Grupo: Turma GEEP17/SP – Gestão Estratégica e Econômica de Projetos ANDRÉ PONTES SAMPAIO ARISTIDES SOUZA BARCELLOS CRISTIANE NICOLI SANSEVERO EDUARDO SALVADOR RAMOS ANÁLISE COMPARATIVA ENTRE METODOLOGIAS DE GERENCIAMENTO DE RISCOS BASEADAS NO PMI, FMEA, HAZOP, ISO 31000 E MERCADO FINANCEIRO Trabalho apresentado ao curso MBA em Gerência de Projetos, Pós-Graduação lato sensu, da Fundação Getulio Vargas como requisito parcial para a obtenção do Grau de Especialista em Gerência de Projetos. ORIENTADOR: Prof. Mário Luis Sampaio Pereira São Paulo 04/2011
106
Embed
TCC - GEEP17 - Analise Comparativa de Metodologias de Gestao de Risco
Análise comparativa entre metodologias de gerenciamento de riscos baseadas no PMI, FMEA, HAZOP, ISO 31000 e Mercado Financeiro no PMDay 2012
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Grupo: Turma GEEP17/SP – Gestão Estratégica e Econômica de Projetos
ANDRÉ PONTES SAMPAIO
ARISTIDES SOUZA BARCELLOS
CRISTIANE NICOLI SANSEVERO
EDUARDO SALVADOR RAMOS
ANÁLISE COMPARATIVA ENTRE METODOLOGIAS DE
GERENCIAMENTO DE RISCOS BASEADAS NO PMI, FMEA,
HAZOP, ISO 31000 E MERCADO FINANCEIRO
Trabalho apresentado ao curso MBA em
Gerência de Projetos, Pós-Graduação lato
sensu, da Fundação Getulio Vargas como
requisito parcial para a obtenção do Grau de
Especialista em Gerência de Projetos.
ORIENTADOR: Prof. Mário Luis Sampaio Pereira
São Paulo
04/2011
FUNDAÇÃO GETULIO VARGAS
PROGRAMA FGV MANAGEMENT
MBA EM GERÊNCIA DE PROJETOS
O Trabalho de Conclusão de Curso
ANÁLISE COMPARATIVA ENTRE METODOLOGIAS DE
GERENCIAMENTO DE RISCOS BASEADAS NO PMI, FMEA,
HAZOP, ISO 31000 E MERCADO FINANCEIRO
elaborado por André Pontes Sampaio, Aristides Souza Barcellos, Cristiane Nicoli Sansevero,
Eduardo Salvador Ramos e aprovado pela Coordenação Acadêmica do curso de MBA em
Gerência de Projetos, foi aceito como requisito parcial para a obtenção do certificado do curso
de pós-graduação, nível de especialização do Programa FGV Management.
São Paulo, 05 de Abril de 2011
Carlos A. C. Salles Jr.
Coordenador Acadêmico Executivo
Mário Luis Sampaio Pereira
Prof. Orientador
TERMO DE COMPROMISSO
O(s) aluno(s) André Pontes Sampaio, Aristides Souza Barcellos, Cristiane Nicoli Sansevero e
Eduardo Salvador Ramos, abaixo assinado(s), do curso de MBA em Gerência de Projetos,
Turma 17 do Programa FGV Management, realizado nas dependências da Fundação Getúlio
Vargas – São Paulo, no período de 17/08/2009 a 07/12/2010, declara que o conteúdo do
Trabalho de Conclusão de Curso intitulado ANÁLISE COMPARATIVA ENTRE
METODOLOGIAS DE GERENCIAMENTO DE RISCOS BASEADAS NO PMI, FMEA,
HAZOP, ISO 31000 E MERCADO FINANCEIRO, é autêntico, original e de sua autoria
exclusiva.
São Paulo, 05 de Abril de 2011
André Pontes Sampaio
Aristides Souza Barcellos
Cristiane Nicoli Sansevero
Eduardo Salvador Ramos
À Deus pela oportunidade.
Às nossas famílias, por tudo.
Aos professores e amigos que trabalham arduamente
em busca da própria superação.
RESUMO
A área de gerência de projetos que lida com estas incertezas ou problemas, mesmo antes
que eles ocorram, é a gerência de riscos. Entender e tratar adequadamente tais riscos,
visando minimizar impactos negativos nas organizações é o principal objetivo do
processo de Gerenciamento de Risco.
Como forma de auxiliar o gerenciamento de riscos, surgiram no mercado algumas
metodologias e ferramentas com o propósito de permitir identificar, analisar e traçar
respectivos planos de ação de resposta aos riscos dos projetos.
O presente trabalho discute brevemente a fundamentação teórica de Gerenciamento de
Projetos e Gerenciamento de Riscos. O objetivo principal é apresentar a conceituação
teórica e prática das principais metodologias para análise e gerenciamento de riscos em
projetos (PMBOK, FMEA, HAZOP, ISO 31000 e mercado financeiro); verificar o
respectivo favorecimento na análise de riscos; efetuar um comparativo entre elas no
tocante às perspectivas de aplicabilidade - ambiente de negócios mais compatível - e
apresentar as vantagens e desvantagens de cada metodologia.
A escolha de uma metodologia de gerenciamento de riscos integrada com o projeto e
alinhada à organização, certamente garantirá o sucesso deste processo.
Palavras Chave: Metodologias de análise de risco, PMBOK, FMEA, HAZOP, ISO
31000, riscos no mercado financeiro, Gerenciamento de Projetos, Gerenciamento de
Riscos
ABSTRACT
Risk Management Plan is an important part of any project management. Risk
Management Plan deals with uncertainties or problems even before they occur. To
understand and provide risk responses in order to minimize negative impacts in an
organization is the main purpose of the Risk Management Plan.
In order to perform a project risk management, several project risk management tools
and methodologies enable us to identify, analyze and establish risk response action
plans.
This research presents a general view of Project Management and Risk Management
theories. The main objective of this narrative is to present the mains project risk
management methodologies (PMBOK, FMEA, HAZOP, ISO 31000 and financial
market); to analyze the benefits coming from their use; to establish a comparative
analysis between them in respect of business perspective applicability and determine
their advantages and disadvantages.
Choosing a good methodology, adherent to the company’s needs and projects, will
certainly ensure a successful risk management process.
O texto original da ISO 31000 foi baseado na norma AS/NZS 4360:2004. O desenvolvimento
da norma internacional foi feito por um comitê especial composto por delegações de 35 países
que se uniram para criar um grupo de trabalho único denominado ISO Technical Management
Board on Risk Management. No Brasil, a ABNT (Associação Brasileira de Normas Técnicas)
criou a Comissão de Estudo Especial de Gestão de Riscos (CEE 63), com mais de 100
empresas e entidades de diferentes setores, com o intuito de discutir e definir a norma.
A ISO 31000 surgiu da necessidade de harmonizar padrões, regulamentações e frameworks já
publicados que estavam relacionados com a gestão de riscos. A origem da norma vem da
necessidade das corporações de lidar com as incertezas que podem afetar os seus objetivos,
suas iniciativas estratégicas, suas atividades operacionais, seus processos ou seus projetos. Por
isso, a norma pode ser aplicada aos vários tipos de riscos de diferentes setores da organização,
tais como financeiro e de projetos, saúde, entre outros, incluindo a visão moderna de que risco
também é oportunidade.
A proposta de convergência está alinhada com a visão integrada de ERM – Enterprise Risk
Management. Portanto, por se tratar de uma norma de alto nível, não há concorrência com as
normas já existentes, pois a ISO 31000 fornece orientações e alinhamento com outras normas
específicas.
A ISO 31000 surge também para integrar as diversas metodologias e terminologias, pois
faltava um consenso em relação à terminologia e aos conceitos utilizados para a gestão de
riscos. O resultado mais comum dessa equação é que a gestão de riscos acaba sendo tratada de
forma isolada, fazendo com que vários gestores (saúde, meio ambiente, segurança de TI,
jurídico, financeiro, seguros, entre outros) trabalhem em ilhas departamentais, o que ocasiona
a utilização de terminologias, sistemas, critérios e conceitos diferentes para cada uma das
35
áreas da empresa. Ou seja, cada departamento não possui o denominado “impacto cruzado”,
pois não enxerga o impacto do risco que está estudando em outras áreas ou processos. A ISO
31000 possui um processo consistente e uma estrutura abrangente para ajudar a assegurar um
gerenciamento de risco de forma eficaz, eficiente e coerente. Por esta razão, a abordagem é
genérica fornecendo os princípios e diretrizes para gerenciar qualquer forma de risco de uma
maneira sistemática, transparente e confiável, dentro de um escopo e contexto definido pela
organização.
Segundo estipula a própria ISO 31000, ela é destinada ao seguinte público alvo:
a) responsáveis pelo desenvolvimento da política de gestão de riscos no âmbito de suas
organizações;
b) responsáveis por assegurar que os riscos são eficazmente gerenciados em toda a
organização ou em uma área, atividade ou projeto específico;
c) aqueles que precisam avaliar a eficácia de uma organização em gerenciar riscos;
d) desenvolvedores de normas, guias, procedimentos e códigos de práticas que, no todo ou
em parte, estabelecem como o risco deve ser gerenciado dentro do contexto específico
desses documentos.
A gestão de riscos já faz parte das práticas e processos de gestão de muitas organizações,
embora não de maneira plena. Não é preciso que exista um centro de excelência corporativa
em Gestão de Riscos na empresa, para que se faça uma análise crítica das práticas e processos
existentes. Uma distinção interessante que a norma faz é entre os termos “gerência de riscos”
e “gerenciamento de riscos”. A “gerência de riscos” trata da arquitetura (princípios,
framework e processos) para o gerenciamento dos riscos, enquanto que o “gerenciamento de
riscos” se refere à aplicação dessa arquitetura para tratar riscos particulares.
A norma possui o seguinte índice de conteúdo (ISO 31000, 2009):
Introdução
1. Escopo
2. Termos e Definições
36
3. Princípios
4. Estrutura (Framework)
5. Processos
6. Anexos: Atributos da gestão de riscos avançada
3.3.1 Escopo
A ISO 31000 estabelece os princípios e orientações genéricas sobre a gestão de risco,
podendo ser utilizada por qualquer empresa pública, privada, associação, grupo ou indivíduo.
Assim, esta norma não é específica para alguma indústria ou setor, podendo ser aplicada em
toda a organização e em um vasto leque de necessidades, incluindo as estratégias e decisões
de operações, processos, funções, projetos, produtos e serviços. A norma pode ser aplicada a
qualquer tipo de risco, seja qual for a sua natureza, mesmo de consequências positivas ou
negativas. Ela foi criada com o objetivo de harmonizar os processos de gestão de risco nas
normas existentes e futuras. A ideia é que a norma ofereça uma abordagem comum de apoio
às normas existentes que tratam de riscos específicos para alguns setores, porém não para
substituí-las, mas sim para suportá-las. Finalmente, também está definido no escopo que essa
norma não se destina para fins de certificação.
3.3.2 Termos e definições
A norma ISO 31000 não tinha por objetivo padronizar as terminologias de gestão de riscos,
pois já existia uma norma anterior, denominada ISO Guide 73, que criou uma linguagem
comum, definindo vocabulário, terminologia e conceitos genéricos que se aplicam a todas as
áreas e setores no gerenciamento de riscos. No Brasil, ambas as normas foram traduzidas e
publicadas pela ABNT em 30 de novembro de 2009, como normas brasileiras: ABNT NBR
ISO 31000 (contendo 24 páginas) e ABNT ISO Guia 73 (contendo 12 páginas).
Outra norma relacionada à ISO 31000 é a norma ISO/IEC 31010:2009 “Risk management –
Risk assessment techniques” ou, em português, Gestão de riscos – Técnicas de avaliação de
riscos, que entrou oficialmente em vigor no dia 1º de dezembro de 2009. Essa norma ISO
31010 não se destina nem à certificação nem a usos regulatórios ou contratuais, mas fornece
orientação detalhada sobre a seleção e aplicação de técnicas sistemáticas qualitativas e
quantitativas de avaliação de riscos.
37
3.3.3 Princípios
A ISO estabelece una lista de 11 princípios que devem ser compreendidos e difundidos por
toda a organização, como forma de suportar um gerenciamento de risco eficaz na empresa.
1. A gestão de riscos cria e protege valor.
• A gestão de riscos contribui para a realização dos objetivos e melhoria do
desempenho, por exemplo, saúde e segurança humana, segurança, conformidade
legal e regulamentar, proteção ambiental, qualidade do produto, gerenciamento de
projetos, eficiência nas operações, governança e reputação.
2. A gestão de riscos é parte integrante de todos os processos organizacionais.
• A gestão de riscos não é uma atividade autônoma, separada das principais
atividades e processos da organização. A gestão de riscos é parte integrante de
todos os processos organizacionais, incluindo planejamento estratégico e todos os
processos de gestão da mudança.
3. A gestão de riscos é parte do processo decisório.
• A gestão de riscos ajuda no processo de tomada de decisões, uma vez que as
decisões serão tomadas com base nas melhores informações disponíveis, tendo
maior chance de sucesso ou fracasso na priorização das ações e alternativas.
4. A gestão dos riscos aborda explicitamente a incerteza.
• A gestão de riscos tem em conta explicitamente a incerteza e como ela pode ser
abordada para minimizar prejuízos ou maximizar os lucros.
5. A gestão de riscos é sistemática, estruturada e oportuna.
• Uma abordagem sistemática, oportuna e estruturada de gestão de riscos contribui
para a eficiência e resultados confiáveis.
6. A gestão de riscos é baseada na melhor informação disponível.
• As entradas para o processo de gerenciamento de risco são baseadas em fontes de
informação, tais como dados históricos, experiências, observações dos envolvidos,
38
previsão e julgamento de especialistas. No entanto, os tomadores de decisão
devem levar em consideração eventuais limitações dos dados ou da modelagem
utilizada, uma vez que existe a possibilidade de divergência entre as informações
previstas e o que irá realmente ocorrer.
7. A gestão de risco é alinhada com o perfil da empresa.
• A gestão de riscos está alinhada com o contexto externo e interno da organização,
além do perfil de risco (moderado ou arriscado).
8. A gestão de riscos leva os fatores humanos e culturais em consideração.
• A gestão de riscos deve identificar capacidades, percepções e intenções das
pessoas internas ou externas à organização que podem facilitar ou dificultar a
realização dos objetivos planejados.
9. A gestão de riscos deve ser transparente e inclusiva.
• O adequado envolvimento e a participação dos responsáveis por tomarem decisões
na organização garantem que a gestão de risco é pertinente e adequada.
Responsáveis por processos críticos também devem ser envolvidos para que a sua
opinião seja levada em consideração na identificação e tratamento dos riscos.
10. A gestão de riscos é dinâmica, interativa e receptiva às mudanças.
• Como eventos externos e internos podem ocorrer, ocasionando a mudança do
contexto, deve haver uma revisão sistemática da gestão dos riscos para
acompanhar e detectar essas mudanças.
11. A gestão de riscos facilita a melhoria contínua da organização.
• As organizações devem desenvolver estratégias para melhorar a sua maturidade
em gerenciamento de riscos junto com todos os outros processos da organização.
3.3.4 Estrutura (framework)
3.3.4.1 Introdução
39
O sucesso da gestão de riscos depende de como irão incorporá-la através de toda a
organização, em todos os níveis. O framework descreve os componentes necessários para
gerenciar riscos e as formas como eles se relacionam.
A figura a seguir ilustrar os componentes do framework de gestão de riscos a ser adotado pela
organização:
• Mandato e comprometimento;
• Concepção da estrutura para gerenciar riscos;
• Implementação da gestão de riscos;
• Monitoramento e análise crítica;
• Melhoria contínua da estrutura.
Figura 4 Componentes do framework
De acordo com a ISO, o framework não se destina a especificar um sistema de gestão, mas
sim a ajudar as organizações a integrar a gestão de risco em seu sistema de gestão global.
Portanto, as organizações devem adaptar os componentes do framework às suas necessidades
específicas para que as práticas de gestão da organização e os processos existentes incluam os
componentes de gestão de risco para determinados riscos ou situações.
40
3.3.4.2 Mandato (pela diretoria) e comprometimento (pelos demais níveis)
A introdução da gestão de riscos na organização e o suporte à sua eficácia exigem forte
comprometimento da alta administração, bem como o planejamento estratégico e rigoroso
para atingir o empenho de todos os níveis organizacionais.
A administração deve:
• definir e aprovar a política de gestão de risco;
• garantir que a cultura da organização e a política de gestão de risco estejam de acordo;
• determinar indicadores de desempenho da gestão de riscos que se alinham com os
indicadores de desempenho da organização;
• alinhar os objetivos de gestão de riscos com os objetivos e estratégias da organização;
• assegurar a conformidade legal;
• atribuir responsabilidades em níveis apropriados para os departamentos da organização;
• garantir que os recursos necessários estejam alocados à gestão de riscos;
• comunicar os benefícios da gestão de riscos a todos os interessados;
• garantir que a gestão de riscos continua a ser apropriada.
3.3.4.3 Concepção da estrutura para gerenciar riscos
3.3.4.3.1 Entendimento da organização e seu contexto
Antes de iniciar o projeto e implementação da estrutura de gestão do risco, é importante
avaliar e compreender tanto o contexto externo como o contexto interno da organização.
A avaliação do contexto externo da organização pode incluir:
• o ambiente social e cultural, jurídico, regulamentar, financeiro, tecnológico, económico,
natural e competitivo, seja internacional, nacional, regional ou local;
• principais tendências que podem ter impacto sobre os objetivos da organização;
41
• relacionamentos e percepções das partes interessadas externas.
Já a avaliação do contexto interno da organização pode incluir:
• governança, estrutura organizacional, papéis e responsabilidades na organização;
• políticas, objetivos e estratégias definidas para a organização;
• pontos fortes da organização, em termos da capacidade dos recursos e seus
conhecimentos (por exemplo: capital para investir, tempo, pessoas, processos, sistemas
e tecnologias);
• sistemas de informação, fluxos de informação e processos de decisão (formais e
informais);
• relações entre os diversos envolvidos pela gestão de riscos e a cultura da organização;
• normas, diretrizes e modelos adotados pela organização;
• modelo utilizado para as relações contratuais.
3.3.4.3.2 Estabelecer uma política de gestão de risco
A organização deve ter uma política de gestão de riscos aprovada pela alta direção da
corporação, caso essa ainda não exista. A política de gestão de risco deve indicar claramente
os objetivos da organização e normalmente aborda os seguintes temas:
• justificativa da organização para o gerenciamento de risco;
• relacionamentos entre os objetivos da organização e as políticas de gestão de riscos;
• responsabilidades e competências para o gerenciamento de risco;
• processo que determina como os interesses conflitantes serão tratados;
• compromisso de tornar disponíveis os recursos necessários à gestão de risco;
• processo que determina como o desempenho da gestão de riscos será medido;
42
• compromisso de rever e melhorar a política de gestão de riscos em resposta a um evento
ocorrido.
A política de gestão de risco deve ser comunicada de forma apropriada.
3.3.4.3.3 Responsabilidade
A organização deve assegurar que haja responsabilidades, autoridades e competências
adequadas para o gerenciamento de riscos, incluindo a implementação e manutenção do
processo de gestão de riscos. Deve ser assegurada a adequação, a eficácia e a eficiência dos
controles que medem o desempenho da gestão de riscos.
Isso pode ser facilitado pelas seguintes definições de responsabilidade:
• identificar os proprietários dos riscos, que terão a responsabilidade e a autoridade para
gerenciá-los;
• identificar quem é responsável pelo desenvolvimento, implementação e manutenção do
framework de gestão de risco;
• identificar as responsabilidades das pessoas em todos os níveis da organização que
estejam relacionadas aos projetos ou atividades do processo de gestão de riscos;
• responsáveis pela medição do desempenho e a emissão de relatórios.
3.3.4.3.4 Integração em processos organizacionais
A gestão de riscos deve ser incorporada em todas as práticas de organização e nos seus
processos de forma eficiente. O gerenciamento de riscos deve fazer parte dos processos
organizacionais, e não ser um processo separado dos demais.
Em particular, a gestão de riscos deve ser incorporada no planejamento estratégico e na
política dos negócios, principalmente nos processos de mudanças.
Deve haver um plano de gestão de risco em toda a organização para assegurar que a política
de gestão de riscos é implementada e que a gestão de riscos faz parte de todas as práticas
organizacionais e seus processos. O plano de gerenciamento de risco pode ser integrados em
outros planos organizacionais, tais como o planejamento estratégico.
43
3.3.4.3.5 Recursos
A organização deve alocar recursos adequados para a gestão de riscos, considerando os
seguintes pontos:
• pessoas, habilidades, experiência e competência que são necessárias para a efetiva
gestão de riscos;
• recursos necessários para cada etapa do processo de gestão de risco;
• processos, métodos e ferramentas a serem utilizadas para o gerenciamento de risco;
• processos e procedimentos organizacionais devem estar documentados;
• sistemas de informação e sistemas de gestão do conhecimento devem ser utilizados para
suportar a gestão de riscos;
• programas de treinamentos devem estar previstos.
3.3.4.3.6 Estabelecer a comunicação interna e os mecanismos de comunicação
A organização deve estabelecer a comunicação interna e os mecanismos que serão utilizados
para essa comunicação de forma a apoiar e incentivar o controle das responsabilidades e a
propriedade dos riscos.
Esses mecanismos devem assegurar que:
• a estrutura de gerenciamento de risco deve ser comunicada de forma adequada;
• relatórios internos adequados sobre a eficácia dos processos e os resultados obtidos no
gerenciamento dos riscos;
• informações relevantes derivadas da aplicação de gestão de riscos deve estar disponíveis
aos interessados nos momentos certos e em níveis apropriados;
• deve existir um processo de consulta com as partes internas, incluindo formas de
consolidar as informações sobre os riscos e sua sensibilidade.
44
3.3.4.3.7 Estabelecer a comunicação externa e os mecanismos de comunicação
A organização deve desenvolver e implementar um plano de como irá se comunicar com os
agentes externos.
Isto deve envolver:
• envolver as partes interessadas externas adequadas para troca de informações;
• relatórios externos para cumprir com os requisitos legais, regulatórios e de governança;
• fornecer feedback e informação sobre comunicações e consultas;
• usar a comunicação para construir a confiança na organização;
• comunicar as partes interessadas no caso de crise ou de emergência.
Estes mecanismos devem incluir processos para consolidar as informações de riscos, tendo
em conta a sua sensibilidade.
3.3.4.4 Implementar a gestão de riscos
3.3.4.4.1 Aplicação do framework para a gestão de risco
Ao aplicar o framework para o gerenciamento de riscos em uma organização, esta deve:
• definir o momento adequado e a estratégia de implementação do framework;
• aplicar a política de gestão de riscos nos processos organizacionais;
• cumprir os requisitos legais e regulamentares;
• garantir que a tomada de decisões pela alta administração esteja alinhada com os
resultados dos processos de gestão de riscos;
• realizar sessões de formação e capacitação do quadro funcional;
• comunicar e consultar as partes interessadas para garantir que a gestão de risco continua
a ser apropriada.
45
3.3.4.4.2 Aplicar o processo de gestão e riscos
A gestão de riscos deve ser feita de forma a assegurar que os processos sejam aplicados a
todos os níveis e funções da organização de acordo com um plano de gestão de risco.
3.3.4.5 Monitoramento e análise crítica do framework
Para assegurar que a gestão dos riscos seja eficaz no apoio do desempenho organizacional, a
organização deve:
• medir o desempenho da gestão de riscos em função dos indicadores definidos
anteriormente, os quais devem ser revistos periodicamente para adequação;
• periodicamente medir a adoção do plano de gestão de riscos;
• periodicamente verificar se a política de gestão de riscos e o plano ainda são adequados,
levando em consideração as mudanças no contexto externo ou interno da organização;
• relatórios sobre a adoção da política de gestão de riscos;
• avaliar a eficácia do framework de gerenciamento de riscos.
3.3.4.6 Melhoria contínua do framework
Com base nos resultados do acompanhamento e revisão do framework, os planos e as políticas
definidos anteriormente podem ser avaliados. Estas decisões devem fornecer melhorias na
gestão de riscos da organização e na sua cultura com relação ao processos de gerenciamento
dos riscos.
3.3.5 Processos
3.3.5.1 Introdução
O processo de gerenciamento de riscos descrito pela norma ISO 31000 deve ser:
• parte integrante da gestão;
• incorporado na cultura e nas práticas da organização;
• adaptado aos processos de negócio da organização.
46
A figura a seguir ilustrar os processos que fazem parte do gerenciamento de riscos a serem
adotados pela organização:
• processo de comunicação e consulta;
• processo estabelecimento do contexto;
• processo de avaliação dos riscos, que incorpora a identificação, a análise e a
avaliação dos riscos;
• processo de tratamento dos riscos;
• processo de monitoramento e análise críticas dos riscos.
Figura 5 Processos de gestão de risco
Fonte: (ISO31000, 2009)
O processo possui sete fases claramente identificadas, sendo um processo retroalimentativo.
Ou seja, segue os princípios do ciclo da qualidade, PDCA – Plan – Do – Check – Action.
3.3.5.2 Processo de comunicação e consulta
47
A fase de comunicação e consulta abrange tanto a comunicação interna quanto a externa,
assegurando que os responsáveis compreendam os fundamentos sobre os quais as decisões
são tomadas e as respectivas razões. As partes interessadas devem ser identificadas e seus
papéis e responsabilidades delimitados e documentados nesta fase. É importante desenvolver
um plano de comunicação que permita a cada uma das partes conhecerem o andamento do
processo e que eles forneçam subsídios para seu desenvolvimento.
A comunicação externa e interna deve assegurar que os responsáveis pela implementação do
processo de gestão de riscos compreendão as bases sobre às quais as decisões são tomadas e
as razões pelas quais algumas ações específicas são necessárias.
A abordagem da equipe deve ser:
• ajudar a estabelecer um contexto adequado;
• garantir que os interesses das partes serão compreendidos e considerados;
• assegurar que os riscos sejam devidamente identificados;
• trazer colaboradores de diferentes áreas de conhecimento para a análise de riscos em
conjunto;
• garantir que os diferentes pontos de vista sejam devidamente considerados durante a
definição dos critérios para a avaliação dos riscos;
• apoio e suporte para o plano de tratamento dos riscos;
• melhorar a gestão de mudanças;
• desenvolver uma comunicação adequada tanto para áreas externa, como áreas internas à
organização.
A comunicação e a consulta com as diversas partes interessadas é importante para que eles
façam seus considerações sobre os riscos com base em suas percepções e suas experiências.
Essas percepções podem variar devido às diferenças de valores, necessidades, conceitos e
preocupações das diversas partes interessadas. Como suas considerações podem ter um
impacto significativo sobre as decisões, as percepções destes stakeholders devem ser
identificadas e registadas para garantir a rastreabilidade durante um processo decisório.
48
3.3.5.3 Processo de estabelecimento do contexto
Nesta etapa, definem-se os parâmetros básicos, por meio dos quais serão identificados os
riscos que precisam ser geridos e qual será o escopo do restante do processo de gestão de
riscos. Também são definidos os critérios que serão utilizados na identificação, avaliação,
impacto e aceitação dos riscos.
A definição do contexto tem como entrada todas as informações relevantes sobre a
organização. O passo principal para se obter o contexto está na descrição dos objetivos do
projeto e dos ambientes nos quais eles estão contextualizados. Outro importante aspecto é a
definição dos critérios que serão usados na determinação dos riscos do projeto. Estes critérios
envolvem a determinação das conseqüências de segurança e os métodos usados para a análise
e avaliação dos riscos.
Portanto, a fase de estabelecimento do contexto preconiza entender os fatores e as variáveis
externas, incluindo as tendências e as relações com as partes interessadas externas e suas
percepções de valores. Já no contexto interno procura-se entender: objetivos estratégicos,
cultura, processos, estrutura e estratégia. O principal objetivo deste processo é estabelecer o
contexto da gestão de riscos, seus critérios e métodos que a organização deverá utilizar,
definindo-se as metas, objetivos, responsabilidades e o apetite ao risco que a organização
suporta.
3.3.5.4 Processo de avaliação de riscos
3.3.5.4.1 Introdução
O processo de avaliação dos riscos engloba a identificação e a análise e avaliação dos riscos.
Vale observar que a norma ISO/IEC 31010 fornece orientação sobre as técnicas de avaliação
de riscos, a qual pode ser utilizada como completo à norma 31000.
3.3.5.4.2 Identificação dos riscos
A identificação de riscos é uma das etapas mais críticas, pois os riscos não identificados não
serão analisados nem tratados, e uma vez concretizados poderão ocasionar o fracasso do
projeto. O objetivo dessa etapa é determinar os eventos que possam causar perdas potenciais e
49
deixar claro como, onde e porquê a perda pode ocorrer. A identificação deve conter tanto os
riscos que estão, como os que não estão sob o controle do projeto. Na prática, a identificação
de riscos é bem mais complexa, pois as informações são baseadas em experiências e critérios
subjetivos dos próprios responsáveis pelo projeto.
A identificação dos riscos envolve a identificação das ameaças, dos controles existentes, das
vulnerabilidades e das conseqüências. Dessa forma, a fase da identificação de riscos, no
processo de avaliação de riscos, é a listagem dos perigos que o processo, departamento e ou
empresa possui com as respectivas fontes de riscos. A identificação deve ser crítica, pois um
risco que não é identificado nesta fase não será incluído em análises posteriores. Essa é uma
fase estratégica, pois é nela que se entendem os fatores de riscos e os fatores facilitadores da
existência do risco na empresa.
A organização deve identificar as fontes de risco, áreas de impacto, suas causas e suas
possíveis conseqüências. O objetivo desta etapa é gerar uma lista abrangente de riscos com
base nos eventos que possam criar, melhorar, prevenir, diminuir, acelerar ou atrasar a
obtenção dos objetivos da organização. É importante identificar os riscos associados a não
realização de uma oportunidade que trará benefícios, e não somente os riscos que podem
trazer prejuízos. A identificação dos riscos deve considerar um vasto leque de conseqüências,
mesmo que a fonte de risco ou a causa não seja evidente. Para identificar o que pode
acontecer, é necessário considerar os possíveis cenários que demonstram as conseqüências
que podem ocorrer.
3.3.5.4.3 Análise dos riscos
A fase de análise de riscos desenvolve a compreensão dos riscos, produzindo dados que irão
auxiliar na decisão sobre quais riscos serão tratados e as formas de tratamento visando a
eficiência de custos. Isso envolve considerações sobre a origem dos riscos, suas
consequências e as probabilidades de ocorrência dos mesmos. As consequências e
probabilidades são combinadas para produzir o nível de cada risco. Com a compreensão dos
riscos, a empresa poderá tomar decisões a respeito de seu tratamento. A análise envolve a
apreciação das causas e as fontes de risco, suas consequências positivas ou negativas, e a
probabilidade de que essas consequências possam ocorrer.
Uma metodologia de estimativa pode ser qualitativa ou quantitativa ou uma combinação de
ambas, dependendo das circunstâncias. A estimativa qualitativa utiliza uma escala com
50
atributos qualificadores que descrevem a magnitude dos potenciais impactos e a probabilidade
de ocorrerem. A estimativa quantitativa adota uma escala de valores numéricos tanto para
conseqüências, quanto para a probabilidade.
A análise de riscos envolve o desenvolvimento de uma compreensão dos riscos. A maneira
como as consequências e as probabilidades são expressas e a forma como são combinadas
também é importante para considerar a interdependência dos diferentes riscos e suas fontes. A
confiança na determinação do nível de risco e sua sensibilidade devem ser consideradas na
análise, pois fatores como a divergência de opinião entre especialistas, incertezas, relevância
da informação ou limitações na modelagem devem ser destacadas durante o processo de
tomada de decisão.
De acordo com a norma ISO 31000, a análise dos riscos pode ser qualitativa, semi-
quantitativa ou quantitativa, ou ainda uma combinação desses, dependendo das circunstâncias.
Os impactos e suas probabilidades podem ser determinadas pela modelagem dos resultados de
um evento ou conjunto de eventos, ou por extrapolação a partir de estudos experimentais ou a
partir dos dados disponíveis, onde as conseqüências podem ser expressas em termos de
impactos tangíveis e intangíveis. Em alguns casos, mais de um valor numérico é necessário
para especificar as consequências e probabilidades de ocorrência em diferentes épocas,
lugares ou situações.
3.3.5.4.4 Avaliação dos riscos
A fase da avaliação de riscos visa auxiliar na tomada de decisões com base nos resultados da
análise de riscos. Este processo tem por objetivo definir quais riscos necessitam de
tratamento, bem como qual a prioridade para o tratamento de cada risco identificado.
Portanto, o objetivo da avaliação de riscos é tomar decisões, baseadas nos resultados da
análise de risco (preteridos pela identificação e estimativa de riscos), definindo-se as
prioridades e a real necessidade de tratamento dos riscos analisados. A avaliação envolve a
comparação dos níveis dos riscos encontrados, com os critérios estabelecidos quando o
contexto foi considerado.
Ao término da avaliação, pode ser verificado junto às partes interessadas se seu resultado é
satisfatório (utilizando o processo de Comunicar e Consultar). Caso não seja, uma nova
rodada da Análise/Avaliação dos riscos deve ser empreendida. A partir da revisão é possível
uma redefinição do contexto. Na avaliação de riscos, que envolve comparar o nível de risco
51
encontrado durante a análise de riscos, pode-se utilizar uma Matriz de Riscos como
ferramenta de gestão.
O objetivo da avaliação de riscos é auxiliar na tomada de decisões, com base nos resultados
da análise de risco. A avaliação do risco consiste em comparar o nível de risco encontrado
durante o processo de análise, com critérios de riscos estabelecidos durante a definição do
contexto. Com base nessa comparação, define-se a necessidade de tratamento do risco e sua
prioridade. As decisões devem ser feitas em conformidade com os requisitos legais,
regulamentares e outras. Em algumas circunstâncias, a avaliação de risco pode levar a uma
necessidade de proceder com uma análise mais aprofundada, ou ainda, pode levar a uma
decisão de não tratar o risco. Esta decisão será influenciada pela tolerância da organização e
os critérios que foram estabelecidos.
3.3.5.5 Processo de tratamento de riscos
O tratamento dos riscos envolve a identificação do tratamento aos riscos, avaliação destas
opções e a preparação para colocar em prática os tratamentos selecionados. O tratamento
inicia com uma lista de riscos ordenados por prioridade, conforme os critérios de avaliação
dos riscos descritos anteriormente, associados aos possíveis cenários de incidentes que os
provocam. Para cada um dos riscos são relacionadas opções de tratamento.
A fase de Tratamento de Riscos envolve um processo cíclico composto por:
• avaliação do tratamento já realizado;
• decisão se os níveis do risco residual são toleráveis;
• se não forem toleráveis, definição e execução de um novo tratamento;
• avaliação e eficácia desse tratamento.
As opções de tratamento são:
• ação de evitar o risco (remoção da fonte de riscos, se o risco for negativo) ou aumento
do risco (se o risco for positivo);
• mitigação (alteração da probabilidade ou alteração do impacto/conseqüência);
52
• transferência (compartilhamento) do risco;
• aceitação (retenção) do risco por uma decisão consistente e bem embasada.
Selecionar a opção de tratamento mais adequada aos riscos envolve equilibrar os custos e os
esforços de execução versus os benefícios esperados após o tratamento. Ao selecionar as
opções de tratamento dos riscos, a organização deve considerar as percepções das partes
interessadas e as formas mais adequadas de se comunicar, pois o tratamento pode impactar
outras partes da organização, e estes devem estar cientes das decisões tomadas. Alguns
tratamentos de riscos podem ser mais aceitáveis para alguns stakeholders que para outros.
O tratamento de riscos em si pode apresentar riscos. Um risco significativo pode ser a
ineficácia das medidas de tratamento. A monitorização deve ser parte integrante do plano de
tratamento de riscos para dar garantia de que as medidas permaneçam eficazes.
O tratamento de riscos também pode introduzir riscos secundários que precisem ser avaliados,
tratados, controlados e revisados. Estes riscos secundários devem ser incorporados no plano
de tratamento, da mesma forma como o risco original, e não tratado como um novo risco. A
ligação entre os dois riscos devem ser identificada e documentada.
Ao término do tratamento são identificados os riscos residuais. Se tais riscos não forem
aceitáveis, os tratamentos podem ser refeitos, ou ainda, todo o processo de gestão de riscos
pode ser revisto. A aceitação do risco é feita a partir da análise do risco residual e é
conveniente que a decisão de aceitar os riscos seja formalmente registrada, junto com à alta
direção da organização responsável pela decisão (novamente utilizando-se do processo de
Comunicar e Consultar). Infelizmente, nem sempre os riscos residuais estão de acordo com o
idealizado no início do processo, porém, fatores como o tempo para aplicar um tratamento ao
risco, baixa probabilidade de ocorrência e custos elevados para a resposta ao risco podem
justificar a aceitação dos riscos.
A documentação sobre os planos de tratamento deve incluir os seguintes itens, para garantir
uma gestão de riscos rastreável, com registros que forneçam base para a melhoria dos
métodos e das ferramentas utilizados no processo:
• as razões para a seleção do tratamento;
53
• quem são os responsáveis pela aprovação do plano e quem são os responsáveis pela
execução do plano;
• ações propostas;
• necessidades de recursos, incluindo contingências;
• medidas de desempenho e restrições;
• relatórios e requisitos de monitorização;
• cronograma e agenda do planejamento.
O plano de tratamento deve ser integrados com a gestão de processos da organização e
discutido com os tomadores de decisão, pois estes devem estar cientes da natureza e dimensão
do risco residual após o tratamento dos riscos.
3.3.5.6 Processo de monitorar e analisar criticamente
O Monitoramento e Análise Crítica dos Riscos são partes essenciais da gestão de riscos. Os
riscos não são estáticos e devem ser monitorados a fim de verificar a eficácia das estratégias
de implementação e mecanismos de gerenciamento utilizados no tratamento dos riscos.
Portanto, o processo de monitoramento deve ser contínuo e dinâmico. Além do
monitoramento contínuo, mudanças organizacionais ou externas podem alterar o contexto da
análise, levando a uma revisão completa da gestão de riscos. Revisões também podem ser
iniciadas periodicamente ou realizadas por terceiros, como forma de identificar novas
necessidades ou adaptação de algum parâmetro definido anteriormente. Cada estágio do
processo de gestão de riscos deve ser documentado de forma apropriada. Suposições,
métodos, origens de dados, análises, resultados e justificativas das decisões tomadas devem
ser registrados, pois facilitam uma revisão das estratégias definidas e a rastreabilidade de
quem participou dessas definições. O monitoramento e análise crítica podem ser realizados
de forma regular (periódicas) ou podem acontecer em resposta a um fato específico
(disparadas pela ocorrência de determinado evento, por exemplo, ocorrência de um risco que
não identificado anteriormente). A organização deve haver uma definição clara e direta das
responsabilidades de quem vai realizar o monitoramento e a análise crítica.
54
3.4. PMBOK
O Project Management Body of Knowledge, também conhecido como PMBOK é um conjunto
de práticas em gestão de projetos publicado pelo Project Management Institute (PMI) e
constitui a base do conhecimento em gerência de projetos do PMI. Estas práticas são reunidas
na forma de um guia, chamado de Guia do Conjunto de Conhecimentos em Gerenciamento de
Projetos, ou Guia PMBOK. O guia (PMBOK, 2004) é o guia que identifica um conjunto de
conhecimentos em gerenciamento de projetos amplamente reconhecido como boa prática,
sendo utilizado como base pelo PMI.
Uma boa prática não significa que o conhecimento e as práticas devem ser aplicadas
uniformemente a todos os projetos, sem considerar se são ou não apropriados, e sim que são
recomendações genéricas que podem ser adaptadas para os casos específicos de cada
organização. O Guia PMBOK também fornece e promove um vocabulário comum para se
discutir, escrever e aplicar o gerenciamento de projetos possibilitando o intercâmbio eficiente
de informações entre os profissionais de gerência de projetos. O guia é baseado em processos
e subprocessos para descrever de forma organizada o trabalho a ser realizado durante o
projeto. Os processos descritos se relacionam e interagem durante a condução do trabalho e a
descrição de cada um deles é feita em termos de entradas; ferramentas/técnicas e saídas.
O capítulo 11 do guia trata especificamente do gerenciamento dos riscos do projeto e inclui os
processos de planejamento, identificação, análise, planejamento de respostas aos riscos e,
monitoramento e controle de riscos de um projeto. Os objetivos do gerenciamento dos riscos
são aumentar a probabilidade e o impacto dos eventos positivos e reduzir a probabilidade e o
impacto dos eventos negativos no projeto. Portanto, de acordo com o PMBOK, a área de
conhecimento de gerenciamento dos riscos é composta por seis processos:
• Planejar o gerenciamento dos riscos: processo de definição de como conduzir as
atividades de gerenciamento dos riscos de um projeto.
• Identificar os riscos: processo de determinação dos riscos que podem afetar o projeto e
de documentação de suas características.
• Realizar a análise qualitativa dos riscos: processo de priorização dos riscos para análise
ou ação adicional através da avaliação e combinação de sua probabilidade de ocorrência
e impacto.
55
• Realizar a análise quantitativa dos riscos: processo de analisar numericamente o efeito
dos riscos identificados, nos objetivos gerais do projeto.
• Planejar as respostas aos riscos: processo de desenvolvimento de opções e ações para
aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto.
• Monitorar e controlar os riscos: processo de implementação de planos de respostas aos
riscos, acompanhamento dos riscos identificados, monitoramento dos riscos residuais,
identificação de novos riscos e avaliação da eficácia dos processos de tratamento dos
riscos durante todo o projeto.
Figura 6 Processos de gestão de risco
Fonte: (PMBOK, 2004)
3.4.1 Planejar o gerenciamento dos riscos
Planejar o gerenciamento dos riscos é o processo responsável pela definição de como serão as
atividades de gerenciamento dos riscos de um projeto. Um planejamento cuidadoso aumenta a
probabilidade de sucesso para os outros cinco processos de gerenciamento dos riscos. O
planejamento é importante para fornecer tempo e recursos suficientes para as atividades de
gerenciamento dos riscos e para estabelecer uma base para a avaliação dos riscos. Este
processo deve começar na concepção do projeto e ser concluído nas fases iniciais do
planejamento do projeto.
56
As equipes dos projetos fazem reuniões de planejamento para desenvolver o plano de
gerenciamento dos riscos. Os participantes dessas reuniões podem incluir o gerente de
projetos, membros selecionados da equipe do projeto e das partes interessadas, pessoas da
organização com responsabilidade de gerenciar o planejamento de riscos e outros, conforme
necessário.
Durante essas reuniões, as responsabilidades de gerenciamento dos riscos serão atribuídas. Os
modelos organizacionais para categorias de riscos e as definições dos níveis de risco e a
matriz de probabilidade e impacto serão adaptados ao projeto específico. A organização pode
usar uma estrutura de categorização previamente preparada, que pode ser organizada em uma
estrutura analítica dos riscos (EAR). A estrutura analítica dos riscos (EAR) é uma
representação, organizada hierarquicamente por categoria e subcategoria de risco, que
identifica as diversas áreas e causas de riscos potenciais. Se não existirem modelos para essas
outras etapas do processo, eles podem ser gerados nessas reuniões. Os resultados dessas
atividades serão resumidos no plano de gerenciamento dos riscos.
3.4.2 Identificar os riscos
Identificar os riscos é o processo realizado por toda a equipe do projeto na determinação dos
riscos que podem afetar o projeto e da documentação de suas características. Identificar os
riscos é um processo interativo, pois novos riscos podem surgir ou se tornar conhecidos
durante o ciclo de vida do projeto. A frequência da interação e os participantes de cada ciclo
variam de acordo com a situação. O processo deve envolver a equipe do projeto para
desenvolver e manter um sentido de propriedade e responsabilidade pelos riscos e pelas ações
associadas de resposta a riscos.
As principais partes interessadas, principalmente o cliente, devem ser entrevistadas ou
participar de alguma forma desse processo. As partes interessadas externas à equipe do
projeto também podem fornecer informações adicionais. Além disso, é possível fazer uma
revisão da documentação do projeto, incluindo planos, premissas, arquivos de projetos
anteriores, contratos e outras informações para auxiliar na identificação. A qualidade dos
planos, bem como a consistência entre esses planos e os requisitos e as premissas do projeto,
podem ser indicadores de riscos no projeto.
Exemplos de técnicas de coleta de informações a fim de identificar riscos incluem:
57
Brainstorming: As ideias sobre o risco do projeto são geradas sob a liderança de um
facilitador, seja em uma sessão tradicional de troca de ideias de forma livre (brainstorming)
ou estruturada (usando técnicas de entrevista em grupo). Os riscos são então identificados e
categorizados de acordo com o tipo e suas definições.
Técnica Delphi: O facilitador usa um questionário para solicitar ideias sobre riscos
importantes do projeto. As respostas são resumidas e redistribuídas aos especialistas para
comentários adicionais. O consenso pode ser alcançado após algumas rodadas desse processo.
Entrevistas. Entrevistar participantes experientes do projeto, partes interessadas e especialistas
no assunto pode identificar riscos.
Análise da causa-raiz. A análise da causa-raiz é uma técnica específica para identificar um
problema, descobrir as causas subjacentes que levaram a ele e desenvolver ações preventivas.
A principal saída do processo de Identificar os riscos é a lista dos riscos identificados. A
preparação do registro dos riscos começa no processo de Identificar e fica disponível para
outros processos de gerenciamento do projeto e de gerenciamento dos riscos do projeto.
3.4.3 Realizar a análise qualitativa dos riscos
Realizar a análise qualitativa de riscos é o processo de priorização dose riscos através da
combinação de sua probabilidade de ocorrência e impacto. As organizações podem aumentar
o desempenho do projeto se concentrando nos riscos de alta prioridade. A realização da
análise qualitativa de riscos normalmente é um meio rápido e econômico de estabelecer as
prioridades do processo de Planejar as respostas aos riscos e define a base para a realização da
análise quantitativa dos riscos, se necessária. Este processo deve ser revisto durante o ciclo de
vida do projeto, considerando as mudanças nos riscos do projeto, o qual pode resultar na
realização da análise quantitativa dos riscos ou ir diretamente para o processo de
planejamento de respostas a riscos.
A avaliação do impacto de riscos investiga o efeito potencial sobre um objetivo do projeto,
como cronograma, custo, qualidade ou desempenho, incluindo tanto os efeitos negativos das
ameaças como os efeitos positivos das oportunidades. A avaliação da probabilidade e do
impacto é feita para cada risco identificado. As probabilidades e os impactos dos riscos são
classificados de acordo com as definições fornecidas no plano de gerenciamento dos riscos.
58
Os riscos com baixas classificações de probabilidade e impacto serão incluídos em uma lista
de observação para monitoramento futuro.
A avaliação da importância de cada risco normalmente é conduzida usando uma matriz de
probabilidade e impacto. Essa matriz especifica as combinações de probabilidade e impacto
que resultam em uma classificação dos riscos como de prioridade baixa, moderada ou alta. A
organização pode classificar um risco separadamente para cada objetivo (por exemplo, custo,
tempo e escopo). O agrupamento dos riscos por causas-raiz comuns pode resultar no
desenvolvimento de respostas a riscos eficazes.
O registro dos riscos é iniciado durante o processo de Identificar os riscos. Depois o registro
dos riscos é atualizado com informações deste processo e é incluído nos documentos do
projeto.
3.4.4 Realizar a análise quantitativa dos riscos
Realizar a análise quantitativa de riscos é o processo de analisar numericamente o efeito dos
riscos identificados nos objetivos gerais do projeto. A análise quantitativa é realizada nos
riscos que foram priorizados pela análise qualitativa como tendo impacto potencial e
substancial nas demandas concorrentes do projeto. Esse processo é usado para atribuir uma
classificação numérica a esses riscos individualmente ou para avaliar o efeito agregado de
todos os riscos que afetam o projeto. Em alguns casos, realizar a análise quantitativa pode não
ser necessária para desenvolver respostas eficazes a riscos. O processo de Realizar a análise
quantitativa de riscos deve ser repetido depois de Planejar as respostas aos riscos e também
como parte do processo de Monitorar e controlar os riscos, para determinar se o risco geral do
projeto diminuiu satisfatoriamente. As tendências podem indicar a necessidade de mais ou
menos ações de gerenciamento dos riscos.
As técnicas mais usadas incluem:
• Análise de sensibilidade. A análise de sensibilidade ajuda a determinar quais riscos
têm mais impacto potencial no projeto.
• Análise do valor monetário esperado. A análise do valor monetário esperado (em
Inglês EMV) calculado com cenários que podem ocorrer ou não. O VME das
oportunidades geralmente será expresso em valores positivos, enquanto o dos riscos
terá valores negativos. O VME do projeto é calculado multiplicando o valor de cada
59
resultado possível pela sua probabilidade de ocorrência e somando esses produtos. Um
uso comum desse tipo de análise é a árvore de decisão.
• Modelagem e simulação. As simulações interativas em geral são executadas usando a
técnica de Monte Carlo, onde o modelo do projeto é calculado várias vezes com
valores de entrada selecionados aleatoriamente. O resultado de uma simulação ilustra
a probabilidade de atingir determinadas metas.
O registro dos riscos também é atualizado para incluir um relatório quantitativo dos riscos
detalhando as abordagens quantitativas e recomendações.
3.4.5 Planejar as respostas aos riscos
Planejar as respostas aos riscos é o processo de desenvolvimento de opções para aumentar as
oportunidades e reduzir as ameaças aos objetivos do projeto baseados nas prioridades. Esse
processo engloba a identificação e a designação de uma pessoa para assumir a
responsabilidade por cada resposta ao risco. Em geral é necessário selecionar a melhor
resposta ao risco entre as diversas opções possíveis.
Existem várias estratégias de respostas a riscos disponíveis. A estratégia ou a mescla de
estratégias com maior probabilidade de ser eficaz deve ser selecionada para cada risco. É
possível desenvolver um plano alternativo para implementação caso a estratégia selecionada
não seja totalmente eficaz ou se um risco aceito ocorrer.
As seguintes estratégias podem ser usadas para riscos negativos ou ameaças:
• Eliminar. A eliminação de riscos engloba a eliminação da fonte de risco para remover
totalmente a ameaça.
• Transferir. A transferência de riscos exige a mudança dos impactos negativos de uma
ameaça, juntamente com a responsabilidade da resposta, para um terceiro. Transferir o
risco simplesmente passa a responsabilidade pelo gerenciamento para outra parte, mas
não o elimina. A transferência de riscos quase sempre envolve o pagamento de um
prêmio à parte que está assumindo o risco.
• Mitigar. A mitigação de riscos implica na redução da probabilidade e/ou do impacto
de um evento para dentro de limites aceitáveis. Adotar uma ação antecipada para
60
reduzir a probabilidade e/ou o impacto de um risco ocorrer no projeto em geral é mais
eficaz do que tentar reparar o dano depois de o risco ter ocorrido.
• Aceitar. Essa estratégia é adotada porque raramente é possível eliminar todas as
ameaças de um projeto. Indica que a equipe do projeto decidiu não alterar o plano para
lidar com um risco. Pode ser passiva ou ativa. A aceitação passiva não requer
nenhuma ação exceto documentar a estratégia, deixando que a equipe do projeto trate
dos riscos quando eles ocorrerem. A estratégia de aceitação ativa mais comum é
estabelecer uma reserva para contingências, incluindo tempo, dinheiro ou recursos
para lidar com os riscos.
Por outro lado, as seguintes estratégias podem ser usadas para riscos positivos ou
oportunidades:
• Explorar. Essa estratégia pode ser selecionada para riscos com impactos positivos
quando a organização deseja garantir que a oportunidade seja concretizada. Procura
eliminar a incerteza associada com um determinado risco positivo, garantindo que a
oportunidade realmente aconteça.
• Compartilhar. Compartilhar um risco positivo envolve a alocação integral ou parcial
da propriedade da oportunidade a um terceiro que tenha mais capacidade de capturar a
oportunidade para benefício do projeto.
• Melhorar. Essa estratégia é usada para aumentar a probabilidade e/ou os impactos
positivos de uma oportunidade. Identificar e maximizar os principais impulsionadores
desses riscos de impacto positivo pode aumentar a probabilidade de ocorrência.
• Aceitar. Aceitar uma oportunidade é desejar aproveitá-la caso ela ocorra, mas não
persegui-la ativamente.
No processo de Planejar as respostas aos riscos, as respostas apropriadas são escolhidas,
acordadas e incluídas no registro dos riscos. O registro dos riscos deve ser gravado em um
nível de detalhamento que corresponda à classificação de prioridades e à resposta planejada.
Em geral, os riscos altos e moderados são abordados em detalhes. Os riscos considerados de
baixa prioridade são incluídos em uma “lista de observação” para monitoramento periódico.
3.4.6 Monitorar e controlar os riscos
61
Monitorar e controlar os riscos é o processo de ação dos planos de respostas a riscos,
acompanhamento dos riscos identificados, monitoramento dos riscos residuais, identificação
de novos riscos e avaliação da eficácia do processo de riscos durante o projeto. Esse processo
utiliza técnicas como análises de variações e tendências, que requerem o uso das informações
de desempenho geradas durante a execução do projeto.
As reavaliações dos riscos do projeto devem ser programadas com regularidade. Já as
auditorias de riscos examinam e documentam a eficácia das respostas para lidar com os riscos
identificados e suas causas-raiz, bem como a eficácia do processo de gerenciamento dos
riscos.
Durante a execução do projeto podem ocorrer alguns riscos, com impactos positivos ou
negativos nas reservas para contingências de orçamento ou cronograma. A análise das
reservas compara a quantidade restante de reservas para contingências com a quantidade de
risco restante a qualquer momento no projeto a fim de determinar se as reservas restantes são
adequadas.
Portanto, monitorar e controlar os riscos muitas vezes resulta na identificação de novos riscos,
na reavaliação dos riscos atuais e no encerramento dos riscos que estão desatualizados.
3.5. Mercado Financeiro
Falar de gerenciamento de risco no mercado financeiro já deixou de ser novidade há muito
tempo. No Brasil, as instituições financeiras tornaram-se referência mundial como
especialistas neste tema. A crise econômica mundial em 2009 deixou diversos negócios em
estado de alerta, muitos sentiram seus efeitos, exceto as grandes instituições no Brasil. Os
modelos de gerenciamento de risco adotados por estas instituições financeiras estão muito
maduros, tamanha maturidade requer revisões e adaptações periódicas e constantes em seus
modelos.
No âmbito internacional, (GARSIDE, 1 999, p. 1), há relatos que as expressivas perdas de
crédito ocorridas no final dos anos 80 e início dos anos 90 levaram as instituições a buscarem
técnicas mais modernas de gerenciamento de risco de crédito, visando avaliar não apenas o
risco relativo às exposições individuais, mas também o risco associado ao portfólio de crédito
como um todo.
62
No Brasil, (PRADO, 2 000, p. 2) registra que a estabilização da economia a partir da metade da
década de 90 conduziu o crédito a assumir um papel de crescente importância nas instituições
financeiras. Nesse ambiente, alguns bancos vêm procurando se alinhar às melhores práticas
internacionais de gestão de risco, desenvolvendo sofisticadas metodologias para medir o risco
dos seus portfólios de crédito.
O processo evolutivo de gestão de risco de crédito nas instituições financeiras tem sido
acompanhado por uma maior prioridade na utilização de modelos quantitativos como suporte
às decisões de crédito e à administração das carteiras. Uma das razões que motiva a adoção de
modelos quantitativos de risco de crédito é o interesse dos bancos em metodologias mais
maduros para determinar o montante de capital econômico que deve ser alocado para
contemplar os riscos assumidos em seus portfólios.
Deve-se destacar que um dos fatores determinantes para o desempenho de uma instituição
financeira é a alocação eficiente de capital. É uma balança com dois pesos: de um lado a
capitalização excessiva prejudica o retorno para os acionistas do banco, de outro a alocação de
um montante de capital insuficiente para suportar o risco gerado pelos ativos da instituição
pode comprometer a sua continuidade.
As técnicas de gestão de risco de crédito vêm sofrendo aprimoramentos pelo modelo
regulamentar sobre requerimento de capital estabelecido pelo Comitê da Basiléia sobre
Supervisão Bancária. As regras propostas pelo Acordo da Basiléia (BCBS, 1988) determinam
o requerimento de capital mínimo nas instituições financeiras com base em uma sistemática
de ponderação dos ativos pelo risco. Esta estrutura regulamentar foi objeto de severas críticas
por parte da indústria bancária, principalmente por não levar em consideração as diferenças na
qualidade de crédito dos tomadores e o efeito da diversificação da carteira.
Consequentemente, o Comitê da Basiléia empreendeu um processo de revisão normativo,
dando origem ao Novo Acordo de Capital (BCBS, 2004). Este entrou em vigor em 2006 e
proporcionou mais flexibilidade às instituições financeiras, possibilitando que as mesmas
criassem seus próprios modelos internos de avaliação de risco de crédito para o cálculo do
capital regulamentar, desde que eles fossem aprovados pelas autoridades de supervisão
bancária locais.
A busca pelo aprimoramento das técnicas de gestão de risco de crédito deu origem a uma
demanda por novas metodologias de avaliação de risco de carteiras.
63
Dentre os modelos difundidos na indústria bancaria internacional, destacam-se o
CreditMetrics, do banco J. P. Morgan (GUPTON , 1 997), o Credit Risk+, do Credit Suisse
First Boston (CSFB, 1997), o CreditPortfolioView, da McKinsey, e o KMV, da KMV
Corporation (KEALHOFER, 1 993).
Os modelos de risco de portfólio têm por objetivo principal estimar a função densidade de
probabilidade que define a distribuição de perdas em crédito de uma carteira. A partir da
distribuição de perdas, pode ser qualificado o risco de crédito do portfólio e calculado o
capital econômico a ser alocado pela instituição.
3.5.1 Crédito e Risco de Crédito
Crédito pode ser definido sob diversas perspectivas. De acordo com (SCHRICKEL, 2 000, p.
25), “Crédito é todo ato de vontade ou disposição de alguém de destacar ou ceder,
temporariamente, parte do seu patrimônio a um terceiro, com a expectativa de que esta
parcela volte à sua posse integralmente, após decorrido o tempo estipulado.”
Para instituição financeira, crédito é disponibilizar um valor de um tomador de recursos na
forma de um empréstimo ou financiamento, mediante compromisso de pagamento em uma
data futura. O crédito também pode referir-se a uma contingência, como operações de
prestação de garantias a terceiros, onde exige-se recursos se e somente se o tomador não
cumprir o acordo.
O conceito de crédito está relacionado à expectativa do recebimento de um valor em um
determinado período de tempo. Em conseqüência, (CAOUETTE, 1 999, p. 1) definem que
“[...] o risco de crédito é a chance de que esta expectativa não se cumpra.” De forma mais
específica, o risco de crédito é entendido como a possibilidade de o credor incorrer em perdas,
em razão de as obrigações assumidas pelo tomador não serem liquidadas nas condições
pactuadas. Essas perdas podem envolver total ou parcialmente o valor do capital emprestado,
além dos encargos financeiros incidentes sobre ele.
Segundo (BESSIS, 1 998, p. 81): “Risco de crédito é definido pelas perdas geradas pro um
evento de default do tomador ou pela deterioração da sua qualidade de crédito.” Há diversas
situações que podem caracterizar um evento de default ou evento de inadimplência de um
tomador de crédito. O autor cita como possíveis eventos de default o atraso no pagamento de
uma obrigação, o descumprimento de uma cláusula contratual restritiva (covenant), como, por
64
exemplo, um índice máximo de endividamento, o início de um procedimento legal como a
concordata e a falência ou, ainda, a inadimplência de natureza econômica, que ocorre quando
o valor econômico dos ativos da empresa se reduz a um nível inferior ao das suas dividas,
indicando que os fluxos de caixa esperados não serão suficientes para liquidar as obrigações
assumidas (BESSIS, 1 998, p. 82).
A deterioração da qualidade de crédito do tomador não resulta m uma perda imediata para a
instituição financeira, mas sim no incremento da probabilidade de que um evento de default
venha a ocorrer. Nos sistemas de classificação de risco, as alterações na qualidade de crédito
dos tomadores dão origem às chamadas migrações de risco.
Destaca-se que cada instituição financeira adota seu próprio conceito de evento de
inadimplência, estando geralmente relacionado ao atraso no pagamento de um compromisso
assumido pelo tomador por períodos como 60 ou 90 dias.
Em linha geral, risco se refere às situações em que podem ser determinados os possíveis
resultados ou valores das variáveis envolvidas no problema, bem como as respectivas
probabilidades de ocorrência. Assim, ao contrário da incerteza, o risco é definido por uma
situação em que a distribuição de probabilidade dos resultados possíveis é conhecida.
Na teoria de finanças, o conceito de risco esta associado à variabilidade dos resultados em
relação a um valor médio esperado. Quanto maior for o grau de dispersão de uma variável em
torno da média, maior será a probabilidade de que os seus resultados sejam diferentes do
valor esperado e, portanto, maior será o seu risco. Quando são tomadas decisões com base no
valor esperado de uma variável, a variabilidade dos seus resultados revela o risco envolvido
na decisão. Uma medida estatística tradicionalmente utilizada para mensurar a dispersão de
resultados é o desvio padrão.
O risco de crédito geralmente é avaliado a partir dos diversos fatores que compõem. De
acordo com ( BESSIS 1998, p. 81), o risco de crédito pode ser dividido em três partes: risco de
default, risco de exposição e risco de recuperação. O autor comenta que o risco de default está
associado probabilidade de ocorrer um evento de default com o tomador, o risco de exposição
decorre da incerteza em relação ao valor futuro da operação de crédito, enquanto que o risco
de recuperação se refere à incerteza quanto ao valor que pode ser recuperado pelo credor, no
caso de um default do tomador (BESSIS, 1 998, p. 82 - 85).
65
O risco de exposição é baixo nas operações onde há um cronograma de amortizações fixo,
entretanto pode ser significativo nas contingências e nas linhas de crédito rotativo, nas quais o
tomador pode sacar os recursos conforme suas necessidades, até um determinado limite
previamente estabelecido. O risco de recuperação, por sua vez, depende do tipo de evento de
default e das características da operação de crédito, como valor, praz o e garantias vinculadas.
O risco de default é também tratado por “risco cliente”, pois está vinculado às características
intrínsecas do tomador de crédito. Por outro lado, os riscos de exposição e de recuperação são
tratados por “risco operação”, uma vez que estão associados a fatores específicos de operação
de crédito.
O tipo de risco de crédito tratado neste estudo é o risco de default, já que é utilizado um
modelo estatístico para mensurar a probabilidade das empresas incorrerem em um evento de
default, cujo conceito adotado é o de concordata ou falência. Os riscos de exposição e de
recuperação não são tratados na pesquisa, devido ao fato de inexistirem informações públicas
detalhadas sobre carteiras de credito que permitam a inclusão dessas variáveis no trabalho.
Importante destacar que o risco de crédito não esta presente apenas nas operações tradicionais
de concessão de crédito, mas também em outras modalidades de instrumentos financeiros nos
quais existam obrigações a serem cumpridas por uma contraparte. Apesar do potencial de
riscos desses instrumentos, os empréstimos e financiamentos ainda são as principais fontes de
risco de crédito para a maioria das instituições.
3.5.2 Modelos de mensuração de risco
• CreditMetrics – Desenvolvido pelo JPMorgan Bank Inc. foi baseado na abordagem de
migração da qualidade do crédito concedido. Este modelo procura definir probabilidades
de mudanças da qualidade do crédito, inclusive para falência, dentro de um horizonte
temporal. A partir das probabilidades e do intervalo de tempo ele consegue estimar o
valor da perda potencial da carteira dado um determinado nível de confiança estatístico.
• KMV – Desenvolvido pela KMV Corporation está baseado na abordagem estrutural ou
avaliação de ativos com base na teoria de opção. Segundo (SAUNDERS, 2000) esta
abordagem consta da literatura desde a publicação do artigo de Robert Merton “On the
Pricing of Corporate Debt: The Risk Structure of Interest Rate” no Journal of Finance
de 06/1974. O modelo considera o processo de falência e relacionado à estrutura de
66
capital de firma. A falência acontece quando o valor dos ativos cai abaixo de um nível
critico.
• CreditRisk+ - Desenvolvido pela Credit Suisse Financial Products (CSFP) esta baseado
na abordagem atuarial. O modelo procura estabelecer medidas de perda esperada com
base no perfil de sua carteira de empréstimos ou títulos e no histórico de inadimplência.
• CreditPortfolioView – Desenvolvido pela Consultoria McKinsey esta baseado no
impacto de variáveis econômicas na inadimplência. Este modelo procura traçar cenários
multi-período onde a chance de falência esta condicionada a variáveis como
desemprego, patamar de taxas de juros, taxa de crescimento na economia, etc.
4. ANÁLISE COMPARATIVA ENTRE OS MÉTODOS
Após a dissertação das cinco metodologias de Gerenciamento de Risco (HAZOP, FMEA, ISO
31000, PMBOK e Mercado Financeiro) no capítulo anterior, vemos que há similaridades e
diferenças entre elas, o que pode ser melhor visualizado em uma tabela comparativa. A
escolha destas metodologias foi baseada na análise de seus respectivos favorecimentos da
análise de risco e suas correlações com prática de projetos. A familiaridade com as
metodologias, a consolidação em seus setores de origem e a necessidade de se compilar
comparações entre elas em um só trabalho também interferiram na escolha.
4.1. Relacionamentos entre processos
Considerando que as cinco metodologias abordam o mesmo assunto e estão relacionadas ao
gerenciamento de riscos, elas são similares em algumas fases que compõem a estrutura básica
de cada metodologia. As diferenças existentes entre as metodologias estão baseadas em
atividades e /ou produtos específicos gerados ou não pelos processos de cada metodologia.
A seguir, propõe-se uma tabela com as atividades de gerenciamento de riscos para cada
metodologia, visando demonstrar o relacionamento entre os diversos processos de
identificação dos riscos, natureza da análise (qualitativa e/ou quantitativa), estratégias de
respostas aos riscos, monitoramento e controle.
67
Processo de gerenciamento de riscos estruturado em 5 etapas
Tabela 8 Metodologia HAZOP
Metodologia HAZOP
Contexto Definição da linha de processo a ser estudada.
Identificação Com a utilização das palavras-guia identifica-se os possíveis desvios
(riscos) nos processo e nos equipamentos pertencentes à linha em estudo.
Avaliação Análise qualitativa dos desvios. O desvio realmente pode ocorrer?
Tratamento / Plano de respostas
Propõe-se soluções para tratamento dos desvios e é feita a análise de viabilidade para a implantação da solução proposta.
Revisão e Monitoração Registro e acompanhamento da implantação das soluções propostas e
suas revisões.
Tabela 9 Metodologia FMEA
Metodologia FMEA
Contexto Definição do ramo que o método será utilizado (ex. indústria química,
automotiva e alimentícia).
Identificação Identificação das falhas potenciais do produto ou processo.
Análise qualitativa das falhas de acordo com os índices de severidade, ocorrência e detecção.
Avaliação Análise quantitativa das falhas de acordo com os índices de severidade,
ocorrência e detecção. Tratamento / Plano de
respostas Tratamento com base no cálculo do RPN.
Revisão e Monitoração Revisão de planos de ação de maneira a assegurar que as mudanças
ocorridas durante a execução do projeto não interferiram na classificação numérica e priorização dos riscos identificados no planejamento.
Tabela 10 Metodologia ISO 31000
Metodologia ISO 31000
Comunicação e consulta Contexto
Estabelecimento do contexto
Identificação Identificação de riscos
Análise de riscos Avaliação
Avaliação de riscos
Tratamento / Plano de respostas
Tratamento de riscos
Revisão e Monitoração Monitoramento e análise crítica
68
Tabela 11 Metodologia PMBOK
Metodologia PMBOK
Contexto Planejamento do gerenciamento dos riscos
Identificação Identificação de riscos
Análise qualitativa dos riscos Avaliação
Análise quantitativa dos riscos
Tratamento / Plano de respostas
Planejamento de resposta aos riscos
Revisão e Monitoração Monitoramento e controle dos riscos
Tabela 12 Metodologia Mercado Financeiro
Metodologia Mercado Financeiro
Contexto Planejar riscos e eliminá-los no próprio negócio
Identificação Identificação (Basiléia e dados históricos)
Avaliação Análise quantitativa
Tratamento / Plano de respostas
Reações
Revisão e Monitoração Monitoramento e controle dos riscos
4.2. Matriz comparativa
A fim de possibilitar a comparação entre estas metodologias, as seguintes características
relevantes foram compiladas em uma matriz. São elas:
• Aplicabilidade de cada metodologia
• Vantagens
• Desvantagens
• Favorecimento da análise de riscos para projetos
• Correlação com prática de projetos
69
Comparação entre as características das metodologias
Tabela 13 Principais características da metodologia HAZOP
Metodologia HAZOP
Aplicabilidade Voltado para processos industriais, desenvolvido para indústria
Química/Petroquímica.
Vantagens Abrange todos os processos e seus desvios possíveis
Desvantagens O método prevê somente a análise qualitativa. É dependente do conhecimento do
grupo para obter as vantagens propostas.
Favorecimento da análise de riscos
para projetos
Identifica todos os possíveis desvios tanto nas linhas dos processos quanto nos equipamentos.
Correlação com práticas de
projetos
É voltado para processos, e não para projetos. Com adaptações, pode ser utilizado para processos de gestão de projeto.
Tabela 14 Principais características da metodologia FMEA
Metodologia FMEA
Aplicabilidade
Utilizada por indústrias de diferentes ramos (química, automotiva e alimentícia) para identificar todas as possíveis falhas, seja para produto ou processo, sistema ou
procedimento, produtos novos ou em operação, mudando apenas o objetivo de sua aplicação.
Vantagens
Evidencia qual é o ponto mais crítico do projeto, com vistas à tomada de ações preventivas para minimizar o impacto dos riscos em escopo, prazo, custo, recursos
humanos, além de possuir um enfoque genérico, o que lhe permite ser personalizado para cada situação, projeto ou empresa.
Desvantagens
Identifica as falhas potenciais no projeto, sistema ou processo, o que acaba excluindo seu uso como ferramenta para análise de riscos positivos. Apesar desta metodologia ser quantitativa, sua análise é subjetiva principalmente devido às discrepâncias na
definição dos índices de severidade, ocorrência e detecção.
Favorecimento da análise de riscos
para projetos
Identifica todas as possíveis falhas (seja para produto ou processo, sistema ou procedimento, produtos novos ou em operação) e suas causas para que sejam
analisadas e tomadas as ações preventivas necessárias (gerenciamento de riscos).
Correlação com práticas de
projetos
O FMEA pode ser aplicado para cada área de conhecimento do PMBOK, apesar do enfoque inicial ser qualidade. O formulário FMEA pode ser adequado considerando
atributos exclusivos de cada projeto.
Tabela 15 Principais características da metodologia ISO 31000
Metodologia ISO 31000
Aplicabilidade Abordagem genérica com princípios e diretrizes para gerenciar qualquer forma de risco de uma maneira sistemática, transparente e confiável, dentro de um escopo e
contexto definido pela organização, suportando tanto projetos como processos.
Vantagens Harmoniza padrões, regulamentações e frameworks já publicados, alinhada com a
visão integrada e, por se tratar de uma norma de alto nível, não há concorrência com as normas já existentes
Desvantagens Não define claramente as entradas, ferramentas e técnicas e saídas de cada processo, sendo necessária a utilização de outras normas para complementá-la, por exemplo, a
70
norma ISO 31010 que descreve as ferramentas e técnicas na avaliação dos riscos.
Favorecimento da análise de riscos
para projetos
A norma pode ser aplicada a qualquer tipo de risco, seja qual for a sua natureza, mesmo de consequências positivas ou negativas, onde a norma oferece uma
abordagem comum de apoio às normas existentes que tratam de riscos específicos para alguns setores, porém não para substituí-las, mas sim para suportá-las.
Correlação com práticas de
projetos
Estabelece uma filosofia para aplicar gerenciamento do risco organizacional em toda sua estrutura, incluindo as estratégias e decisões de operações, processos, funções,
projetos, produtos e serviços, bem como os projetos da organização e os processos de mudança organizacional.
Tabela 16 Principais características da metodologia PMBOK
Metodologia PMBOK
Aplicabilidade
Constitui uma base de conhecimento a ser aplicado no gerenciamento de projetos para os casos específicos de cada organização, fornecendo um vocabulário comum para se discutir, escrever e aplicar o gerenciamento de projetos possibilitando o intercâmbio
eficiente de informações entre os profissionais.
Vantagens
O guia é baseado em processos e subprocessos para descrever de forma organizada o trabalho a ser realizado durante o projeto. Os processos descritos se relacionam e
interagem durante a condução do trabalho e a descrição de cada um deles é feita em termos de entradas; ferramentas/técnicas e saídas.
Desvantagens Aborda somente o escopo de projeto, não tratando dos riscos de processos
operacionais que podem impactar o projeto e os objetivos do projeto.
Favorecimento da análise de riscos
para projetos
Os objetivos deste processo no PMBOK são aumentar a probabilidade e o impacto dos eventos positivos e reduzir a probabilidade e o impacto dos eventos negativos no
projeto.
Correlação com práticas de
projetos
O capítulo 11 do guia trata especificamente do gerenciamento dos riscos do projeto e inclui os processos de planejamento, identificação, análise, planejamento de respostas
aos riscos e, monitoramento e controle de riscos de um projeto.
Tabela 17 Principais características das metodologias CreditRisk+ e Credit Portifolio
View
Mercado Financeiro Metodologia
CreditRisk+ Credit Portifolio View
Aplicabilidade
Normalmente são utilizados pelas instituições financeiras, porém qualquer empresa com programas próprios de crédito podem utilizá-los. Quando não há certeza quanto aos valores dos fluxos de caixa futuros, sua aplicabilidade torna-se reduzida pela necessidade de geração dos
possíveis valores dos fluxos no vencimento. Para solução deste problema, é necessário o desenvolvimento de modelos integrados.
Vantagens
Simplicidade para sua implementação, pois a modelagem utiliza apenas a média e o desvio-padrao. Assim, a única variável relevante para
modelagem é a média histórica de inadimplência.
Não se restringe apenas aos valores de mercado associados aos cenários de
inadimplência e não inadimplência, apurando todos os valores que o título pode apresentar
em um período.
Desvantagens
O modelo utiliza apenas uma variável que é a média histórica de inadimplência, e essa
hipótese simplificadora faz com que a taxa de inadimplência impeça alterações em seu nível
geral,
Este modelo não considera a taxa de juros determinística, portanto, as mudanças nos
valores das carteiras decorrentes apenas das alterações nos spreads de crédito não serão
capturadas.
Favorecimento da análise de riscos
para projetos
Todas podem ser incorporadas às questões de cunho financeiro ou diretamente relacionado às finanças de um projeto.
71
Correlação com práticas de
projetos
Alta coesão com métodos de quantificação e simulações estatísticas, porém, requer cuidado ao identificar informações relevantes e fortemente relacionadas às causas do risco.
Tabela 18 Principais características das metodologias KMV e Credit Metrics
Mercado Financeiro Metodologia
KMV Credit Metrics
Aplicabilidade Idem a Tabela 17 Principais características das metodologias CreditRisk+ e Credit
Portifolio View
Vantagens
Baseado em dados do mercado acionário, ao invés de agências de classificação ou
áreas de avaliação de crédito das instituições financeiras, servindo também
para avaliação e precificação de operações de crédito.
Não se restringe apenas aos valores de mercado associados aos cenários de inadimplência e não inadimplência,
apurando todos os valores que o título pode apresentar em um período.
Desvantagens
Não captura o risco sistemático da carteira, e por isso, esse método não
funciona bem como modelo preditivo de risco de crédito associado a alterações na
volatilidade ou descontinuidade nos preços dos ativos.
Seus valores são incondicionais, ou seja, não são afetados pelas novas informações
incorporadas diariamente ao cenário econômico. A apuração da média é muito questionada porque o período de análise é bem longo, em torno de 20 anos, fazendo com que ele captura diferentes ambientes
econômicos.
Favorecimento da análise de riscos
para projetos
Idem a Tabela 17 Principais características das metodologias CreditRisk+ e Credit Portifolio View
Correlação com práticas de
projetos
Alta coesão com métodos de quantificação e simulações estatísticas, porém, requer cuidado ao identificar informações relevantes e fortemente relacionadas às causas do
risco.
72
5. CONCLUSÕES
5.1 André Pontes Sampaio
Na conclusão deste trabalho, enfatizo a abordagem dos seguintes objetivos pessoais
específicos: (1) demonstrar os principais desafios intrínsecos ao tema Gerenciamento de Risco
de TI na minha instituição de trabalho; (2) analisar com maior profundidade as vantagens de
cada metodologia estudada no intuito de aplicá-las no meu ambiente de trabalho,
considerando os desafios apontados; e, descrever as adaptações em um processo
organizacional de minha responsabilidade em minha instituição de trabalho a partir das
melhores práticas identificadas.
5.1.1 Principais desafios intrínsecos ao tema gerenciamento de risco de ti em minha
instituição de trabalho
Mesmo considerando que a aplicação das noções de Gerenciamento de Risco de TI se tornou
essencial, muitas organizações acreditam que esse processo está atrelado somente à adoção de
soluções tecnológicas eficazes, sejam estas de hardware ou software. Durante muito tempo
esta visão contribuiu para justificar o não estabelecimento de uma política integrada de
Gerenciamento de Riscos, visto que a cada ano os recursos financeiros destinados à área de
tecnologia se tornaram cada vez mais disputados, considerando a quantidade enorme de
projetos que deveriam ser desenvolvidos pelo Departamento de Tecnologia da Informação
(DTI). Na instituição em que trabalho não foi diferente. Muito se investiu nos projetos de
redundâncias físicas e/ou lógica dos sistemas informatizados, de forma a tentar minimizar
quaisquer indisponibilidades nos ativos organizacionais que afetassem os serviços
corporativos providos pelo DTI. Somente em 2009, iniciou-se um projeto amplo com objetivo
de definir um plano de continuidade de negócios, e uma das ações necessárias para suportar
esse plano foi criação de um centro de processamento de dados (CPD) em Campinas/SP, para
assumir e suportar a continuidade dos principais serviços críticos no caso de uma catástrofe
geral no centro de processamento de dados (CPD) em São Paulo/SP.
Dentro deste contexto, foram definidos os 05 (cinco) serviços mais críticos da instituição, os
quais deveriam ser suportados integralmente pelo CPD secundário em caso de falha no CPD
principal. Dessa forma, não é exagero afirmar que a responsabilidade pelo processo de
Gerenciamento de Riscos da organização recai, na grande maioria das vezes, nos gestores de
tecnologia da informação. Em geral, os gestores buscam balancear os riscos aos quais as
73
organizações estão suscetíveis e suas respectivas conseqüências, com os custos envolvidos na
minimização dos riscos.
Infelizmente, um problema que detectei durante esse processo é que os gestores normalmente
esquecem que a base de suporte para todo este arcabouço tecnológico são os processos e as
pessoas, os quais recebem pouco foco durante o desenvolvimento deste trabalho, embora eles
reconheçam a importância de se ter um adequado conhecimento e compreensão de todos os
riscos. De modo algum estou contradizendo a eficácia da construção do plano de continuidade
em andamento; ressalto apenas que a sua instauração deve ser feita de modo abrangente e
estruturado, incorporando o treinamento das pessoas e identificação dos riscos operacionais
nos processos para aumentar a maturidade do gerenciamento dos riscos na organização.
Portanto, nesta minha conclusão do trabalho, focarei na integração do processo
Gerenciamento de Mudanças de Infraestrutura de TI (definido na Transição de Serviços do
guia ITIL) para suportar o plano de continuidade de negócios e fazer com que as pessoas
envolvidas neste processo participem ativamente no gerenciamento de riscos, mesmo que
forma inconsciente. Estará neste escopo treinamento (workshop) relacionado ao processo de
mudanças com atividades de identificação, avaliação e plano de resposta aos riscos
operacionais envolvidos em cada mudança. Esse é o principal desafio identificado para a
melhoria dos processos de gerenciamento de riscos de TI em desenvolvimento na instituição
onde trabalho.
5.1.2 Análise das vantagens de cada metodologia para aplicação em meu ambiente de
trabalho
O objetivo do Gerenciamento de Risco de TI não é eliminar todos os riscos em sua plenitude,
mas sim reduzí-los a um nível aceitável, onde as falhas estão previstas e consideradas dentro
deste limite. As metodologias apresentadas nesse trabalho fornecem técnicas e abordagens
diferentes para o processo de gerenciamento de riscos. Identificarei em cada metodologia sua
principal vantagem para incorporação ao processo de Gerenciamento de Mudanças de
Infraestrutura de TI, visando melhorar o processo e conscientizar as pessoas envolvidas sobre
a importância e necessidade de focar em riscos e planejar respostas.
A metodologia HAZOP possui uma importante característica voltada à análise com o intuito
de examinar as linhas do processo, identificando perigos e prevenindo problemas. Nesta
metodologia, identificam-se perigos e previnem-se falhas nos processos e equipamentos
74
baseando-se em um procedimento que gera perguntas de maneira estruturada e sistemática
através do uso apropriado de um conjunto de palavras-chave aplicadas a pontos críticos do
sistema em estudo. Para a melhoria do Processo de Mudanças, verificou-se a possibilidade de
utilizar a técnica HAZOP durante a etapa do processo denominada Revisão Pós-
Implementação, como forma de registrar as falhas ocorridas no processo e corrigí-las.
Conforme estabelecido no capítulo 3, o método HAZOP é principalmente indicado quando da
implantação de novos processos na fase de projeto ou na modificação de processos já
existentes. Em suma, sempre que se desejar identificar e precaver-se de desvios em processos
já consolidados ou não, pode-se utilizar o HAZOP.
Para a execução do método HAZOP, deve-se formar um grupo de estudo multidisciplinar que
avaliará os possíveis desvios dos processos. Especificamente tratando do processo de
mudanças, esse grupo multidisciplinar envolverá o gerente do processo de mudanças (líder do
processo HAZOP), o gerente do processo de liberações (redator do processo HAZOP) e toda a
equipe técnica envolvida na mudança. A manutenção do líder e do redator em todos os grupos
auxilia na compatibilização das soluções dos diversos estudos e no monitoramento das
soluções propostas. Uma vez definido o grupo, este analisará a efetividade na mudança
durante a reunião de Revisão Pós-Implementação, identificando os possíveis desvios que
geraram algum tipo de incidente. A comparação entre os parâmetros planejados para ocorrer e
os parâmetros gerados pelos desvios identificados determina o impacto do desvio no processo.
Com a identificação das causas e das conseqüências, os desvios analisados poderão
determinar as ações a serem tomadas pelo grupo para a melhoria do processo de mudanças na
instituição.
Com relação à metodologia FMEA, seu principal objetivo é evitar que problemas cheguem
até o consumidor final do produto, sistema, processo ou serviço. Por isso, FMEA provê um
método sistemático para examinar todos os modos que uma falha pode ocorrer. Para a
melhoria do processo de mudanças, a metodologia FMEA será aplicada durante a atividade de
Homologação e Testes da Mudança, a qual passará a ser obrigatória o uso dessa metodologia
antes de promover a mudança para o ambiente de produção.
Como o FMEA é uma metodologia sistemática que deve ser aplicada por grupos
multidisciplinares para aumentar, com a agregação e sinergia dos conhecimentos das pessoas
envolvidas, o grau de percepção, de análise e de solução das falhas e defeitos, esta atividade
de homologação da mudança envolverá os desenvolvedores do sistema e os usuários que
75
utilizam o sistema, como forma de validar todo o plano de teste previsto. A equipe deverá
listar todas as possíveis falhas (do produto ou do processo) e suas causas para que sejam
analisadas e tomadas as ações preventivas necessárias. A maior vantagem da utilização do
FMEA é a de evidenciar qual é o ponto mais crítico dos testes, com vistas à tomada de ações
preventivas para minimizar o impacto dos riscos. A utilização da técnica FMEA deve
melhorar a qualidade dos sistemas e processos de promoção desses sistemas para a produção,
uma vez que envolve as diversas equipes para atuarem de forma integrada. O modo como as
falhas podem ocorrer são avaliados com base em 03 (três) quesitos: ocorrência, gravidade e
detecção. Após o início de sua aplicação, o FMEA deverá ser atualizado e revisto sempre que
necessário, pois novas falhas passam a ser conhecidas e previstas (devido às alterações de
critério de qualidade por parte dos clientes e planos de testes específicos para cada sistema).
Para a utilização dessa metodologia, um formulário FMEA será criado e personalizado para
suportar a atividade de homologação da mudança. Conforme define a metodologia, o
formulário será composto por tabela e índices de classificação sucintos e objetivos,
caracterizando-o como simples, eficiente, de fácil compreensão e implantação.
A ISO 31000 será utilizada neste processo de melhoria do Processo de Mudanças de
Infraestrutura de TI como o principal arcabouço para o sucesso nas mudanças propostas no
processo (Estabelecimento do Contexto) e suporte para sua efetividade através da construção
e aderência à uma política de riscos institucional de conhecimento de todo o corpo funcional
(Mandato e Comprometimento). A utilização da ISO 31000 justifica-se ainda pelo objetivo de
integrar as diversas metodologias propostas nesta conclusão, como forma de maximizar a
gestão de riscos para que a mesma não seja tratada de forma isolada.
Como a gestão de riscos na organização e o suporte à sua eficácia exigem forte
comprometimento da alta administração, bem como o planejamento estratégico e rigoroso
para atingir o empenho de todos os níveis organizacionais, fará parte deste trabalho auxiliar a
construção de uma política de gestão de riscos aprovada pela alta direção da corporação, uma
vez que, infelizmente, essa ainda não existe. Tenho o entendimento que esse é um importante
pilar para comprometimento das diversas equipes envolvidas para o sucesso da melhoria que
está sendo proposta.
Fará parte do treinamento (workshop) sobre o processo de mudança a lista dos 11 (onze)
princípios definidos pela ISO, para que sejam compreendidos e difundidos por toda a
organização, como forma de suportar um gerenciamento de risco eficaz na empresa. As
76
pessoas envolvidas devem ter o entendimento de que a gestão de riscos: cria e protege valor
(suporta o plano de continuidade de negócios que está em desenvolvimento no DTI); é parte
integrante de todos os processos organizacionais (por isso fará parte do processo de
mudança); é parte do processo decisório (aprovação ou não da mudança e o seu agendamento
futuro); aborda explicitamente a incerteza; é sistemática, estruturada e oportuna; é baseada na
melhor informação disponível (daí a necessidade do empenho dos envolvidos em identificar
os riscos operacionais); é alinhada com o perfil da empresa; leva os fatores humanos e
culturais em consideração (motivo pelo qual o workshop será feito para os diversos
departamentos); deve ser transparente e inclusiva (processo e templates estarão divulgado na
Intranet da instituição); é dinâmica, interativa e receptiva às mudanças; e facilita a melhoria
contínua da organização.
Com relação ao guia PMBoK que trata especificamente do gerenciamento dos riscos de
projetos, cada mudança passará a ser encarada como um projeto específico, uma vez que
atende a definição: “projeto é um esforço temporário empreendido para criar um produto,
serviço ou resultado exclusivo”. Dessa forma, para cada mudança, a equipe que submeterá a
Requisição de Mudança será responsável pelas atividades de: identificar os riscos
(determinação dos riscos que podem afetar a mudança); realizar a análise qualitativa dos
riscos (priorização dos riscos para análise ou ação adicional através da avaliação e
combinação de sua probabilidade de ocorrência e impacto); realizar a análise quantitativa dos
riscos (analisar numericamente o efeito dos riscos identificados, nos objetivos gerais da
mudança) e planejar as respostas aos riscos (desenvolvimento de opções e ações para
aumentar as oportunidades e reduzir as ameaças aos objetivos das mudanças). Estas
informações serão registradas em um formulário próprio criado para a submissão da
Requisição da Mudança.
Ficarão sob responsabilidade do gerente do processo de mudanças as atividades de planejar o
gerenciamento dos riscos (definição do processo, e sua publicação na Intranet, de como
conduzir as atividades de gerenciamento dos riscos de uma mudança) e monitorar e controlar
os riscos (acompanhamento dos riscos identificados, monitoramento dos riscos residuais,
identificação de novos riscos e avaliação da eficácia dos processos de tratamento dos riscos
durante a mudança).
Finalmente, a gestão de riscos baseada na metodologia do mercado financeiro será utilizada
para avaliar o risco geral do Planejamento Futuro das Mudanças, o qual engloba todas as
77
mudanças aprovadas para ocorrer em um determinado período. O conjunto de mudanças
futuras será considerado como a carteira (portfólio) a ser avaliada, onde cada mudança possui
seu risco específico e para maximizar o sucesso das mudanças, o risco de cada mudança deve
ser preferencialmente independente dos demais.
Assim, o risco geral da programação futura de mudanças considerará o impacto que uma
mudança pode ocasionar na execução de outra, uma vez que a aplicação de uma mudança
pode criar riscos não previstos anteriormente. Na teoria de finanças, o conceito de risco está
associado à variabilidade dos resultados em relação a um valor médio esperado. Portanto, a
meta do processo é criar uma carteira eficiente de mudanças futuras que minimize o nível de
risco de indisponibilidade dos ativos através da diversificação dessas mudanças. Quanto mais
negativa (ou menos positiva) for a correlação entre as diversas mudanças futuras, maiores
serão os benefícios de redução de riscos na diversificação. Essa diversificação deve suportar a
atividade de Agendamento das Mudanças Futuras.
Com isso, através das ações previstas de adoção do gerenciamento de riscos nos processos de
mudanças de infraestrutura, objetiva-se aumentar a probabilidade e o impacto dos eventos
positivos e reduzir a probabilidade e o impacto dos eventos negativos nas mudanças
executadas na empresa onde trabalho.
78
5.2 Aristides Souza Barcellos
Conforme descrito no inicio deste trabalho, quando pensamos na gestão de projetos pensamos
em diversas áreas de conhecimento, conforme exposto no PMBOK, inclusive gerenciamento
de risco. Para o gerenciamento de risco, atualmente, existem diversas metodologias
disponíveis e dentro deste rol de possibilidades foram detalhadas as metodologias que
favorecem estas análises e suas correlações com as práticas de gerenciamento de projetos. A
familiaridade com as metodologias e a consolidação em seus setores de origem também foram
levados em consideração para a escolha.
Na proposta de subsidiar as futuras turmas do MBA de Gerenciamento de Projeto destaco,
dentre as metodologias descritas anteriormente, metodologia HAZOP e a metodologia
proposta no PMBOK, juntas estas duas se complementam. A primeira trata da análise
qualitativa de processos operacionais que impactam diretamente os objetivos do projeto,
enquanto na segunda esta análise é tida como uma desvantagem, justamente por não avaliar
estes processos. Além disto, a análise de risco proposta pelo PMBOK destaca a necessidade
da análise quantitativa que não é avaliada pela HAZOP, o ponto falho dessa metodologia, e
possue uma estrutura baseada em processos e subprocessos que descrevem de forma
organizada o trabalho a ser realizado durante o projeto, esta estrutura é alinhada a estrutura
proposta pela HAZOP.
Como dito anteriormente, a metodologia HAZOP surgiu para ser empregada tanto em
processos novos como nos já existentes, independentemente do tamanho, e não como uma
ferramenta para ser aplicada na gestão de risco de projeto, nos moldes do PMBOK. Apesar de
não ter surgido como uma ferramenta de gestão de risco de projeto esta pode, com algumas
adaptações, ser empregada como uma ferramenta de gestão de risco de projeto em
consonância com o PMBOK.
Com base no exposto anteriormente e com o propósito de adaptar o HAZOP a gestão de risco
em projetos (HAZOP de projeto), alinhado às práticas preconizadas pelo PMI, será proposto
adaptações no desenvolvimento, nas formações dos grupos, nas palavras-chave, no
fluxograma de análise de desvio (risco) e no formulário de registro das ações definidas pelo
grupo de estudo de tal modo que seja possível realizar a identificação das etapas do “ HAZOP
de projeto” com as etapas descritas no capítulo 11 do PMBOK.
79
5.2.1 Formação do grupo de estudo
Como trata-se de um grupo de estudo voltado para a análise de riscos na gestão de um projeto
os membros serão os representantes das áreas de conhecimento definidas no PMBOK, apesar
de (Kletz, 2006) recomendar o número máximo de 8 integrantes, todos farão parte do grupo,
isto é, será um grupo com 10 membros. A Seguir, a formação do grupo e suas respectivas
responsabilidades.
• Gerente de Projeto
Responsável pela gestão do projeto e por contribuir com a visão dos “stakeholders” na
análise de risco.
• Representante da Qualidade
O gerente de qualidade ou o responsável pelo controle da qualidade do projeto,
responsável por avaliar o impacto dos desvios na qualidade do projeto, seja no produto
final ou nos processos.
• Representante do Gerenciamento do Escopo
O gerente de escopo ou o responsável pelo controle do escopo, responsável por avaliar o
impacto dos desvios no escopo do projeto.
• Representante do Planejamento (Tempo)
O gerente de planejamento ou o responsável pelo planejamento do projeto, responsável
por avaliar o impacto dos desvios no cronograma do projeto.
• Representante do Custo
O gerente de custo ou o representante pelo controle de custo do projeto, responsável por
avaliar o impacto quantitativo dos desvios no projeto e avaliar o custo da implantação
das soluções propostas pelo grupo.
• Representante da Integração das Áreas
O responsável pela integração das áreas de conhecimento e por auxiliar na avaliação dos
impactos nas diversas áreas.
80
• Representante de Comercial (Aquisição)
O responsável pela contratação e aquisição de materiais e serviços para o projeto, avalia
o impacto nos fornecimentos e auxilia no orçamento das soluções propostas para os
desvios.
• Representante dos Recursos Humanos
O responsável por avaliar o impacto nas pessoas envolvidas no projeto, tanto na
necessidade de contratação/demissão quanto na saúde e segurança do trabalho.
• Representante de Comunicação
O responsável por avaliar a necessidade de comunicação interna e externa e por
registrar as decisões tomadas pelo grupo para responder aos mais diversos desvios
identificados, isto é, o redator.
• Líder do Grupo
O Responsável por conduzir a reunião e, necessariamente, deve conhecer da
metodologia HAZOP e a metodologia proposta pelo PMBOK. Será o responsável por
monitorar a implantação das soluções propostas.
O Líder pode ser o responsável pelo gerenciamento do risco do projeto, caso seja necessário
pode solicitar a presença de especialistas para tratar soluções para desvios mais específicos,
caso no grupo de estudo não haja ninguém com o conhecimento necessário sobre o tema
tratado. Nota-se que esta formação será a mesma, independentemente, do tamanho do projeto.
Como sugerido por (Nolan, 1994), caso seja necessário, em decorrência da complexidade do
projeto, pode-se realizar vários grupos, porém, para a gestão de risco em projeto, é necessário
a permanência do Líder e do Redator, conforme exposto por (Kletz, 2006). Além destes 2,
recomendo a permanência dos representantes de custo, tempo, escopo e qualidade.
É necessária a permanência destes outros 4, pois todos os desvios impactará em ao menos 1
destes objetivos do projeto.
“O risco do projeto é um evento ou condição incerta que, se ocorrer, terá um efeito positivo ou
negativo sobre pelo menos um objetivo do projeto, como tempo, custo, escopo ou qualidade...”
81
(PMBOK, 2004)
5.2.2 Palavras-chave e respectivos desvios
Uma vez definido o grupo, este analisará as etapas do projeto em pequenos eventos e,
separadamente, os eventos externos que podem impactar os objetivos do projeto e comparará
as expectativas do projeto com os cenários possíveis criados pelo grupo, assim, pode-se
determina o impacto dos cenários criados nos objetivos do projeto (Custo, Tempo, Escopo,
Qualidade). Com a identificação das causas e das conseqüências para os possíveis cenários
analisados determinar-se-ão as ações a serem tomadas pelo grupo.
As palavras-chave utilizadas pelo grupo de estudo serão as apresentadas na tabela abaixo mais
aquelas que, devido à peculariedade de cada projeto, o grupo julgar pertinente
Tabela 19 Grupo de palavras-chave para análise de desvios do projeto e os respectivos
desvios gerados
GRUPO DE PALAVRAS-CHAVE PARA ANÁLISE DE RISCOS DO P ROJETO
Palavra-chave Significado
NÃO Negação completa da intenção do projeto
MAIS Aumento quantitativo
MENOS Diminuição quantitativa
PARTE Modificação qualitativa / redução
ALÉM Substituição completa
BEM COMO Modificação qualitativa / aumento
REVERSO Oposto lógico da intenção do projeto
PRECOCE Relativo ao tempo do relógio
TARDIO Relativo ao tempo do relógio
ANTES Relativo à ordem ou seqüência
DEPOIS Relativo à ordem ou seqüência
82
5.2.3 Análise qualitativa e quantitativa dos riscos identificados
O grupo deverá fazer a análise individual de cada risco identificado tanto qualitativamente
quanto quantitativamente e munidos destas informações proporão as ações de resposta.
A análise quantitativa é uma inovação à metodologia HAZOP que originalmente não prevê
este tipo de análise. Sendo que o impacto deverá ser avaliado nos 4 objetivos do projeto. Ao
final da análise quantitativa o grupo deverá ser capaz de responder as 4 perguntas a seguir:
• Qual o impacto financeiro no projeto? (Área de conhecimento CUSTO)
• Qual o impacto no prazo do projeto? (Área de conhecimento TEMPO)
• Qual o impacto no escopo do projeto? (Área de conhecimento ESCOPO)
• Qual o impacto na qualidade do projeto? (Área de conhecimento QUALIDADE);
Com as resposta das perguntas acima e com o estudo de viabilidade e exeqüibilidade proposto
por (Kletz, 2006) o grupo poderá sugerir respostas aos riscos de maneira que minimizem as
perdas e maximizem os ganhos.
5.2.4 Estudo de viabilidade e exeqüibilidade
O estudo de viabilidade e exeqüibilidade da resposta ao risco proposto por (Kletz, 2006) não
se adéqua de maneira satisfatória a esta proposta de adequação da metodologia HAZOP como
ferramenta de análise e gerenciamento de risco do projeto.
Como descrito anteriormente, a proposta original do estudo visa muito mais os processos na
indústria, não se adequando ao gerenciamento de risco em projeto. Porém, a idéia de se
realizar um estudo de viabilidade e exeqüibilidade como uma das etapas da metodologia é
fantástica, pois força a equipe a preparar este estudo, com isso, reduzindo a probabilidade de
tomada de decisão sem respaldo em informações técnicas.
5.2.5 Fluxograma HAZOP compatibilizado com o pmbok
O fluxograma originalmente proposto por (Kletz, 2006) para o estudo HAZOP é adequado
para o estudo de processos em plantas industriais. Para a adequação ao modelo de
gerenciamento de Risco proposto pelo PMI é necessário adequarmos algumas informações do
fluxograma, bem como, incluir novas caixas de atividades.
83
Para uma melhor identificação com o a estrutura proposta no PMBOK as atividades
relacionadas no fluxograma foram agrupadas de tal maneira que pudessem ser classificadas
nos processos de gerenciamento de risco proposto pelo PMI. Sendo os processos descritos
abaixo, conforme expostos no capítulo 11 do PMBOK 3ª Edição, 2004:
• Item 11.1 – Planejamento do gerenciamento de riscos – decisão de como abordar,
planejar e executar as atividades de gerenciamento de riscos de um projeto.
• Item 11.2 – Identificação de riscos – determinação dos riscos que podem afetar o
projeto e documentação de suas características.
• Item 11.3 – Análise qualitativa de riscos – priorização dos riscos para análise ou ação
adicional subseqüente através de avaliação e combinação de sua probabilidade de
ocorrência e impacto.
• Item 11.4 – Análise quantitativa de riscos – análise numérica do efeito dos riscos
identificados nos objetivos gerais do projeto.
• Item 11.5 – Planejamento de respostas a riscos – desenvolvimento de opções e ações
para aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto.
• Item 11.6 – Monitoramento e controle dos riscos – acompanhamento dos riscos
identificados, monitoramento dos riscos residuais, identificação dos novos riscos,
execução de planos de respostas a riscos e avaliação da sua eficácia durante todo o ciclo
de vida do projeto.
84
Figura 7 Fluxograma de análise de risco de projeto pela metodologia HAZOP
ALBERTON, A. Uma Metodologia Para Auxiliar No Gerenciamento De Riscos E Na Seleção De Alternativas De Investimentos Em Segurança. Disponível em: http://www.eps.ufsc.br/disserta96/anete/index/indx_ane.htm. Acesso em 21/02/2011;
ASSAF NETO, A. Mercado Financeiro. 8 ed. São Paulo: Atlas, 2008
BACEN, Banco Central do Brasil, 2011.
BARASUOL, Robson B. FMEA – Uma abordagem simplificada. Disponível em: http://200.169.53.89/download/CD%20congressos/2006/CRICTE%202006/trabalhos/576324-egp-18-08-111734.pdf. Acesso em 23 fev. 2011
BESSIS, J. Risk management in banking. Chichester: John Wiley & Sons, 2002.
BEST, P. Implementing Value-at-Risk. New York: John Wiley & Sons, 1998.
CAOUETTE, John B., ALTMAN, Edward. I. e NARAYANAN, Paul. Managing Credit Risk – The next Great Financial Challenge, New York: John Wiley & Son Inc., 1998.
DOMINGUES, Rafael M. Uso do FMEA como ferramenta para análise de riscos em projetos. Disponível em: http://projetos.inf.ufsc.br/arquivos_projetos/projeto_615/Uso_Do_FMEA_Analise_Riscos-RMD.pdf. Acesso em 29 set. 2010.
FACHIN, O. Fundamentos de metodologia. 4. ed. São Paulo: Saraiva, 2003.
GAIO, L. E.; SÁFADI, T. Memória longa na volatilidade do índice BOVESPA: uma análise utilizando modelos da classe ARCH. Revista de Economia e Administração, v. 7, n. 2, p. 228-243, 2008.
GARSIDE, Thomas et al. Credit portifolio management. Oliver, Wyman & Company, Dez 1999. Disponível em: http://www.erisk.com. Acesso em: 08/10/2010.
GITMAN, L. J. Princípios de administração financeira. 2. ed. Porto Alegre: Bookman, 2001.
GUPTON, Greg M. et al. CreditMetrics: Technical Report. New York: J.P. Morgan & Co. Incorporated, 1997.
HILLSON D. Gerenciamento de riscos: melhores práticas e desenvolvimentos futuros. Disponível em: http://www.risk-doctor.com/pdf-files/mundopmpaperoct05portuguese.pdf. Acesso em 23 fev 2011.
102
INSTITUTO DA QUALIDADE AUTOMOTIVA Análise dos Sistemas de Medição MSA: Manual de Referência. 3ª Edição. São Paulo: [s.n.], 2006.
ISO31000. ABNT NBR ISO 31000. Gestão de riscos - Princípios e diretrizes, 2009.
KEALHOFER, Stephen; BOHN, Jeffrey R. Portifolio management of default risk. São Francisco: KMV LLC, 1993.
KLETZ, T. HAZOP AND HAZAN . 4ª edição. Rugby: Institution of Chemical Engineers, 2006. 247p.MARTINS, G. A. ; THEÓPHILO, C. R. Metodologia da Investigação Científica para Ciências Sociais Aplicadas. São Paulo: Atlas, 2007.
NARAYANAGOUNDER S., GURUSAMI K. A. New Approach for Prioritization of Failure Modes in Design FMEA using ANOVA. World Academy of Science, Engineering and Technology número 49, 2009, páginas 524-531.
NOPSA – National Offshore Petroleum Safety Authority. Guidance Note N-04300-GN0107 Revision 2, July 2010. 32p.
Norma QS-9000.
PALADY, Paul. FMEA Análise dos Modos de Falha e Efeitos: Prevendo e Prevenindo Problemas Antes que Ocorram. 3ª Edição. São Paulo: Instituto IMAM, 2004.
PMBOK. PMBOK Guide: a guide to the project management body of knowledge. Newtown Square: Project Management Institute, 2004.
PRADO, Renata G.A., BASTOS, Norton T., DUARTE Jr., Antonio M., Gerenciamento de Riscos de Crédito em Bancos de Varejo no Brasil, São Paulo: IBMEC, 2002.
PROJECT MANAGEMENT INSTITUTE. Um Guia do Conjunto de Conhecimentos em Gerenciamento de Projetos. 3ª edição. Newtown Square: PMI, 2004. 405p.
RAMOS, Eliani F. A gestão de Riscos usando FMEA. Revista Mundo PM número 10, 2006. Páginas 71 a 74.RAMOS, Eliani F. Utilização da FMEA para Gestão de Riscos em Projetos de Desenvolvimento de Software. Disponível em: http://www.euax.com.br/artigos. Acesso em 29 set 2010.
REIS, K. HAZOP . Disponível em: http://www.qualidadebrasil.com.br/artigo/qualidade/HAZOP. Acesso 20/02/2011.
SALLES JR., C. A. C; SOLER, A. M; VALLE, J. A. S; RABECHINI JR., R. Gerenciamento de Riscos em Projetos. Rio de Janeiro: Editora FGV, 2006. 160p.
SAUNDERS, A. Financial institutions management: a modern perspective. Homewood, IL: Irwin,1996. 2nd ed.
SAUNDERS, Anthony. Medindo o Risco de Crédito – Novas Abordagens para Value at Risk e Outros Paradigmas. Rio de Janeiro: Qualitymark, 2000.
SCHRICKEL, Wolfgang K. Análise de crédito: concessão e gerência de empréstimos. 5. Ed. São Paulo: Atlas, 2000.
103
SECURATO, J. R. Decisões Financeiras em condições de risco. 2 ed. São Paulo: Saint Paul Editora, 2007.
SMITH, S.W. Three HAZOP Questions: "What could go wrong?"; "How would we know it?"; "What could we do about it?" . Disponível em: http://www.HAZOP.com Acesso em 21/02/2011
VIEIRA, Erlon C. S. Metodologia FMEA – análise de modo e efeitos de falha e orientações estratégicas. Disponível em: http://www.gepeq.dep.ufscar.br/arquivos/Erlon-Monografia%20FMEA%20-%20ufscar-Etapa.pdf. Acesso em 23 fev. 2011.
WIKIPEDIA. Hazard and operability study. Disponível em: http://en.wikipedia.org/wiki/Hazard_and_operability_study. Acesso 21/02/2011
104
8. GLOSSÁRIO
Ações Estratégicas - Iniciativas que indicam como deverão ser alcançados os objetivos
estratégicos.
Análise Qualitativa – Visa realizar uma análise subjetiva dos riscos do projeto, expressas por
palavras e não por números.
Análise Quantitativa - Visa realizar uma avaliação quantitativa dos riscos do projeto,
expressas por números e não por palavras.
Ameaças - Fenômenos ou condições atuais ou potenciais capazes de dificultar
substancialmente e por longo tempo o bom desempenho da Instituição (em termos do
cumprimento da sua Missão, Objetivos Estratégicos, desempenho competitivo etc.).
Análise do Ambiente Externo - Construção da visão das evoluções prováveis do ambiente
externo da Instituição, a médio e longo prazo, visando a antecipar oportunidades e ameaças
para o seu bom desempenho, face à missão e aos objetivos permanentes.
Análise do Ambiente Interno - Diagnóstico dos pontos fortes e fracos da Instituição.
Avaliação Estratégica - Exercício de mapeamento e interpretação das interações entre
oportunidades e ameaças, frente às forças e fraquezas mais relevantes, em cada cenário.
Árvore de Decisão - É um diagrama que descreve as principais interações entre decisões e
possibilidades. A árvore de decisão usa a noção do Valor Esperado para determinar o
conjunto de resultados. É um diagrama de todos os atos, eventos e resultados possíveis.
Auditoria - Atividade de verificação de cumprimento de diretrizes.
Cenários - Descrições sistêmicas de futuros qualitativamente distintos e das trajetórias que os
conectam a situação de origem. Constituem recurso útil, no processo de planejamento
estratégico participativo.
Gerência de Riscos - Processos necessários para planejar o gerenciamento, identificar,
analisar, responder, monitorar e controlar riscos em projetos (PMBOK 2004)
105
Indicadores de Desempenho - Medições de características dos produtos ou dos processos,
para monitoramento da conveniência de ações gerenciais.
Integração - Processo de harmonizar os sistemas, para se suplantar as incompatibilidades.
Maturidade - É o desenvolvimento de sistemas e processo que são por natureza repetitivos e
garantem uma alta probabilidade de que cada um deles seja um sucesso.
Melhoria Contínua - Processo para incriminação da qualidade em serviços ou Produtos
Monitoramento e Controle - Acompanhar como está se comportando aquilo que planejamos
com relação aos riscos do projeto.
Objetivos Estratégicos - Conjunto de resultados desejados que, obrigatoriamente, precisam
concretizar-se no horizonte temporal do plano estratégico. Deve conter indicadores de
resultados observáveis e analisáveis, o que realizar a gradação do que deve ser realizado, o
alvo ou objeto da realização e uma qualificação de como vamos realizar o pretendido (ênfases
e restrições).
Oportunidades - Situações, tendências ou fenômenos externos à Instituição, atuais ou
potenciais, que podem contribuir, em grau relevante e por longo tempo, para a realização da
missão ou o cumprimento dos objetivos permanentes. Seu aproveitamento depende das
condições do ambiente interno.
Planejamento Estratégico - Nível de planejamento estratégico que tem por objeto as
decisões que não podem ser descentralizadas sob pena de se correr o risco de graves erros de
subutilização.
Plano Estratégico - Modelo de decisões coerente, unificado e integrador, que: (a) determina e
revela o propósito institucional em termos de missão, objetivos permanentes, programas de
ação, prioridades de alocação de recursos; (b) delimita os domínios de atuação da Instituição;
(c) descreve as condições internas de respostas ao ambiente externo e a forma de modificá-las,
com vistas ao fortalecimento da Instituição; (d) engaja todos os níveis hierárquicos
(institucional, das áreas básicas de atuação e funcional), para a consecução dos fins maiores;
(e) define a natureza das contribuições econômicas e não-econômicas que a Instituição deve
fornecer a seus parceiros-chave.
106
PMBOK (Guide of Project Management Body of Knowledge) - Guia mestre de
gerenciamento de Projetos – Esforço temporário para efetuar um produto.
Processo - Conjunto de ações com intuito de monitorar a execução de um produto ou serviço
em projetos.
Respostas aos riscos - Elaboração de um plano de ações voltadas ao aproveitamento das
oportunidades, bem com para reduzir as ameaças aos objetivos do projeto.
Stakeholder - Todos os interessados ou afetados pelo desenvolvimento de um projeto