecamsmos de falha e StWS
([> m
' E:tlslem diWt%iOS bpos de FMEA FMEA de Projeto (ou prooum} q
(")
CN
;;;;-
utilizada pam componentes !t produtos. FMEA d Sistema que uti'lizada .....
t. para SlS!em5, FMEA d Processo t1 uttHzada para sos de o
.....
maffulatunl t montagm> FMEA de Se-f'Vi{) e FMEA d SQftwvIV O

M!o Mdio Media Sim
N
A FMEA pode $&( 5grnda por umll aMlise de cr1!\cldae O
.....
stgH1Jknc;a de cada modo de falha. qualllitllivamel'lte seml,quaillialJViJlmllnte

'"
centrada em
MdIO Md,a S:!m
confl$l\:.lif,dade
a ldnll1rcaao d caos
tmns,tna e um hardware 50tfware ou condIo
causar um evento 1l'1es6ladode ocorrer OllpOO6
(0 e no e cauliaaa pela lama .00 componsntl'! i:::ssS ccndloes S30
(ii
caracterizadas por sua nal\lfl?zaa!.eatna e dacapaodae de escapaI MOOl!i MdiO Mdn:i No
Q detet:3o durante os mais f19CttlS;()'S itl'lSiild,)S d $lS!emaspaol'Ql'1izados As
m
(') condies transitrias ca"sar opfao 'mprpna perda de
.:>
o
di$OOf'PI:;Hbdade do sistema atrasos no pf09rama ou mesmo a morte ou
o
<C
@,l Um prrcei;;.so d Kte'nll'fiC<Jlode rj&COs para d'1:'Ifrmr PO'SSIV$H. deliV!!)S

Estl.loode
do d.e:setnl)enf\Q es,pe(adoo1,J p/elendido Ela utJjtza um Sistema baseado
co ' MoolO AlIa Alta No
z m
-j
f\)
o As Cf!t1odades dos OuV1OS $:.0 avaladas

I\)
'
o-
fh
o
fI>
9:
9.

fI>
ro
fI>
(1)

0,
o
UI
para uso CONTROUJ.,[)ORIA.GERAL
:3
'0
(D
IJJ
(j)
O
"()
@
(j)

)
;' m
r
O Tipo.
Pode prov.r
i'i)
rv
tlk:t1ica de
O
O
Otlsc;ri.iO resultados
Q <O avaliao de
(l) quantitativos?
risco
CJ 6J "APPCC.
(]) Um sistema ptuattvO prevenlJV1) e
(1)
:>
5),
IJJ Analise 00 proouto, ronfiabilldade e lieJ;lUfana de
Z
O --I pengos e f11onl!oramenlo das caraderislicas eSI:Jiilclflca$ MoorQ Mcha
N
:::; lJ'OI'tos crl'hC1J$ defllfo 005 limlles defimdos
CD S
;;
rv o.nlfOle
w
(Tambm pode ser Chamada de armlise 01:'1 baJtlJira\
Cl.
o
(J> controles e li sua e!'icaC13 selam avaliados
o Molo Md$ Sim
LO
90
.

w
2: MI!t;j,o Al!O Mdia Sim

(J>
9;
'"'"
Q
O
(.o
AllO BaUH) Ma
para esla!:l.eR!Cfrf
em \,1m sistema resultante das valLaoos nQ sist!!rna. para um mlmero de
enlradas onde cada entmtla l!'!m uma tllslnbulo delifllda e as entradas sAo
relativas 80S relacronamet'lIOS defwHdo$ nos n!lsuliaOOs A analise pode sef
utllizooa para vm mIO esoo,elfico onde aw intililv.lIj'el'i de ViMUJll entradas i1lJlo Ba'o Alia S;:fn
pOdem $$'t def.!''!'as rt1fllcl1latic4in'frnIB A$ iJt11rOOaS $$'f t1iiseadas sob
uma vane<Jaae de !'PC$ de arSlnl:nm;;.so de acordo com iii nalureza da incerteza
que sao dell!lf1adas li tepre$$'nlar Para avafaiJio de nscos . d,S!nllvles
>
m
l5a(t$l$na (li$deMe dIil ex;alltJo z
Al!o BaIXO Alia S'm -I
Z
m
:::tI
(J)
e
m
o
w
.....
o
.....
o
i\"
o
.....
N
W N
Anexo B
(informativo)
Tcnicas para o processo de avaliao de risco
8.1 Brainstormng
8.1.1 Viso geral
o Brainstorming envolve estimular e incentivar o livre fluxo de conversao entre um grupo de pessoas
conhecedoras para identificar os modos de falha potenciais e os perigos e riscos associados, os
critrios para decises elou opes para tratamento. O termo "branstorming' frequentemente utilizado
muito livremente para qualquer tipo de discusso em grupo. Entretanto, o verdadeiro brainstorming
envolve tcnicas especficas para tentar assegurar que a imaginao das pessoas provocada pelos
pensamentos e declaraes de outras pessoas no grupo.
A facilitao eficaz muito importante nesta tcnica e inclui o estmulo da discusso desde o incio,
provocando periodicamente o grupo em outras reas pertinentes e a captura das questes que emer
gem da discusso (que normalmente bastante intensa).
8.1.2 Utilizao
O Brainstormng pode ser utilizado em conjunto com outros mtodos para o processo de avaliao
de riscos descritos a seguir ou pode ser utilizado sozinho como uma tcnica para incentivar o pensa
mento criativo em qualquer estgio do processo de gesto de riscos e qualquer estgio do ciclo de
vida de um sistema. Ele pode ser utilizado para discusses de alto nvel onde as questes so iden
tificadas, para anlise crtica mais detalhada ou num nvel detalhado para problemas em particular.
"',
o
O Brainstorming pe uma forte nfase na imaginao. Portanto, ele particularmente til ao identificar
os riscos de novas tecnologias, onde no existem dados ou onde solues inovadoras para os proble
mas so necessrias.
8.1.3 Entradas
Uma equipe de pessoas com conhecimento da organizao, sistema, processo ou aplicao a

a:: ser avaliado.
o
o
-"
() 8.1.4 Processo
a::
>-
Z O Brainstorming pode ser formal ou informal. O brainstorming formal mais estruturado com parti
o
u cipantes preparados com antecedncia e a sesso tem um objetivo definido e resultados com um
recurso de avaliar as idias apresentadas. O brainstorming informal menos estruturado e muitas
vezes mais ad-hoc.
Em um processo formal:
o facilitador prepara instrues e estmulos para o pensamento apropriados ao contexto previa

mente sesso;
os objetivos da sesso so definidos e as regras explicadas;
24 @ ISO/IEC 2009.@ABNT2012. Todos os direitos reservados
i:rpresso pGr: Dretoria de Gesto Interna

o facilitador comea uma linha de pensamento e qualquer um explora idias identificando tantas
questes quanto possvel. No h discusso neste momento sobre se as coisas devem ou no
devem estar numa lista ou o que se entende por declaraes particulares, porque isto tende a
inibir o livre fluxo do pensamento. Todas as entradas so aceitas e nenhuma criticada e o grupo
prossegue rapidamente para permitir idias que estimulem o pensamento lateral:
o facilitador pode estabelecer que as pessoas se desviem para uma nova pista quando uma
direo de pensamento esgotada ou a discusso se desvia demasiado do assunto. A idia,
porm, coletar o maior nmero possvel de idias para anlise posterior.
B.l.5 Sadas
As sadas dependem do estgio do processo de gesto de riscos em que aplicado, por exemplo, no
estgio de identificao, as sadas podem ser uma lista de riscos e controles atuais.
B.1.6 Pontos fortes e limitaes
Os pontos fortes do brainstorming incluem:
o incentivo imaginao que ajuda a identificar novos riscos e solues inovadoras:
o envolvimento das partes interessadas chave e, consequentemente, no auxlio comunicao

global;
a relativamente rpida e fcil preparao.
g As limtaes incluem:
o
os participantes podem no ter a habilidade e conhecimento para serem eficazes contribuidores;
uma vez que relativamente no-estruturado, difcil demonstrar que o processo foi abrangente,
por exemplo, que todos os riscos potenciais foram identificados;
pode haver dinmicas de grupo particulares onde algumas pessoas com idias valiosas perma
necem quietas enquanto outras dominam a discusso. Isso pode ser superado por brainstorming
". .1 em computador utilizando um frum de discusso ou tcnica de grupo nominal. O brainstorming
<{
em computador pode ser configurado para ser annimo, evitando assim que questes pessoais e
polticas possam impedir o livre fluxo de idias. Na tcnica de grupo nominal, as idias so sub
s metidas anonimamente a um moderador e em seguida discutidas pelo grupo.
CL
C)
o
",,j
<:
D::: 8.2 Entrevistas estruturadas ou sem i-estruturadas
e-
Z
o
B.2.1 Viso geral
Em uma entrevista estruturada, os entrevistados so solicitados individualmente a responder a um

conjunto de questes pr-elaboradas que constam de um roteiro de instrues e que incentivam
o entrevistado a ver uma situao a partir de uma perspectiva diferente e, assim, identificar os riscos
a partir desta perspectiva. Uma entrevista sem i-estruturada semelhante, porm permite mais liber
dade para uma conversa que explore questes que surjam.
;) ISOilEC 2009. () ABNT 2012 . Todos os direitos reservados 2S
Impresso por: Dlretoria de Gesto Internn

B.2.2 Utilizao
As entrevistas estruturadas e semi-estruturadas so teis quando for difcil reunir as pessoas para
uma sesso de brainstorming ou quando o livre fluxo de discusso em um grupo no apropriado
para a situao ou pessoas envolvidas. So muitas vezes utilizadas para identificar os riscos ou avaliar
a eficcia dos controles existentes como parte da anlise de risco. Podem ser aplicadas em qualquer
estgio de um projeto ou processo. So um meio de fornecer as entradas para o processo de avaliao
de riscos pelas partes interessadas
8.2.3 Entradas
As entradas incluem:
uma definio clara dos objetivos das entrevistas;
uma lista de entrevistados selecionados dentre as partes interessadas pertinentes;
um conjunto de perguntas pr-elaboradas.
8.2.4 Processo
Um conjunto pertinente de perguntas criado para orientar o entrevistador. Convm que as perguntas
sejam abertas sempre que possvel. que sejam simples, em linguagem apropriada para o entrevistado
e que abranjam somente uma questo de cada vez. Tambm so preparadas questes adicionais para
buscar maior clareza.
c As perguntas so ento apresentadas pessoa que est sendo entrevistada. Quando se pretender
8 respostas elaboradas, convm que as perguntas sejam abertas. Cuidado deve ser tomado para no
"conduzir" o entrevistado.
Convm que as respostas sejam consideradas com um certo grau de flexibilidade, a fim de dar a opor
tunidade ao entrevistado de explorar as reas que desejar.
o
'::;
Z
:J 8.2.5 Sadas
As sadas so as vises das partes interessadas sobre as questes que so o objeto das entrevistas.
8.2.6 Pontos fortes e limitaes
Os pontos fortes das entrevistas estruturadas so os seguintes:
as entrevistas estruturadas permitem s pessoas tempo para refletir sobre uma questo:
a comunicao pessoa-a-pessoa pode permitir consideraes mais aprofundadas das questes;
as entrevistas estruturadas permitem o envolvimento de um maior nmero de partes interessadas

do que o branstorming, o qual utiliza um grupo relativamente pequeno.
As limitaes so as seguintes:
dispendioso em termos de tempo para o facilitador a obteno de opinies mltiplas desta forma:
X
Ll.1
26 (I) ISO/IEC 2009. @ABNT 2012 - Todos os direitos reservados
. Diretuid de Gesto interna

vieses so tolerados e no removidos por meio de discusso em grupo;
o desencadeamento da imaginao que uma caracterstica do branstormng, pode no ser atingido.
8.3 Tcnica Delphi
8.3.1 Viso geral
A tcnica Delphi um procedimento para obter um consenso confivel de opinies de um grupo de

especialistas. Embora muitas vezes o termo seja agora amplamente utilizado para significar qualquer
forma de branstormng. uma caracterstica essencial da tcnica Delphi. como originalmente formulada,
era a de que os especialistas expressavam suas opinies individual e anonimamente e tinham acesso
aos pontos de vista de outros especialistas medida o processo evolua.
8.3.2 Utilizao
A tcnica Delphi pode ser aplicada em qualquer estgio do processo de gesto de riscos ou em
qualquer fase de um sistema de ciclo de vida, sempre que um consenso de vises de especialistas
for necessrio.
8.3.3 Entradas
Um conjunto de opes para as quais o consenso necessrio.
-- 8.3.4 Processo
,8
Um grupo de especialistas questionado utilizando um questionrio semi-estruturado. Os especialis
tas no se renem de maneira que as suas opinies so independentes.
O procedimento o seguinte:
r,
'_J
,<[
Z formao de uma equipe para realizar e monitorar o processo Delphi;

:J
seleo de um grupo de especialistas (pode ser um ou mais grupos especficos de especialistas):
desenvolvimento do questionrio da primeira rodada;
teste do questionrio;
envio do questionrio aos membros do grupo individualmente:
as informaes da primeira rodada de respostas so analisadas. combinadas e recirculadas aos

membros do grupo;
os membros do grupo respondem e o processo repetido at que o consenso seja alcanado.
Ui 8.3.5 Sadas
:::J
Convergncia em direo ao consenso sobre o assunto em questo.
X
LU
@ ISO/IEC 2009 ((o) ABNT 2012 . -iodos os direito": reservados 27
de Gesto Interna
Os pontos fortes incluem:
como as vises so annimas, opinies impopulares so mais provveis de serem expressas;
todas vises tm peso igual, o que evita o problema de personalidades dominantes:
atinge a propriedade de resultados:
as pessoas no precisam estar reunidas em um s local ao mesmo tempo.
As limitaes incluem:
consumo intensivo de trabalho e tempo:
os participantes precisam ser capazes de expressar-se claramente por escrito.
8.4 Listas de verificao
8.4.1 Viso geral
As listas de verificao so listas de perigos, riscos ou falhas de controle que foram desenvolvidas nor
malmente a partir da experincia, como resultado de um processo de uma avaliao de riscos anterior
ou como um resultado de falhas passadas.
;?, 8.4.2 Utilizao
Uma lista de verificao pode ser utilizada para identificar perigos e riscos ou para avaliar a eficcia de
controles. Elas podem ser utilizadas em qualquer estgio do ciclo de vida de um produto, processo ou
sistema. Elas podem ser utilizadas como parte de outras tcnicas do processo de avaliao de riscos,
porm so mais teis quando aplicadas para verificar que tudo foi coberto aps a aplicao de uma
tcnica mais imaginativa que identifique novos problemas.
8.4.3 Entradas
Informaes anteriores e conhecimento especializado sobre o assunto, de tal forma que uma lista de
verificao pertinente e preferencialmente validada possa ser selecionada ou desenvolvida.
8.4.4 Processo
o escopo da atividade definido;
uma lista de verificao selecionada de maneira a cobrir adequadamente o escopo. As listas

de verificao precisam ser cuidadosamente selecionadas para esta finalidade. Por exemplo,
uma lista de verificao de controles padronizados no pode ser utilizada para identificar novos
perigos ou riscos;
a pessoa ou a equipe que usa a lista de verificao percorre cada elemento do processo ou sis
tema e analisa criticamente se os itens da lista de verificao esto presentes.
28 () ISO/IEC 200B. (j ABNT 2012 - Todos os direitos reservados
Dretoria de Gesto interna

8.4.5 Sadas
As sadas dependem do estgio do processo de gesto de riscos em que elas so aplcadas.

Por exemplo, a sada pode ser uma lista de controles que so inadequados ou uma lista de riscos.
Os pontos fortes das listas de verifica.o incluem:
elas podem ser utilizadas por no especialistas;
quando bem concebidas, elas combinam ampla gama de conhecimento especializado em um sis
tema de fcil utilizao;
elas podem auxiliar a assegurar que os problemas comuns no sejam esquecidos.
elas tendem a inibir a imaginao na identificao de riscos;
elas tratam o "que sabemos que sabemos" , e no o "que sabemos que no sabemos" ou os "que
no sabemos que no sabemos";
elas incentivam o comportamento do tipo "marque a opo";
elas tendem a ser baseadas em observao, de maneira que ignoram problemas que no so
prontamente vistos.
8.5 Anlise preliminar de perigos (APP)
8.5.1 Viso geral
A APP um mtodo de anlise simples e indutivo cujo objetivo identificar os perigos e situaes
e eventos perigosos que podem causar danos em uma determinada atividade, instalao ou sistema.
8.5.2 Utilizao
mais comumente realizada no incio do desenvolvimento de um projeto quando h pouca informao

sobre detalhes do projeto ou procedimentos operacionais e pode muitas vezes ser uma precursora para
estudos adicionais ou fornecer informaes para a especificao do projeto de um sistema. Ela tambm
pode ser til ao analisar os sistemas existentes para priorizar os perigos e riscos para anlise adicional
ou quando as circunstncias impedem a utilizao de uma tcnica mais extensiva.
8.5.3 Entradas
informaes sobre o sistema a ser avaliado;
os detalhes do projeto do sistema que esto disponveis e so pertinentes.
([;) ISO/IEC 2009 -@ABNT 2012 - Todos os direitN; reservados 29
impresso par Diretoria de Gest'lo Interne

8.5.4 Processo
Uma lista de perigos, de situaes genricas perigosas e de riscos formulada considerando carac
tersticas, tais como:
os materiais utilizados ou produzidos e sua reatividade;
equipamentos utilizados;
ambiente operacional;
leiaute;
interfaces entre os componentes do sistema etc.
A anlise qualitativa das consequncias de um evento indesejvel e suas probabilidades pode ser
conduzida para identificar os riscos para uma avaliao adicional.
Convm que a APP seja atualizada durante as fases de projeto, construo e ensaio, a fim de detectar
quaisquer novos riscos e efetuar correes, se necessrio. Os resultados obtidos podem ser apresen
tados em diferentes formas, tais como tabelas e rvores.
8.5.5 Sadas
As sadas incluem:
uma lista de perigos e riscos;
recomendaes sob a forma de aceitao, controles recomendados, especificao de projeto ou

solicitaes para uma avaliao mais detalhada.

<
CJ
que capaz de ser utilizada quando houver pouca informao;
ela permite que os riscos sejam considerados muito precocemente no ciclo de vida do sistema.
<
C2 As limitaes incluem:
o
o
.<;
o uma APP fornece somente informaes preliminares, ela no abrangente e tambm no for
o:::
nece informaes detalhadas sobre os riscos e como eles podem ser melhor evitados.
z
o
c
j 8.6 Estudo de perigos e operabilidade (HAZOP)
8.6.1 Viso geral

HAZOP o acrnimo para "HAZard and OPerability Study" e um exame estruturado e sistemtico de
um produto, processo, procedimento ou sistema existente ou planejado. uma tcnica para identificar
os riscos para pessoas, equipamentos, ambiente e/ou objetivos organizacionais. Espera-se tambm que
a equipe de estudo, sempre que possvel, fornea uma soluo para o tratamento do risco.
30 @ISO/IEC 2009 - () ABNT 2012 - Todos os dretos reservados
I,rpresso de Gesto Interna

o processo HAZOP uma tcnica qualtativa baseada no uso de palavras-guia as quais questionam
como a inteno do projeto ou as condies de operao podem no ser atingidas a cada etapa do
projeto, processo, procedimento ou sistema. geralmente conduzido por uma equipe multidisciplinar
ao longo de uma srie de reunies.
HAZOP similar FMEA enquanto se identificam os modos de falha de um processo, sistema ou

procedimento bem corno as suas causas e consequncias. A diferena que a equipe considera os
resultados indesejveis e os seus desvios e condies pretendidas e os trabalha de trs para a frente
at chegar aos modos de falha e causas possveis, enquanto que a FMEA comea por identificar os
modos de falha.
8.6.2 Utilizao
A tcnica HAZOP foi inicialmente desenvolvida para analisar sistemas de processo qumico, porm foi
estendida para outros tipos de sistemas e operaes complexas. Estes incluem sistemas mecnicos
e eletrnicos, procedimentos e sistemas de software, e at mesmo alteraes organizacionais e con
cepo e anlise crtica de contratos legais.
o processo HAZOP pode tratar de todas as formas de desvio da inteno do projeto devido a defici
ncias no projeto, componente(s), procedimentos planejados e aes humanas.
Ele amplamente utilizado para anlise crtica de projeto de software. Quando aplicado ao controle de
instrumentos crticos de segurana e a sistemas de computador, ele pode ser conhecido como CHAZOP
(Control Hazards and Operability Ana/ysis ou anlise de perigo e operabilidade de computadores).
Um estudo HAZOP geralmente realizado no estgio de detalhamento do projeto, quando um diagrama

completo do processo pretendido est disponvel, porm enquanto as alteraes de projeto ainda
sejam praticveis. Ele pode, entretanto, ser conduzido em uma abordagem gradual com diferentes
palavras-guia para cada estgio medida em que os detalhes do projeto so desenvolvidos. Um
estudo HAZOP tambm pode ser realizado durante a operao, porm alteraes requeridas podem
ser caras neste estgio.
8.6.3 Entradas
As entradas essenciais para um estudo HAZOP incluem informaes atuais sobre o sistema, o processo
ou procedimento a serem analisados criticamente e a inteno e as especificaes de desempenho
do projeto.
As entradas podem incluir: desenhos, folhas de especificao, diagramas de fluxo, diagramas de

controle de processo e lgicos, desenhos de leiaute, procedimentos de operao e manuteno e
procedimentos de resposta a emergncia. Para HAZOP no relacionado a hardware, as entradas
podem ser qualquer documento que descreva funes e elementos do sistema ou procedimento em
estudo. Por exemplo, as entradas podem ser diagramas organizacionais e descries de funes, uma
minuta de contrato ou mesmo uma minuta de procedimento.
8.6.4 Processo
HAZOP considera o "projeto" e a especificao do processo, procedimento ou sistema a serem

estudados e analisados criticamente cada parte dele para descobrir quais desvios do desempenho
pretendido podem ocorrer, quais so as causas potenciais e quais so as consequncias provveis de
um desvio. Isto conseguido examinando sistematicamente como cada parte do sistema, processo ou
procedimento responder s alteraes nos parmetros-chave, utilizando palavras-guia adequadas.
() ISO/IEC 2009 @ABNT 2012 - Todos os direitos reservados 31

As palavras-guia podem ser personalizadas para um sistema. processo ou procedimento especfico ou

palavras genricas podem ser utilizadas que englobem todos os tipos de desvio. A Tabela 8.1 fornece
exemplos de palavras-guia comumente utilizadas para sistemas tcnicos. Palavras-guia similares tais
como, 'muito cedo', 'muito tarde', 'muito', 'muito pouco', 'muito grande', 'muito curto', 'sentido errado',
'objeto errado' ou 'ao errada' podem ser utilizadas para identificar os modos de erro humano.
As etapas normais em um estudo HAZOP incluem:
a nomeao de uma pessoa com a responsabilidade e a autoridade necessrias para conduzir

o estudo HAZOP e assegurar que quaisquer aes decorrentes do estudo sejam concludas;
a definio dos objetivos e o escopo do estudo;
o estabelecimento de um conjunto de chaves ou palavras-guia para o estudo:
a definio de uma equipe de estudo HAZOP; esta equipe geralmente multidisciplinar e con
vm que inclua pessoal de projeto e de operaes com conhecimento tcnico especializado
apropriado para avaliar os efeitos de desvios do projeto pretendido ou em curso. recomendado
que a equipe inclua pessoas que no estejam diretamente envolvidas no projeto ou no sistema,
processo ou procedimento em anlise critica;
a coleta da documentao requerida.
Dentro de uma oficina de trabalho com a equipe de estudo:
dividir o sistema, processo ou procedimento em elementos menores ou subsistemas ou subpro

cessas ou sub-elementos para tornar a anlise crtica tangvel;
acordar a inteno do projeto para cada subsistema, subprocesso ou sub-elemento e, em segui

da. para cada item naquele subssistema ou elemento, aplicar as palavras-guia. uma aps a outra,
para postular possveis desvios que teriam resultados indesejveis;
quando um resultado indesejvel for identificado, concordar com a causa e a conseqncia, em

cada caso, e sugerir como eles podem ser tratados para evitar que eles ocorram ou atenuar as
consequncias se ocorrerem;
documentar a discusso e acordar aes especficas para tratar os riscos identificados.
Tabela B.1 - Exemplo de palavras-guia HAZOP possveis
l-o -T;o' - -t.- ---.... - - - ..... . Defi'nies - -. ... - - . - j
I N;un('; ou ' 'Nenhuma 'td ;tad'etdido ;gld'a a ;nd,o-;dida st . '--1

I ausente
I Mais (maior) I Aumento quantitativo na sada ou na condio operacional

Menos (menor) I Diminuio quantitativa
Bem como I Aumento quantitativo (por exemplo, material adicional)
lparte de I Diminuio quantitativa (por exemplo, somente um ou dos componentes em uma
mistura)
Revers%posto
..._.._ _.. ._._._
j Oposto (por exemplo, retorno de fluxo)
_._._ . ._ _._.._._ _.._ __ . ................................................._..... . _..................................1
32 Cc) ISO/IEC 2009 -- () ABNT 2012 - Todos os direitos reservados
por: Diretora de Gest80 Interna

Tabela B.1 (continuao)
Termos Definies
Exceto Nenhuma parte da inteno atingida, algo completamente diferente acontece

(por exemplo, fluxo ou material errado)
Compatibilidade Material; ambiente
As palavras-guia so aplicadas a par{lmetros tais como
Propriedades fsicas de um material ou processo
Condies fsicas tais como. temperatura, velocidade
Uma inteno especificada de um componente de um sistema ou projeto (por exemplo.

transferncia de informaes)
Aspectos operacionais
8.6.5 Sadas
Ata(s) de reunio(es) do HAZOP com itens para cada ponto de anlise critica registrado. Convm
que isto inclua: a palavra-guia utilizada, o(s) desvio(s), as possveis causas, as aes para tratar dos
problemas identificados e a pessoa responsvel pela ao.
Para qualquer desvio que no possa ser corrigido. ento convm que o risco para o desvio seja avaliado.
Uma anlise HAZOP oferece as seguintes vantagens:
fornece os meios para sistemtica e totalmente analisar um sistema, processo ou procedimento;
envolve uma equipe multidisciplinar. incluindo aquela com experincia operacional na vida real
e aquela que pode ter que realizar aes de tratamento;
gera solues e aes de tratamento de riscos;
aplicvel a uma ampla gama de sistemas, processos e procedimentos;
permite a considerao explcita das causas e consequncias de erro humano;
cria um registro escrito do processo que pode ser utilizado para demonstrar devido zelo.
uma anlise detalhada pode ser muito demorada e, portanto, cara:
uma anlise detalhada requer um alto nvel de documentao ou especificao do sistema/pro

cesso e procedimento;
pode focar em encontrar solues detalhadas. ao invs de questionar premissas fundamentais

(entretanto, isto pode ser atenuado por uma abordagem gradual);
a discusso pode ser focada em questes de detalhe do projeto, e no em questes mais amplas
ou externas;
(c) ISOflEC 2009 -@ABNT 2012 - Todos os direito,; reservados 33
Lrpresso . Diretcma de Gesto Imernd

limitada pelo projeto (esboo) e o intuito do projeto, e o escopo e objetivos dados equipe;
o processo se baseia fortemente no conhecimento especializado dos projetistas que podem achar
difcil ser suficientemente objetivos na procura de problemas em seus projetos.
8.6.7 Documento de referncia
IEC 61882, Hazard and operability studies (HAZOP studies)- Application guide
B.7 Anlise de perigos e pontos crticos de controle (APPCC)
8.7.1 Viso geral
A anlise de perigos e pontos crticos de controle (APPCC) fornece uma estrutura para a identificar
perigos e pr em prtica controles em todas as partes pertinentes de um processo para proteger
dos perigos e manter a confiabilidade da qualidade e segurana de um produto. A APPCC tem como
objetivo assegurar que os riscos sejam minimizados por controles ao longo do processo ao invs de
mediante a inspeo do produto final.
8.7.2 Utilizao
A APPCC foi desenvolvida para assegurar a qualidade dos alimentos para o programa espacial da
NASA. Agora utilizada pelas organizaes que operam em qualquer lugar dentro da cadeia de
alimentos para controlar os riscos de contaminantes fsicos, qumicos ou biolgicos dos alimentos.
Tambm foi estendida para uso na fabricao de produtos farmacuticos e dispositivos mdicos.
O princpio de identificao de coisas que podem ter influncia na qualidade do produto e na definio
de pontos em um processo onde parmetros crticos podem ser monitorados e os perigos controlados,
podem ser generalizados para outros sistemas tcnicos.
8.7.3 Entradas
A APPCC comea a partir de um diagrama de fluxo bsico ou diagrama de processo e informaes

sobre os perigos que possam afetar a qualidade, segurana ou confiabilidade do produto ou sada do
processo. Informao sobre os perigos e seus riscos e as formas em que podem ser controlados
uma entrada da APPCC.
8.7.4 Processo
A APPCC consiste nos sete princpios seguintes:
identifica os perigos e as medidas preventivas relacionadas a tais perigos;
determina os pontos no processo onde os perigos podem ser controlados ou eliminados (os pon
tos crticos de controle ou PCC);
estabelece limites crticos necessrios para controlar os perigos, ou seja, convm que cada PCC
opere dentro de parmetros especficos para assegurar que o perigo est controlado;
monitora os limites crticos para cada PCC a intervalos definidos;
estabelece aes corretivas se o processo estiver fora dos limites estabelecidos;
34 @ ISO/IEC 2009. (t') ABNT 2012. Todos os direitos reSlrvados
Lrpresso por: Diretcria de Gestao interna

estabelece procedimentos de verificao;
implementa a manuteno de registras e procedimentos de documentao para cada etapa.
8.7.5 Sadas
Registros documentados, incluindo uma planilha de anlise de perigos e um plano APPCC.
A planilha de anlise de perigos lista para cada etapa do processo:
os perigos que poderiam ser introduzidos. controlados ou exacerbados nesta etapa;
se os perigos apresentam um risco significativo (com base na considerao da consequncia

e probabilidade a partir da combinao da experincia. dados e literatura tcnica);
uma justificativa para a significncia;
possveis medidas preventivas para cada perigo;
se as medidas de monitoramento ou controle podem ser aplicadas nesta etapa (ou seja, um PCC?).
O plano APPCC delineia os procedimentos a serem seguidos para assegurar o controle de um

projeto, produto, processo ou procedimento especficos. O plano inclui uma lista de todos os PCC
e para cada PCC:
os limites crticos para as medidas preventivas;
as atividades de monitoramento e controle contnuos (incluindo o que, como e quando o monito

ramento ser realizado e por quem);
as aes corretivas requeridas se desvios dos limites crticos forem detectados;
as atividades de verificao e manuteno de registras.
Os pontos fortes ncluem:
um processo estruturado que fornece evidncia documentada de controle da qualidade, bem

como a identificao e a reduo de riscos:
um foco sobre os aspectos prticos de como e onde, em um processo, os perigos podem ser
prevenidos e os riscos controlados:
um melhor controle de risco em todo o processo ao invs de depender da inspeo do produto final;
uma capacidade para identificar perigos introduzidos por meio de aes humanas e como estes
podem ser controlados no momento da introduo ou subsequentemente.
a APPCC requer que os perigos sejam identificados. os riscos que eles representam definidos e
sua significncia entendida como entradas no processo. Controles apropriados tambm precisam
ser definidos. Estes so requeridos a fim de especificar os pontos crticos de controle e os par
metros de controle durante a APPCC e pode ser necessrio que sejam combinados com outras
ferramentas para atingir estes controles apropriados;

LU
() ISO/IEC 2009 .@ABNT 2012. Todos os direitos reservados 35
Lrpresso por Dlretora de Gesto Interna

tomar aes quando os parmetros de controle excedem limites definidos pode levar a perda de
alteraes graduais nos parmetros de controle as quais so estatisticamente significativas e
que, portanto, conviria que fossem aconadas.
B.7.7 Documento de referncia
ABNT NBR ISO 22000, Sistemas de gesto da segurana de alimentos - Requisitos para qualquer
organizao na cadeia produtiva de alimentos
B.8 Avaliao da toxicidade
B.8.1 Viso geral
O processo de avaliao de riscos ambientais utilizado aqui para abranger o processo seguido no
processo de avaliao de riscos em vegetais, animais e seres humanos como um resultado da exposi
o a uma srie de perigos ambientais. A gesto de riscos refere-se s etapas do processo decisrio,
incluindo a avaliao de riscos e o tratamento de riscos.
O mtodo envolve a anlise do perigo ou da fonte de dano e como ela afeta a populao-alvo e os ca
minhos pelos quais o perigo pode alcanar uma populao-alvo susceptvel. Esta informao ento
combinada para dar uma estimativa da provvel extenso e a natureza do dano.
B.8.2 Utilizao
O processo utilizado para o processo de avaliar riscos enl vegetais, animais e seres humanos como
um resultado da exposio a perigos, tais como produtos qumicos, microrganismos ou outras espces.
Os aspectos da metodologia, tais como a anlise do caminho que explora as diferentes rotas pelas
quais um alvo pode ser exposto a uma fonte de risco, podem ser adaptados e utilizados em uma gama
muito ampla de diferentes reas de risco, fora da sade humana e do meio ambiente e til na iden
tificao de tratamentos para reduzir o risco.
2S B.8.3 Entradas
o mtodo requer bons dados sobre a natureza e as propriedades dos perigos, as susceptibilidades da
populao-alvo (ou populaes) e a maneira em que os dois interagem. Estes dados so normalmente
baseados em pesquisas que podem ser laboratoriais ou epidemiolgicas.
B.8.4 Processo
a) Formulao do problema - isto inclui a definio do escopo da avallao, definindo a gama de

populaes-alvo e os tipos de perigo de interesse;
b) Identificao do perigo - isto envolve a identificao de todas as fontes possveis de dano

l: populao-alvo oriundos dos perigos dentro do escopo do estudo, A identificao do perigo nor-
o
Q. mal mente depende de conhecimentos de especalstas e uma reviso da literatura;
36 @ ISOflEC 2009. () ABNT 2012. Todos os direitos reservados
Dretoria (Je GeS>30 internEi

c) Anlise de perigos - isto envolve o entendimento da natureza do perigo e como ele interage com o
alvo. Por exemplo, ao considerar a exposio humana aos efeitos de produtos qumicos, o perigo
poder incluir a toxicidade aguda e crnica. o potencal de danos ao DNA ou o potencial de causar
cncer ou defeitos congnitos. Para cada efeito perigoso, a magnitude do efeito (a resposta)
comparada com a quantidade de perigo em que o alvo exposto (a dose) e. sempre que possvel,
o mecanismo pelo qual o efeito produzido determinado. Os nveis em que No H Nenhum
Efeito Observvel (NOEL) e Nenhum Efeito Adverso Observvel (NOAEL) so observados. Estes
so algumas vezes utilizados como critrios para aceitabilidade do risco.
RespoSfa
obsrvada
Dose
Figura B.1 - Curva dose-resposta
Para exposio a substncias qumicas, os resultados do ensaio so utilizados para derivar as curvas
de dose-resposta tais como as mostradas esquematicamente na Figura 8.1. Estas so geralmente
derivadas a partir de ensaios em animais ou a partir de sistemas experimentais, tais como cultura de
tecidos ou clulas.
Os efeitos de outros perigos, tais como os micro-organismos ou espcies introduzidas, podem ser
determinados a partir de dados de campo e estudos epidemiolgicos. A natureza da interao de
doenas ou pragas com o alvo determinada e estimada a probabilidade de ocorrncia de um nvel
especfico de danos em resposta a uma exposio especfica ao perigo.
a) Anlise da exposio - esta etapa examina corno uma substncia perigosa ou seus resduos
pode alcanar uma populao-alvo susceptvel e em que quantidade. Esta etapa geralmente en
volve uma anlise do caminho que considera as diferentes rotas que o perigo pode tomar, as bar
reiras que podem evitar que atinja o alvo e os fatores que podem influenciar o nvel de exposio.
Por exemplo, ao considerar o risco de pulverizao qumica, a anlise da exposio consideraria
quanto do produto qumico foi pulverizado, de que forma e em que condies, se houve qualquer
exposio direta de seres humanos ou animais, o quanto de resduos foi deixado na vida vegetal,
o destino ambiental de pesticidas ao atingir o solo: se eles podem ser acumulados em animais ou
se eles atingem guas subterrneas. Em biossegurana, a anlise do caminho pode considerar
como quaisquer pragas que entram no pas e podem entrar no meio ambiente, tornam-se esta
belecidas e se espalham.
b) Caracterizao do risco - nesta etapa, as informaes a partir da anlise de perigos e a anlise

da exposio, so reunidas para estimar as probabilidades de consequncias especficas quan
do os efeitos de todos os caminhos forem combinados. Quando houver um grande nmero de
perigos ou caminhos, uma seleo nicial pode ser realzada e o perigo detalhado e a anlise da
exposio e a caracterizao do risco realizadas nos cenrios de maior risco.
8.8.5 Sadas
Q.
A sada normalmente uma indicao do nvel de risco a partir da exposio de um alvo particular
a um perigo particular no contexto em questo. O risco pode ser expresso quantitativamente, semi-
@ISO/IEC 2009.@ABNT 2012 - Todos os direitos reservados 37
de Interna
quantitativamente ou qualitativamente. Por exemplo, o risco de cncer muitas vezes expresso quan
titativamente como a probabilidade de que uma pessoa ir desenvolver cncer durante um perodo
especificado dada uma exposio especificada a um contaminante. A anlise semi-quantitativa pode
ser utilizada para derivar um ndice de risco para um contaminante ou praga especfico e a sada
qualitativa pode ser um nvel de risco (por exemplo. alto, mdio, baixo) ou uma descrio com dados
prticos sobre os provveis efeitos.
Os pontos fortes desta anlise que ela fornece um entendimento muito detalhado da natureza do
problema e os fatores que aumentam o risco.
A anlise do caminho uma ferramenta til, geralmente, para todas as reas de risco e permite a iden
tificao de como e onde pode ser possvel melhorar os controles ou introduzir novos.
Entretanto, so necessrios bons dados que muitas vezes no esto disponveis ou tm um alto nvel
de incerteza associada a eles. Por exemplo, convm que as curvas de dose-resposta derivadas da
exposio de animais a altos nveis de um perigo sejam extrapoladas para estimar os efeitos de nveis
muito baixos de contaminantes a seres humanos e existem mltiplos modelos pelos quais isto alcan
ado. Quando o alvo for o meio ambiente ao invs de seres humanos e o perigo no for qumico, os
dados que so diretamente pertinentes para as condies especficas do estudo podem ser limitados.
8.9 Tcnica estruturada uE se" (SWIFT)
8.9.1 Viso geral
A tcnica SWIFT foi originalmente desenvolvida como uma alternativa mais simples para o HAZOP.
um estudo sistemtico, baseado em trabalho em equipe, que utiliza um conjunto de palavras ou frases
de 'comando' que usado pelo facilitador dentro de uma oficina de trabalho para estimular os participan
tes a identificar riscos. O facilitador e a equipe utilizam frases padro do tipo "e se" em combinao com
os comandos para investigar como um sistema, item de instalaes, organizao ou procedimento ser
afetado por desvios de comportamento e operaes normais. A tcnica SWIFT normalmente aplicada
mais em nvel de sistemas com um nivel menor de detalhes do que o HAZOP
8.9.2 Utilizao
Enquanto a tcnica SWIFT foi originalmente concebida para o estudo de perigos de instalaes qu
micas e petroqumicas, a tcnica hoje amplamente aplicada a sistemas, itens de instalaes, proce
dimentos e organizaes em geral. Particularmente, utilizada para examinar as consequncias de
mudanas e os riscos assim alterados ou criados.
8.9.3 Entradas
O sistema, procedimento, item de instalao e/ou mudana tm que ser cuidadosamente definidos
antes do incio do estudo. Ambos os contextos externo e interno so estabelecidos pelo facilitador por
meio de entrevistas e mediante o estudo de documentos, planos e desenhos. Normalmente, o item,
situao ou sistema para estudo dividido em ns ou elementos-chave para facilitar o processo de
anlise, porm isso raramente ocorre ao nvel de definio requerido para o HAZOP.
@ ISO/IEC 2009 - ,j ABNT 2012 - Todos os direitos reservados

38
h'presso por: Diretora de Gesto Interna

Outra entrada-chave o conhecimento especializado e a experincia presentes na equipe de estudo

que convm ser cuidadosamente selecionada. Convm que todas as partes interessadas sejam repre
sentadas, se possvel juntamente com aqueles com experincia de itens, sistemas, mudanas ou situa
es similares.
8.9.4 Processo
O processo geral o seguinte:
a) Antes do incio dos estudos. o facilitador prepara uma lista de instrues adequada de palavras ou
frases que podem ser baseadas em um conjunto padro ou serem criadas para possibilitar uma
anlise crtica abrangente dos perigos ou riscos.
b) Na oficina de trabalho. os contextos externo e interno do item. sistema, mudana ou situao e

o escopo do estudo so discutidos e acordados.
c) O facilitador pede aos participantes para levantar e discutir:
riscos e perigos conhecidos;
experincia e incidentes anteriores;
os controles conhecidos e existentes e as salvaguardas;
os requisitos regulatrios e restries.
d) A discusso facilitada pela criao de uma pergunta utilizando uma frase 'e se' e uma palavra
de instruo ou assunto. As frases 'e se' a serem utilizadas so "e se ...", "o que aconteceria se
..." "algum ou alguma coisa poderia ...", "h algum ou alguma coisa que nunca ...". A inteno
estimular a equipe de estudo a explorar cenrios potenciais, suas causas e consequncias
e impactos.
e) Os riscos so resumidos e a equipe considera controles existentes.
f) A descrio do risco, suas causas, consequncias e controles esperados so confirmados com

;3 a equipe e registrados.
g) A equipe considera se os controles so adequados e eficazes e acorda uma declarao da eficcia

do controle de risco. Se isto for menos do que satisfatrio, a equipe tambm considera tarefas de
tratamento de risco e controles potenciais definidos.
h) Durante esta discusso, questes adicionais 'e se' so colocadas para identificar riscos adicionais.
i) O facilitador utiliza a lista de instruespara monitorar a discusso e sugerir questes e cenrios

adicionais para a equipe discutir.
j) normal utilizar um mtodo de processo de avaliao de riscos qualitativo ou sem i-quantitativo

para classificar as aes criadas em termos de prioridade. Este processo de avaliao de riscos
normalmente conduzido levando em considerao os controles existentes e a sua eficcia.
8.9.5 Sadas
Q.
As sadas incluem um registro do risco com as aes ou tarefas classificadas por risco. Estas tarefas
podem ento tornar-se a base para um plano de tratamento.
X
tlJ
@ ISO/IEC 2009 -@ABNT 2012 - Todos os direitos reservados 39
Impresso por Dretora de Gesto Interna

Pontos fortes da tcnica SWIFT:
amplamente aplicvel a todas as formas de instalao fsica, sistema, situao ou circunstncia,

organizao ou atividade;
necessita preparo mnimo pela equipe:
relativamente rpida e os principais perigos e riscos rapidamente tornam-se evidentes na ses

so da oficina de trabalho:
o estudo "orientado a sistemas" e permite que os participantes vejam a resposta do sistema

a desvios ao invs de apenas examinar as consequncias de falhas de componentes:
pode ser utilizada para identificar oportunidades de melhoria de processos e sistemas e geralmente
pode ser utilizada para identificar as aes que conduzam e melhorem suas probabilidades
de sucesso;
o envolvimento na oficina de trabalho por aqueles que so responsveis pelos controles existentes
e pelas aes de tratamento de riscos adicionais, reforam a sua responsabilidade:
cria um registro de riscos e plano de tratamento de riscos com um pouco mais de esforo:
embora muitas vezes uma classificao de riscos qualitativa ou sem i-quantitativa utilizada para
o processo de avaliao de riscos e para priorizar a ateno sobre as aes resultantes, a tcnica
SWIFT pode ser utilizada para identificar os riscos e perigos que podem ser levados adiante em
um estudo quantitativo,
Limitaes da tcnica SWIFT:
necessrio um facilitador experiente e capaz para que seja eficiente;
preparao cuidadosa necessria para que o tempo da equipe da oficina de trabalho no seja
desperdiado:
se a equipe da oficina de trabalho no tiver uma base suficientemente ampla de experincia ou se

o sistema de instrues no for abrangente, alguns riscos ou perigos podem no ser identificados;
a aplicao da tcnica em alto nvel pode no revelar causas complexas, detalhadas ou

,-<
correlacionadas,
o
cc
I-
B.10 Anlise de cenrios

u
8.10.1 Viso geral
A anlise de cenrios um nome dado para o desenvolvimento de modelos descritivos de como o

futuro poder ser. Pode ser utilizada para identificar os riscos, considerando possveis desenvolvimen
tos futuros e explorando suas implicaes. Os conjuntos de cenrios (por exemplo) 'melhor caso', 'pior
caso' e 'caso esperado', podem ser utilizados para analisar consequncias potenciais e suas probabi
lidades para cada cenrio como uma forma de anlise da sensibilidade ao analisar o risco.
40 () ISO/IEC 2009 -@ABNT2012 - Todos os direitos reservados
hroresso por Diretora de Gesto Intemn

o poder da anlise de cenrios ilustrado considerando as grandes mudanas ao longo dos ltimos
50 anos em tecnologia, as preferncias do consumidor, atitudes sociais etc. A anlise de cenrios no
pode prever as probabilidades de tais mudanas, mas pode considerar as consequncias e auxiliar as
organizaes a desenvolverem foras e resilincia necessrias para se adaptar s mudanas previsveis.
8.10.2 Utilizao
A anlise de cenrios pode ser utilzada para auxiliar na tomada de decises polticas e no planeja
menta de futuras estratgias, bem como considerar as atividades existentes. Pode desempenhar um
papel em todos os trs componentes do processo de avaliao de riscos. Para a identificao e an
lise, conjuntos de cenrios refletindo (por exemplo) melhor caso, pior caso e caso 'esperado', podem
ser utilizados para identificar o que poderia acontecer sob circunstncias especficas e analisar as
consequncias potenciais e suas probabilidades para cada cenrio.
A anlise de cenrios pode ser utilizada para antecipar como tanto ameaas quanto oportunidades
podem se desenvolver e pode ser utilizada para todos os tipos de risco com ambas escalas de tempo.
de curto e longo prazo. Com escalas de tempo de curto prazo e bons dados, os cenrios provveis
podem ser extrapolados a partir do presente. Para escalas de tempo de longo prazo ou com dados me
nos confiveis, a anlise de cenrios se torna mais imaginativa e pode ser referida como anlise futura.
A anlise de cenrios pode ser til quando houver grandes diferenas de distribuio entre resultados
positivos e resultados negativos no espao, tempo e grupos na comunidade ou numa organizao.
8.10.3 Entradas
o pr-requisito para uma anlise de cenrios uma equipe de pessoas que entre elas exista um
entendimento da natureza das mudanas pertinentes (por exemplo, possveis avanos em tecnologia)
e a imaginao para pensar no futuro sem necessariamente extrapolar o passado. O acesso a literatura
e dados sobre as mudanas que j esto ocorrendo tambm til.
8.10.4 Processo
A estrutura para a anlise de cenrios pode ser informal ou formal.
Tendo estabelecido uma equipe e canais pertinentes de comunicao, e definido o contexto do pro
blema e questes a serem consideradas, a prxima etapa identificar a natureza das mudanas que
possam ocorrer. Isto necessitar de pesquisa sobre as principais tendncias e o provvel momento de
mudanas nas tendncias, bem como o pensamento imaginativo sobre o futuro.
As alteraes a serem consideradas podem incluir:
mudanas externas (tais corno mudanas tecnolgicas);
decises que precisam ser tomadas num futuro prximo, porm que podem ter uma variedade
de resultados;
necessidades das partes interessadas e como elas podem mudar;
mudanas no macroambiente (regulatrio, demogrfico etc.). Algumas sero inevitveis e algu

mas sero incertas.
() ISO/IEC 2009 @ ABNT 2012. Todos os direito,; reservados 41
Impresso Dretorla de interne

Algumas vezes, uma mudana pode ser devida s consequncias de outro risco. Por exemplo, o risco
das alteraes climticas est resultando em mudanas na demanda do consumidor relacionadas
distncia percorrida no transporte de alimentos. Isto influenciar quais os alimentos podem ser
lucrativamente exportados, assim como quais almentos podem ser produzidos localmente.
Os fatores macro e locais ou tendncias podem agora ser listados e classificados por (1) importn
cia (2) incerteza. Ateno especial dada aos fatores que so mais importantes e mais incertos.
Os fatores-chave ou tendncas so mapeados uns contra os outros para mostrar reas onde os ce
nrios podem ser desenvolvidos.
Uma srie de cenrios proposta com cada um focando em uma mudana plausvel em parmetros.
Uma "histria" , ento, escrita para cada cenrio que explica como voc pode mover-se daqui em
direo ao cenrio especfico. As histrias podem incluir detalhes plausveis que agregam valor aos
cenrios.
Os cenrios podem ento ser utilizados para testar ou avaliar a questo original. O teste leva em
considerao quaisquer fatores significativos, porm previsveis (por exemplo, padres de uso) e em
seguida, explora como a poltica (atividade) seria 'bem sucedida' neste novo cenrio, e os resultados
de 'pr-testes' utilizando as perguntas "e se" baseadas em premissas do modelo.
Quando a pergunta ou proposta foi avaliada em relao a cada cenrio, pode ser bvio que seja
necessrio modific-lo para torn-lo mais robusto ou menos arriscado. Tambm convm que seja
possvel identificar alguns indicadores principais que mostrem quando a mudana estiver ocorrendo.
O monitoramento e a resposta aos indicadores principais podem fornecer oportunidade para mudanas
nas estratgias planejadas.
Uma vez que os cenrios so apenas "fatias" definidas de futuros possveis, importante ter certeza
de que levada em considerao a probabilidade da ocorrncia de um resultado especfico (cenrio),
ou seja, adotar uma estrutura de riscos. Por exemplo, quando os cenrios de melhor caso, pior caso e
caso esperado forem utilizados. convm que uma tentativa seja efetuada para qualifcar ou expressar
a probabilidade da ocorrncia de cada cenrio.
8.10.5 Sadas
Pode no haver cenrio que melhor se ajuste, porm, convm que se termine com uma percepo
mais clara da gama de opes e de como modificar o curso de ao escolhido conforme os indicadores
se movem.
A anlise de cenrios leva em considerao uma gama de futuros possveis que pode ser prefervel
abordagem tradicional de se basear em projees do tipo alta-mdia-baixa que assumem, por meio do
uso de dados histricos, que acontecimentos futuros provavelmente continuaro a seguir tendncias
passadas. Isto importante para situaes onde h pouco conhecimento atual sobre no que basear
as previses ou quando os riscos esto sendo considerados no futuro a longo prazo.
Este ponto forte, entretanto, tem uma fraqueza associada que aquela em que onde h alta incerteza,
alguns cenrios podem ser irreais.
,.v
'>.--.
iR As principais dificuldades na utilizao da anlise de cenrios esto associadas com a disponibilidade

de dados e a capacidade dos analistas e tomadores de deciso de serem capazes de desenvolver
cenrios realistas propcos a explorar os resultados possveis.
42 @ ISO/IEC 2009 . () ABNT 2012 . Todos os direitos reservados
por: Diretorl8 de Gesto Internb

Os perigos do uso da anlise de cenrios como uma ferramenta para tomada de decises que os
cenrios utilizados podem no ter um fundamento adequado; os dados podem ser especulativos; e
resultados irreais podem no ser reconhecidos como tal.
8.11 Anlise de impactos nos negcios (8IA)
8.11.1 Viso geral
A anlise de impactos nos negcios, tambm conhecida como avaliao de impacto nos negcios,
analisa como os principais riscos de ruptura poderiam afetar as operaes da organizao, e identifca
e quantifica as capacidades que seriam necessrias para gerenci-Ios. Especificamente, a SIA prev
um entendimento acordado de:
identificao e criticidade dos principais processos de
negcios, funes e recursos associados e as principais interdependncias que existem para

uma organizao:
como os eventos de ruptura afetaro a capacidade e a capabilidade de alcanar os objetivos cr

ticos do negcio;
capacidade e capabilidade necessrias para gerenciar o impacto de uma ruptura e recuperar

a organizao para nveis acordados de operao.
8.11.2 Utilizao
A SIA utilizada para determinar a criticidade e as escalas de tempo de recuperao de processos e

recursos associados (pessoas, equipamentos, tecnologia da informao), para assegurar o atendimento
continuado de objetivos. Alm disso. a SIA auxilia na determinao das interdependncias e inter
relaes entre os processos, partes internas e externas e toda a ligao da cadeia de fornecimento.
8.11.3 Entradas
uma equipe para realizar a anlise e desenvolver um plano:
informaes sobre os objetivos. o ambiente, as operaes e as interdependncias da organizao;
detalhes sobre as atividades e operaes da organizao. incluindo processos, recursos de suporte,

relacionamento com outras organizaes, arranjos de subcontratao, partes interessadas;
consequncias financeiras e operacionais de perdas em processos crticos;
questionrio preparado;
lista de entrevistados de reas pertinentes da organizao e/ou partes interessadas que sero
contactadas.
) ISO/IEC 2009 -@ABNT 2012 - Todos os direitos reservados 43
Impresso por: Dlretorla de Gesto Interna

8.11.4 Processo
A BIA pode ser realizada por meio de questionrios, entrevistas, oficinas de trabalho estruturadas ou
combinaes de todos os trs, para obter um entendimento dos processos crticos, os efeitos das per
das daqueles processos e escalas de tempo de recuperao requeridas e recursos de suporte.
As etapas chave incluem:
baseada na avaliao de riscos e vulnerabilidade, confirmao dos processos chave e sadas

da organizao para determinar a criticidade dos processos;
determinao das consequncias de uma ruptura nos processos crticos identificados em termos
financeiros e/ou operacionais, em perodos definidos;
identificao das interdependncias com as partes interessadas chave internas e externas. Isto
pode incluir o mapeamento da natureza das interdependncias ao longo da cadeia de fornecimento;
determinao dos recursos atualmente disponveis e o nvel essencial de recursos necessrios

para continuar a operar em um nvel mnimo aceitvel aps a ruptura:
identificao de solues e processos alternativos atualmente em uso ou planejados para serem

desenvolvidos. Solues e processos alternativos podem necessitar que sejam desenvolvidos
onde os recursos ou a capabilidade forem inacessveis ou insuficientes durante a ruptura;
determinao do tempo de interrupo mxima aceitvel (IMA) para cada processo com base
nas consequncias identificadas e os fatores crticos de sucesso para a funo. A IMA representa
o perodo de tempo mximo em que a organizao pode tolerar a perda de capabilidade;
determinao do(s) objetivo(s) do tempo de recuperao (OTR) para quaisquer equipamentos

especializados ou tecnologia da informao. O OTR representa o tempo durante o qual a orga
nizao pretende recuperar a capabildade dos equipamentos especializados ou a tecnologia
da informao;
confirmao do atual nvel de preparao dos processos crticos para gerenciar uma ruptura.
Isto pode incluir avaliar o nvel de redundncia dentro do processo (por exemplo, equipamentos
sobressalentes) ou a existncia de fornecedores alternativos.
8.11.5 Sadas
As sadas so as seguintes:
uma lista de prioridades de processos crticos e interdependncias associadas;
impactos financeiros e operacionais documentados originados de uma perda dos processos

crticos:
recursos de suporte necessrios para os processos crticos identificados;
escalas de tempo de interrupo do processo crtico e as escalas de tempo de recuperao

associadas tecnologia da informao.
44 @ ISO/IEC 2000 () ABNT 2012 - Todos os direitos reservados
rnpr"ess.opor: Diretoria de Gesto Interna

Os pontos fortes da BIA incluem:
uma compreenso dos processos crticos que fornece organizao a capacidade de continuar
a atingir seus objetivos declarados:
uma compreenso dos recursos requeridos:
uma oportunidade para redefinir o processo operacional de uma organizao para auxiliar na
resilincia da organizao.
falta de conhecimento dos participantes envolvidos no preenchimento de questionrios, na reali

zao de entrevistas ou em oficinas de trabalho:
as dinmicas de grupo podem afetar a anlise completa de um processo crtico;
expectativas simplistas ou super-otimistas dos requisitos de recuperao;
dificuldade em obter um nvel adequado de compreenso das operaes e atividades da

organizao.
8.12 Anlise de causa-raiz (RCA)
8.12.1 Viso geral
A anlise de uma grande perda para evitar a sua recorrnca comumente referida como Anlise de
Causa-Raiz (RCA), Anlise de Falhas de Causa-Raiz (RCFA) ou anlise da perda. A RCA focada
nas perdas dos ativos devidas a vrios tipos de falhas enquanto a anlise da perda est relacionada
principalmente s perdas financeiras ou econmicas devido a fatores externos ou catstrofes. Esta
anlise tenta identificar a raiz ou causas originais ao invs de lidar somente com os sintomas imedia
tamente bvios. reconhecido que a ao corretiva nem sempre pode ser totalmente eficaz e que a
melhoria contnua pode ser requerida. A RCA mais frequentemente aplicada para a avaliao de
uma grande perda, mas tambm pode ser utilizada para analisar as perdas de uma forma mais global
a fim de determinar onde as melhorias podem ser efetuadas.
8.12.2 Utilizao
A RCA aplicada em vrios contextos, com as seguintes grandes reas de uso:
a RCA baseada na segurana utilizada para investigaes de acidentes e de sade e segu

rana ocupacional;
a anlise de falhas utilizada em sistemas tecnolgicos relacionados confiabilidade e manuteno;
a RCA baseada na produo aplicada no campo do controle da qualidade para a fabricao

industrial;
a RCA baseada no processo focada em processos de negcio;
() ISO/IEC 2009 -@ABNT 2012 - Todos os direitos reservados 45
i'rpresso por: Dretcma de Gesto Interna

a RCA baseada em sistemas foi desenvolvida como uma combinao das reas anteriores para
lidar com sistemas complexos, com aplicao em gesto de mudanas, gesto de riscos e anlise
de sistemas.
8.12.3 Entradas
A entrada bsica para uma RCA toda a evidncia coletada da falha ou perda. Dados da outras falhas
similares tambm podem ser considerados na anlise. Outras entradas podem ser resultados que so
utilizados para testar hipteses especficas.
8.12.4 Processo
Quando a necessidade de uma RCA for identificada, um grupo de especialistas apontado para
realizar a anlise e fazer recomendaes. O tipo de especialista ser em muitas vezes dependente do
conhecimento especfico necessrio para analisar a falha.
Embora diferentes mtodos possam ser utilizados para realizar a anlise, as etapas bsicas na exe
cuo de uma RCA so similares e incluem:
formao da equipe;
estabelecer o escopo e os objetivos da RCA:
coletar dados e evidncias da falha ou perda;
realizar uma anlise estruturada para determinar a causa-raiz:
desenvolver solues e fazer recomendaes;
implementar as recomendaes;
verificar o sucesso das recomendaes implementadas.
As tcnicas de anlise estruturada podem consistir em um dos seguintes procedimentos:
a tcnica dos H5 porqus", ou seja, repetidamente perguntar 'por qu?' para remover camadas
da causa e sub-causa:
anlise do modo e efeito de falhas;

cr:
o
o
< anlise de rvore de falhas;
-J
n
:Y
r diagramas de espinha de peixe ou lshikawa;
z
o
u
anlise de Pareto;
()
.2
:j mapeamento da causa raiz.

()
A avaliao das causas muitas vezes progride de causas fsicas inicialmente evidentes para causas
humanas e finalmente para causas de gesto ou fundamentais subjacentes. Os fatores causais devem
poder ser controlados ou eliminados pelas partes envolvidas a fim de que a ao corretiva seja eficaz
e tiL
46 @ ISO/IEC 2009 - @ABNT 2012 - Todos os direitos reservados
Impresso DiretOr'l8 de Gesto Inferna

8.12.5 Sadas
As sadas de uma RCA incluem:
documentao de dados e evidncias coletados:
hipteses consideradas;
concluso sobre as causas razes mais provveis para a falha ou perda;
recomendaes para ao corretiva.
envolvimento de especialistas aplicveis trabalhando num ambiente de equipe:
anlise estruturada;
considerao de todas as hipteses provveis;
documentao dos resultados;
necessidade de produzir recomendaes finais.
Limitaes de uma RCA:
especialistas necessrios podem no estar disponveis;
evidncias crticas podem ser destrudas na falha ou removidas durante a limpeza;
a equipe pode no ter disposio tempo ou recursos suficientes para uma avaliao completa
da situao;
pode no ser possvel implementar adequadamente as recomendaes.
B.13 Anlise de modo e efeito de falha (FMEA) e anlise de modo, efeito e

criticidade de falha (FMECA)
8.13.1 Viso geral
A anlise de modo e efeito de falha (FMEA) uma tcnica utilizada para identificar as formas em que
componentes, sistemas ou processos podem falhar em atender o intuito de seu projeto.

i A FMEA identifica:
x
o
"
J, todos os modos de falha potenciais das vrias partes de um sistema (um modo de falha aquilo
::)
que observado ao falhar ou ao desempenhar incorretamente);
os efeitos que estas falhas podem ter no sistema;
(9 ISOlEC 2009 . @ABNT 2012 Todos os direitos reservados 47
lirpre"so Gesto Interna

os mecanismos de falha;
como evitar as falhas elou mitigar os efeitos das falhas no sistema.
A anlise de modo, efeito e criticidade de falha FMECA estende uma FMEA de modo que cada modo
de falha identificado seja classificado de acordo com a sua importncia ou criticidade.
Esta anlise de criticidade normalmente qualitativa ou semiquantitativa, porm pode ser quantificada
utilizando taxas reais de falha.
8.13.2 Utilizao
Existem diversas aplicaes da FMEA: FMEA de Projeto (ou produto), que utilizada para componentes
e produtos; FMEA de sistema que utilizada para sistemas; FMEA de Processo, que utilizada para
processos de manufatura e montagem; FMEA de Servio; e FMEA de Software.
A FMEA/FMECA pode ser aplicada durante o projeto, rnanufatura ou operao de um sistema fsico.
Para melhorar a garantia de funcionamento, entretanto, as mudanas so normalmente mais facilmente

implementadas no estgio de projeto. A FMEA e FMECA tambm podem ser aplicadas a processos e
procedimentos. Por exemplo, utilizada para identificar o potencial para erros mdicos nos sistemas
de sade e falhas nos procedimentos de manuteno.
A FMEA/FMECA pode ser utilizada para
auxiliar na seleo de alternativas de projeto com elevada garantia de funcionamento,
assegurar que todos os modos de falha de sistemas e processos e seus efeitos no sucesso ope
racional foram considerados,
,..
<5> identificar os modos e efeitos de erros humanos,
o fornecer uma base para o planejamento de testes e manuteno de sistemas fsicos,

,
Z
::J
melhorar o projeto de procedimentos e processos,
<:
O
fornecer informaes qualitativas ou quantitativas para tcnicas de anlise, como anlise de r

vore de falhas.
A FMEA/FMECA pode fornecer entradas para outras tcnicas de anlises, como anlise de rvore
de falhas em um nvel qualitativo ou quantitativo.
8.13.3 Entradas
A FMEA e a FMECA necessitam de informaes sobre os elementos do sistema em detalhes sufi

cientes para anlise do significado das formas em que cada elemento pode falhar. Para uma FMEA
de Projeto detalhada, o elemento pode estar no nvel de componente individual detalhado, enquanto
que. para FMEA de Sistemas de alto nvel, os elementos podem ser definidos em um nvel superior.
As informaes podem incluir:
desenhos ou um fluxograma do sistema que est sendo analisado e seus componentes, ou

as etapas de um processo;
48 @ ISO/IEC 2009 -@ABNT2012 - Todos os direitos reservados
irrpresso por Dn<cria de Gesto Interna

ABNT NBR ISOIJEC 31010:2012
uma compreenso da funo de cada etapa de um processo ou componente de um sistema;
detalhes dos parmetros ambientais e outros parmetros que podem afetar a operao;
uma compreenso dos resultados de falhas especficas;
informaes histricas sobre falhas, incluindo dados da taxa de falha, quando disponiveis.
8.13.4 Processo
o processo de FMEA o seguinte:
a) definir o escopo e objetivos do estudo:
b) montar a equipe;
c) entender o sistema/processo a ser submetido ao FMECA;
d) desdobrar o sistema em seus componentes ou etapas;
e) definir a funo de cada etapa ou componente:
f) para cada componente ou etapa listado, identificar:
como pode ser concebvel cada parte falhar?
quais mecanismos podem produzir estes modos de falha?
quais podem ser os efeitos se as falhas ocorrerem?
a falha inofensiva ou prejudicial?
como a falha detectada?
g) identificar as medidas inerentes ao projeto para compensar a falha.
Para a FMECA, a equipe de estudo prossegue na classificao de cada um dos modos de falha
identificados, de acordo com a sua criticidade.
Existem diversas maneiras de como isto pode ser feito. Os mtodos comuns incluem
o ndice de criticidade de modo,
o nvel de risco,
o nmero de prioridade de risco.
O modelo de critcidade uma medida da probabilidade de que o modo a ser considerado resultar
em falha do sistema como um todo; definido como:
Probabilidade do efeito de falha" Taxa do modo de falha * Tempo de operao do sistema
mais frequentemente aplicado a falhas em equipamentos onde cada um desses termos pode ser
definido quantitativamente e todos os modos de falha tm a mesma consequncia.
({.) ISO/IEC 2009 - @ ABNT 2012 -iodos os djreito; reservados 49
por. D!r<:<oria de Gesto Intenla

o nvel de risco obtido pela combinao das consequncias da ocorrncia de um modo de falha
com a probabilidade de falha. utilizado quando as consequncias de diferentes modos de falha
diferem e pode ser aplicado a sistemas de equipamentos ou processos. O nvel de risco pode ser ex
presso qualitativa, semiquanttativa ou quantitativamente.
O nmero de prioridade de risco (NPR) uma medida semiquantitativa da criticidade. obtido pela mul
tiplicao de nmeros em escalas de classificao (normalmente entre 1 e 10) para consequncia de
falha, probabilidade de falha e capacidade de detectar o problema. ( falha dada uma maior priori
dade, se ela for difcil de detectar). Este mtodo utilizado frequentemente em aplicaes de garantia
da qualidade.
Uma vez que os modos e os mecanismos de falha so identificados, aes corretivas podem ser
definidas e implementadas para os modos de falha mais significativos.
A FMEA documentada em um relatrio que contm:
detalhes do sistema que foi analisado;
a forma como o exerccio foi conduzido;
premissas feitas na anlise;
fontes de dados;
os resultados, incluindo as planilhas preenchidas;
a criticidade (se finalizada) e a metodologia utilizada para defini-Ia;
quaisquer recomendaes para anlises adicionais. alteraes de projeto ou caractersticas

::'\
0:.> a serem incorporadas em planos de teste, etc.

(.0
O sistema pode ser reavaliado por um outro ciclo de FMEA aps as aes terem sido completadas.
8.13.5 Sadas
A sada principal da FMEA uma lista de modos de falha, os mecanismos de falha e os efeitos
para cada componente ou etapa de um sistema ou processo (que podem incluir informaes sobre a
probabilidade de falha). Tambm so dadas informaes sobre as causas da falha e as consequncias
ao sistema como um todo. A sada da FMECA inclui uma classificao de importncia com base
na probabilidade de que o sistema ir falhar, o nvel de risco resultante do modo de falha ou uma
combinao do nvel de risco e a 'detectabilidade' do modo de falha.
A FMECA pode dar uma sada quantitativa se dados adequados da taxa de falha e consequncias
quantitativas forem utilizados.
Os pontos fortes da FMEA/FMECA so os seguintes:

.,
amplamente aplicvel a modos de falha humana, de equipamentos, e de sistemas, e para

hardware, software e procedimentos;
Q.
""
ri identificar modos de falha de componentes, suas causas e seus efeitos sobre o sistema, e apre-
di sent-los em um formato facilmente legvel:
><
UJ
50 ', ISO/IEC 200) -@ABNT2012 - Todos os direitos reservados
Impresso , Dretona de Gesto Intemd

evitar a necessidade de modificaes muito dispendiosas no equipamento em servio por meio

da identificao antecipada de problemas no processo de projeto:
identificar os modos de falha pontuais e requisitos para sistemas redundantes ou de segurana;
fornecer entrada para o desenvolvimento de programas de monitoramento, destacando as carac

tersticas chave a serem monitoradas.
s poder ser utilzada para identificar modos de falha singulares e no as combinaes de modos
de falha;
a menos que sejam adequadamente controlados e focados, os estudos podem ser demorados
e onerosos;
pode ser difcil e tediosa para sistemas multi-camadas complexos.
B.13.7 Documento de referncia
I EC 60812. AnaJysis techniques for system reliability - Proeedures for fa/ure mode and effeet
anaJysis (FMEA)
8.14 Anlise de rvore de falhas (FTA)
8.14.1 Viso geral
A FTA uma tcnica para identificar e analisar os fatores que podem contribuir para um evento
especfico indesejado (chamado "evento de topo"). Fatores causais so identificados por deduo e
organizados de uma maneira lgica e representados pictograficamente em um diagrama de rvore
que descreve os fatores causais e sua relao lgica com o evento de topo.
Os fatores identificados na rvore podem ser eventos que esto associados a falhas de componente de
equipamentos, erros humanos ou quaisquer outros eventos pertinentes que levem ao evento indesejado.
(j';> ISO/IEC 2009 . @ ABNT 2012. Todos os direitos reservados 51
hnpressc por: Diretona de Gest<o interna

Sem &inal de partida
Falha
mecmca 110
gciiador
Smbolos
o
F30ttn E . a i<:"llha ctorre ;e todos os e\jf:I1U:; de
O:1iri1(.1H torm' verdad{ifOS
G
Pcrt: OU .:"1 falha GCQrr(i S qU3lsCjl.JBr ;;::vBntos (le
nntud:.l fOlcn, vNrJaddr:..
o Even!s de !)as'; . analise adicionai f:BO tJ1H

<> ;;f,D """'",'urJos ad'e."atmcnte ne"te
CJ [".'.tentos qu{- 'Aii) anaHsados adc\onaHN'Jn1
& EVt::llto anaJisado no Po:);o A numa pagina cilfert"!nte
Figura B.2 - Exemplo de uma anlise de rvore de falhas (FTA) da IEC 60300-3-9
8.14.2 Utilizao
Uma rvore de falhas pode ser utilizada qualitativamente para identificar potenciais causas e os
caminhos para uma falha (o evento de topo) ou quantitativamente para calcular a probabilidade do
evento de topo, dado o conhecimento das probabilidades de eventos causais.
Pode ser utilizada no estgio de projeto de um sistema para identificar potenciais causas de falha
e consequentemente selecionar entre diferentes opes de projeto. Ela pode ser utilizada na fase
de operao para identificar como as principais falhas podem ocorrer e a importncia relativa dos
diferentes caminhos para o evento principal. Uma rvore de falhas tambm pode ser utilizada para
analisar uma falha que ocorreu, mostrando esquematicamente como eventos diferentes se uniram
para causar a falha.
8.14.3 Entradas
Para a anlise qualitativa, uma compreenso do sistema e das causas da falha so requeridas, bem
como uma compreenso tcnica de como o sistema pode falhar. Diagramas detalhados so teis para
auxiliar a anlise.
Para a anlise quantitativa, dados sobre as taxas de falha ou probabilidade de ser um estado de falha
para todos os eventos bsicos na rvore de falhas so requeridos.
8.14.4 Processo
')
3 As etapas para o desenvolvimento de uma rvore de falhas so as seguintes:
O evento de topo a ser analisado definido. Este pode ser uma falha ou pode ser um resultado
mais abrangente dessa falha. Quando o resultado analisado, a rvore pode conter uma seo
relaconada mitigao da falha concreta.
52 @ ISO/IEC 200B ' () ABNT 2012 - Todos os direitos reservados
Lnpresso por: Dtreton8 de Gestao Interna

Iniciando com o evento de topo, os possveis modos de falha e causas imediatos que conduzem
ao evento de topo so identificados.
Cada um destes modos causas/falhas analisado para identificar como sua falha poderia ter
sido causada.
A identificao passo a passo da operao indesejada do sistema acompanhada at nveis

sucessivamente inferiores do sistema at que uma anlise adicional se torne improdutiva. Em um
sistema de equipamento isto pode ser o nvel de falha do componente. Eventos e falores causais
no nvel mais baixo do sistema analisado so conhecidos como eventos de base.
Quando probabilidades podem ser atribudas a eventos de base, a probabilidade do evento de

topo pode ser calculada. Para que a quantificao seja vlida, deve ser possvel demonstrar
que, para cada porta, todas as entradas so tanto necessrias quanto suficientes para produzir
o evento de sada. Se este no for o caso, a rvore de falhas no vlida para a anlise de
probabilidade, mas pode ser uma ferramenta til para mostrar relaes causais.
Como parte da quantificao, a rvore de falhas pode necessitar ser simplificada utilizando lgebra
Booleana para levar em conta os modos de falha duplicados,
Assim como fornece uma estimativa da probabilidade do evento principal, conjuntos mnimos de corte,
os quais formam caminhos individuais separados para o evento principal, podem ser identificados e
sua influncia no evento de topo calculada.
Exceto para rvore de falhas simples, um pacote de software necessrio para manipular apropria
damente os clculos quando eventos repetidos estiverem presentes em diversos locais na rvore de
falhas e para calcular os conjuntos mnimos de corte, As ferramentas de software ajudam a assegurar
a consistncia. correo e verificablidade.
8.14.5 Sadas
As sadas da anlise de rvore de falhas so as seguintes:
uma representao pictogrfica de como o evento de topo pode ocorrer mostrando os caminhos
de interao onde dois ou mais eventos simultneos devem ocorrer;
uma lista de cortes mnimos (caminhos individuais para a falha) com (onde dados forem dispon
veis) a probabilidade com que cada um ocorrer;
a probabilidade do evento de topo.
Os pontos fortes da FTA so:
Ela proporciona uma abordagem disciplinada que altamente sistemtica, porm, ao mesmo tem
po suficientemente flexvel, para permitir a anlise de uma variedade de fatores, incluindo intera
es humanas e fenmenos fsicos.
A aplicao da abordagem "top-down", implcita na tcnica, foca a ateno nos efeitos da falha
que esto diretamente relacionados com o evento de topo.
A AAF especialmente til para a anlise de sistemas com muitas interfaces e interaes,
() ISO/IEC 2009. i!;) ABNT 2012. Todos os direitos reservados 53
ITPres::;o por: Diretora de Gesto !rotem:;

A representao pictogrfica conduz a um fcil entendimento do comportamento do sistema e

dos fatores includos, porm, como as rvores so muitas vezes grandes, o processamento das
rvores de falhas pode requerer sistemas computacionais. Esta caracterstica permite a Incluso
de relaes lgicas mais complexas (por exemplo, NAND e NOR), mas tambm dificulta a veri
ficao das rvores de falhas.
A anlise lgica das rvores de falhas e a identificao de conjuntos de corte til na identifica
o de caminhos de falha Simples em um sistema muito complexo, onde combinaes especficas
de eventos que levam ao evento de topo podem ser negligenciadas.
Incertezas nas probabilidades dos eventos de base so includas nos clculos da probabilidade
do evento de topo. Isto pode resultar em altos nveis de incerteza quando as probabilidades de
falha no evento de base no so conhecidas com exatido: entretanto, um alto grau de conflana
possvel em um sistema bem entendido.
.. Em algumas situaes, os eventos causais no esto reunidos e pode ser difcil assegurar se
todos os caminhos importantes para o evento de topo esto includos. Por exemplo, incluir todas
as fontes de ignio em uma anlise de um incndio como um evento de topo. Nesta situao,
a anlise da probabilidade no possvel.
A rvore de falhas um modelo esttico; interdependncias de tempo no so tratadas.
.. As rvores de falhas podem lidar apenas com estados binrios (falhou/no falhou).
.. Enquanto os modos de erro humano podem ser includos em uma rvore de falhas qualitativa,
geralmente falhas de grau ou qualidade, que muitas vezes caracterizam o erro humano, no po
dem ser facilmente includas.
Uma rvore de falhas no permite que efeitos domin ou falhas condicionais sejam facilmente
includos.
8.14.7 Documento de referncia
IEC 61025, Fau!t tree analyss (FTA)
IEC 60300-3-9, Dependabilty management - Part 3: Applcation guide - Secton 9: Rsk analyss of
technologca/ systems
8.15 Anlise de rvore de eventos (ETA)
8.15.1 Viso geral
A ETA uma tcnica grfica para representai' as sequncias mutuamente excludentes de eventos
aps um evento iniciador de acordo com o funcionamento/no funcionamento dos vrios sistemas
projetados para mitigar as suas consequncias (ver Figura 8.3). Pode ser aplicada qualitativa e
quantitativamente.
54 (\i) ISO/IEC 2009 -@ABNT2012 - Todos os direitos reservados
lirpresso Dretoria de Gsstao Interna

o f.;istema ele O alarme de

Incio do Inicio de W'n Frequncia
asperso incndio Resultado
even!o i:"\cnliio ,por ano)
funCiona ativado
Incndio
Sim
0,999
controlado 7,9 " 1fi
Sim com alarrru.3
O qq
Incndio
No
conirolacio 7,9 x lO"
0,001
sem alal"nld
Sim
0,8
Incndio
Sim
descontrolado g,O x 10>
0,999
com alanne
No
Exploso 0,01 in':ndlo
Njo
10 descontrolado g,O x W"
por ano 0,001
;()rn alarme
Ndo
Sem inc!;ndio 2,0 x 103
0,2
Figura B.3 - Exemplo de uma rvore de eventos
A Figura B.3 mostra clculos simples para uma amostra de rvore de eventos, quando as ramificaes
so totalmente independentes.
Desdobrando-se como uma rvore, a ETA capaz de representar os eventos agravantes ou atenuantes
em resposta ao evento iniciador, levando em considerao sistemas, funes ou barreiras adicionais.
8.15.2 Utilizao
A ETA pode ser utilizada para modelagem, clculo e classificao (do ponto de vista de um risco) de
diferentes cenrios de acidentes aps o evento iniciador.
A ETA pode ser utilizada em qualquer estgio do ciclo de vida de um produto ou processo. Pode ser
utilizada qualitativamente para auxiliar o branstorm de cenrios potenciais e sequncias de eventos
.J
aps um evento iniciador e tambm como os resultados so afetados por vrios tratamentos, barreiras
ou controles destinados a atenuar resultados indesejados.
A anlise quantitativa presta-se a considerar a aceitabilidade dos controles. mais frequentemente

utilizada para modelar falhas onde existem mltiplas protees.
A ETA pode ser utilizada para modelar os eventos iniciadores que possam trazer perda ou ganho.
Entretanto, as circunstncias onde os caminhos para otimizar o ganho so procuradas, so mais fre
quentemente modeladas utilizando uma rvore de decises.
8.15.3 Entradas
uma lsta de eventos iniciadores apropriados:
informaes sobre tratamentos, barreiras e controles. e suas probabilidades de falha (para anli
ses quantitativas);
o entendimento dos processos pelos quais uma falha inicial se intensifica.
(Ii) ISO!IEC 2009. @ABNT 2012. Todos os direitos reservados 55
por: Dretoria d( Gesto Interne

8.15.4 Processo
Uma rvore de eventos comea selecionando-se um evento iniciador. Isto pode ser um incidente
tal como uma exploso de p ou um evento causal, tal como uma falha de energia. As funes ou
sistemas que esto em prtica para atenuar os resultados so ento listados em sequncia. Para cada
funo ou sistema, uma linha desenhada para representar seu sucesso ou falha. Uma probabilidade
especfica de falha pode ser atribuda a cada linha, com esta probabilidade condicional estimada, por
exemplo, por julgamento de especialistas ou uma anlise da rvore de falhas. Desta forma, diferentes
caminhos a partir do evento iniciador so modelados.
Note-se que as probabilidades na rvore de eventos so probabilidades condicionais, por exemplo,

a probabilidade de funcionamento de um chuveiro automtico para extino de incndio no a
probabilidade obtida a partir de ensaios sob condies normais, mas a probabilidade de funcionamento
sob condies de incndio causadas por uma exploso.
Cada caminho atravs da rvore representa a probabilidade de que todos os eventos naquele ca
minho ocorrero. Portanto, a frequncia do resultado representada pelo produto das probabili
dades condicionais individuais e a frequncia do evento iniciador, uma vez que os vrios eventos
so independentes.
8.15.5 Sadas
As sadas da ETA incluem o seguinte:
descries qualitativas de potenciais problemas como combinaes de eventos que produzem

vrios tipos de problemas (faixa de resultados) a partir dos eventos iniciadores;
estmativas quantitativas das frequncias ou probabilidades do evento e a importncia relativa

de vrias sequncias de falha e eventos contribuintes;
listas de recomendaes para reduzir os riscos;
avaliaes quantitativas da eficcia da recomendao.
, Os pontos fortes da ETA so os seguintes:

a ETA apresenta de uma forma grfica clara os cenrios potenciais analisados que sucedem um
evento iniciador e o impacto do sucesso ou da falha dos sistemas ou funes de atenuao:
representa o tempo, a dependncia e os efeitos domin que so difceis de modelar em rvores

de falhas;
representa graficamente sequncias de eventos que no so possveis de representar ao utilizar

rvores de falhas.
a fim de utilizar a ETA como parte de uma avaliao abrangente, todos os eventos iniciadores
potenciais precisam ser identificados. Isto pode ser efetuado utilizando outro mtodo de anlise
(por exemplo, HAZOp, APP), entretanto, existe sempre um potencial para a perda de alguns even
tos iniciadores importantes;
56 @ ISO/IEC 2009. () ABNT 2012. Todos os direitos reservados
Lrpresso [)jretcria de Gestao Interna

com as rvores de eventos. somente os estados de sucesso e falha de um sistema so tratados,

e difcil incorporar sucessos atrasados ou eventos de recuperao;
qualquer caminho condicional em relao aos eventos que ocorrem em pontos anteriores ao longo
do caminho. Muitas dependncias ao longo dos caminhos possveis so, portanto, tratadas. Entretan
to, algumas dependncias (componentes comuns, sistemas de consumo (utlity) e operadores, por
exemplo) podem ser ignoradas dando lugar a estimativas otimistas do risco se no forem cuidadosa
mente tratadas.
8.16 Anlise de causa e consequncia
8.16.1 Generalidades
A anlise de causa e consequncia uma combinao da anlise da rvore de falhas e rvore de

eventos. Ela comea a partir de um evento crtico e analisa as consequncias por meio de uma com
binao de portas lgicas SIM/NO que representam condies que podem ocorrer ou falhas de
sistemas projetados para atenuar as consequncias do evento iniciador. As causas das condies ou
falhas so analisadas por meio de rvores de falhas (ver Seo B.15).
8.16.2 Utilizao
A anlise de causa e consequncia foi originalmente desenvolvida como uma ferramenta de confiab
lidade para sistemas crticos de segurana para fornecer um entendimento mais completo das falhas
no sistema. Semelhante anlise de rvore de falhas, a anlise de causa e consequncia utilizada
para representar a lgica da falha que leva a um evento crtico, porm ela se acrescenta funcio
nalidade de uma rvore de falha, permitindo que as falhas sequenciais de tempo sejam analisadas.
O mtodo tambm permite retardos de tempo a serem incorporados anlise da consequncia o que
no possvel com a rvore de eventos.
O mtodo utilizado para analisar os vrios caminhos que um sistema tomaria aps um evento
crtico em funo do comportamento dos subsistemas especficos (tais como sistemas de resposta
de emergncia). Se forem quantificados, eles daro uma estimativa da probabilidade de diferentes
consequncias possveis aps um evento crtico.
:::( Como cada sequncia em um diagrama de causa e consequncia uma combinao de rvores de
cr:
w subfalhas, a anlise de causa e consequncia pode ser utilizada como uma ferramenta para construir
l)
<1: grandes rvores de falhas.
fi
o
o Diagramas so complexos de produzir e utilizar, e tendem a ser usados quando a magnitude da con-
<[
o sequncia potencial de falha justifica esforos intensivos.
o::

o
8.16.3 Entradas
Um entendimento do sistema e seus modos de falha e cenrios de falha requerido.
8.16.4 Processo
2 A Figura 8.4 mostra um diagrama conceituai de uma anlise de causa e consequncia tpica.
m
:v
'-
(1
(i
) ISO/IEC 2009. () ABNT 2012. Todos os direitos reservados 57
, Dreroria de Gesrao Interna

'--,
.: O O Arvore de falha a
J,
O AI vare de faltla 2
Figura B.4 - Exemplo de anlise causa e conseqncia
a) Identificar o evento crtico (ou iniciador) (equivalente ao evento de topo de uma rvore de falha
e o evento iniciador de uma rvore de evento).
b) Desenvolver e validar a rvore de falha quanto s causas do evento iniciador, conforme descrito na
Seo 8.14. Os mesmos smbolos so utilizados como na anlise da rvore de falha convencional.
c) Decidir a ordem em que as condies devem ser consideradas. Convm que isto seja uma
sequncia lgica, como a sequncia de tempo em que elas ocorrem.
d) Construir os caminhos para as consequncias, em funo das diferentes condies. Isto similar
a uma rvore de evento, porm a separao em caminhos da rvore de evento mostrada como
uma caixa rotulada com a condio especfica aplicvel.
e) Uma vez que as falhas para cada caixa de condio so independentes, a probabilidade de cada
consequncia pode ser calculada. Isto conseguido em primeiro lugar atribuindo-se probabili
dades para cada sada da caixa de condio (utilizando as rvores de falhas pertinentes. como
apropriado). A probabilidade de qualquer uma das sequncias que conduz a uma consequncia
especfica obtida multiplicando as probabilidades de cada sequncia de condies que termina
nessa consequncia especfica. Se mais de uma sequncia terminar com a mesma consequn
cia, as probabilidades de cada sequncia so somadas. Se houver dependncias entre falhas de
condies em uma sequncia (por exemplo, uma falha de energia pode causar diversas condi
es para falha), ento convm que as dependncias sejam tratadas antes do clculo.
8.16.5 Sada
A sada da anlise de causa e consequncia uma representao esquemtica de como um

sistema pode falhar mostrando tanto as causas como as conseqncias, alm de uma estimativa da
58 @ ISOilEC 2009 - (j ABNT 2012 - Todos os direitos reservados
Impresso per: Direton3 de Gesto interna

probabilidade de ocorrncia de cada consequncia potencial com base na anlise das probabilidades
de ocorrncia de condies especficas aps o evento crtico.
As vantagens da anlise de causa e consequncia so as mesmas das rvores de evento e rvores de

falhas combinadas. Alm disso, ela supera algumas das limitaes dessas tcnicas ao ser capaz de
analisar eventos que se desenvolvam ao longo do tempo. A anlise de causa e consequncia fornece
uma viso abrangente do sistema.
A limitao que mais complexa do que a anlise da rvore de falha e rvore de evento, tanto para
construir quanto na maneira em que as dependncias so tratadas durante a quantificao.
B.17 Anlise de causa e efeito
8.17.1 Viso geral
A anlise de causa e efeito um mtodo estruturado para identificar as possveis causas de um evento
ou problema indesejado. Ele organiza os possveis fatores contributivos em categorias amplas de modo
que todas as hipteses possveis possam ser consideradas. Entretanto, por si s no aponta para as
causas reais. j que estas somente podem ser determinadas por evidncia real e testes empricos
de hipteses. A informao organizada em diagramas de espinha de peixe (tambm chamados de
Ishikawa) ou por vezes em diagramas de rvore (ver 8.17.4).
8.17.2 Utilizao
A anlise de causa e efeito fornece uma visualizao grfica estruturada de uma lista de causas para
um efeito especfico. O efeito pode ser positivo (um objetvo) ou negativo (um problema), dependendo
do contexto.
utilizada para permitir a considerao de todos os cenrios e causas possveis gerados por uma
equipe de especialistas e permite que o consenso seja estabelecido quanto s causas mais provveis
que podem ser testadas empiricamente ou pela avaliao de dados disponveis. mais vantajosa no
incio de uma anlise para ampliar a reflexo sobre as possveis causas e, em seguida, para estabe
lecer as potenciais hipteses que podem ser consideradas mais formalmente.
A construo de um diagrama de causa e efeito pode ser realizada quando houver necessidade de:
identificar as possveis causas-raiz, as razes bsicas, para um efeito, problema ou condio

especficos:
classificar e correlacionar algumas das interaes entre os fatores que afetam um processo
especfico:
. analisar os problemas existentes de modo que aes corretivas possam ser tomadas.
'0
><
o
Os benefcios de construir um diagrama de causa e efeito incluem:
concentrar a ateno dos membros da equipe de analistas sobre um problema especfico;
ajudar a determinar as causas-raiz de um problema utilizando uma abordagem estruturada;

Iii
(!) ISO/IEC 2009 -@ABNT 2012 - Todos os direitos reservados 59
Impresso , Dlretorla de Gest2G Interna

incentivar a participao do grupo e utilizar o conhecimento do grupo para o produto ou processo;
utilizar um formato ordenado de fcil leitura para diagramar as relaes de causa e efeito;
indicar as possveis causas de variao em um processo;
identificar reas onde convm que dados sejam coletados para um estudo adicional.
A anlise de causa e efeito pode ser utilizada como um mtodo na realizao da anlise de causa-raiz
(ver Seo 8.12).
8.17.3 Entradas
A entrada para uma anlise de causa e efeito pode ser proveniente de conhecimentos e experincia
dos participantes ou de um modelo previamente desenvolvido que tenha sido utilizado no passado.
8.17.4 Processo
Convm que a anlise de causa e efeito seja realizada por uma equipe de especialistas com conheci
mento no problema que requer soluo.
As etapas bsicas na realizao de uma anlise de causa e efeito so as seguintes:
estabelecer o efeito a ser analisado e coloc-lo em uma caixa. O efeito pode ser positivo (um obje
tivo) ou negativo (um problema), dependendo das circunstncias;
determinar as principais categorias de causas representadas por caixas no diagrama de espi

nha de peixe. Normalmente. para um problema de sistema, as categorias podem ser pessoas,
equipamentos, ambiente, processos etc. Entretanto, estas so escolhidas para se adequarem ao
contexto especfico;
preencher as possveis causas para cada categoria principal com ramificaes e sub-ramifica
es para descrever a relao entre elas;
(3 continuar perguntando "por qu?" ou "o que causou isto?" para conectar as causas:
analisar criticamente todas as ramificaes para verificar a consistncia e a completeza e para

q assegurar que as causas aplicam-se ao efeito principal;
S;
G::
9 identificar as causas mais provveis com base na opinio da equipe e evidncia disponveis.
i.....l
o Os resultados so normalmente exibidos como um diagrama de espinha de peixe, ou Ishikawa, ou

CL
diagrama de rvore. O diagrama de espinha de peixe estruturado separando as causas em catego
Z
!'"
'.. ../ rias principais (representadas pelas linhas que saem da espinha dorsal do peixe) com ramificaes e
sub-ramificaes que descrevem as causas mais especficas nestas categorias.
60 @ ISOlEC 2009 -@ABNT 2012 - Todos os direitos res)rvados
knpres)o por: Diretora de Gastar> Interna

7\
\
Causa '\
\ /T'_
......../ ..... "\
/ \
/ \
\\
/ /
./
/ / !
/ /
/
,
Figura B.5 - Exemplo de diagrama de Ishikawa ou espinha de peixe
A representao em rvore similar a uma rvore de falha na aparncia, embora muitas vezes ela
seja exibida com a rvore desenvolvendo da esquerda para a direita em vez de cima para baixo ao
longo da pgina. Entretanto, ela no pode ser quantificada para produzir a probabilidade do evento
principal uma vez que as causas so possveis fatores contributivos mais do que falhas com uma
probabilidade de ocorrncia conhecida,
Figura B.6 - Exemplo de formulao de rvore de anlise de causa e efeito
Os diagramas de causa e efeito so geralmente utilizados qualitativamente. possvel assumir que

a probabilidade do problema 1 e atribuir probabilidades a causas genricas e. subsequentemente.
para as subsees, com base no grau de convico sobre sua pertinncia. Entretanto, os fatores con
tributivos muitas vezes interagem e contribuem para o efeito de maneiras complexas. que tornam a
quantificao invlida.
8.17.5 Sada
A sada de uma anlise de causa e efeito um diagrama de espinha de peixe ou diagrama de rvore
que mostra as causas possveis e provveis. Este ento deve ser verificado e testado empiricamente
antes que recomendaes possam ser feitas.
() ISQ!IEC 2009 . () ABNT 2012 . Todos os direito,; reservados 61
. Diretoria de Gestao Interna

envolvimento de especialistas trabalhando em um ambiente de equipe;
anlise estruturada;
considerao de todas as hipteses provveis;
ilustrao grfica de fcil leitura dos resultados;
identificao de reas onde dados adicionais so necessrios;
pode ser utilizada para identificar os fatores contributivos para os efeitos pretendidos bem como
os no pretendidos. Adotar um enfoque positivo sobre um tema pode encorajar uma maior apro
priao e participao.
a equipe pode no ter a especializao necessria;
no ser um processo completo por si s e precisar ser parte de uma anlise de causa-raiz para
produzir recomendaes;
uma tcnica de exibio das causas para branstormng mais do que uma tcnica de anlise
em separado;
a separao de fatores causais em categorias principais no incio da anlise significa que as

interaes entre as categorias podem no ser consideradas de forma adequada, por exemplo,
quando a falha do equipamento for causada por erro humano ou problemas humanos torem cau
sados por projeto deficiente.
8.18 Anlise de camadas de proteo (LOPA)
8.18.1 Viso geral
A LOPA um mtodo semiquantitativo para estimar os riscos associados a um evento ou cenrio

indesejado. Analisa se h medidas suficientes para controlar ou mitigar os riscos.
Um par de causa e consequncia selecionado e as camadas de proteo que evitam que a causa
leve consequncia indesejada so identificadas. Um clculo da ordem de grandeza realizado para
determinar se a proteo adequada para reduzir o risco a um nvel tolervel.
8.18.2 Utilizao
A LOPA pode ser utilizada qualitativamente simplesmente para analisar criticamente as camadas de
proteo entre um perigo ou evento causal e um resultado. Normalmente. uma abordagem semi
quantitativa seria aplicada para acrescentar mais rigor aos processos de seleo, como. por exemplo,
aps o HAZOP ou APP.
62 () ISO/IEC 2009 - ,) ABNT 2012 - Todos os direitos reservados
\(npresso Lketcria de Gesto Interna

A LOPA fornece uma base para a especificao de camadas de proteo independentes (IPL) e os
nveis de integridade de segurana (SIL) para sistemas instrumentados, conforme descrito na srie
IEC 61508 e na IEC 61511, na determinao dos requisitos do nvel de integridade de segurana (SIL)
para sistemas de segurana instrumentados. A LOPA pode ser utilizada para auxiliar na alocao
eficaz de recursos de reduo de riscos. analisando a reduo do risco produzida por cada camada
de proteo.
8.18.3 Entradas
As entradas da LOPA incluem
informaes bsicas sobre riscos, incluindo os perigos, causas e conseqncias, como os pro
porcionados por uma APP;
informaes sobre controles em uso ou propostos;
frequncias de eventos causais e probabilidades de falha de camada de proteo, medidas

de consequncia e uma definio do risco tolervel:
frequncias de causas iniciadoras, probabilidades de falha de camada de proteo, medidas

de consequncia e uma definio do risco tolervel.
8.18.4 Processo
A LOPA realizada utilizando uma equipe de especialistas que aplicam o seguinte procedimento:
identificar causas iniciadoras para um resultado indesejado e buscar dados sobre suas frequn
cias e consequncias;
selecionar um nico par de causa e consequncia;
camadas de proteo que evitam que a causa prossiga para a consequncia indesejada so
identificadas e analisadas quanto sua eficcia;
identificar camadas de proteo independentes (IPL) (nem todas as camadas de proteo so IPL);
estimar a probabilidade de falha de cada IPL;
a frequncia da causa iniciadora combinada com as probabilidades de falha de cada I PL e

as probabilidades de quaisquer modificadores condicionais (um modificador condicional , por
exemplo, se uma pessoa estar presente para ser impactada) para determinar a frequncia de
ocorrncia da consequncia indesejada. Ordens de grandeza so utilizadas para frequncias
e probabilidades;
o nvel de risco calculado comparado com nveis de tolerncia de risco para determinar se
proteo adicional requerida.
Uma IPL um sistema de dispositivos ou ao capaz de evitar que um cenrio progrida para sua
t::: consequncia indesejada, qualquer que seja o evento causal ou camada de proteo associada com
v o cenrio.
() ISO/IEC 2009 () ABNT 2012 . Todos os direitos reservados 63
por: Interna
As IPL incluem:
caractersticas de projeto;
dispositivos de proteo fsica;
sistemas de travamento e desligamento;
alarmes crticos e de interveno manual;
proteo fsica ps-evento;
sistemas de resposta a emergncia (procedimentos e inspees no so IPL).
8.18.5 Sada
Recomendaes devem ser dadas para quaisquer controles adicionais e a eficcia destes controles
na reduo do risco.
A LOPA uma das tcnicas utilizadas para a avaliao do SIL ao tratar de sistemas relativos segu
rana/instrumentados.
requer menos tempo e menos recursos do que uma anlise de rvore de falhas ou processo de
avaliao de risco ntegralmente quanttativo, porm mas rgorosa do que julgamentos subjeti
vos qualitativos:
ajuda a identificar e concentrar recursos nas camadas de proteo mais crtcas;
o
<C
identifica operaes, sistemas e processos para os quais existem salvaguardas insuficientes;
Z
<:
concentra-se nas consequncias mais srias.
c.'J
a LOPA focaliza em um par de causa e consequncia e um cenrio por vez. Interaes complexas
entre riscos ou entre controles no so cobertas:
os riscos quantificados podem no levar em conta falhas de modo comum;
a LOPA no se aplica a cenrios muito complexos onde h muitos pares de causa e consequncia
ou quando h uma variedade de consequncias que afetam diferentes partes interessadas.
8.18.7 Documentos de referncia
IEC 61508 (todas as partes), Functional safety of electricallelectronic/programmable electronic safety

related systems
I EC 61511, Functional safety - Safety instrumented systems for the process industry sector
64 @ ISOlEC 2009 - ,Cj ABNT 2012 .. Todos os dirEitos reservados
linpres,o por. Diretona de

8.19 Anlise de rvore de decises
8.19.1 Viso geral
Uma rvore de decises representa alternativas de deciso e resultados de maneira seqencial, que
leva em considerao resultados incertos. similar a uma rvore de eventos na medida em que ela
comea a partir de um evento iniciador ou uma deciso inicial e modela diferentes caminhos e resulta
dos como um resultado de eventos que podem ocorrer e decises diferentes que podem ser tomadas.
8.19.2 Utilizao
Uma rvore de decises utilizada na gesto de riscos de projeto e em outras circunstncias para
auxiliar a selecionar o melhor curso de ao onde houver incerteza. Uma ilustrao grfica tambm
pode auxiliar a comunicar as razes para decises.
8.19.3 Entradas
Um plano de projeto, com pontos de deciso. Informaes sobre possveis resultados de decises
e sobre eventos ao acaso que podem afetar as decises.
8.19.4 Processo
Uma rvore de decises comea com uma deciso inicial, por exemplo, prosseguir com o projeto A
em vez do projeto B. medida em que os dois projetos !1ipotticos prosseguem, diferentes eventos
ocorrero e diferentes decises previsveis precisaro ser tomadas. Estes so representados em
formato de rvore, similar a uma rvore de eventos. A probabilidade dos eventos pode ser estimada
juntamente com o custo ou utilidade do resultado final do caminho.
Informaes concernentes ao melhor caminho de deciso so, logicamente, aquelas que produzem
o maior valor esperado calculado como o produto de todas as probabilidades condicionais ao longo do
caminho e o valor do resultado.
8.19.5 Sadas
As sadas incluem:
uma anlise lgica do risco, mostrando diferentes opes que podem ser tomadas;
um clculo do valor esperado para cada caminho possvel.
fornecer uma representao grfica clara dos detalhes de um problema de deciso;
permitir um clculo do melhor caminho atravs de uma situao.
Q
grandes rvores de deciso podem tornar-se muito complexas para uma comunicao fcil
com outros;
) ISO/IEC 2009.@ABNT 2012 - Todos os direitos 16servados 65
por: Diretoria de Gestao Interna

uma tendncia de simplificar demasiadamente a situao, de modo a permitir sua representao

como um diagrama de rvore.
8.20 Avaliao da confiabilidade humana (ACH)
8.20.1 Viso geral
A avaliao da confiabilidade humana (ACH) trata do impacto de pessoas sobre o desempenho do sis
tema e pode ser utilizada para avaliar as influncias de erro humano no sistema.
Muitos processos contm potencial para erro humano. especialmente quando o tempo disponvel para
o operador tomar decises for curto. A probabilidade de que problemas iro se desenvolver suficien
temente para tornarem-se graves pode ser pequena. Algumas vezes, porm, a ao humana ser
a nica defesa para evitar que uma falha inicial progrida para um acidente.
A importncia da ACH foi ilustrada por vrios acidentes em que os erros humanos crticos contriburam
para uma sequncia de eventos catastrficos. Tais acidentes so advertncias contra os processos de
avaliaes de riscos que se concentram exclusivamente no hardware e software em um sistema. Eles
ilustram os perigos de ignorar a possibilidade de contribuio do erro humano. Alm disso. as ACH
so teis em destacar os erros que podem impedir a produtividade e em revelar as maneiras pelas
quais esses erros e outras falhas (hardware e software) podem ser "recuperados" pelos operadores
humanos e pelo pessoal de manuteno.
8.20.2 Utilizao
A ACH pode ser utilizada qualitativamente ou quantitativamente. Qualitativamente, ela utilizada

para identificar o potencial de erro humano e suas causas de forma que a probabilidade de erro pos
sa ser reduzida. A ACH quantitativa utilizada para fornecer dados sobre falhas humanas em AAF
ou outras tcnicas.
8.20.3 Entradas
As entradas para a ACH incluem:
informaes para definir tarefas que as pessoas devem realizar;
experincia dos tipos de erro que ocorrem na prtica e o potencial para erro:
especialidade em erro humano e sua quantificao.
8.20.4 Processo
o processo de ACH o seguinte:
Definio do problema, quais tipos de envolvimentos humanos devem ser investigados/avaliados?
Anlise da tarefa, como a tarefa ser realizada e que tipo de auxlio ser necessrio para apoiar
a realizao?
Anlise do erro humano, como a realizao da tarefa pode falhar: quais erros podem ocorrer
e como eles podem ser recuperados?
66 () ISO/IEC 2009 - (') ABNT 2012- Todos os direitos reservados
Imprm,so por: Diretcria de Gesto Interna

Representao, como estes erros ou falhas no desempenho da tarefa podem ser integrados com
outro hardware, software e eventos ambientais para permitir que as probabilidades de falha no
sistema total sejam calculadas?
Seleo, existem erros ou tarefas que no requerem quantificao detalhada?
Quantificao, quo provveis so erros individuais e falhas nas tarefas?
Avaliao do impacto, quais erros ou tarefas so mais importantes, ou seja, quais tm a maior
contribuio para a confiabilidade ou risco?
Reduo do erro, como uma maior confiabilidade humana pode ser atingida?
Documentao, quais detalhes da ACH precisam ser documentados?
Na prtica, o processo de ACH desenvolve-se em etapas sequencais, embora s vezes com partes
prosseguindo em paralelo uma com outra (por exemplo, anlise de tarefas e identificao de erros).
8.20.5 Sadas
As sadas incluem:
uma lista de erros que podem ocorrer e os mtodos pelos quais eles podem ser reduzidos
preferivelmente por meio de redesenho do sistema:
modos de erro, causas e consequncias dos tipos de erro:
uma avaliao qualitativa ou quantitativa do risco representado pelos erros.
Os pontos fortes da ACH incluem:
a ACH fornece um mecanismo formal para incluir o erro humano na considerao de riscos asso
ciados a sistemas onde a interveno humana muitas vezes desempenha um papel importante;
.J
r<
a considerao formal dos mecanismos e modos de erro humano pode auxiliar a reduzir a proba
bilidade de falha devido a um erro.
a complexidade e a variabilidade humanas, que tornam difcil a definio de modos e probabilida

des de falha simples;
muitas atvidades humanas no tm um modo passa/no passa simples. A ACH dificilmente trata
de falhas parciais ou falhas na qualidade ou na tomada de decises deficiente.
@ ISOIIEC 2009 -@ABNT 2012 - Todos os direito,; I8servadcs 67
Impresso DirE,tor:a de
Detnlo
Anlist:: cie
tarefas
Anahse de eno
hUIT!8nO
Representao Fatores que

da pleven1O tio influenciam o
erro desempenho e
causas do erro
dos mecanismos
Os erros
insignifIcantes
no foram ..- Trianern f.o.
OfJjeto dH
estudo
B(jiconal
I
Reduo do erro
Quantfiao
AvaHao do
I
!
impacto
!
No
J
Documentao
Figura B.7 - Exemplo de avaliao da confiabilidade humana

UJ
C?
'5f
C( 8.21 Anlise bow fie
9
<
,,
r,
\..) 8.21.1 Viso geral

C(

;2
() A anlise bow fie uma maneira esquemtica simples de descrever e analisar os caminhos de um
risco desde as causas at as consequncias. Pode ser considerada uma combinao do raciocnio de
rvore de falhas. que analisa a causa de um evento (representada pelo n de uma bow tie), com r
vore de eventos, que analisa as consequncias. Entretanto, o foco bow tie est nas barreiras entre as
causas e o risco, e o risco e as consequncias. Diagramas de bow fie podem ser construdos a partir
das rvores de falhas e eventos, porm so mais frequentemente desenhados diretamente a partir de
uma sesso de brainstorming.
68 (1;) ISO/rEG 2009 @ ABNT 2012 . Todos os direitos reservados
. Diretcma de Gestao Inten,d

8.21.2 Utilizao
A anlise bow tie utilizada para representar um risco que possui uma gama de possveis causas e
consequncias. utilizada quando a situao no justificar a complexidade de uma anlise de rvore
de falhas completa ou quando o foco estiver mais em assegurar que existe uma barreira ou controle
para cada caminho de falha. til quando h caminhos claros independentes levando falha,
A anlise bow tie muitas vezes mais fcil de entender do que rvores de falhas e de eventos e.
portanto, pode ser uma ferramenta de comunicao til quando a anlise for conseguida utilizando
tcnicas mais complexas.
8.21.3 Entradas
necessria uma compreenso das causas e consequncias de um risco e das barreiras e controles
que podem evit-lo, atenu-lo ou estimul-lo.
8.21.4 Processo
A bow tie desenhada conforme descrito a seguir:
a) Um risco especfico identificado para anlise e representado como o n central de uma bow tie.
b) As causas do evento so listadas considerando as fontes de risco (ou perigos em um contexto de

segurana).
c) O mecanismo pelo qual a fonte de risco leva ao evento crtico identificado.
d) Linhas so traadas entre cada causa e o evento formando o lado esquerdo da bow tie. Os fatores
que podem levar a uma intensificao podem ser identificados e includos no diagrama,
e) As barreiras que evitariam que cada causa leve a consequncias no desejadas podem ser
mostradas como barras verticais cruzando a linha. Onde havia fatores que poderiam causar
intensificao, as barreiras para a intensificao tambm podem ser representadas, A abordagem
pode ser utilizada para consequncias positivas, onde as barras refletem os "controles" que
estimulam a gerao do evento.
,_l
ffi f) No lado direito da bow tie diferentes consequncias potenciais do risco so identificadas e linhas
(? so desenhadas para irradiar do evento de risco para cada consequncia potencial.
:::;
ct
o g) As barreiras para a consequncia so representadas como barras que cruzam as lnhas radiais.
o
<[
-.i
A abordagem pode ser utilizada para efeitos positivos onde as barras refletem os "controles" que
o
ct
suportam a gerao das consequncias.
r--
-7
S h) As funes de gesto que suportam os controles (como treinamento e inspeo) podem ser mos
o
tradas sob a Bow tie e vinculadas ao respectivo controle.
Algum nvel de quantificao de um diagrama de bow tie pode ser possvel quando os caminhos forem
independentes, a probabilidade de uma consequncia ou resultado especficos conhecida e um
valor pode ser estimado para a eficcia de um controle. Entretanto, em muitas situaes, os caminhos
e as barreiras no so independentes, os controles podem ser procedimentais e, consequentemente,
a eficcia pouco clara. A quantificao muitas vezes realizada mais apropriadamente utilizando AAF)
eAAE.
() ISOilEC 2009 -@ABNT 2012 - Todos os direitos reservados 69
Impresso DiretOrl2 de Gesto Interna

8.21.5 Sada
A sada um diagrama simples mostrando os principais caminhos de risco e as barreiras existentes

para evitar ou atenuar as consequncias indesejadas ou estimular e promover as consequncias
desejadas.
Fontes de risco
Consequncia 1 I
.
---i Consequncia 21
:--1 Consequncia 31
Consequncia 4
Controles de Controles de atenuao

preveno e recuperao
Figura B.8 - Exemplo de diagrama de" bow tie" para consequncias indesejadas
Pontos fortes da anlise de bow tie:
simples de entender e fornece uma representao grfica clara do problema;
foca a ateno nos controles supostamente existentes para preveno e atenuao e sua eficcia;
pode ser utilizada para consequncias desejveis;
no necessita de um alto nvel de especializao para utilizar.
no pode ser representada onde mltiplas causas ocorrem simultaneamente para resultar nas
consequncias (ou seja, onde houver portas "AND" em uma rvore de falhas representando
o lado esquerdo do diagrama de bow tie);
.'d pode simplificar demasiadamente situaes complexas, particularmente quando se pretende

ffi a quantificao.
C?

ct
o
Ci B.22 Manuteno centrada em confiabilidade
-1
c'
cr::
i 8.22.1 Viso geral
Z
c
A manuteno centrada em confiabilidade (RCM) um mtodo para identificar as polticas que conve
'-.-._'
niente que sejam implementadas para gerencar falhas, a fim de alcanar a segurana, disponibilidade
e economia de operao requeridas, de maneira eficiente e eficaz, para todos os tipos de equipamento.
A RCM atualmente uma metodologia comprovada e aceita, utilizada em uma ampla gama de indstrias.
A RCM fornece um processo de deciso para identificar requisitos de manuteno preventiva eficazes
e aplicveis para equipamentos de acordo com as consequncias de segurana, operacionais e
econmicas das falhas identificveis, e o mecanismo de degradao responsvel por essas falhas.
70 @ ISO/IEC 200!) - ,j ABNT 2012 - Todos os direitos reservados
Lr:presso por: Dretoria de Gasto internn

o resultado final do processo um julgamento quanto necessidade de realizar uma tarefa de

manuteno ou outras aes, como mudanas operacionais. Os detalhes sobre o uso e aplicao da
RCM so fornecidos na I EC 60300-3-11 .
8.22.2 Utilizao
Todas as tarefas so baseadas na segurana no que diz respeito ao pessoal e ao meio ambiente, e
nos interesses operacionais ou econmicos. Entretanto, convm que seja observado que os critrios
considerados dependero da natureza do produto e sua aplicao. Por exemplo, um processo de
produo precisar ser economicamente vivel e pode ser sensvel a consideraes ambientais rigo
rosas. enquanto que um item de equipamento de defesa deve ser operacionalmente bem-sucedido.
porm pode ter critrios de segurana, econmicos e ambientais menos rigorosos. Maior benefcio
pode ser conseguido concentrando-se na anlise de onde as falhas teriam graves efeitos, ambientais.
econmicos, operacionais ou de segurana.
A ReM utilizada para assegurar que se faz uma manuteno aplicvel e eficaz, e geralmente
utilizada durante a fase de projeto e desenvolvimento e, em seguida. implementada durante a operao
e manuteno.
8.22.3 Entradas
A aplicao bem-sucedida da RCM precisa de um bom entendimento do equipamento e da estrutura,

do ambiente operacional e dos sistemas, subsistemas e itens do equipamento associados, juntamente
com as possveis falhas e as consequncias dessas falhas.
8.22.4 Processo
As etapas bsicas de um programa de RCM so as seguintes:
incio e planejamento;
anlise funcional de falhas;
seleo de tarefas;
implementao;
UJ
q
s;
melhoria contnua.
IX
O
[) A RCM baseada no risco, uma vez que ela segue as etapas bsicas do processo de avaliao de
<

u
riscos. O tipo de processo de avaliao de riscos uma anlse de modos de falha, efeitos e criticidade
IX (FMECA) . porm requer uma abordagem especfica para anlise quando utilizado neste contexto.
A identificao de riscos foca nas situaes onde as falhas potenciais podem ser eliminadas ou redu
zidas em frequncia e/ou consequncia. realizando tarefas de manuteno. realizada identificando
as funes requeridas e os padres de desempenho. assim como as falhas dos equipamentos e com
ponentes que podem interromper essas funes.
A anlise de riscos consiste em estimar a frequncia de cada falha sem a manuteno ser realizada.
As consequncias so estabelecidas definindo os efeitos da falha. Uma matriz de risco que combina a fre
quncia e as consequncias da falha permite que categorias para os nveis de risco sejam estabelecidas.
() ISO/IEC 2009 - @ ABNT 2012 - Todos os direito,; Iservados

71
Irrpresso por: Dretona de Gesto Interna

Avaliao de riscos ento realzada, selecionando a poltica de gesto de falha apropriada para cada
modo de falha.
o processo de ReM completo extensivamente documentado para referencia e anlise crtica futuras.
A coleta de dados de falha e manuteno permite o monitoramento dos resultados e a implementao
de melhorias.
8.22.5 Sada
A RCM fornece uma definio das tarefas de manuteno. como monitoramento da condio. restau
rao programada, substituio programada, pesquisa da falha ou manuteno no preventiva. Outras
aes possveis que podem resultar da anlse podem incluir redesenho, alteraes nos procedimen
tos de operao ou manuteno ou treinamento adicional. Os intervalos das tarefas e os recursos
requeridos so ento identificados.
IEC 60300-3-11, Dependability management - Part 3-11: App/icaton guide - Re/iability centred
maintenance
8.23 Sneak analysis (SA) e sneak circuit analysis (SCA)
8.23.1 Viso geral
A sneak ana/ysis (SA) uma metodologia para a identificao de erros de projeto. Uma condio
sneak um hardware, software ou condio integrada latente que pode causar a ocorrncia de um
evento indesejado ou inibir um evento desejado, no sendo causado por falha do componente. Estas
condies so caracterizadas pela sua natureza aleatria e capacidade de escapar deteco durante
os ensaios normalizados mais rigorosos do sistema. As condies sneak podem causar operao
imprpria, perda da disponibilidade do sistema, atrasos no programa ou mesmo morte ou ferimento
de pessoas.
<: 8.23.2 Utilizao

o
A sneak crcuit ana/yss (SCA) foi desenvolvida no final dos anos 60 para a NASA, a fim de verificar a
integridade e a funcionalidade de seus projetos. Ela serviu como uma ferramenta til para a descoberta
de caminhos de circuito eltrico involuntrios e auxiliou na elaborao de solues para isolar cada
funo. Entretanto, como a tecnologia avanou, as ferramentas para a sneak crcuit ana/yss tambm
teve de avanar. A sneak ana/yss inclui e excede a cobertura da sneak crcut ana/ysis. Ela pode
localizar problemas em hardware e software utilizando qualquer tecnologia. As ferramentas de sneak
ana/ysis podem integrar diversas anlises, como rvores de falhas, falure mode and effect ana/yss
(FMEA), estimativas de confiabilidade etc. em uma nica anlise. economizando tempo e despesas
de projeto.
8.23.3 Entradas
A sneak analyss uma ferramenta nica do processo de projeto na medida em que ela utiliza diferentes
ferramentas (rede de rvores, florestas e ndices ou questes para auxiliar o analista a identificar as
condies sneak) para encontrar um tipo especfico de problema. As redes de rvores e florestas so
agrupamentos topolgicos do sistema real. Cada rede de rvores representa uma subfuno e mostra
72 @ ISO/IEC 2000. () ABNT 2012 - Todos os direitos reservados
Lrpresso Gesto Internn

todas as entradas que podem afetar a sada da subfuno. As florestas so construdas combinando
as redes de rvores que contribuem para uma sada do sistema especfico. Uma floresta apropriada
mostra uma sada do sistema em termos de todas as suas entradas relacionadas. Estas, juntamente
com outros, tornam-se a entrada para a anlise.
8.23.4 Processo
As etapas bsicas na realizao de uma sneak ana!ysis consistem em:
preparao dos dados;
construo da rede de rvores;
avaliao dos caminhos da rede:
recomendaes finais e relatrio.
8.23.5 Sada
Um sneak creuit um caminho inesperado ou fluxo lgico dentro de um sistema que, sob certas con
dies, pode iniciar uma funo indesejada ou inibir uma funo desejada. O caminho pode consistir
de hardware, software, aes do operador ou combinaes destes elementos. Os sneak creuits no
so o resultado de uma falha de hardware, porm so condies latentes, inadvertidamente proje
tadas no sistema, codificadas no programa de software ou provocadas por erro humano, H quatro
categorias de sneak e/reu/ts:
a) caminhos sneak: caminllos inesperados ao longo dos quais a corrente, energia ou sequncia
lgica flui em uma direo no pretendida;
b) sincronismo sneak: eventos que ocorrem em uma sequncia inesperada ou conflitante;
c) indicaes sneak: exibies ambguas ou falsas das condies operacionais do sistema que
podem fazer com que o sistema ou um operador tomem uma ao indesejada;
d) rtulos sneak: rotulagem incorreta ou imprecisa das funes do sistema, por exemplo, entradas do
sistema, controles, barramentos que podem levar a que um operador aplique um estmulo incorreto
ao sistema.
a sneak ana!ys/s boa para a identificao de erros de projeto;
funciona melhor quando aplicada em conjunto com o HAZOP;
muito boa para tratar de sistemas que tenham estados mltiplos, como plantas em lote e semilote.
As limitaes podem incluir:
o processo um pouco diferente, dependendo se aplicado a circuitos eltricos, plantas de pro

cessamento, equipamentos mecnicos ou software;
o mtodo dependente do estabelecimento correto da rede de rvores.
((,) ISO/IEC 2009.@ABNT 2012. Todos os direitos reservados 73
Lrpresso por: Diretoria de Interna

8.24 Anlise de Markov
8.24.1 Viso geral
A anlise de Markov utilizada quando o estado futuro de um sistema depende somente de seu es
tado atual. Ela comumente utilizada para a anlise de sistemas reparveis que podem existir em
mltiplos estados e a utilizao de uma anlise de bloco de confiabilidade seria inapropriada para
analisar adequadamente o sistema. O mtodo pode ser estendido para sistemas mais complexos,
empregando processos de Markov de ordem mais elevada, e somente restrito pelo modelo, clculos
matemtcos e as premissas.
O processo da anlise de Markov uma tcnica quantitativa e pode ser discreto (utilizando probabili
dades de mudana entre os estados) ou contnuo (utilizando taxas de mudana atravs dos estados).
Apesar de uma anlise de Markov poder ser realizada manualmente, a natureza das tcnicas se pres
ta ao uso de programas de computador, estando muitos deles disponveis no mercado.
8.24.2 Utilizao
A tcnica de anlise de Markov pode ser utilizada em vrias estruturas de sistema, com ou sem
reparo. incluindo:
componentes independentes em paralelo;
componentes independentes em srie;
sistema de compartilhamento de carga;
sistema de espera (stand-by), incluindo o caso onde falha na comutao pode ocorrer;
sistemas degradados.
A tcnica de anlise de Markov tambm pode ser utilizada para o clculo da disponibilidade, inclusive
levando em considerao os componentes sobressalentes para reparos.
8.24.3 Entradas
As entradas essenciais para uma anlise de Markov so as seguintes:
lista dos vrios estados em que o sistema, subsistema ou componente pode estar (por exemplo, total
mente operacional, parcialmente em operao (ou seja, um estado degradado), estado de falha etc.);
r
Z um entendimento claro das transies possveis que necessrio que sejam modeladas.
O
Por exemplo, a falha de um pneu de automvel precisa considerar o estado da roda sobressalente
e, portanto, a frequncia de inspeo;
taxa de mudana de um estado para outro, tipicamente representada por uma probabilidade de
mudana entre os estados para eventos discretos, ou taxa de falha () elou a taxa de reparo (11)
para eventos contnuos.
74 @ISO/IEC 2009 () ABNT 2012. Todos os direitos reservados
Irrpre"so por: Dretooa de Gesto Interna

A8NT N8R ISOIIEC 31010:2012
8.24.4 Processo
A tcnica de anlise de Markov centrada em torno do conceito de "estados", por exemplo, "dispon
vel" e "falho", e a transio entre estes dois estados ao longo do tempo com base em uma probabili
dade constante de mudana. Uma matriz de probabilidade de transio estocstica utilizada para
descrever a transio entre cada um dos estados para permitir o clculo das vrias sadas.
Para ilustrar a tcnica de anlise de Markov. considerar um sistema complexo que pode estar somente
em trs estados: funcionando, degradado e falho, definidos como estados 81,82,83, respectivamente.
Cada dia o sistema existe em um destes trs estados. A Tabela 8.2 mostra a probabilidade de que
amanh, o sistema esteja em estado 8i onde i pode ser 1, 2 ou 3.
Tabela 8.2 - Matriz de Markov
Estado hoje
----_._.-.- ... _- .........
81 82 83
....... ._--_. __ ......
81 0,3 0,2
Estado amanh 82 0.04 0,65 0,6
83 0,01 0,05 0,2
Esta matriz de probabilidades chamada de matriz de Markov ou matriz de transio. Observar que a
soma para cada uma das colunas 1, j que a soma de todos os resultados possveis em cada caso.
O sistema tambm pode ser representado por um diagrama de Markov, onde os crculos representam
os estados e as setas representam a transio, juntamente com a probabilidade que as acompanham.
0,95
"':::..
::)
<:
CJ
0.2
Figura 8.9 - Exemplo de diagrama de Markov do sistema
As setas de um estado para si mesmo no so geralmente mostradas, porm so mostradas dentro

destes exemplos para completeza.
8eja Pi a probabilidade de encontrar o sistema no estado i para i=:1, 2, 3, ento as equaes simul
tneas a serem resolvidas so:
><
() P1 =: 0,95 P1 + 0,30 P2 + 0,20 P3 (8.1 )
P2 =: 0,04 P1 + 0,65 P2 + 0,60 P3 (8.2)
P3 =: 0,01 P1 + 0,05 P2 + 0,20 P3 (8.3)
u
x
LU
ti') ISO!IEC 2009 -@ABNT 2012 - Todos os direitos reservados 75
ITpres;opor: Dretora de Gesto intema

Estas trs equaes no so independentes e no resolvero as trs incgnitas. Convm que a se

guinte equao seja utilizada e uma das equaes acima descartada.
1 =: Pi + P2 + P3 (B.4)
A soluo 0,85, 0,13 e 0,02 para os respectivos estados 1, 2, 3. O sistema est funcionando ple
namente em 85 % do tempo, no estado degradado em 13 % do tempo e no estado de falha em 2 %
do tempo.
Considerar dois itens operando em paralelo com o requisito de um ou outro estar operacional para
o sistema funcionar. Os itens podem tanIa ser operacionais quanto falhos, e a disponibilidade do sis
tema depende do estado dos itens.
Os estados podem ser considerados como:
Estado 1 Ambos os itens esto funcionando corretamente;
Estado 2 Um item falhou e est passando por reparos, o outro est funcionando;
Estado 3 Ambos os itens falharam e um est passando por reparos.
Se a taxa de falha contnua para cada item for assumida como sendo).... e a taxa de reparo como sendo!l.
ento o diagrama de transio de estado :
- (2 I.)
Figura 8.10- Exemplo de diagrama de transio de estado
Observar que a transio do estado 1 para o estado 2 2;., j que a falha de qualquer um dos dois
itens levar o sistema para o estado 2.
Seja Pi (1) a probabilidade de estar em um estado inicial i no tempo t, e
Seja Pi (t + (1) a probabilidade de estar em um estado final no tempo t + 8t
A matriz de probabilidade de transio torna-se:
Tabela 8.3 - Matriz de Markov final
Estado inicial
Pi (t) P2( 1) P3(t)
Pi (t + St) - 2/. l O
Estado final 2 - (I... + !l) !l
/.

- l
76 (I;' ISO/IEC 2009 - ,) ABNT 2012 - Todos os dreitos reservados
l:rpresso por: Dretors de Gesto Interna

interessante notar que os valores zero ocorrem, j que no possvel passar do estado 1 para o
estado 3 ou do estado 3 para o estado 1. Alm disso. a soma das colunas zero, quando se especi
ficam as taxas.
As equaes simultneas tornam-se:
dP1/dt== - 2 P1( +).l P2( (8.5)
dP2/dt == 2)" P1 ( + - (, + ).1) P2( + ).l P3(t) (8.6)
dP3/dt== P2( + - l P3(t) (8.7)
Por simplicidade, ser assumido que a disponibilidade requerida a disponibilidade em regime permanente.
Quando 8t tende ao infinito, DPildt tender a zero e as equaes se tornam mais fceis de resolver.
A equao adicional, conforme mostrado na Equao (8.4) acima, tambm deve ser utilizada:
Agora. a equao A(t) = P1 (t) + P2( pode ser expressa como:
A = P1 + P2
8.24.5 Sadas
As sadas de uma anlise de Markov so as vrias probabilidades de estar nos vrios estados e, por
tanto. uma estimativa das probabilidades de falha e/ou disponibilidade, um dos componentes essen
ciais de um sistema.
Os pontos fortes de uma anlise de Markov incluem:
capacidade de calcular as probabilidades para sistemas com uma capacidade de reparo e mlti
plos estados degradados.
As limitaes de uma anlise de Markov incluem:
a premissa de probabilidades constantes de mudana de estado, seja de falha ou reparos;
todos os eventos so estatisticamente independentes, uma vez que os estados futuros so inde
pendentes de todos os estados passados, exceto para o estado imediatamente anterior;
necessidade de conhecmento de todas as probabilidades de mudana de estado:
()
conhecimento de operaes com matrizes;
os resultados so difceis de comunicar para pessoal no tcnico.
8.24.7 Comparaes
A anlise de Markov similar a uma anlise de Rede de Petri por ser capaz de monitorar e observar
os estados do sistema, embora diferente uma vez que a Rede de Petri pode existir em vrios estados
ao mesmo tempo.
() ISO/IEC 2009 () ABNT 2012 Todos os direitos reservados 77
I:rpresso . Dretora de Interna

I EC 61078, Analysis techniques for dependability - Reliability block diagram and boolean methods
IEC 61165, Application of Markov techniques
ISO/IEC 15909 (todas as partes), Software and systems engineering - High-Ieve/ Petr nets
8.25 Simulao de Monte Cario
8.25.1 Viso geral
Muitos sistemas so muito complexos quanto aos efeitos da incerteza sobre eles para serem mode
lados utilizando tcnicas analticas, porm eles podem ser avaliados considerando as entradas como
variveis aleatrias e executando-se um nmero N de clculos (as chamadas simulaes), por meio
de amostragens da entrada, a fim de obter N sadas possveis do resultado desejado.
Este mtodo pode tratar de situaes complexas que seriam muito difceis de entender e resolver
por um mtodo analtico. Sistemas podem ser desenvolvidos utilizando planilhas e outras ferramen
tas convencionais, porm ferramentas mais sofisticadas esto prontamente disponveis para auxilar
com requisitos mais complexos, muitas das quais so relativamente baratas. Quando a tcnica foi
desenvolvida pela primeira vez, o nmero de iteraes requerido para as simulaes de Monte Cario
resultou em um processo lento e demorado, porm os avanos nos desenvolvimentos de computado
res e tericos, como amostragem por Hipercubo Latino, tornaram o tempo de processamento quase
insignificante para muitas aplicaes.
8.25.2 Utilizao
A simulao de Monte Cario fornece um meio de avaliar o efeito da incerteza em sistemas em uma
ampla gama de situaes. tipicamente utilizado para avaliar a faixa de possveis resultados e a
frequncia relativa de valores naquela faixa para medidas quantitativas de um sistema. como custo.
o
,:s;
durao, intensidade, demanda e medidas similares. A simulao de Monte Cario pode ser utilizada
z para duas finalidades diferentes:
propagao da incerteza em modelos analticos convencionais;
clculos probabilsticos quando as tcnicas analticas no funcionam.
8.25.3 Entradas
As entradas para uma simulao de Monte Cario so um bom modelo do sistema e informaes sobre
os tipos de entradas, as fontes de incerteza que devem ser representadas e as sadas requeridas.
Os dados de entrada, juntamente com as suas incertezas, so representados como variveis alea
trias cujas distribuies so mais ou menos dispersas de acordo com o nvel das incertezas. Distri
buies uniformes, triangulares. normais e log normais so frequentemente utilizadas para esse fim.
8.25.4 Processo
O processo o seguinte:
a) Um modelo ou algoritmo definido. o qual representa, tanto quanto possvel. o comportamento

do sistema que est sendo estudado.
78 () ISO/IEC 200! - @ABNT 2012 - Todos os direitos reservados
Irnpres,o por Diretona de Gesto Imorna

b) O modelo executado vrias vezes, utilizando nmeros aleatrios para produzir sadas do modelo
(simulaes do sistema). Quando a aplicao para modelar os efeitos da incerteza, o modelo
est sob a forma de uma equao fornecendo a relao entre os parmetros de entrada e uma
sada. Os valores selecionados para as entradas so tomados a partir de distribuies de probabi
lidade apropriadas que representam a natureza da incerteza nestes parmetros.
c) Em ambos os casos um computador executa o modelo vrias vezes (frequentemente at

10000 vezes) com diferentes entradas e produz sadas mltiplas. Estes dados podem ser pro
cessados utilizando estatsticas convencionais para fornecer informaes, como valores mdios,
desvio padro e intervalos de confiana.
Um exemplo de uma simulao dado abaixo.
Considerar o caso de dois itens que operam em paralelo e somente um requerido para que o sistema
funcione. O primeiro item tem uma confiabilidade de 0,9 e o outro de 0,8.
possvel construir uma planilha com as seguintes colunas.
Tabela B.4 - Exemplo de simulao de Monte Cario
Item 1 Item 2
... _._ ......... _ .. _ ..... _ .. _--.-
Nmero de Nmero
Nmero Funes? Funes? Sistema
simulao aleatrio
0,577243 SIM 0,059355 SIM 1
2 0,746909 SIM SIM
3 0,541 728 SIM NO
4 0,423274 SIM 0,643514 SIM
5 0,917776 NO 0,539349 SIM
7

8 0,661 418 SIM 0.919868 NO 1
9 0,213376 SIM 0.367 1
10 0,565657 SIM 0.119215 SIM
o gerador aleatrio cria um nmero entre e 1 que utilizado para comparar com a probabilidade de
cada item para determinar se o sistema est operacional. Com apenas 10 execues, no convm
esperar que o resultado de 0,9 seja um resultado ex ato. A abordagem usual construir um dispositivo
,
o
;>
";;) de clculo para comparar o resultado total enquanto a simulao prossegue para atingir o nvel de
.2
exatido requerido. Neste exemplo. um resultado de 0.979 9 foi atingido aps 20 000 iteraes.

(1)
O modelo acima pode ser estendido em inmeras maneiras. Por exemplo:
estendendo o prprio modelo (como considerar o segundo item tornando-se imediatamente ope
racional somente quando o primeiro item falhar);
(9ISQ/IEC 2009 - () ABNT 2012 - Todos os direitos reservados 79
Lrpresso por: Dretora de Gesto Interna

alterando a probabilidade fixada a uma varivel (um bom exemplo a distribuio triangular),
quando a probabilidade no pode ser definida com exatido:
utilizando taxas de falha combinadas com o gerador aleatrio para deduzir um tempo de falha
(exponencial, Weibull ou outra distribuio apropriada) e introduzindo tempos de reparo,
As aplicaes incluem, entre outras coisas, a avaliao da incerteza em previses financeiras, desem
penho de investimentos, custo de projetos e previses de programao, interrupes no processo de
negcios e requisitos de pessoal,
As tcnicas analticas no so capazes de fornecer resultados pertinentes quando existem incertezas

nos dados de entrada e consequentemente nas saidas.
8.25.5 Sadas
A sada pode ser um valor nico, conforme determinado no exemplo acima, pode ser um resultado
expresso como a probabilidade ou distribuio da frequncia ou pode ser a identificao das funes
principais dentro do modelo que tem o maior impacto na sada.
Em geral, uma simulao de Monte Carla ser utilizada para avaliar tanto a distribuio global dos
resultados que poderiam surgir quanto as medidas-chave de uma distribuio, como:
a probabilidade de um resultado decorrente definido;
o valor de um resultado em que os donos do problema tm um certo nvel de confiana que no

ser ultrapassado ou superado, um custo que tenha uma chance de 10 % de ser ultrapassado ou
? uma durao que tenha 80 % de certeza de ser ultrapassada.

Uma anlise das relaes entre as entradas e as sadas pode lanar luz sobre a significncia relativa
dos fatores em ao e identificar alvos teis para os esforos em influenciar a incerteza no resultado.
Os pontos fortes da anlise de Monte Carla incluem os seguintes:
o mtodo pode, em princpio, acomodar qualquer distribuio de uma varivel de entrada. incluindo
distribuies empricas derivadas das observaes de sistemas relacionados;
os modelos so relativamente simples de desenvolver e podem ser estendidos em caso de

necessidade:
quaisquer influncias ou relaes que surgirem na realidade podem ser representadas, incluindo
efeitos sutis como dependncias condicionais;
anlise de sensibildade pode ser aplicada para identificar influncias fortes e fracas;
os modelos podem ser facilmente entendidos, uma vez que a relao entre entradas e sadas
transparente:
modelos comportamentais eficientes, como Redes de Petri (futura IEC 62551), esto disponveis
e demonstraram ser muito eficientes para fins da simulao de Monte Cario:
fornece uma medida da exatido de um resultado:
o software est disponvel e relativamente barato.
80 'fi) ISO/IEC 2009 () ABNT 2012 - Todos os direitos reservados
i,rpresso , Diretoria de Gesto Interna

As limitaes so as seguintes:
a exatido das solues depende do nmero de simulaes que podem ser realizadas (esta li
mitao est se tornando menos importante com o aumento da velocidade dos computadores):
ela se baseia em ser capaz de representar as incertezas nos parmetros por meio de uma distri
buio vlida;
modelos grandes e complexos podem ser um desafio para o modelador e tornar difcil o engaja
mento das partes interessadas no processo;
a tcnica pode no ponderar adequadamente eventos de alta consequncia/baixa probabilidade

e, portanto. no permite refletir o apetite ao risco da organizao na anlise.
IEC 61649. Weibull ana/ysis
IEC 62551, Ana/ysis techniques for dependability - Petri net technique 1
ISO/IEC Guide 98-3:2008, Uncertainty measurement - Part 3: GUlde to the of uncertainty in measurement
(GUM:1995)
B.26 Estatstica Bayesiana e Redes de Bayes
8.26.1 Viso geral
As estatsticas Bayesianas so atribudas ao Reverendo Thomas Bayes. Sua premissa que quaisquer
informaes j conhecidas (a priOri) podem ser combinadas com medies subsequentes (a posterion)
para estabelecer uma probabilidade global. A expresso geral do Teorema de Bayes pode ser expressa
como:
P(A I B) =: {p (A) P (B I A)VP (B I Ei) P (Ei)
onde
a probabilidade de X indicada por P(X);
a probabilidade de X com a condio de que tenha ocorrido Y indicada por P (Xl Y); e
Ei o ensimo evento.
Na sua forma mais simples, esta expresso reduz-se a P(AIB) =: {P(A)P(BIA)}/P(B).

z
o
o A estatstica Bayesiana difere da estatstica clssica ao no assumir que todos os parmetros da dis
tribuio sejam fixos, mas sim variveis aleatrias. Uma probabilidade Bayesiana pode ser mais facil
mente entendida se ela for considerada como o grau em que uma pessoa acredita em um determinado
evento, oposto teoria clssica, que baseada em evidncias fsicas. Como a abordagem Bayesiana
baseada na interpretao subjetiva de probabilidade, ela fornece uma base direta para o pensamen
to decisrio e o desenvolvimento de redes de Bayes (ou redes de crena ou redes Bayesianas).
Atualmente em estudo.
() ISO/IEC 2009. @ABNT 2012. Todos os direitos reservados 81
ITpresso por Dretoris de Gestao Interna

As redes de Bayes utilizam um modelo grfico para representar um conjunto de variveis e suas rela
es probabilsticas. A rede composta de ns que representam uma varivel aleatria e setas que
conectam um n pai a um n filho. (onde um n pai uma varivel que influencia diretamente a outra
varivel filho).
8.26.2 Utilizao
Nos ltimos anos, o uso da teoria e das redes de Bayes tornou-se generalizado, em parte devido ao
seu apelo intuitivo e tambm por causa da disponibilidade de ferramentas computacionais de software.
As redes de Bayes tm sido utilizadas em uma ampla gama de tpicos: diagnsticos mdicos, mode
lagem de imagens. gentica. reconhecimento de voz. economia, explorao espacial e nas poderosas
ferramentas de busca na Web utilizadas hoje em dia. Podem ser valiosas em qualquer rea onde for
requerida a pesquisa de variveis desconhecidas por meio da utilizao de dados e relaes estrutu
rais. As redes de Bayes podem ser utilizadas para conhecer relaes causais de maneira a obter uma
compreenso sobre um domnio de problemas e prever as consequncias de interveno.
8.26.3 Entradas
As entradas so similares s entradas para um modelo de Monte Cario. Para uma rede de Bayes,
os exemplos das etapas a serem seguidas incluem as seguintes:
definir as variveis do sistema;
definir as ligaes causais entre variveis:
especificar probabilidades condicionais e probabilidades a priori;
adicionar evidncia rede:
realizar atualizao de crenas;
extrair crenas a posteriori.
8.26.4 Processo
-'
A teoria de Bayes pode ser aplicada em uma ampla variedade de maneiras. Este exemplo considerar
0.:
w a criao de uma tabela de Bayes, onde um ensaio mdico utilizado para determinar se o paciente
(')
tem uma doena. A crena antes de realizar o ensaio que 99 % da populao no tem essa doena
<:
cc e 1 % tem a doena, ou seja, a informao a priori. A exatido do ensaio mostrou que, se a pessoa
o
o tiver a doena, o resultado do ensaio positivo em 98 % das vezes. Existe tambm uma probabilidade
de que, se voc no tiver a doena, o resultado do ensaio seja positivo em 10 % das vezes. A tabela
o
iX de Bayes fornece as seguintes informaes:
t
Z
o
U
Tabela B.5 - Dados da tabela de Bayes
_ A priori _9'-I--l-9I------=!r!Ori
Tem a doena
0,01 0,98 ---l-:-??----+-_-_,?9?-_-_----j
.;9=-c-_==t=: =;9 ==i

tem a doena
SOMATRIA
82 @ISOIEC 2009 - () ABNT 2012 - Todos os direitos reservados
i!rpresso por: Dretorla de Gestao intenn

Utilizando a regra de Bayes, o produto determinado pela combinao do valor a priOri e da

probabilidade. O valor a posteriori encontrado dividindo o valor do produto pela soma dos produtos
(produto total). A sada mostra que um resultado de ensaio positivo indica que o valor a priori aumentou
de 1 % para 9 %, Mais importante ainda, h uma forte probabilidade de que, mesmo com um ensaio
positivo, ter a doena seja improvvel. O exame da equao (0,01 x 0,98)/((0,01 x 0,98) + (0,99 x 0,1))
mostra que o valor "resultado positvo sem doena" desempenha um papel mais importante nos valores
a posteriori.
Considerar a seguinte rede de Bayes:
A B
D c
Figura B.11 - Exemplo de rede de Bayes
Com as probabilidades condicionais a priori definidas dentro das tabelas seguintes e utilizando a
notao de que Y indica positivo e N indica negativo, o positvo poderia ser "tem doena" como acima.
ou poderia ser Alto e N poderia ser Baixo,
Tabela B.6 - Probabilidades a priori para os ns A e B
P(A = P(B = N)
0,9 ,6
Tabela B.7 - Probabilidades condicionais para o n C com o n A e o n B definidos

r--- .. ------ ..
A B P(C::: Y) P(C= N)
._---_ ... _"_ .. __ ._-- .
Y Y 0,5 0,5
Y N 0,9 0,1
N Y 0,2 0,8
N N 0,7 0,3
Tabela B.8 - Probabilidades condicionais para o n D com o n A e o n C definidos
c P(D::: Y) P(D::: N)
N N
Para determinar a probabilidade a posteriori P(AID=N, C= Y), necessrio primeiro calcular

P(A,BID=N,C= Y).
() ISO/IEC 2009 - () ABNT 2012 - Todos os direitos reservados 83
h'rpresso . Dlreteria de Gesto Interna

Utilizando a regra de Bayes, o valor P(DIA,C)P(CIA,B)P(A)P(B) determinado conforme mostrado a

seguir e a ltima coluna mostra as probabilidades normalizadas que somam 1, conforme deduzidas
do exemplo anterior (resultado arredondado).
Tabela B.9 - Probabilidade a posteriori para os ns A e B com o n O e o n C definidos
A P( DIA,C)P( CIA,B)P(A)P(B) P(A,BID=N,C= Y)
Y 0,4 0,5 x 0,9 x 0,6:::: 0,110 0,4
x 0,9 x 0,9 x 0,4 :::: 0,130 0,48
x 0,2 x 0,1 x 0,6:::: 0,010 0,04
N N 0,8 x 0,7 x 0,1 >< 0,4 :::: 0.022 0,08
Para deduzir P(AID=N,C::::Y), todos os valores de Bdevem ser somados:
Tabela B.10 - Probabilidade a posteriori para o n A, com o n O e o n C definidos
P(A= Y1D=N,C= Y) P(A=M D=N,C= Y)
0,88 0,12
Isto mostra que o valor a priori anterior para P(A::::N) aumentou de 0,1 para a posterior! de 0,12, que
somente uma pequena alterao. Por outro lado, P(B::::NiD=N,C= Y) foi alterado de 0,4 para 0,56, que
uma alterao mais significativa.
8.26.5 Sadas
A abordagem Bayesiana pode ser aplicada da mesma forma que a estatstica clssica com uma ampla
gama de sadas, por exemplo, anlise de dados para deduzir estimativas de ponto e intervalos de
confiana, Sua recente popularidade deve-se ao uso de redes de Bayes para deduzir distribuies a
posterori. A sada grfica fornece um modelo de fcil compreenso e os dados podem ser facilmente
modificados para considerar as correlaes e a sensibilidade de parmetros.
Pontos fortes:
Q tudo que necessrio o conhecimento sobre os a priori;

w
.<
o as declaraes inferenciais so fceis de entender:

a::
i-
Z
o
a regra de Bayes tudo o que necessrio;
(J
o fornece um mecanismo para utilizao de crenas subjetivas em um problema.

>
o
;:)
Limitaes:
a definio de todas as interaes em redes de Bayes para sistemas complexos problemtica:
a abordagem Bayesiana necessita do conhecimento de uma infinidade de probabilidades condi

cionais que so geralmente providas por julgamentos de especialistas. As ferramentas de software
somente podem fornecer respostas com base nestas premissas.
84 i) ISO/IEC 2009. () ABNT 2012 - Todos os direitos reservados
por: Diretora de Gesto Interna

8.27 Curvas FN
8.27.1 Viso geral
o risco no pode ser

Regio inaceitvel justificado, salvo em
circunstncias
extraordinrias
Somonte tolervol se a
reduo do risco for
impraticvel ou se o seu
custo for totalmente
despoporcional ti melhoria
obtida
o ALARP ou regio
de tolerablidade (O risco
atingido somente se urn
benefcio for negado)
Toleravei se a reduo de
custo excederia a melhoria
obtida
Regio amplamente Necessrio pala manter a

aceitvel garantia de que o risco
permanece neste nvel
(No necessrio para
trabalho detalhado
para demonstrar o
ALARP)
Risco insignificante
Figura B.12 - O conceito ALARP
As curvas FN so uma representao grfica da probabilidade de eventos que causam um nvel

especificado de danos para uma populao especfica. Na maioria das vezes se referem frequncia
de um determinado nmero de vtimas.
As curvas FN mostram a frequncia acumulada (F) em que N ou mais membros da populao sero
afetados. Os altos valores de N que podem ocorrer com uma alta frequncia F so de interesse signi
ficativo, pois eles podem ser social e politicamente inaceitveis.
8.27.2 Utilizao
7
"- As curvas FN so uma forma de representar as sadas da anlise de riscos. Muitos eventos tm uma
()
U alta probabilidade de um resultado de consequncia baixa e uma baixa probabilidade de um resultado
de consequncia alta. As curvas FN fornecem uma representao do nvel de risco como uma linha
que o descreve em vez de um nico ponto representando um par probabilidade-consequncia.
As curvas FN podem ser utilizadas para comparar riscos, por exemplo, comparar riscos previstos
contra critrios definidos como uma curva FN, ou comparar riscos previstos com dados de incidentes
histricos, ou com critrios de deciso (tambm expresso corno uma curva F/N).
As curvas FN podem ser utilizadas tanto para o projeto de sistemas ou processos, ou para gesto
de sistemas existentes.
l1'J ISO/IEC 2009 - @ ABNT 2012 - Todos os direitos reservados 85
L'npresso por: Dretona de Jnternn

8.27.3 Entradas
As entradas so:
conjuntos dos pares de consequncia-probabilidade cobrindo um determinado perodo de tempo;
dados de sada de uma anlise de risco quantitativa fornecendo probabilidades estimadas para
nmeros especificados de vtimas:
dados tanto de registros histricos quanto de uma anlise de risco quantitativa.
8.27.4 Processo
Os dados disponveis so traados em um grfico com o nmero de vtimas (para um nvel especificado
de dano, ou seja, morte) formando a abcissa, com a probabilidade de N ou mais vtimas formando as
ordenadas. Devido grande faixa de valores, ambos os eixos so normalmente em escalas logartmicas.
As curvas FN podem ser construdas estatisticamente utilizando nmeros "reais" de perdas no passa
do ou podem ser calculadas a partir de estimativas de modelos de simulao. Os dados utilizados e
as premissas efetuadas podem significar que estes dois tipos de curva FN do informaes diferentes
e convm que sejam utilizados separadamente e para diferentes finalidades. Em geral, as curvas FN
tericas so mais teis para projeto de sistemas, e as curvas FN estatsticas so mais teis para ges
to de um sistema especfico existente.
Ambas as abordagens de derivao podem ser muito demoradas e por isso no incomum uma mistura
de ambas. Os dados empricos formaro ento pontos fixos representando vtimas precisamente
conhecidas que ocorreram em acidentes/incidentes conhecidos em um perodo de tempo especificado
e a anlise de risco quantitativa fornecendo outros pontos por extrapolao ou interpolao.
A necessidade de considerar acidentes de baixa frequncia e alta consequncia pode requerer a

considerao de longos perodos de tempo para coletar dados suficientes para uma anlise apropriada.
Isto, por sua vez, pode tornar os dados disponveis suspeitos, se alteraes nos eventos iniciais
acontecerem ao longo do tempo.
8.27.5 Sadas
Uma linha que representa o risco atravs de uma faixa de valores de consequncia que pode ser
comparada com critrios que so apropriados para a populao que est sendo estudada e o nvel
cc especificado de danos.
o
o
<f
....J
o
cc
f
Z As curvas FN so uma forma til de apresentar informaes sobre riscos que podem ser utilizadas
o
o por gestores e projetistas de sistemas para auxiliar na tomada de decises sobre os nveis de risco e
segurana. Elas so uma forma til de apresentar informaes de frequncia e consequncia em um
formato acessvel.
As curvas FN so apropriadas para a comparao de riscos de situaes similares onde dados sufi
cientes esto disponveis. Convm que elas no sejam utilizadas para comparar riscos de diferentes
tipos com caractersticas variveis em circunstncias onde a quantidade e a qualdade dos dados
tambm variam.
() ISOlEC 2009 . (j ABNT 2012 . Todos os direitos reservados

86
Impresso por: Dretoria de Gestao Intenld

Uma limitao das curvas FN que elas no dizem nada sobre a faixa de efeitos ou resultados de
incidentes, exceto o nmero de pessoas impactadas, e no h uma maneira de identificar as diferentes
formas em que o nvel de dano pode ter ocorrido. Elas mapeiam um tipo de consequncia especfica,
geralmente dano s pessoas. As curvas FN no so um mtodo de processo de avaliao de riscos,
mas uma maneira de apresentar os resultados do processo de avaliao de riscos.
So um mtodo bem estabelecido para a apresentao de resultados do processo de avaliao de

riscos, porm requerem preparao por analistas especializados e so muitas vezes difceis de serem
interpretadas e avaliadas por no especialistas.
8.28 ndices de risco
8.28.1 Viso geral
Um ndice de risco uma medida semiquantitativa do risco. uma estimativa derivada utilizando uma
abordagem de pontuao mediante escalas ordinais. Os ndices de risco podem ser utilizados para
avaliar uma srie de riscos com o uso de critrios similares, de modo a que possam ser comparados.
Pontuaes so aplicadas para cada componente de risco, por exemplo, caractersticas do contami
nante (fontes), a faixa de possveis vias de exposio e o impacto sobre os receptores.
Os ndices de risco so essencialmente uma abordagem qualitativa para a classificao e a compara

o de riscos. Embora nmeros sejam utilizados, isto feito simplesmente para permitir manipulao
dos dados. Em muitos casos onde o modelo ou sistema subjacente no bem conhecido ou no
capaz de ser representado, melhor utilizar uma abordagem qualitativa mais aberta.
8.28.2 Utilizao
Os ndices podem ser utilizados para classificar diferentes riscos associados a uma atividade, se
o sistema for bem entendido. Permitem a integrao de uma faixa de fatores com impacto sobre o nvel
de risco em uma nica pontuao numrica para um dado nvel de risco.
Os ndices so utilizados para tipos diferentes de risco geralmente como um dispositivo de pontuao
para classificar os riscos de acordo com o nvel de risco. Isto pode ser utilizado para determinar quais
riscos necessitam de avaliao mais aprofundada e possivelmente quantitativa.
8.28.3 Entradas
As entradas so derivadas da anlise do sistema ou de uma ampla descrio do contexto. Isto requer
uma boa compreenso de todas as fontes de risco, os caminhos possveis e o que pode ser afetado.
Ferramentas como anlise de rvore de falhas. anlise de rvore de eventos e anlise de deciso
geral podem ser utilizadas para apoiar o desenvolvimento de ndices de risco.
Uma vez que a escolha de escalas ordinais . em certa medida, arbitrria, dados suficientes so neces
srios para validar o ndice.
8.28.4 Processo
O primeiro passo entender e descrever o sistema. Uma vez que o sistema tenha sido definido,
pontuaes so desenvolvidas para cada componente de ta! forma que possam ser combinadas
para fornecer um ndice composto. Por exemplo, em um contexto ambiental, as fontes, caminho e
receptor(es) sero pontuados, observando que em alguns casos pode haver mltiplos caminhos e
ri;) ISO/IEC 2009 - @ABNT 2012 - Todos os direitos reservados 87
por: Diretcria de Gesto interna

receptores para cada fonte. As pontuaes individuais so combinadas de acordo com um esquema
que leve em considerao as realidades fsicas do sistema. importante que as pontuaes para
cada parte do sistema (fontes. caminhos e receptores) sejam consistentes internamente e mantenham
suas relaes corretas. As pontuaes podem ser dadas para componentes de risco (por exemplo,
probabilidade. exposio, consequncia) ou para fatores que aumentam o risco.
As pontuaes podem ser adicionadas, subtradas, multiplicadas e/ou divididas de acordo com este
modelo de alto nvel. Os efeitos acumulados podem ser levados em considerao, adicionando pon
tuaes (por exemplo, adicionando pontuaes para caminhos diferentes). No admitido de forma
alguma aplicar frmulas matemticas para escalas ordinais. Portanto, uma vez que o sistema de pon
tuao tenha sido desenvolvido, convm que o modelo seja validado aplicando-o a um sistema conhe
cido. O desenvolvimento de um ndice uma abordagem iterativa, e vrios sistemas diferentes para
combinar as pontuaes podem ser tentados antes que o analista esteja confortvel com a validao.
A incerteza pode ser tratada por meio da anlise de sensibilidade e variando as pontuaes para
descobrir quais parmetros so os mais sensveis.
8.28.5 Sadas
As sadas so uma srie de nmeros (ndices compostos) que se relacionam com uma fonte especfica
e que podem ser comparados com ndices desenvolvidos para outras fontes dentro do mesmo sistema
ou que podem ser modelados da mesma maneira.
Pontos fortes:
os ndices podem fornecer uma boa ferramenta para classificar diferentes riscos;
eles permitem que mltiplos fatores que afetam o nvel de risco sejam incorporados em uma nica
pontuao numrica para o nvel de risco.
o
,::t; Limitaes:
z
.=>
se o processo (modelo) e sua sada no forem bem validados, os resultados podem ser sem
sentido. O fato de que a sada um valor numrico para o risco pode ser mal interpretado e mal
utilizado, por exemplo, em anlise subsequente de custo/benefcio:
em muitas situaes onde os ndices so utilizados, no existe um modelo fundamental para

definir se as escalas individuais para os fatores de risco so lineares, logartmicas ou com al
guma outra forma, e nenhum modelo para definir como fatores devem ser combinados. Nessas
situaes, a avaliao inerentemente no confivel e a validao contra dados reais particu
larmente importante.
8.29 Matriz de probabilidade/consequncia
tfl 8.29.1 Viso geral

:5
'"

o:,; A matriz de probabilidade/consequncia um meio de combinar classificaes qualitativas ou semi-

quantitativas de consequncias e probabilidades. a fim de produzir um nvel de risco ou c1assficao
de risco.
88 () ISO/IEC 2009 - (C) ABNT 2012 - Todos os dimitos reservados
Irrpresso por: Diretofl8 de Gesto Interna

o formato da matriz e as definies a ela aplicadas dependem do contexto em que utilizada e

importante que um projeto apropriado seja utilizado para as circunstncias.
8.29.2 Utilizao
Uma matriz de probabilidade/consequncia utilizada para classificar os riscos, fontes de risco ou

tratamentos de risco com base no nvel de risco. comumente utilizada como uma ferramenta de
seleo, quando muitos riscos foram identificados, por exemplo, para definir quais riscos necessitam
de anlise adicional ou mais detalhada, quais riscos necessitam primeiro de tratamento, ou quais riscos
necessitam ser referidos a um nvel mais alto de gesto. Tambm pode ser utilizada para selecionar
quais riscos no precisam de maior considerao neste momento. Este tipo de matriz de risco
tambm amplamente utilizado para determinar se um dado risco de uma forma geral aceitvel ou
no aceitvel (ver 5.4), de acordo com a sua localizao na matriz.
A matriz de probabilidade/consequncia tambm pode ser utilizada para auxiliar a comunicao de

uma compreenso comum dos nveis qualitativos dos riscos em toda a organizao. Convm que a
maneira como os nveis de risco so estabelecidos e as regras de deciso a eles atribudos sejam
alinhados com o apetite pelo risco da organizao.
Uma forma de matriz de probabilidade/consequncia utilizada para anlise de criticidade em FMECA

ou para estabelecer prioridades aps o HAZOP. Tambm pode ser utilizada em situaes onde h
dados insuficientes para uma anlise detalhada ou a situao no assegura o tempo e esforo para
uma anlise mais quantitativa.
8.29.3 Entradas
As entradas do processo so escalas personalizadas de consequncia e probabilidade e uma matriz

que combina as duas.
Convm que a escala (ou escalas) de consequncia abranja(m) toda a faixa dos diferentes tipos de con
:."\ sequncia a serem considerados (por exemplo, perda financeira, segurana, meio ambiente ou outros
o
parmetros, dependendo do contexto), bem como se estenda da consequncia mxima credvel at
o
,:::; a consequncia de menor grau de preocupao. Um exemplo parcial mostrado na Figura 8.13.
L.
::J
<: A escala pode ter qualquer nmero de pontos. As escalas de 3, 4 ou 5 pontos so as mais comuns.
o
A escala de probabilidade tambm pode ter qualquer nmero de pontos. As definies para probabili
dade precisam ser selecionadas para serem o menos ambguas possveis. Se guias numricos forem
utilizados para definir diferentes probabilidades, ento as unidades devem ser dadas. A escala de
probabilidade precisa abranger a faixa pertinente ao estudo em mos, lembrando que a probabilidade
mais baixa deve ser aceitvel para a consequncia mais alta definida; caso contrrio, todas as ativi
dades com a consequncia mais alta so definidas como intolerveis. Um exemplo parcial mostrado
na Figura 8.14.
Uma matriz desenhada com a consequncia em um eixo e a probabilidade no outro. A Figura 8.15
mostra parte de uma matriz de exemplo com uma escala de consequncia de 6 pontos e de probabi
lidade de 5 pontos.
Os nveis de risco atribudos s clulas dependero das definies para as escalas de probabilidade/
consequncia. A matriz pode ser estabelecida para dar ponderao extra s consequncias (conforme
mostrado) ou s probabilidades, ou pode ser simtrica, dependendo da aplicao. Os nveis de risco
podem estar associados a regras decisrias, como o nvel de ateno da gesto ou a escala do tempo
pela qual uma resposta necessria.
() ISO/IEC 2009 @ABNT 2012. Todos os direitos reservados 89
Impresso por Dretora de Gest80 Interna

I '; I
W!.
'.:.".',5.'.'."
I '.'' ""
< Dn,!i: t<:_.:l!:t' Jr'::h:;f
:;:'Jp}e"::';ei I;;
l :Te Of ",)f
' :<-r(:.'<:r;e:l 'in:nE'1I::"Tp(1
; I
I I
< r:'i'r:;;.";;
H'ti'>"'V"
Figura 8.13 - Exemplo de parte de uma tabela critrios de consequncia
Ratjng Crjtera
Likely balance af probability' will. occu r, o,
"
could occurl,vithin "weeks to rrlClnt ,IS
Pos5ible rnay 'X u I' 5110 Itl,:i but a distin"

- could occu I' within "ITlr"
Unlikely may o,>:ur but not.

could occu r in "l,"
Rare occurrence re'
exceptional'
only OC(I
Remot.e t.heor
fr'
Figura 8.14 - Exemplo de parte de uma matriz de classificao de riscos
Figura 8.15 - Exemplo de parte de uma matriz de critrios de probabilidade
@ ISO/IEC 2009 - (; ABNT 2012 - Todos os direitos reservados

90
Lnpresso por Diretoria de Gesto Interna

As escalas de classificao e uma matriz podem ser estabelecidas com escalas quantitativas.
Por exemplo, em um contexto de confiabilidade, a escala de probabilidade poderia representar taxas
de falha indicativas e a escala de consequncia. o custo monetrio da falha.
A utilizao da ferramenta necessita de pessoas (idealmente uma equipe) com especializao perti
nente e dados disponveis para auxiliar nos julgamentos de consequncia e probabilidade.
8.29.4 Processo
Para classificar os riscos, o usurio primeiro encontra o descritor da consequncia que melhor se
adapta situao e em seguida define a probabilidade com a qual essas consequncias ocorrero.
O nvel de risco ento estabelecido em funo da matriz.
Muitos eventos de risco podem ter uma faixa de resultados com diferente probabilidade associada. Nor
malmente, os menores problemas so mais comuns do que as catstrofes. Portanto, h uma escolha
em se classificar os resultados mais comuns, ou a combinao mais grave ou alguma outra combina
o. Em muitos casos, apropriado focar nos resultados confiveis mais graves j que estes represen
tam a maior ameaa e so muitas vezes os mais preocupantes. Em alguns casos pode ser apropriado
classificar os problemas comuns e as catstrofes improvveis como riscos separados. importante
que a probabilidade pertinente para a consequncia selecionada seja utilizada e no a probabilidade
do evento como um todo.
O nvel de risco definido pela matriz pode estar associado a uma regra de deciso, como tratar ou no
tratar o risco.
8.29.5 Sadas
As sadas so uma classificao para cada risco ou uma lista classificada de riscos com nveis de
significncia definidos.

o
':S Pontos fortes:
z
::;;
<:
o relativamente fcil de usar;
...J
<:
ffi fornece uma rpida classificao dos riscos em diferentes nveis de significncia.
(')

o.::: Limitaes:
Q
i"""""
<:
uma matriz deve ser projetada para ser apropriada s circunstncias de forma que pode ser difcil
ter um sistema comum aplicvel a uma faixa de circunstncias pertinentes para uma organizao;
difcil definir as escalas de forma no ambgua:
a utilizao muito subjetiva e tende a haver uma variao significativa entre os classificadores;
os riscos no podem ser agregados (ou seja, no se pode definir que um nmero especfico de
baixos riscos ou um baixo risco identificado um nmero especfico de vezes seja equivalente
a um risco mdio);
difcil de combinar ou comparar o nvel de risco para diferentes categorias de consequncias.
ri;) ISO/IEC 2009 @ABNT 2012 - Todos os direitos It,servadcs 91
, Diretcria de Gesto Interna

Os resultados dependero do nvel de detalhes da anlise, ou seja, quanto mais detalhada a anlise.
maior o nmero de cenrios, cada um com probabilidade mais baixa. Isto subestimar o nvel real de
risco. A forma em que os cenrios so agrupados na descrio do risco deve ser consistente e definida
no incio do estudo.
B.30 Anlise de custo/benefcio (ACB)
8.30.1 Viso geral
A anlise de custo/benefcio pode ser utilizada para avaliao de riscos quando os custos totais es
perados so ponderados contra os benefcios totais esperados a fim de escolher a melhor ou a mais
rentvel opo. uma parte implcita de muitos sistemas de avaliao de riscos. Ela pode ser quali
tativa ou quantitativa, ou envolver uma combinao de elementos quantitativos e qualitativos. A ACB
quantitativa agrega o valor monetrio de todos os custos e todos os benefcios para todas as partes
interessadas que esto includas no escopo e faz o ajuste para os diferentes perodos de tempo nos
quais os custos e benefcios ocorrem. O valor presente lquido (VPL) calculado torna-se uma entrada
nas decises sobre o risco. Um VPL positivo associado a uma ao normalmente significaria que a
ao deve ocorrer. Entretanto, para alguns riscos negativos, particularmente aqueles riscos que envol
vem a vida humana ou danos ao meio ambiente, o princpio do ALARP pode ser aplicado. Isto divide
os riscos em trs regies: um nvel acima do qual os riscos negativos so intolerveis e no devem ser
aceitos, exceto em circunstncias extraordinrias; um nvel abaixo do qual os riscos so insignifican
tes e precisam somente ser monitorados para assegurar que eles permanecem baixos. e uma faixa
central onde os riscos so mantidos to baixos quanto razoavelmente praticvel (ALARP). Em direo
ao menor risco desta regio, uma anlise rigorosa de custo/benefcio pode aplicar-se, porm quando
os riscos estiverem prximos ao intolervel, a expectativa do princpio do ALARP que o tratamento
ocorrer, a menos que os custos de tratamento sejam substancialmente desproporcionais em relao
ao benefcio obtido.
8.30.2 Utilizao
A anlise de custo/benefcio pode ser utilizada para decidir entre opes que envolvam risco.
Por exemplo
como entrada em uma deciso sobre se convm tratar um risco,
para diferenciar e decidir entre a melhor forma de tratamento do risco,
para decidir entre diferentes linhas de ao.
8.30.3 Entradas
As entradas incluem informaes sobre custos e benefcios para as partes interessadas pertinentes e
<)
> sobre incertezas nesses custos e benefcios. Convm que os custos e benefcios tangveis e intangveis
U)
Cl sejam considerados. Os custos incluem recursos gastos e resultados negativos, os beneficias incluem
X
(;) resultados positivos, resultados negativos evitados e recursos economizados.
8.30.4 Processo
As partes interessadas que podem estar sujeitas aos custos ou receber benefcios so identificadas.
Em uma anlise completa de custo/benefcio, todas as partes interessadas so includas.
92 @ ISO/IEC 200() - () ABNT 2012 - Todos os direitos leservados
ITPres:;() por: Dlretorl8 de Gestao ImelTld

ABNT NBR ISOIJEC 31010:2012
Os benefcios e custos diretos e indiretos para todas as partes interessadas pertinentes das opes
consideradas so identificados. Os benefcios diretos so aqueles que decorrem diretamente da
ao tomada, enquanto os benefcios indiretos ou auxiliares so aqueles que so fortuitos. porm
ainda podem contribuir significativamente para a deciso. Exemplos de benefcios indiretos incluem a
melhoria de reputao, satisfao do pessoal e "paz de esprito". (Estes so muitas vezes fortemente
considerados na tomada de decises).
Os custos diretos so aqueles que esto diretamente associados com a ao. Os custos indiretos so
aqueles custos adicionais, auxiliares e irrecuperveis, como a perda de utilidade, desvio de ateno
do tempo de gesto ou o desvio de capital em detrimento de outros investimentos potenciais. Ao
aplicar uma anlise de custo/benefcio a uma deciso para se tratar de um risco, convm que sejam
includos os custos e benefcios associados ao tratamento do risco e assuno do risco.
Na anlise quantitativa de custo/benefcio, quando todos os custos e benefcios tangveis e intangveis

forem identificados, um valor monetrio atribudo a todos os custos e benefcios (inclusive custos e
benefcios intangveis). Existem inmeras formas padronizadas de fazer isto, incluindo a abordagem
'disposio a pagar' e utilizando substitutos. Se, como muitas vezes acontece, o custo incorrer durante
um perodo curto de tempo (por exemplo, um ano) e o fluxo de benefcios por um longo perodo
posteriormente, normalmente necessrio descontar os benefcios para traz-los ao "dinheiro de
hoje", de modo que uma comparao vlida possa ser obtida. Todos os custos e benefcios so
expressos como valor presente. O valor presente de todos os custos e benefcios para todas as partes
interessadas pode ser combinado para produzir um valor presente lquido (VPL). Um VPL positivo
significa que a ao benfica. Razes de custo/benefcio so tambm utilizadas (ver 8.30.5).
Se houver incerteza sobre o nvel de custos ou benefcios, um ou ambos os termos podem ser
ponderados de acordo com as suas probabilidades.
Na anlise qualitativa de custo/benefcio nenhuma tentativa feita para encontrar um valor monetrio
para custos e benefcios intangveis e, em vez de fornecer um nico nmero que resuma os custos e
benefcios, relaes e concesses (frade offs) entre os diferentes custos e benefcios so consideradas
qualitativamente.
Uma tcnica relacionada uma anlise de custo-eficcia. Isso pressupe que um certo benefcio ou
resultado desejado. e que h diversas formas alternativas para atingi-lo. A anlise olha somente os
custos e qual a forma mais barata de alcanar o benefcio.
<
o
8.30.5 Sada
A sada de uma anlise custo/benefcio a informao sobre os custos e benefcios de diferentes

opes ou aes. Isto pode ser expresso quantitativamente como um valor presente lquido (VPL),
um taxa interna de retorno (TIR) ou como a razo entre o valor presente dos benefcios e o valor
presente dos custos. Qualitativamente as sadas so geralmente uma tabela que compara os custos e
os benefcios dos diferentes tipos considerados. chamando a ateno para as concesses (frade offs).
Pontos fortes da anlise de custo/benefcio:
permite que os custos e benefcios sejam comparados usando uma mtrica nica (monetria):
fornece transparncia na tomada de decises:
requer informaes detalhadas a serem coletadas em todos os aspectos possveis da deciso.

Isto pode ser valioso para revelar a ignorncia, bem como comunicar o conhecimento.
j
wJ
(Q> ISO/IEC 2009 . @ ABNT 2012 - Todos os direitos reservados 93
Diretora de Gesto Interna

Limitaes:
A ACB quantitativa pode gerar nmeros dramaticamente diferentes, dependendo dos rntodos
utilizados para atribuir valores econmicos a benefcios no econmicos:
em algumas aplicaes difcil definir uma taxa de desconto vlida para custos e benefcios
futuros;
os benefcios que alcanam uma grande populao so difceis de estimar. particularmente aque
les relativos ao bem pblico que no transacionado em mercados;
a prtica do desconto (atualizao dos valores com taxas de desconto) significa que os benefcios
obtidos no futuro a longo prazo tm influncia insignificante na deciso, dependendo da taxa de
desconto escolhida. O mtodo torna-se inadequado para considerao dos riscos que afetam as
geraes futuras, a menos que taxas de desconto muito baixas ou nulas sejam estabelecidas.
8.31 Anlise de deciso por multicritrios (MCDA)
8.31.1 Viso geral
o objetivo utilizar uma faixa de critrios para avaliar de forma objetiva e transparente o valor global
de um conjunto de opes. Em geral, o objetivo global produzir uma ordem de preferncia entre as
opes disponveis. A anlise envolve o desenvolvimento de uma matriz de opes e critrios que so
classificados e agregados para fornecer uma pontuao global para cada opo.
8.31.2 Utilizao
A MCDA pode ser utilizada para
comparar mltiplas opes para uma primeira anlise para determinar opes preferenciais
e potenciais e as inapropriadas,
comparar opes onde existam critrios mltiplos e, algumas vezes, conflitantes,
alcanar um consenso sobre uma deciso onde diferentes partes interessadas tm objetivos ou
valores conflitantes.
8.31.3 Entradas
Um conjunto de opes para anlise. Critrios baseados em objetivos que podem ser utilizados igual
mente em todas as opes para diferenci-Ias.
z
()
()
8.31.4 Processo
Em geral, um grupo de partes interessadas conhecedoras realizam o seguinte processo:
a) definem o(s) objetivo(s);
b) determinam os atributos (critrios ou medidas de desempenho) que se relacionam a cada objetivo;
c) estruturam os atributos dentro de uma hierarquia;
94 @ ISO/IEC 2009 - (; ABNT 2012 - Todos 05 direitos reservados
Irnpresso por: Diretoria de Gesto Interna

d) desenvolvem opes para serem avaliadas em relao aos critrios;
e) determinam a importncia dos critrios e atribuem ponderaes correspondentes a eles;
f) avaliam as alternativas com relao aos critrios. Isto pode ser representado como uma matriz
de pontuaes.
g) combinam mltiplas pontuaes de atributo nico em uma Llnica pontuao multiatributo agregada;
h) avaliam os resultados.
Existem diferentes mtodos pelos quais a ponderao para cada critrio pode ser deduzida e dife
rentes formas de agregar as pontuaes dos critrios para cada opo em uma pontuao nica de
multiatributos. Por exemplo, as pontuaes podem ser agregadas como uma soma ponderada ou um
produto ponderado. ou utilizando o mtodo analtico hierrquico, uma tcnica de deduo para as pon
deraes e pontuaes baseada em comparaes par a par - emparelhadas). Todos estes mtodos
assumem que a preferncia por qualquer critrio no depende dos valores dos outros critrios. Caso
esta premissa no seja vlida, diferentes modelos so utilizados.
Uma vez que as pontuaes so subjetivas, a anlise de sensibilidade til para examinar a extenso
em que as ponderaes e pontuaes influenciam as preferncias globais entre as opes.
8.31.5 Sada
A apresentao da ordem de classificao das opes vai da melhor para a menos preferida. Se o
processo produzir uma matriz onde os eixos da matriz so os critrios ponderados e a pontuao dos
critrios para cada opo, ento as opes que falham nos critrios altamente ponderados tambm
podem ser eliminadas.

:f'\
o
Pontos fortes:
fornece uma estrutura simples para uma tomada de deciso eficaz e apresentao de premissas
e concluses;
pode tornar mais gerenciveis os problemas de deciso complexos, que no so passveis de an

lise de custo/benefcio;
pode auxiliar a considerar racionalmente os problemas onde concesses (frade offs) precsam
ser efetuadas:
pode auxiliar a atingir um acordo quando as partes interessadas tm objetivos e, consequente

mente, critrios diferentes .
. Limitaes:
.
pode ser afetada por vis e por m seleo dos critrios de deciso;
a maioria dos problemas da MCDA no tem uma soluo conclusiva ou nica;
algoritmos de agregao que calculam os critrios de ponderao a partir de preferncias estabe

lecidas ou agregam diferentes pontos de vista podem obscurecer a verdadeira base da deciso.
ri;) ISO/IEC 2009 -@ABNT 2012. Todos os direitos reservados

95
ITPres,;o por: Dlretcna de Gest;"lc Interna

Bibliografia
[1] I EC 61511, Functonal safety - Safety nstrumented systems for the process industry sector
[2] IEC 61508 (Ali parts), Functional safety of electrical/electronic/programmable electronic safety
related systems
[3] IEC 61882, Hazard and operability studies (HAZOP studes) - Applcaton gude
[4] ABNT NBR ISO 22000, Sistemas de gesto da segurana de almentos - Requisitos para qual
quer organizao na cadeia produtiva de alimentos
[5] ISO/IEC Guide 51, Safety aspects - Guidelines for t!Jeir inc/usion in standards
[6] I EC 60300-3-11. Dependabilty management - Part 3-11: Application gude - Reliabilty centred
maintenance
[7] IEC 61649, Weibull ana/ysis
[8] I EC 61078, Ana/ysis techniques for dependablity - Reliabilty block diagram and boo/ean methods
[9] IEC 61165, AppUcation of Markov techniques
[10] ISO/IEC 15909 (Ali parts), Software and systems engineering - High-Ievel Petri nets
[11] I EC 62551. Analysis techniques for dependability - Petr net techniques 2
2 Atualmente em estudo.
96 () ISO/IEC 2009 - @ ABNT 2012 - Todos os direitos reservados
por: Direturia de Gesto Immnn

ISO 31010 Gesto de Riscos - Tcnicas para o Processo Da Avaliao

Caricato da

Informazioni sul documento

Descrizione originale:

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

ISO 31010 Gesto de Riscos - Tcnicas para o Processo Da Avaliao

Caricato da

Copyright:

Formati disponibili

NORMA ABNT NBR

Gesto de riscos - Tcnicas para o processo

Risk management - Risk assessment techniques

@ ISO/IEC 2009 - @ABNT 2012

lir:presso por Dretora de Gesto Irlternn

ii @ ISO/IEC 2009. (; ABNT 2012. Todos os direitos reservados

5.6 Monitoramento e anlise crtica do processo de avaliao de riscos 13

6.4 A natureza e o grau de incerteza 15

@ ISO/IEC 2009. @ABNT 2012. Todos os direitos reservados iii

Lrpressc por Dreton8 de Gesto Inten,,'l

Anexo A (informativo) Comparao das tcnicas para o processo de avaliao de riscos 17

8.4 Listas de verificao o o0 28

\V B.5.6 Pontos fortes e Iim itaes 30

8.6 Estudo de perigos e operabilidade (HAZOP) 30

iv @ ISOilEC 2009 . (j ABNT 2012 Todos os direitos reservados

TA'ess,c por: Dlmtora de Gest<lo Interna

8.6.2 Util izao 31

8.10.6 Pontos fortes e I i Initaes 0 42

@ISOfIEC 2009 - () ABNT 2012 - Todos os direitos reservados v

Irnpresso D:retcna de Gesto interna

8.12.1 Viso geral 45

vi @ ISO/IEC 2009 (C) ABNT 2012 ,Todos os direitos reservados

B.17.6 Pontos fortes e Iilnitaes 62

CC,) ISO!IEC 2009 - (9 ABNT 2012 - Todos os direitos reservados vii

Lrpresso Dlretcria de Gesto Intema

8.23.6 Pontos fortes e I imitaes 73

m 8.29.1 Viso geral 88

8.29.2 Uti Iizao 89

vii (c';) ISO/IEC 2009. (j ABNT 2012 - Todos os direitos reservados

!cnpress() , Diretcrla de Gesto Interna

Figura 8.1 - Curva dose-resposta 37

Figura 8.10 - Exemplo de diagrama de transio de estado 76

@ISOfIEC 2009 - (9) ABNT 2012 - Todos os direitos reservados ix

Diretoria de Gesto Interna

Tabela A.1 - Aplicabilidade das ferramentas utilizadas para o processo de avaliao

@ ISO/IEC 2009 -@ABNT 2012 - Todos os direitos reservados

Impresso , Dretcr!8 de Gesto Interna

4.3 Processo de avaliao de riscos e o processo de gesto de riscos

processo de avaliao de riscos (abrangendo a identificao de riscos, a anlise de riscos e a ava

monitoramento e anlise crtica.

4.3.2 Comunicao e consulta

O processo de avaliao de riscos bem-sucedido depende de comunicao e consulta eficazes com

O envolvimento das partes interessadas no processo de gesto de riscos ir auxiliar

no desenvolvimento de um plano de comunicao,

na definio do contexto de forma apropriada,

a assegurar que os interesses das partes interessadas so compreendidos e considerados,

a assegurar que os riscos sejam devidamente identificados,

a assegurar aprovao e apoio para um plano de tratamento.

4.3.3 Estabelecimento do contexto

() ISO/IEC 2009.@ABNT 2012 - Todos os direitos reservados 3

lrnpresso Dir,ltmi<! de Gesto nternH

Ao se estabelecer o contexto. os objetivos do processo de avaliao de riscos, os critrios de risco e

a) Estabelecer o contexto externo envolve a familiarizao com o ambiente em que a organizao

os fatores culturais, polticos, legais, regulatrios, financeiros, econmicos e ambientais com

fatores-chave e tendncias que tenham impacto sobre os objetivos da organizao: e

percepes e valores das partes interessadas externas.

b) Estabelecer o contexto interno envolve o entendimento

das capacidades da organizao em termos de recursos e conhecimento,

dos fluxos de informao e processos de tomada de deciso,

das partes interessadas internas,

dos objetivos e das estratgias que esto em vigor, a fim de atingi-los,

das percepes, valores e cultura,