..:: NCA ::..

As armadilhas do paradigma atual

Como a motivação básica para a avaliação de riscos (de modo simplista) é a certificação em um protocolo específico de auditoria, que requer a documentação de uma avaliação de risco formal, a avaliação de riscos (em si) torna-se o objetivo do avaliador de risco. Esta é uma abordagem falha, pois não se concentra em controlar o risco, mas apenas em avaliá-lo. Obviamente (logicamente), o avaliador de riscos também irá considerar as estratégias de mitigação para o risco avaliado, porém, o foco permanece sobre o processo de avaliação de risco (diagnóstico) e não na mitigação ou no seu controle.

A declaração anterior não pretende implicar que os protocolos de certificação não consideram os controles, pelo contrário, eles os consideram. O argumento básico é que, do ponto de vista do avaliador de riscos, o nível de sofisticação requerido no processo formal de avaliação de risco excede grandemente a ênfase sobre o controle dos riscos. Enquanto o processo de avaliação de riscos basicamente requer certo pensamento e raciocínio independentes, a formação das medidas de controle e mitigação geralmente torna-se uma prescrição “pronta” que apenas requer conformidade com requisitos específicos do protocolo de auditoria, ex. realização de inspeções, condução de reuniões, treinamento, etc. O nível de sofisticação das medidas de controle é raramente (se alguma vez for) equilibrado adequadamente à ameaça real oferecida pelo risco.

Por outro lado, os auditores são freqüentemente obrigados pelas regras do protocolo de auditoria. Vamos tomar, por exemplo, o caso onde as medidas de controle consistem do seguinte:

* Uma inspeção mensal
Um procedimento escrito de trabalho seguro documentado
* Treinamento anual sobre o procedimento
* Uso de luvas durante a realização da tarefa

Quando estas medidas de controle estão implementadas e sendo respeitadas o auditor é basicamente forçado, pelas regras da auditoria, a lhes dar o devido crédito. Entretanto, em termos de avaliação de controle – ao contrário da avaliação de “riscos” – mesmo com conformidade TOTAL com o sistema cobrindo os controles mencionados acima, as deficiências a seguir ainda podem penetrar na estratégia de controle ou de mitigação e permanecerem não detectadas:

* As listas de inspeção mensal não cobrem todos, ou os itens críticos a serem examinados. A pessoa que conduz a inspeção não é qualificada adequadamente para tal.
* O procedimento foi documentado por uma pessoa com conhecimento ou experiência inadequada sobre a tarefa. Nem todos os especialistas das disciplinas (ex.: químico, médico, engenheiro, etc.) estiveram envolvidos na compilação do procedimento escrito de trabalho seguro.
* A pessoa que realiza a tarefa participou do treinamento, mas um teste de competência não foi realizado na conclusão do treinamento.
* As luvas usadas pela pessoa não protegem seus antebraços, o que é de vital importância para evitar lesões.

Como explicado acima, as medidas de controle podem estar implementadas e sendo cumpridas, mas o risco ainda pode inerentemente não estar sendo administrado ou mitigado.

REALIZANDO A MUDANÇA

O cenário mencionado acima deve deixar claro que a gestão eficaz do risco está não tanto na “avaliação de risco”, mas na “avaliação do controle”. Enquanto a certificação permanecer sendo a motivação fundamental para a avaliação de risco, a “abordagem de conformidade” será perpetuada.

Quando a rentabilidade e o desempenho tornarem-se o paradigma para a avaliação de risco, “fazer a coisa certa” se tornará a norma. Assim, a gestão do nível adequado da sofisticação dos controles (“avaliação do controle”) deve substituir a abordagem de “conformidade cega” que, até o momento, tem se mostrado não muito bem sucedida.

Obviamente a economia tem seu papel na mitigação do risco, nem sempre é possível implementar a melhor prática operacional ou tecnológica na gestão do risco. Porém, a razão e a lógica dirão quando ela é absolutamente necessária (um incidente em uma estação nuclear custará mais do que a prevenção do acidente). A mesma lógica aplica-se a um incidente que causará apenas lesões ou danos leves (seria insensato despender grandes somas e recursos para evitar um incidente leve).

A solução está em alocar a quantidade/nível (econômica e logicamente) correta de controle sobre a situação de risco. Isto significa que a avaliação do valor de eficácia razoável – da estratégia de controle ou de mitigação – merece ser estudada profundamente. A avaliação de risco é apenas o diagnóstico do problema. A avaliação do controle pode ser equiparada à aplicação do tratamento correto (quantidade e nível adequado) à situação de risco diagnosticada. Para isto, o valor relativo da eficácia das medidas de controle deve ser considerado seriamente durante o processo de avaliação de risco.

(A terceira e última parte deste artigo fornecerá uma descrição genérica de uma Matriz, para designar o nível correto de sofisticação dos controles, dependendo do nível do risco puro estimado, que formalizará Critérios de Avaliação do Nível do Controle do Risco empíricos).

Danie Williams
Gerente Técnico / NOSA South America Consultores
(O texto não reflete necessariamente a posição da NOSA)

<< Voltar