Probabilidade para avaliação de risco – um assunto não tão simples assim!

Há um amplo consenso sobre a definição de “risco” entre os principais padrões e diretrizes nacionais e internacionais: o risco tem duas dimensões. O primeiro diz respeito à incerteza, visto que risco é algo que ainda não aconteceu e que pode ou não ocorrer. A segunda é sobre o que aconteceria se o risco ocorresse, uma vez que os riscos são definidos em termos de seu efeito sobre os objetivos.

É comum usar os termos “probabilidade” e “severidade” para descrever essas duas dimensões, com “probabilidade” abordando a ocorrência do evento (a dimensão da incerteza) e “severidade” detalhando a extensão do que aconteceria se o risco se materializasse (a dimensão do efeito). Ao avaliar a significância de qualquer risco dado, é necessário considerar ambas as dimensões. Claramente, um evento incerto que é provável de ocorrer (ou seja, tem alta probabilidade), mas que teria pouco ou nenhum efeito sobre os objetivos (baixa severidade) não é significativo.

Um dos problemas na avaliação da probabilidade é o próprio termo. “Probabilidade” tem um significado estatístico: “uma medida da frequência relativa ou probabilidade de ocorrência de um evento, cujos valores se situam entre zero (impossibilidade) e um (certeza), derivados de uma distribuição teórica ou de observações”. No entanto, seu uso geral não é tão claro. O uso de termos alternativos como “frequência”, “chance” ou “acaso”, reforça a impressão de que esses são meros sinônimos de “probabilidade” quando, na verdade, eles são distintamente diferentes.

Em inglês, quando falamos de metodologia HACCP por exemplo, falamos de “likelihood”, que não deveria ser traduzido como probabilidade – isso porque likelihood é gerenciado por uma medição qualitativa e probabilidade é gerenciada por medições quantitativas.

Quando falamos em riscos, podemos assumir que, por definição, são possíveis eventos futuros, que ainda não ocorreram e, como tal, sua probabilidade de ocorrência não pode ser medida, mas apenas estimada.

Portanto, não é possível medir nenhuma característica de um risco, uma vez que não está presente na realidade. Só é possível estimar qual seria o risco se e quando ele surgir.

Isso não é muito difícil quando se considera o impacto do risco (severidade), mas a estimativa da probabilidade é muito mais complexa. Consequentemente, a estimativa da probabilidade tende a ser influenciada por uma ampla gama de fontes subjetivas e inconscientes, tornando-a ainda menos confiável. Essas fontes precisam ser compreendidas e gerenciadas e avaliações realistas e úteis de probabilidade devem ser feitas.

Frequentemente, durante uma auditoria, quando a empresa é questionada como a probabilidade foi definida, ouve-se um enorme silêncio na sala e na maior parte das vezes a pergunta não é respondida. As falhas ou inconsistências mais comuns de serem vistas são:

• Algumas empresas definem a baixa probabilidade, com base em número de resultados analíticos (seja em produto acabado, matéria prima ou insumo) ou número de reclamações de consumidores/clientes. Um exemplo recente: os critérios para atribuição da probabilidade de ocorrência dos perigos foram definidos como “Alta: duas (02) ou mais ocorrências no período de um ano; Média: uma (01) ocorrência no período de um ano; Baixa: é provável, porém, zero (0) ocorrências no período de um ano”. Ao avaliar a frequência das atividades de verificação de perigos, observa-se que a maioria ocorre 1 vez ao ano. Ou seja, nesta frequência de avaliação, nunca haverá duas ocorrências.

• Outra questão é quando as empresas definem probabilidade com base em histórico e dizem, então, que a probabilidade é baixa porque não tem ocorrência. Não tem ocorrência com base em quê? Essa conclusão foi tomada após uma robusta frequência de monitoramentos e verificações ou análises? Os dados estão disponíveis? É a velha história: não tem por que não procuro ou não tem por que procuro e de fato não ocorre?

• Por fim, há as empresas que definem a probabilidade como baixa, porque há medidas de controle apropriadas para isso. O requisito 8.5.2.3 da ISO 22.000:2018 determina que a probabilidade de ocorrência deve ser avaliada ANTES da aplicação das medidas de controle. Muitas vezes a não ocorrência é justamente porque as medidas de controle estão funcionando como deveriam. Nesse caso, não deveríamos desafiar os resultados das atividades de verificação?

Quatro fatores, extraídos da área de gerenciamento de projetos, merecem destaque por serem particularmente relevantes para a avaliação da probabilidade de risco:

• Familiaridade: o grau em que um indivíduo, equipe ou organização encontrou anteriormente a situação determina se a probabilidade de risco é percebida como alta ou baixa. Onde há pouca ou nenhuma experiência, habilidade ou conhecimento anterior relevante, o grau de incerteza é percebido como mais alto do que quando é avaliado por indivíduos ou grupos que já se depararam com a situação anteriormente. Como trazer isso para a nossa realidade? Avaliando, por exemplo, a experiência dos membros da equipe HACCP; a maturidade do SGSA; o tempo de relacionamento com os fornecedores de matérias primas; disponibilidade de informação acerca da matéria prima (origem, método de produção, dados bibliográficos, informações de incidentes).

• Gerenciabilidade: o grau de controle ou escolha que pode ser exercido em uma determinada situação impulsiona a avaliação da incerteza. Quando um risco é visto como suscetível de controle, a probabilidade de risco é avaliada como menor do que em situações em que o gerenciamento ou escolha estão ausentes (ou percebidas como estando). Como trazer isso para a nossa realidade? Avaliando, por exemplo, o nível de gerenciamento ativo que a empresa possui – aqui não falamos de medidas de controle (“depois”) mas ferramentas de gerenciamento (“antes”).

• Proximidade: se a possível ocorrência de um risco está próxima no tempo ou espaço para aqueles que avaliam sua probabilidade, ela será vista como mais provável do que os riscos que podem ocorrer mais tarde no tempo ou mais longe no espaço. Como trazer isso para a nossa realidade? Avaliando, por exemplo, a frequência de recebimento de determinado material. Um material muito usado, com entregas frequentes, difere de um material de baixo uso, com entregas espaçadas.

• Propinquidade: este termo é usado para descrever o potencial percebido das consequências de um risco para afetar o indivíduo ou grupo diretamente. Quanto mais próximo o impacto estiver daqueles que avaliam o risco, maior será sua probabilidade percebida. Como trazer isso para a nossa realidade? Avaliando, por exemplo, o destino do produto que fabricamos – é um produto para venda direta ou para venda indireta – ou ainda, avaliando a inclusão de determinado ingrediente na formulação do produto.

Precisamos repensar estas avaliações dentro da nossa empresa, coletar e fornecer evidências que sustentem a nossa decisão – só assim deixaremos de ter um aspecto subjetivo e traremos a avaliação/metodologia para algo mensurável.

E você? Já pensou nisso?

Parte desse texto foi extraída e baseada no trabalho Assessing Risk Probability: Alternative Approaches, de Dr David A. Hillson e Dr David T. Hulett.