Identificar, analisar, avaliar: entenda as 3 etapas de avaliação de riscos!

A gestão de riscos é um processo crucial para a entrega de valor em saúde. Neste artigo abordaremos a etapa inicial – a avaliação dos riscos – com base na ISO 31000. Não deixe de ler!

A gestão de riscos é um tema recorrente aqui no Blog Valor em Saúde. Já fizemos a relação com a segurança do paciente usando exemplos, falamos sobre os benefícios do gerenciamento de riscos e como trabalhar a medicina preventiva.

Risco, vale lembrar, é o resultado que a incerteza causada por fatores internos e externos gera no atingimento dos objetivos da organização.

Neste artigo vamos falar um pouco sobre como realizar a etapa inicial da gestão de riscos – a avaliação dos riscos – com base na ISO 31000:2009.

Boa leitura!

Etapa 1: Identificação de Riscos

A identificação de riscos pode ser definida como o processo para determinar o que, onde, quando, porque e como algo poderia ocorrer.

A escolha da abordagem dependerá da natureza das atividades que estão sendo analisadas, dos tipos de riscos, do contexto organizacional e da finalidade do estudo de gestão de riscos.

A nível setorial, as fontes de risco, áreas de impacto, eventos, suas causas e consequências potenciais são identificados através dos processos críticos definidos no Mapa de Processo setorial e no desdobramento deste processo em atividades críticas.

É importante utilizar ferramentas adequadas para coleta de dados e informações que possibilitem a identificação de riscos. Isto deve ser definido como parte da estratégia de gerenciamento de riscos a ser adotada pela organização. Dentre as ferramentas mais utilizadas, podemos citar:

• Brainstorming: Obtenção de uma lista dos riscos a partir de uma reunião com equipe multidisciplinar representando setores e competências diferentes da organização, com o apoio de um facilitador, com objetivo de identificar riscos.
• Entrevistas: Entrevistar as partes interessadas e os especialistas com o objetivo de identificar riscos.
• Análise de Listas de Verificação de Riscos: Verificar as listas de riscos previamente identificadas pela organização sobre processos ou programas similares. Utilizar lições aprendidas e informações já catalogadas pela organização (análise de desempenho de indicadores e relatos de não conformidades, por exemplo).

Cada organização deve determinar quais ferramentas, opcionais ou mandatórias, são as mais adequadas à sua realidade. É importante salientar que as oportunidades geradas pela incerteza (riscos positivos) também devem ser identificadas.

Etapa 2: Análise de riscos

A parte de análise é quando se define os determinantes e agravantes do risco. Essa atividade determinará a necessidade ou não de tratamento dos riscos identificados através da combinação da gravidade com a probabilidade - o chamado de nível de risco.

Na análise do risco avalia-se o grau de efetividade dos controles existentes. O grau de efetividade dos controles interfere de forma direta na decisão de se tratar ou não um risco, independentemente do nível observado.

Avaliação dos controles existentes

Controles são dispositivos ou práticas existentes que atuam para minimizar os riscos ou para destacar os riscos positivos. Os controles podem surgir como resultado de atividades de tratamento de riscos anteriores. Esta avaliação tem como objetivo revisar estas formas de minimização de riscos buscando sua otimização.

A avaliação dos controles deve responder as seguintes perguntas: existem controles para minimizar os riscos ou para destacar os riscos positivos? São aplicados na frequência estabelecida no planejamento do processo? Qual o nível de intervenção manual para a execução do controle? Existe automação?

O controle tem capacidade de prevenção de falha ou pode ser de detecção (isto é, não impede que a falha ocorra, mas impede que se mantenha ao longo da execução do processo).

Consequências e chances de ocorrência dos riscos

Uma vez identificados os riscos, é importante compreender e determinar o nível de cada risco. O nível de um risco pode ser determinado pela combinação das suas consequências para a organização (gravidade) e a chance de ocorrência (probabilidade).

Deve-se avaliar a magnitude das consequências de um evento bem como a probabilidade do evento e suas consequências.

Um evento pode ter múltiplas consequências e afetar objetivos diferentes. As consequências e a probabilidade são combinadas com o intuito de gerar um nível de risco.

As decisões devem levar em conta o contexto mais amplo do risco, que inclui:

• A tolerabilidade aos riscos assumidos pelas partes, da organização, que dele se beneficiam;
• Os objetivos da organização;
• A amplitude das oportunidades que podem surgir;
• A eficácia das estratégias e controles existentes.

A escolha a ser feita deve levar em conta que perdas potenciais podem ser associadas a ganhos potenciais e a escolha dependerá dos contextos de cada organização. A escolha depende do nível de risco e do contexto.

Em algumas circunstâncias, a avaliação de riscos pode levar a decisão de se realizar análises complementares. As consequências e a probabilidade podem ser estimadas por:

• Análises e cálculos estatísticos;
• Estimativas subjetivas que reflitam o grau de expectativa de um indivíduo ou grupo quanto à ocorrência de um determinado evento ou resultado (caso não estejam disponíveis dados anteriores que sejam confiáveis ou pertinentes).

Para determinar as consequências e a probabilidade devem ser utilizadas as fontes e técnicas de informação.

Ao se analisar consequências e probabilidades que podem incluir como fontes:

• Registros anteriores;
• Prática e experiências pertinentes;
• Publicações pertinentes;
• Pesquisas de mercado;
• Resultados de consultas públicas;
• Experimentos e protótipos;
• Modelos econômicos, modelos de engenharia e outros;
• Opinião de especialistas e peritos.

As técnicas incluem procedimentos como entrevistas estruturadas com especialistas da área de interesse, uso de grupos multidisciplinares de especialistas, avaliações individuais utilizando-se questionários e ainda modelos e simulações.

A análise dos riscos possibilita a sua avaliação e fornece uma base para a etapa de planejamento de respostas aos riscos.

Conforme dispõe a norma ISO 31000, os critérios podem ser operacionais, técnicos, financeiros, legais, sociais, ambientais, humanitários, dentre outros. Tais critérios devem refletir os contextos já definidos e, geralmente, dependem das políticas internas, dos objetivos e metas da organização, bem como dos interesses das partes envolvidas. Eles devem, inclusive, auxiliar no estabelecimento de prioridades de tratamento.

Exemplo de critérios de risco

Os riscos identificados e quantificados serão comparados com os critérios de gravidade e probabilidade.

Gravidade: É o grau de dano às partes interessadas, à própria organização e ao ambiente se o risco se manifestar. Existem várias sugestões de critérios, e neste artigo vamos exemplificar um modelo. Independente do modelo, ele deverá ser aplicável a qualquer processo se administrativo ou assistencial.

Quadro elaborado pelos autores – Critérios para Gravidade do Risco

Probabilidade: É a probabilidade de ocorrência do risco baseia-se em dados quantitativos sempre que possível. Estimativas subjetivas podem ser usadas quando não existir uma base de dados coletada ou quando a obtenção dos dados não apresentar um a boa relação custo-benefício. Nesta unidade vamos exemplificar um modelo. Independente do modelo, ele deverá ser aplicável a qualquer processo se administrativo ou assistencial.

Quadro elaborado pelos autores – Critérios para Probabilidade do Risco

Nível de Risco: é a combinação entre a gravidade e probabilidade. Existem técnicas para estabelecer o nível do risco, sendo a mais comum, o produto entre o peso da gravidade e o da probabilidade.

Quadro elaborado pelos autores – Nível do Risco

Etapa 3: Avaliação do Risco

A avaliação do risco constitui-se no processo de comparação entre o nível de risco atual da organização e os critérios de riscos estabelecidos.

Isso possibilita que sejam tomadas decisões quanto a extensão e a natureza dos tratamentos necessários e quanto as prioridades.

O risco pode ser avaliado a partir de indicadores específicos ou de observações registradas pelos gestores responsáveis.

Agora você já sabe quais são as três etapas de avaliação do risco, tente refletir, para seus processos na organização: quais são os riscos – assistenciais e gerenciais – existentes, se existem controles para barrá-los, quais seriam as consequências das falhas e qual é o nível desses riscos com base em sua gravidade e probabilidade.

No software integrado de gestão da qualidade SigQuali, a matriz de riscos facilita a interpretação dos riscos, ajuda a identificar mecanismos de controle e garante a eficácia da ação frente à exposição ao risco, com rápida intervenção para anulação da falha.

Assista ao vídeo e sabia mais sobre este módulo do sistema!

Fontes:

• Adaptado do capítulo “Gestão da Segurança do Paciente” do livro DRG Brasil: transformando o sistema de saúde brasileiro e a vida das pessoas, com consentimento dos organizadores (Copyright © DRG Brasil)
• Autores do capítulo: Breno Augusto Duarte Roberto e Silvana Kelly dos Reis
• As obras utilizadas para elaborar o conteúdo encontram-se devidamente referenciadas no capítulo do livro
• Imagem destacada: Tecnologia foto criado por pressfoto - br.freepik.com
• Figuras: Elaboradas pelos autores
• Imagem meio: Mulher foto criado por mdjaff - br.freepik.com