RIZ | IKO Assessoria & Software

O Gerenciamento de Riscos (G.R) em Processos segue as mesmas técnicas do G.R em Projetos, desta forma muita coisa pode ser aplicada. No caso particular dos fluxos de entrada, a analogia é bem simples: em um diagrama de redes das atividades de um projeto, quanto mais predecessores uma atividade possui maior o risco, de tal forma que quanto mais fluxos de entrada e/ou saída um processo possui, maiores são as possibilidades de que algo saia do controle. No exemplo abaixo, o processo P4 é o de maior risco (dentro dos apresentados). Então sejamos práticos, você foi contratado para realizar a análise de riscos (corporativos ou de projetos ou dos processos, tanto faz!), logo solicita aos departamentos envolvidos o máximo de documentação pertinente possível, obtendo então os Mapas de Processos da Organização. Em poucos minutos você já pode apresentar uma Lista Preliminar de Riscos Identificados. Quais seriam? "Aqueles com o maior número de fluxos de entrada ou saída são os de maior

" A risk audit takes another look at what the project team has done for risk management and whether it has worked [...] A risk audit includes : Reviewing if the right risk owner have been assigned to each risk Determining if the risk owners are effective Examining and documenting the effectiveness of contingency plans and fallback plans On critical projects, a risk audit could be done before the project management plan is approved. However, risk audits are more commonly done during the execution of the project. As a result of risk audit, corrective action may be taken. " (Mulcahy, Rita. Risk Management - Tricks of the trade for project managers..., RMC Publications, 2010, p. 253). [Uma auditoria de de risco conduz à uma outra olhada no trabalho que a equipe do projeto realizou para o gerenciamento de riscos e se este funcionou [...] Uma auditoria de riscos inclui: Revisão quanto ao proprietário de risco certo ter sido alocado à cada risco; Determinação quanto a

" Why not determine the path through the network diagrama that has the highest risk score? The activities on this path may not occurs imediately after one another as do those in the critical path, but the path with the highest risk score should be managed as closely as the critical path. " (Mulcahy, Rita. Risk Management - Tricks of the trade for project managers..., RMC Publications, 2010, p. 247) [Porque não determinar o caminho do diagrama de redes que possui a maior pontuação de risco? As atividades neste caminho podem não ocorrer uma imediatamente depois da outra, assim como no caminho crítico, mas o caminho de mais alta pontuação de risco deve ser gerenciado de tão perto quanto o caminho crítico] (Tradução livre). Para fazê-lo: Ao identificar riscos, associe-os com as atividades origem/impactada; Agrupe os riscos por atividades e some todas as severidades (probabilidade x impacto); O resultado da soma é a pontuação de risco da atividade (activity risk score);

" Risk management will also help determine what terms and conditions to put into contracts to decrease project threats, to increase opportunities, and to adequately distribute risk between the buyer and seller. A contract should not be created without a risk analysis " (Mulcahy, Rita. Risk Management - Tricks of the trade for project managers..., RMC Publications, 2010, p. 222) [O Gerenciamento de Riscos também poderá determinar quais termos e condições devem ser inseridas nos contratos para reduzir as ameaças do projeto, para aumentar as oportunidades, e para distribuir adequadamente os riscos entre comprador e vendedor. Um contrato não deve ser criado sem uma análise de risco] (Tradução livre).

Dependendo da abordagem do Gerenciamento de Riscos que se pretende realizar, é necessário buscar as fontes de risco de forma diferente: - Para gerenciamento de riscos em projetos, procure nos: Ativos dos processos organizacionais; Informações do Termo de Abertura (premissas e restrições principalmente); Registro das Partes Interessadas (apoiadores e opositores, muito e pouco influentes, etc.); Declaração do Escopo (EAP, Dicionário da EAP); No diagrama de rede, procurando atividades concentradoras ou descentralizadores de fluxo; Nas estimativas de tempo e custo das atividades, se foram bem realizadas, quais apresentam mais incerteza, quais são mais criativas do que procedurais; Na capacitação dos Recursos Humanos mobilizados (ou a se mobilizar); Nos Documentos de Aquisição e contratos; e Na disponibilidade de recursos pelo patrocinador. - Para gerenciamento de riscos em processos, procure nos: Fatores Críticos do Sucesso de um processo identificado; Qualidade dos insum

" É essencial que os empregados estejam preparados para enfrentar novos desafios na medida em que  as questões e os riscos por meio da organização modificam-se e adquirem maior complexidade - em  parte devido à rápida mudança de tecnologias e da intensificação da concorrência. Ensino e treinamento ,  sejam eles mediante instruções na sala de aula, no auto-estudo ou treinamento na própria função devem  contribuir para que o pessoal mantenha-se atualizado e trate com eficácia um ambiente em fase de  transição. Não é suficiente admitir pessoal competente e fornecer-lhe treinamento somente uma vez. O  processo de aprendizado é contínuo. " (COSO. p. 34).          A Maturidade no Gerenciamento de Riscos provê Governança de TI Otimizada quando: " Há um entendimento avançado, que aponta para o futuro, das questões voltadas à governança de TI e suas soluções. O treinamento e a  comunicação são sustentados por conceitos e técnicas mais avançados. [...]  O monitoramento, a  a

            Certa vez, em uma revista automotiva, lia-se que os carros bicombustíveis, vulgarmente chamados de flex ( flexibles ), não possuem a melhor taxa de consumo possível para a gasolina, nem o melhor desempenho possível para o etanol, pois a necessidade de atender a mais de um tipo de combustível obriga o projeto de motores a ter desempenho intermediário. Da mesma forma, as abordagens diferentes quanto aos contextos de risco a serem gerenciados impedem a adoção de um único padrão de gestão, na sua plenitude, o que nos remete a um modelo intermediário que absorve o melhor de cada proposta, sem ser uma solução definitiva. Esta obra não se propõe a resolver todos os problemas do mundo, mas se este é o seu desejo a resposta é ainda mais fácil: “ 42 ” (ADAMS, p. 465). A proposta aqui apresentada considera que “ ...Nem o talento, por maior que seja, poderá dispensar-se de qualquer método; nem o método, por mais perfeito que seja, poderá suprir o talento. Contudo, se for preciso esco

Coletar informações históricas; Determinar quem (grupos ou pessoas) irá participar; Determinar quais métodos serão usados e para quem (grupo ou pessoa); Identificar os riscos; Listar todos os riscos identificados; Determinar quão confiantes estão os integrantes do time de risco quanto a quantidade e qualidade dos riscos identificados; O time de não está confiante? repita o processo (com os mesmos já envolvidos ou com mais pessoas); O time está confiante, realize questionamentos adicionais (feeling); Reavalie e elimine os riscos não reais (ou duplicados); Tome nota dos fatores de risco tais como: potencial dono do risco; gatilhos; proximidade de ocorrer; etc.; e Continue para as ações de Análise Qualitativa dos Riscos. Grupo / Pessoas = Partes Interessadas / Stakeholders / Intervenientes / Envolvidos / etc.

" In risk management, it is often experts, the customer, and senior management that a project manager needs to interview to obtain risks. Therefore, good use of expert interviews is more importante then you may thought " (Mulcahy, Rita. Risk Management - Tricks of Ther Trade for Project Managers, Ed. RMC, 2010, p. 97). [No gerenciamento de riscos são frequentemente os especialistas, os clientes, e os gerentes senior que um gerente de projetos precisa entrevistar para encontrar riscos. No entanto, fazer bom uso de entrevistas com especialistas é mais importante do que você pode imaginar] (tradução livre).

" Use Outside Risk Experts If the company is inexperienced with risk, or is working on a type of project that they have never before completed, resources from outside the company might help ensure that risks are not missed. These people could be thecnical experts, project management experts, or risk experts. There are even consultants who specialize in risk identification ." (Mulcahy, Rita. Risk Management - Tricks of the Trade for Project Managers and PMI-RMP Exam Prep Guide, 2010, p. 53) [Se a empresa é inexperiente com riscos, ou está trabalhando com um tipo de projeto que nunca finalizou antes, recursos externos a empresa podem garantir que riscos não foram esquecidos. Estas pessoas podem ser especialistas técnicos, gerentes de projetos especializados ou especialistas em risco. Eles atuam como consultores com expertise em identificação de riscos] (tradução livre).

"Análise Preliminar de Riscos - APR é um método de análise de perigos e riscos que incide em identificar acontecimentos inseguros, causas e resultados e determinar meios de controle. Preliminar, porque é empregada como primeira abordagem do objeto de estudo. Num número relevante de acontecimentos é suficiente para determinar procedimentos de controle de riscos. De acordo com Tavares (2010, p.77) a “Análise Preliminar de Riscos (APR) é a análise, durante a fase de concepção ou desenvolvimento de um novo sistema, com o objetivo de se determinar os riscos que poderão estar presentes na sua fase operacional”. A APR tem sido utilizada nas mais variadas áreas e situações. No entanto sua maior contribuição é na gestão de riscos. Pode-se citar o trabalho desenvolvido no Parque Nacional da Serra dos Órgãos avaliando o risco dos usuários das trilhas (GUERRA et al., 2010). Ou então o gerenciamento de riscos nos trabalhos de abertura de uma estrada em uma pequena hidrelétrica (ASSUNÇÃO et

"ANÁLISE PRELIMINAR DE RISCOS Riscos relacionam-se ao fato de que caso ocorra, podem comprometer ou impedir a criação de um produto, atividade, serviço ou resultado exclusivo, ou seja, a realização de um projeto (OLIVEIRA, 2010, p.277). Para o autor, os conceitos básicos de segurança e saúde devem estar inseridos em todas as fases do processo produtivo, desde o projeto à operação. A Análise Preliminar de Riscos (APR) é definida como um estudo realizado na fase de concepção ou desenvolvimento de um novo sistema ou processo, com o objetivo de determinar os riscos que podem estar presentes na fase operacional do processo (DE CICCO; FANTAZZINI, 2003). A APR é aplicada para uma análise inicial qualitativa, desenvolvida na fase de projeto e de processo, produto ou sistema, com especial importância para investigação de novos sistemas de alta inovação ou pouco conhecidos, isto é, quando a experiência em riscos na operação é deficiente. Além das características básicas de análise inic

" DEFINIÇÃO DE RISCO E PERIGO Risco é uma combinação da probabilidade de ocorrência de um evento perigoso com a  gravidade da lesão, doença ou perda que pode ser causada pelo evento (OHSAS 18001,  2007). Os riscos são considerados riscos ambientais os agentes físicos, químicos, biológicos,  ergonômicos e de acidentes/mecânicos que possam ocasionar danos à saúde do trabalhador  nos ambientes de trabalho, em função de sua natureza, concentração, intensidade e tempo de  exposição ao agente. Perigo é a propriedade daquilo que pode causar danos. No entanto, identificar perigos  é identificar substâncias perigosas, agentes perigosos, produtos perigosos, situações perigosas,  eventos perigosos, operações perigosas ou eventos danosos. A escolha do tipo de perigo vai  depender do método adotado e dos objetivos do estudo, porém a análise de riscos requer a  identificação de eventos perigosos, pois a eles podemos associar frequências e conseqüências.  Para identificar evento

"Nos processos , é recomendável que a implementação seja realizada: No nível estratégico mediante a inserção da política de gestão de riscos e demais decisões estruturantes no documento de maior nível organizacional (Manual de Gestão, Manual de Qualidade, Regimento Interno, etc.) nos níveis tático e operacional mediante a inserção de um capítulo específico na norma de trabalho de cada processo, sintetizando as questões-chave pertinente aos riscos deste processo, bem como formas específicas de tratamento de todo o ciclo, caso seja diferente daquele prescrito no documento normativo de maior nível." (Maranhão, Mauriti. O processo nosso de cada dia - Modelagem de processos de trabalho - 2ª Edição, Ed. Qualitymark, 2011, p. 294)

" O gerente de projetos é responsável por garantir que sejam realizadas auditorias com uma frequência adequada, conforme definido no plano de gerenciamento dos riscos do projeto " (PMBOK 4.Ed, 2008, p. 310)

" O gerenciamento de riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de aumentar a capacidade de gerar valor. [...] Tem por finalidades: 1) Alinhar o apetite a risco com a estratégia adotada; 2) Fortalecer as decisões em resposta aos riscos; 3) Reduzir as surpresas e prejuízos operacionais; 4) Identificar e administrar riscos múltiplos e entre empreendimentos; 5) Aproveitar oportunidades; e 6) Otimizar o capital. [...] Em suma, o gerenciamento de riscos corporativos ajuda a organização a atingir seus objetivos e evitar os perigos e surpresas em seu percurso. " (COSO - Gerenciamento de Riscos Corporativos - Estrutura Integrada, p.3).

" O gerenciamento dos riscos do projeto inclui os processos de planejamento, identificação, análise, planejamento de respostas, monitoramento e controle dos riscos de um projeto. Os objetivos do gerenciamento dos riscos são aumentar a probabilidade e o impacto dos eventos positivos e reduzir a probabilidade e o impacto dos eventos negativos no projeto " (PMBOK 4Ed, 2008, p. 273) Em outras palavras, risco é uma incerteza, um evento futuro que pode impactar o seu projeto de forma positiva ou negativa.

Com o objetivo de manter-se controle detalhado sobre os Softwares Aplicativos utilizados nas gestões, inclusive de risco, faz-se necessário " AI2.3 Controle e Auditabilidade do Aplicativo Assegurar que os controles de negócio sejam expressos adequadamente nos controles dos aplicativos de forma que o processamento  ocorra no prazo correto e seja exato, completo, autorizado e auditável. " (COBIT v4.1, 2007, p.80). É importante  definir indicador para monitoramento do "Limites para alocação de consultores / auditores externos de risco", devendo ser proporcional ao tamanho da organização. A ideia deste indicador é alertar a administração quanto ao risco inerente à miopia institucional, bem como evitar que a equipe interna terceirize todo o trabalho se o acompanhamento efetivo. Sem um olhar externo, problemas permanecem invisíveis eternamente. Sem a participação efetiva do pessoal interno, não serão identificados os verdadeiros riscos. Um Estudo de Caso apropr

Quanto ao modelo de maturidade, o Processo de Gerenciamento de Riscos é [Definido] quando " Uma política corporativa de gestão de risco define onde e como conduzir as avaliações de risco. A gestão de risco segue um processo  definido e documentado. Há treinamento em gestão de risco disponível para todo o pessoal. Decisões de seguir o processo de  gestão de risco e receber treinamento são deixadas a critério de cada indivíduo. A metodologia de avaliação de risco é convincente,  robusta e assegura a identificação dos riscos–chave para o negócio. Um processo para mitigar os riscos-chave é implementado  após a identificação dos riscos. As responsabilidades pela gestão de riscos estão definidas nas descrições de cargo. " (COBIT 4.1 - Português, 2007, p. 68). Para o treinamento em questão, sugere-se uma ementa de curso com os seguintes assuntos: 1.     Processos de Iniciação         - Avaliar ambiente         - Definir Plano de Melhoria         - Fixar Estratégias e Obje

" Para ter sucesso, a organização deve estar comprometida com uma abordagem proativa e consistente do gerenciamento dos riscos durante todo o projeto. É preciso fazer uma escolha consciente em todos os níveis da organização para identificar ativamente e buscar o gerenciamento eficaz dos riscos..." (PMBOK 4Ed, p. 276, 2008). Como posso ter certeza de que estamos comprometidos e agindo proativamente, de forma consistente e eficaz? A melhor forma é submeter-se a uma "Avaliação de Maturidade". Existem vários modelos de maturidade propostos tais como: CMM, específico para a indústria do software; o PMMM do Dr. Harold Kerzner; o OPM3 criado pelo PMI; e o Prado-MMGP do consultor Darci Prado, cada um com prós e contras, no entanto é possível que uma organização se autoavalie - quanto a Maturidade no Gerenciamento de Risco  -  por meio de perguntas simples: Quanto a Filosofia no Gerenciamento de Riscos (FGR) 1. As convicções e atitudes quanto à importância do Gere

"... ao contratar um produto ou serviço, e não um resultado, o cliente traz para si o risco da especificação da solução do seu problema, principalmente não sendo ele o especialista no assunto. " (Xavier, Carlos Magno da Silva et al . Gerenciamento de aquisições em projetos, ed. FGV, 2010). É boa prática nas aquisições estabelecer uma comissão mista envolvendo pessoas do setor financeiro, do setor de compras e técnicos específicos para cada categoria de material a ser adquirida. Não há técnicos especialistas no assunto a disposição? Então procure parcerias ou consultorias que possam ajudá-lo, pois estas serão sempre mais baratas (ou de graça) do que a compra mau especificada. Certa vez compramos mau, foi solicitado pela área de TI uma unidade de backup para os servidores "UNIDADE DE FITA DAT COM n GIGABYTES DE CAPACIDADE, SIMILAR AO MODELO ACME 123". O setor de compras pesquisou no mercado em encontrou um modelo de "UNIDADE DE FITA DAT" com a me