O documento apresenta as aulas de um curso sobre Gestão de Riscos ministrado no 1o semestre de 2013, com links para slides de cada aula sobre definições, frameworks e casos práticos de gestão de riscos em projetos e TI.
Status Report dos TCCs (SIN-NA8): 2º semestre de 2016
[slides] Gestão de Riscos (2013: 1º semestre)
1. Alessandro Almeida | www.alessandroalmeida.com
1° Semestre de 2013
SLIDES DAS
AULAS
2. AULA TÓPICOS ABORDADOS LINK
1 Definições de risco e gestão de riscos. Acesse
2 Benefícios da gestão de riscos. Acesse
3 ISO 31000:2009. Acesse
4 Processo para gestão de riscos (Parte 1). Acesse
5
Processo para gestão de riscos (Parte 2). COSO
(Enterprise Risk Management). NBR15999 (Gestão da
Continuidade dos Negócios).
Acesse
6 Risk IT. PMBOK. CMMI.O Risco deTI (Framework 4A). Acesse
3. Alessandro Almeida | www.alessandroalmeida.com
1° Semestre de 2013Clique aqui
para escolher
outra aula
9. Apresentar o conceito de Gestão de Riscos,
incentivando a reflexão sobre o tema no dia-
a-dia
Compartilhar frameworks e (boas) práticas
aplicáveis à rotina da Gestão de Riscos emTI
11. Cuidado!!!!
Quem definiu que as práticas são boas ou
melhores?
A empresa fez uma avaliação?
Houve um diagnóstico?
Os principais stakeholders foram ouvidos?
Sinal de alerta:
Consultoria ou um grupo restrito definindo e
decidindo as “melhores” práticas para a área deTI
14. Dinâmica das aulas
Sem monólogo, por favor!
▪ Tragam seus questionamentos, ideias e experiências!
▪ A colaboração ajuda na construção do conhecimento.
15. Dinâmica das aulas
Material em constante mudança
Materiais disponíveis nos endereços:
www.slideshare.net/alessandroalmeida
www.alessandroalmeida.com/unifieo.htm
▪ CMMI
▪ Gestão de Processos
▪ Governança deTI
▪ Etc.
16. Avaliação semanal: 50% da nota
Participação nas atividades
Avaliação final: 50% da nota
“Prova” ou atividade em grupo?
▪ Vocês decidem!
▪ Vantagens e desvantagens...
▪ Avaliação escolhida: Atividade em Grupo
Sobre a frequência nas aulas...
17.
18. Em todas as aulas...
O feedback de vocês é fundamental
Ajustes na dinâmica (conteúdo, velocidade, etc.)
Ouvidoria do UNIFIEO
Na última aula...
Avaliação sobre a disciplina
19. Em todas as aulas...
O feedback de vocês é fundamental
Ajustes na dinâmica (conteúdo, velocidade, etc.)
Ouvidoria do UNIFIEO
Na última aula...
Avaliação sobre a disciplina
20. Pessoalmente ou através do endereço
alessandro.almeida@uol.com.br
Downloads:
www.alessandroalmeida.com/unifieo.htm
www.slideshare.net/alessandroalmeida
22. Em grupos de até 5 alunos, discutir as definições
de Risco e Gestão de Riscos
Levantar exemplos de aplicação da Gestão de
Riscos
Exemplos do mundo corporativo e / ou do dia a dia
Cada grupo apresentará suas conclusões aos
demais colegas
Durante a atividade, passarei pelos grupos para
conhecê-los
24. Gestão de Riscos
•“ato ou efeito de gerir;
administração, gerência”
•Administrar: “gerir, governar,
dirigir”
•Administrar: “atuar, exercer a
autoridade de administrador;
dirigir”
25. Gestão de Riscos
•“probabilidade de insucesso”
•“em função de acontecimento
eventual”
•“ocorrência não depende
exclusivamente da vontade dos
interessados”
26. Definição do CobiT 4.1:
Em negócios, o potencial de que uma certa
ameaça irá explorar as vulnerabilidades de
um recurso ou grupo de recursos para causar
perda e/ou prejuízos; usualmente medido por
uma combinação de impacto e probabilidade
de ocorrência.
27. Sendo assim, o risco deve ser encarado de
forma negativa?
Exemplos de “riscos”:
Risco de ganhar na Mega-Sena
Risco de se apaixonar
Risco de ser promovido na empresa
28. Definição da ISO 31000:2009:
Efeito da incerteza nos objetivos
▪ Efeito: Desvio em relação ao esperado (positivo e/ou
negativo)
▪ Expresso pela combinação de probabilidade e
consequência
29. Definição do PMBoK, 4ª edição:
Um evento ou condição incerta que, se ocorrer,
provocará um efeito positivo ou negativo nos
objetivos de um projeto
32. Sempre presente em nosso dia-a-dia...
...até mais do que imaginamos
33.
34. Fonte da imagem “Risco de Afogamento”:
http://www.flickr.com/photos/kiko_fernandes
/4148281427/
35. Aplicações financeiras oferecem risco...
Por exemplo: Investimento em ações de empresas
listadas na BM&FBOVESPA
Neste caso, quando a empresa vai abrir o capital
ou ofertar novas ações, um documento
explicativo é emitido, e nele há um capítulo
somente sobre os riscos...
38. Quanto maior o risco, maior o retorno exigido
pelos investidores
0
1
2
3
4
5
1 2 3 4 5 6 7 8 9 10
Risco versus Taxa de Retorno
Risco Taxa de Retorno
39. Administrar a incerteza?
Como identificá-los?
Como administrá-los?
Fatos...
Os riscos sempre estarão lá, independente de
você conhecê-los e gerenciá-los
Gestão de riscos é um tema que sempre está na
moda!
46. Objetivo:
Montar um plano para Gestão de Riscos de um
projeto ou da operação deTI de uma empresa
(fictícia ou não)
Grupos de até 5 alunos
Detalhar a metodologia(s) utilizada(s) para
identificação dos riscos
Documentar o contexto e os parâmetros de
risco
47. Aplicar os frameworks e práticas que serão
apresentados durante as aulas
Acompanhamento semanal da evolução
Informar a situação
Validar a metodologia utilizada
Apresentar o rascunho do material
Importante: O acompanhamento semanal vai
compor a nota da atividade
48. Entregáveis
CD contendo:
▪ Plano para Gestão de Riscos
▪ Apresentação realizada para a turma
Data da entrega e apresentação:
20 de junho
Tempo de apresentação: cada grupo terá entre 30
a 40 minutos
49. Depois é só escolher a comemoração!
Fonte da Imagem:
http://www.gettyimages.com/det
ail/82143945/Retrofile
51. Os seguintes itens devem ser apresentados:
Grupo
Contexto
▪ Empresa fictícia ou real?
▪ Informações sobre a empresa e o mercado em que ela
atua
▪ Plano de Riscos para a empresa, para uma área ou para
um projeto?
53. Definição do PMBoK, 4ª edição:
Um evento ou condição incerta que, se ocorrer,
provocará um efeito positivo ou negativo nos
objetivos de um projeto
55. Administrar a incerteza!
Fatos...
Os riscos sempre estarão lá, independente de
você conhecê-los e gerenciá-los
Gestão de riscos é um tema que sempre está na
moda!
56.
57. Por que a Gestão de Riscos deve estar na
pauta dos executivos?
58.
59. De acordo com a NBR ISO 31000:2009 –Gestão de Riscos – Princípios e
Diretrizes
60. Aumentar a probabilidade de atingir os
objetivos
Encorajar uma gestão proativa
Estar atento para a necessidade de
identificar e tratar os riscos através de
toda a organização
Melhorar a identificação de oportunidades e
ameaças
Lembram da Análise SWOT?
62. O conceito de estratégia...
em grego stratēgía, em latim “estrategi”, em
francês stratégie, em inglês strategy, em alemão
strategie, em italiano strategia, em espanhol
estrategia
63. O conceito de estratégia...
em grego stratēgía, em latim “estrategi”, em
francês stratégie, em inglês strategy, em alemão
strategie, em italiano strategia, em espanhol
estrategia
64. O conceito de estratégia...
em grego stratēgía, em latim “estrategi”, em
francês stratégie, em inglês strategy, em alemão
strategie, em italiano strategia, em espanhol
estrategia
65. Como podemos definir estratégia?
Estratégia diz respeito a posicionar uma
organização para a obtenção de vantagem
competitiva
Envolve escolhas a respeito de que setores
participar, quais produtos e serviços oferecer e
como alocar recursos corporativos
Seu objetivo principal é criar valor para
acionistas e outros stakeholders ao proporcionar
valor para o cliente
66. Como podemos definir estratégia?
Estratégia diz respeito a posicionar uma
organização para a obtenção de vantagem
competitiva
Envolve escolhas a respeito de que setores
participar, quais produtos e serviços oferecer e
como alocar recursos corporativos
Seu objetivo principal é criar valor para
acionistas e outros stakeholders ao proporcionar
valor para o cliente
67. Converter declarações da direção estratégica
em objetivos, indicadores, metas, iniciativas e
orçamentos específicos, que orientam a ação
e alinham a organização para a execução
eficaz da estratégia
68. Converter declarações da direção estratégica
em objetivos, indicadores, metas, iniciativas e
orçamentos específicos, que orientam a ação
e alinham a organização para a execução
eficaz da estratégia
69. Ferramenta para análise do cenário:
Pontos Fortes
Pontos Fracos
Oportunidades
Ameaças
Pode ser utilizada como base para o
Planejamento Estratégico
70.
71. Uma boa gestão de riscos permite
que a empresa identifique (de
forma precisa) as oportunidades e
ameaças
72. Atender às normas internacionais e requisitos
legais e regulatórios pertinentes
Melhorar a Governança
Melhorar a confiança das partes
interessadas (stakeholders)
Estabelecer uma base confiável para a
tomada de decisão e o planejamento
Melhorar o reporte das informações
financeiras
73.
74.
75.
76.
77.
78. Melhorar os controles
Alocar e utilizar eficazmente os recursos para
o tratamento de riscos
Melhorar a eficácia e eficiência operacional
Melhorar o desempenho em saúde e
segurança, bem como a proteção ao meio
ambiente
79. Melhorar a prevenção de perdas e a gestão de
incidentes
Minimizar perdas
Melhorar a aprendizagem
organizacional
Aumentar a resiliência da organização
81. Em grupos de até 5 alunos, façam a leitura
do artigo “O dilema da pitanga na Natura”
Publicado na edição 1011 da Revista Exame:
http://exame.abril.com.br/revista-
exame/edicoes/1011/noticias/o-dilema-da-
pitanga-na-natura
82. Após a leitura, discutam entre o grupo os
problemas que ocorreram na implantação do
sistema SAP na Natura.
O que poderia ter sido feito para evitá-los?
Como a Gestão dos Riscos poderia ajudar?
Qual é a relação percebida entre a Gestão dos
Riscos, o desempenho da empresa e a Gestão de
Projetos?
Documentem o consenso do grupo
83. Quando um recurso se torna
essencial para a competição mas
irrelevante para a estratégia, os
riscos que cria passam a importar
mais do que as vantagens que
oferece.
84.
85.
86. Alessandro Almeida | www.alessandroalmeida.com
1° Semestre de 2013Clique aqui
para escolher
outra aula
87.
88.
89. Definição do PMBoK, 4ª edição:
Um evento ou condição incerta que, se ocorrer,
provocará um efeito positivo ou negativo nos
objetivos de um projeto
90. Envolve incerteza
Fato!
Os riscos sempre estarão lá, independente de
você conhecê-los e gerenciá-los
Gestão de riscos é um tema que sempre está na
moda!
O risco está sempre presente em nosso dia-a-
dia...
...até mais do que imaginamos
91. Ferramenta importante para que a gestão da
empresa seja bem sucedida...
Identificar e atingir os objetivos estratégicos
Compliance
Maior transparência (interna e externa)
Atuação proativa diante dos movimentos do
mercado
98. NBR ISO 31000
Gestão de Riscos – Princípios e Diretrizes
Publicada em 2009
Visa a harmonização das normas que
envolvemGestão de Riscos
Considera que todas as organizações
gerenciam o risco de alguma forma
Por isso, estabelece um número de princípios que
precisam ser atendidos para tornar a Gestão de
Riscos eficaz
99. Aplicável a qualquer tipo de empresa
Abordagem genérica
Não tem como objetivo a certificação
Recomenda o desenvolvimento de um
framework que contemple todo o ciclo de
vida da Gestão de Riscos
Propõe a inserção da cultura de Gestão de Riscos
no DNA da empresa
106. Cria e protege valor
Parte integrante de todos os processos
organizacionais
Parte da tomada de decisões
Aborda explicitamente a incerteza
É sistemática, estruturada e oportuna
107. Baseia-se nas melhores informações
disponíveis
É feita sob medida
Considera fatores humanos e culturais
É transparente e inclusiva
É dinâmica, iterativa e capaz de reagir a
mudanças
Facilita a melhoria contínua da organização
110. Concepção da
Estrutura para
Gerenciar Riscos
Implementação
da Gestão de
Riscos
Monitoramento
e Análise Crítica
da Estrutura
Melhoria
Contínua da
Estrutura
Mandato e
Comprometimento
112. Patrocínio!
Alinhamento entre objetivos de Gestão de
Riscos com os objetivos e estratégias da
empresa
Assegura que os recursos necessários sejam
alocados para a Gestão de Riscos
114. Entendimento da organização e seu contexto
Estabelecimento da política de Gestão de
Riscos
Responsabilização
Integração nos processos organizacionais
Recursos
Estabelecimento de mecanismos de
comunicação e reporte internos e externos
117. Concepção da
Estrutura para
Gerenciar Riscos
Implementação
da Gestão de
Riscos
Monitoramento
e Análise Crítica
da Estrutura
Melhoria
Contínua da
Estrutura
Mandato e
Comprometimento
118. Análise crítica da eficácia do framework
Considerando o contexto interno e externo,
realizar a avaliação periódica de desempenho
Políticas
Planos
Processos
Etc.
119. Concepção da
Estrutura para
Gerenciar Riscos
Implementação
da Gestão de
Riscos
Monitoramento
e Análise Crítica
da Estrutura
Melhoria
Contínua da
Estrutura
Mandato e
Comprometimento
120. Considerando dados levantados no
monitoramento e análise crítica,
implementar melhorias no framework
121. Concepção da
Estrutura para
Gerenciar Riscos
Implementação
da Gestão de
Riscos
Monitoramento
e Análise Crítica
da Estrutura
Melhoria
Contínua da
Estrutura
Mandato e
Comprometimento
127. Deve acontecer durante todas as fases do
processo de Gestão de Riscos!
Auxilia que os riscos sejam identificados
corretamente
Reúne diferentes áreas de especialização em
conjunto para análise de riscos
Aprimora a gestão de mudanças durante o
processo de Gestão de Riscos
128.
129. Detalhamento do contexto identificado na
Concepção da Estrutura para Gerenciar Riscos
(framework)
Estabelecer os contextos externo e interno
130. Definição das regras do jogo
Critérios de risco
Metodologias
Papéis e Responsabilidades
Metas
Etc.
131.
132. Identificação de Riscos
Quais são as fontes de risco?
Considerar todos os riscos (mesmo aqueles que
não são controlados pela empresa)
Reações em cadeia (efeitos cumulativos e em
cascata provocados pelos riscos)
134. Análise de Riscos
Desenvolver a compreensão dos riscos
Apreciação das causa e as fontes de risco (análise
de causa e efeito)
Análise das consequências positivas e negativas (e
a probabilidade de ocorrer)
Classificação dos riscos
Análise quantitativa e / ou qualitativa
135. Avaliação de Riscos
Considerando as informações levantadas, o que
faremos?
Quais riscos necessitam de tratamento?
Qual será a prioridade na implementação do
tratamento?
Importante: A avaliação pode sugerir que o risco
não seja tratado, somente monitorado.
136.
137. Seleção e implementação de uma ou mais
opções para modificar os riscos
Processo cíclico:
Avaliação do tratamento de riscos já realizado
Decisões se os níveis de risco residual são
toleráveis
▪ Não? Definir e implementar novo tratamento
Avaliação da eficácia desse tratamento
138. As opções podem incluir:
Tomada ou aumento do risco (aproveitando uma
oportunidade)
Remoção da fonte de risco
Alteração da probabilidade
Alteração das consequências
Compartilhamento do risco
139. Seleção das opções de tratamento de riscos
Envolve equilíbrio (custos e esforços X benefícios
decorrentes)
Qual é a ordem de prioridade em que os
tratamentos devem ser implementados?
Monitoramento!!!!!
Um risco pode gerar outros riscos
140. Planejamento!
Quais os benefícios do tratamento escolhido?
Ações
Responsabilidades
Cronograma
Medição de desempenho
Etc.
Plano integrado com o processo e apresentado
aos stakeholders
141.
142. Garantir que os controles sejam eficazes e
eficientes
Obter informações adicionais para melhorar
o processo de avaliação dos riscos
Lições aprendidas!
Analisar os eventos, mudanças, tendências,
sucessos e fracassos
Identificar riscos emergentes
Detectar mudanças no contexto
147. 1. Em grupos de até 5 alunos, discutir e listar as
práticas corporativas de Gestão de Riscos
utilizadas em suas empresas
Caso não seja possível identificar práticas
corporativas, foquem nas práticas
departamentais ou dos projetos que vocês
participam
2. Associar as práticas identificadas pelo grupo
com as práticas discutidas durante a aula
3. Como a ISO 31000 poderia ajudar?
151. Os seguintes itens devem ser apresentados:
Grupo
Contexto
▪ Empresa fictícia ou real?
▪ Informações sobre a empresa e o mercado em que ela
atua
▪ Plano de Riscos para a empresa, para uma área ou para
um projeto?
152. Apresentar uma lista com os primeiros dez
riscos identificados
Neste momento, não é necessário apresentar a
probabilidade, impacto ou a criticidade
Riscos positivos e negativos
153.
154. Alessandro Almeida | www.alessandroalmeida.com
1° Semestre de 2013Clique aqui
para escolher
outra aula
157. Apresentar uma lista com os primeiros dez
riscos identificados
Neste momento, não é necessário apresentar a
probabilidade, impacto ou a criticidade
Riscos positivos e negativos
158. Rever e complementar a lista de riscos,
aplicando o aprendizado da aula de hoje
Iniciar a análise dos riscos...
Não se esqueçam de definir os parâmetros de
risco
161. A empresa:
Fábrica de software com 80 funcionários e
faturamento de aproximadamente 10 milhões por
ano
O projeto:
Um dos maiores que a empresa já havia realizado
Valor: Quase 1 milhão de reais
167. Tempestade de idéias ou “toró de parpite”
Diferenças de pensamentos e experiências
geram novas ideias
Compartilhar as ideias, sem filtros
Julgamento pode “bloquear” o processo
A avaliação das ideias é feita no final da sessão de
brainstorming
168.
169.
170. Base histórica
Reuniões entre equipes
Aprendizado Inter-projetos
http://finito-log.blogspot.com/2004/08/o-
aprendizado-inter-projetos.html
Aprendizagem organizacional
171. Premissa
São fatores que, para fins de planejamento, são
considerados verdadeiros, reais ou certos sem
prova ou demonstração
Talvez o seu projeto dependa de alguma premissa
para dar certo
Restrição
Limitação ou imposição de limite
Seu projeto precisa ser realizado dentro do limite
definido
172. Premissa:Talvez o seu projeto dependa de
alguma premissa para dar certo...
▪ A Roberta, especialista em BI, vai participar do projeto.
▪ O cliente vai disponibilizar um analista de negócios em
tempo integral na fase de levantamento de requisitos.
Restrição: Seu projeto precisa ser realizado
dentro do limite definido...
▪ O projeto precisa ser concluído antes de 31/12
▪ O custo não pode ultrapassar R$ 500.000
173. Premissas e restrições são um bom ponto de
partida para a identificação dos riscos...
A Roberta, especialista em BI, vai participar do
projeto.
▪ Quais eventos podem tirar a Roberta do projeto?
▪ O que faremos se ela sair?
O projeto precisa ser concluído antes de 31/12
▪ Quais eventos podem fazer com que o projeto atrase?
▪ O que faremos se o projeto atrasar?
174. # Descrição
(P)ositivo
(N)egativo
001 Entrega fora do prazo N
002 Escopo não atendido N
003 Não aceitação do sistema pelos clientes N
004 Explorar um novo segmento de mercado P
005 Não atender o orçamento definido N
006 Não atender os critérios de qualidade N
007 Dominar uma nova tecnologia P
178. Antecipar a etapa de análise dos riscos pode
tirar o seu foco da identificação, deixando
que alguns riscos passem despercebidos
(além de impactar na produtividade)
179. Além disso, é importante se certificar que
todos (ou a maioria) os riscos foram
identificados, desta forma, será mais fácil
agrupá-los por similaridade de fontes ou
categorias
181. Atividade em grupo de até 5 alunos
Realizar a leitura do Estudo de Caso
Identificar e listar os riscos (positivos e
negativos) do projeto
Lembrando algumas técnicas que podem ser
utilizadas:
▪ Brainstorming
▪ Lições aprendidas
▪ Opinião especializada
▪ Benchmarking
182.
183.
184. (De acordo com a ISO 31000: Análise e
Avaliação dos Riscos)
Definição dos parâmetros de risco
Probabilidade
Impacto
Categorias e fontes de risco
185. Qual é a chance do risco ocorrer?
Apresentado de forma quantitativa ou
qualitativa
186. Impacto financeiro? Imagem? Legal?
Quais são as consequências do risco?
Pensando nas consequências, é possível concluir o
impacto (alto, médio ou baixo – por exemplo)
187. Após a análise (impacto x probabilidade), é
possível definir a Prioridade, Criticidade ou
Peso do risco
O que devemos tratar primeiro?
Alto impacto e baixa probabilidade?
Baixo impacto e alta probabilidade?
188. Categorias:
Ajudam a organizar os riscos, facilitando a
consolidação para as ações definidas no plano
▪ Fases do ciclo de vida
▪ Tipos de Processos
▪ Áreas da empresa
▪ Etc.
Aplicável quando há uma grande lista de riscos
189. Fontes de Risco
Quais são as fontes de risco?
Internos ou externos?
▪ Fornecedor não habilitado para o trabalho
▪ Tecnologia nova
▪ Inovação
▪ Estimativas feitas de forma incorreta
▪ Etc.
Uma única fonte pode resultar em diversos riscos
190. # Descrição (P)ositivo
(N)egativo
Fonte
001 Entrega fora do prazo N Falta de planejamento
002 Escopo não atendido N Falta de planejamento
003 Não aceitação do sistema pelos clientes N Tecnologia nova
004 Explorar um novo segmento P Tecnologia nova
005 Não atender o orçamento definido N Falta de planejamento
006 Não atender os critérios de qualidade N Falta de planejamento
007 Dominar uma nova tecnologia P Tecnologia nova
191. # Descrição Prob. Imp. Critic.
001 Entrega fora do prazo 4 5 20
002 Escopo não atendido 3 5 15
003 Não aceitação do sistema pelos clientes 3 4 12
004 Explorar um novo segmento 3 4 12
005 Não atender o orçamento definido 5 5 25
006 Não atender os critérios de qualidade 2 5 10
007 Dominar uma nova tecnologia 5 5 25
192. Priorização dos riscos
Qual é o risco mais crítico?
Onde devemos atuar primeiro?
Qual será a estratégia para tratamento dos
riscos?
193. Quando for um risco negativo...
Eliminar: Remover totalmente a ameaça (pode
envolver mudanças radicais)
Transferir: Repassar o risco para um terceiro, mas
não o elimina (por exemplo: Seguro)
Mitigar: Reduzir o impacto ou a probabilidade
Aceitar: Conheço o risco, sua probabilidade e seu
impacto, mas concluí que é melhor “deixar a vida
me levar” e atuar somente se o risco ocorrer
194. Quando for um risco positivo...
Explorar: Direciono recursos para garantir que a
oportunidade se concretize
Compartilhar: Envolvo um terceiro na exploração da
oportunidade (por exemplo:Criação de uma joint
venture)
Melhorar: Realizo ações para ampliar a probabilidade
ou impacto positivo da oportunidade
Aceitar: Não tomarei ação, somente aproveitando os
resultados caso a oportunidade se concretize
195. # Descrição Critic. Estratégia de
Resposta ao Risco
001 Entrega fora do prazo 20 Mitigar
002 Escopo não atendido 15 Mitigar
003 Não aceitação do sistema pelos clientes 12 Mitigar
004 Explorar um novo segmento 12 Explorar
005 Não atender o orçamento definido 25 Aceitar
006 Não atender os critérios de qualidade 10 Mitigar
007 Dominar uma nova tecnologia 25 Melhorar
197. Considerando os riscos identificados na Parte 1
da atividade, o grupo deve avaliar cada risco,
discutindo e documentando:
Probabilidade
Impacto
Criticidade
Fontes de risco
Estratégia de resposta ao risco
Importante...
Primeiro definam os critérios!
Avaliem se é interessante categorizar os riscos
198. # Descrição Fonte Prob. Imp. Critic. Estratégia de Resposta ao Risco
203. Considerando os riscos identificados na Parte 1
da atividade, o grupo deve avaliar cada risco,
discutindo e documentando:
Probabilidade
Impacto
Criticidade
Fontes de risco
Estratégia de resposta ao risco
Importante...
Primeiro definam os critérios!
Avaliem se é interessante categorizar os riscos
204. # Descrição Fonte Prob. Imp. Critic. Estratégia de Resposta ao Risco
206. Rever e complementar a lista de riscos,
aplicando o aprendizado da aula passada
Iniciar a análise dos riscos...
Não se esqueçam de definir os parâmetros de
risco
207. Apresentar a versão inicial do PPT e do Plano
para Gestão de Riscos
208.
209.
210. Considerando a estratégia de resposta,
definição de como os riscos serão tratados
Projeto?
Plano de Ação?
Papéis e Responsabilidades
Custo
Cronograma
Sempre que possível, direcionar as ações na
fonte do(s) risco(s)
211. Monitorar o tratamento
Acompanhar o andamento
Se necessário, rever o(s) plano(s) e as ações
Avaliar os riscos residuais
▪ Se necessário, o tratamento dos riscos residuais deve
constar no plano
Pode não ter um fim definido
216. Os riscos já foram identificados e analisados
Considerando a estratégia de resposta para
cada risco, definam um plano de ação
O plano de ação deve contemplar os
seguintes tópicos:
O que fazer?
Quem fará?
Quem será envolvido?
217. # Descrição Fonte Prob. Imp. Critic.
Estratégia de
Resposta ao Risco
Plano de Ação
1
O que fazer?
Quem fará?
Quem será envolvido?
2
O que fazer?
Quem fará?
Quem será envolvido?
222. Disponível para download no endereço
http://www.coso.org/ERM-
IntegratedFramework.htm
http://coso.org/-ERM.htm
Três dimensões:
Componentes do Gerenciamento de Riscos
Corporativos
Objetivos
Unidades da Organização
225. Norma baseada na BSI 25999:2006
Parte 1: Código de Prática
Parte 2: Requisitos
226. Processo da organização que estabelece uma
estrutura estratégica e operacional
adequada para:
Melhorar proativamente a resiliência da
organização contra possíveis interrupções de sua
capacidade em atingir seus principais objetivos
227. Processo da organização que estabelece uma
estrutura estratégica e operacional
adequada para:
Prover uma prática para restabelecer a
capacidade de uma organização fornecer seus
principais produtos e serviços, em um nível
previamente acordado, dentro de um tempo
previamente determinado após uma interrupção
228. Processo da organização que estabelece uma
estrutura estratégica e operacional
adequada para:
Obter reconhecida capacidade de gerenciar uma
interrupção no negócio, de forma a proteger a
marca e reputação da organização
229.
230. Possibilita que a capacidade de Continuidade
de Negócios seja estabelecida (se necessário)
e mantida de forma apropriada ao tamanho e
complexidade da organização
231. Priorização dos produtos e serviços da
organização e a urgência das atividades que
são necessárias para fornecê-los.
Estabelece os requisitos que irão definir a
seleção das estratégias de GCN apropriadas
232. Permite que uma resposta apropriada seja
escolhida para cada produto ou serviço, de
modo que a organização possa continuar
fornecendo esses produtos e serviços:
Em um nível de operações aceitável
Em uma quantidade de tempo aceitável
...durante e logo após uma interrupção
233. Criação de uma estrutura de gerenciamento
de incidentes, continuidade de negócios e
planos de recuperação de negócios que
detalhem os passos a serem tomados
durante e após um incidente, para manter ou
restaurar as operações
234. Demonstrar a que ponto as estratégias e
planos estão completos, atualizados e
precisos
Identificar oportunidades de melhorias
235. A GCN deve se tornar parte dos valores da
organização, dando confiança às partes
interessadas quanto à capacidade da
organização de sobreviver a interrupções
236.
237. Alessandro Almeida | www.alessandroalmeida.com
1° Semestre de 2013Clique aqui
para escolher
outra aula
242. Disponível para download no endereço
http://www.coso.org/ERM-
IntegratedFramework.htm
http://coso.org/-ERM.htm
Três dimensões:
Componentes do Gerenciamento de Riscos
Corporativos
Objetivos
Unidades da Organização
245. Norma baseada na BSI 25999:2006
Parte 1: Código de Prática
Parte 2: Requisitos
246. Processo da organização que estabelece uma
estrutura estratégica e operacional
adequada para:
Melhorar proativamente a resiliência da
organização contra possíveis interrupções de sua
capacidade em atingir seus principais objetivos
247. Processo da organização que estabelece uma
estrutura estratégica e operacional
adequada para:
Prover uma prática para restabelecer a
capacidade de uma organização fornecer seus
principais produtos e serviços, em um nível
previamente acordado, dentro de um tempo
previamente determinado após uma interrupção
248. Processo da organização que estabelece uma
estrutura estratégica e operacional
adequada para:
Obter reconhecida capacidade de gerenciar uma
interrupção no negócio, de forma a proteger a
marca e reputação da organização
249.
250. Possibilita que a capacidade de Continuidade
de Negócios seja estabelecida (se necessário)
e mantida de forma apropriada ao tamanho e
complexidade da organização
251. Priorização dos produtos e serviços da
organização e a urgência das atividades que
são necessárias para fornecê-los.
Estabelece os requisitos que irão definir a
seleção das estratégias de GCN apropriadas
252. Permite que uma resposta apropriada seja
escolhida para cada produto ou serviço, de
modo que a organização possa continuar
fornecendo esses produtos e serviços:
Em um nível de operações aceitável
Em uma quantidade de tempo aceitável
...durante e logo após uma interrupção
253. Criação de uma estrutura de gerenciamento
de incidentes, continuidade de negócios e
planos de recuperação de negócios que
detalhem os passos a serem tomados
durante e após um incidente, para manter ou
restaurar as operações
254. Demonstrar a que ponto as estratégias e
planos estão completos, atualizados e
precisos
Identificar oportunidades de melhorias
255. A GCN deve se tornar parte dos valores da
organização, dando confiança às partes
interessadas quanto à capacidade da
organização de sobreviver a interrupções
256.
257. Framework que sugere um processo para
gestão de riscos deTI
Disponível no endereço www.isaca.org/riskit
Contempla:
Análise
Responsabilidades
Indicadores
Etc.
Atua no “Como fazer?”
268. Áreas de conhecimento
Integração
Escopo
Tempo
Custos
Qualidade
Recursos humanos
Comunicações
Riscos
Aquisições
269. Áreas de conhecimento
Integração
Escopo
Tempo
Custos
Qualidade
Recursos humanos
Comunicações
Riscos
Aquisições
270. Área de conhecimento que tem como
objetivo...
“aumentar a probabilidade e o impacto dos
eventos positivos e reduzir a probabilidade e o
impacto dos eventos negativos no projeto”.
271. Área de conhecimento composta por 6
processos...
272. Além das diversas técnicas e processos
sugeridos pelo PMBoK, o PMI criou um
padrão para gerenciamento de riscos em
projetos....
273. Além das diversas técnicas e processos
sugeridos pelo PMBoK, o PMI criou um
padrão para gerenciamento de riscos em
projetos....
274. Além das diversas técnicas e processos
sugeridos pelo PMBoK, o PMI criou um
padrão para gerenciamento de riscos em
projetos....
275. Practice Standard for Project Risk
Management
Disponível para download no site do PMI
(somente para membros)
276. Para quem deseja se especializar, há a
certificação PMI Risk Management
Professional (PMI-RMP)
Para quem possui a partir de 3000 horas de
experiência em gestão de riscos em projetos e 30
horas de treinamento sobre o tema.
277. PP: Project Planning, Área de Processo do Nível 2
PMC: Project Monitoring and Control, Área de Processo do Nível 2
RSKM: Risk Management,Área de Processo do Nível 3
278. Processos ad hoc
Initial
Configuration Management (CM)
Measurement and Analysis (MA)
Project Monitoring and Control (PMC)
Project Planning (PP)
Process and Product Quality Assurance (PPQA)
Requirements Management (REQM)
Supplier Agreement Management (SAM)
Managed
Decision Analysis and Resolution (DAR)
Integrated Project Management (IPM)
Organizational Process Definition (OPD)
Organizational Process Focus (OPF)
Organizational Training (OT)
Product Integration (PI)
Requirements Development (RD)
Risk Management (RSKM)
Technical Solution (TS)
Validation (VAL)
Verification (VER)
Defined
Organizational Process Performance (OPP)
Quantitative Project Management (QPM)Quantitatively Managed
Causal Analysis and Resolution (CAR)
Organizational Innovation and Deployment (OID)Optimizing
280. Apresentam práticas específicas que focam a
gestão de riscos em projetos, sem um
processo definido
Atendem os requisitos do nível 2 de maturidade
281. SG 1 Establish Estimates
SG 2 Develop a Project Plan
SP 2.1 Establish the Budget and Schedule
SP 2.2 Identify Project Risks
SP 2.3 Plan Data Management
SP 2.4 Plan the Project’s Resources
SP 2.5 Plan Needed Knowledge and Skills
SP 2.6 Plan Stakeholder Involvement
SP 2.7 Establish the Project Plan
SG 3 Obtain Commitment to the Plan
282. SG 1 Monitor the Project Against the Plan
SP 1.1 Monitor Project Planning Parameters
SP 1.2 Monitor Commitments
SP 1.3 Monitor Project Risks
SP 1.4 Monitor Data Management
SP 1.5 Monitor Stakeholder Involvement
SP 1.6 Conduct Progress Reviews
SP 1.7 Conduct Milestone Reviews
SG 2 ManageCorrective Action to Closure
283. Propõe a definição de um processo para
gestão de riscos
Nível de maturidade 3 (definido)
Objetivos e práticas específicas que definem
“mais do mesmo” (quando já vimos os outros
frameworks)...
284. SG 1 Prepare for Risk Management
SP 1.1 Determine Risk Sources and Categories
SP 1.2 Define Risk Parameters
SP 1.3 Establish a Risk Management Strategy
289. O óbvio que não é tão óbvio quanto
deveria...
Quais são os processos de negócio mais críticos?
Como aTI os suporta?
Qual é a função daTI dentro do negócio?
Quais são as consequências do risco deTI?
291. EUA, dezembro de 2004...
Fonte: http://www.dailymail.co.uk/news/article-497399/Strike-
threat-Christmas-flights-lead-holiday-airport-chaos.html
Fonte: http://www.mylamppost.com/page/2/
292. Entre 22 e 24 de dezembro, 91% de todos os
voos foram alterados ou cancelados
Milhares de alterações no sistema que gerencia a
escala da tripulação
Mas ninguém sabia que o sistema suportava
somente 32 mil alterações por mês...
295. A normalização das operações aconteceu
somente no dia 29 de dezembro
200 mil passageiros sem saber o que fazer
Todas as linhas aéreas estavam sobrecarregadas
Três semanas depois, o presidente da
empresa renunciou
296. Prejuízo?
Resultado direto: US$ 20.000.000,00
(além dos danos causados à reputação da
empresa e aos clientes)
297. A substituição do sistema foi planejada e
protelada diversas vezes...
A não substituição foi o principal problema?
A empresa tinha um plano para recuperação
dos processos críticos, em caso de falhas?
Havia um sistema de backup?
Existia um processo de contingência
documentado?
298. Qual foi a falha?
Não existência de um processo que
compreendesse e administrasse as consequências
comerciais do risco deTI
Garantir que os grandes riscos corporativos
sejam administrados num nível aceitável é
uma responsabilidade de seus executivos
seniores
299. Possibilidade de que algum evento
imprevisto, que envolva falha ou mau uso da
TI, ameace um objetivo empresarial
O óbvio que não é tão óbvio quanto deveria...
301. Traduz o risco deTI em termos comerciais
Permite analisar as acomodações entre riscos
Considera quatro objetivos inter-relacionados
da empresa:
Disponibilidade (Availability)
Acesso (Access)
Precisão (Accuray)
Agilidade (Agility)
302.
303. Manter os sistemas (e seus processos
comerciais) em operação e recuperá-los em
caso de interrupções
Quais processos dependem mais deTI?
Quais são as prováveis consequências caso os
sistemas de apoio fiquem indisponíveis?
304. Assegurar o acesso apropriado a dados e
sistemas, de modo que as pessoas certas o
tenham quando precisarem
Considera a possibilidade de mau uso de
informações delicadas
Quais categorias gerais de informação são mais
críticos para o sucesso ou fracasso da informação?
Quais as consequências caso essas informações
sejam perdidas, distribuídas ou comprometidas?
305. Proporcionar informações corretas,
oportunas e completas que atendam aos
requisitos da administração, do pessoal, dos
clientes, dos fornecedores e dos reguladores
Para os processos e as categorias de informação
essenciais, os dados são suficientemente precisos
e oportunos para atender a requisitos internos e
externos?
306. Ser capaz de mudar com rapidez e custo
administrado
Por exemplo: Integração de uma empresa
adquirida
Quais grandes mudanças estratégicas são
previsíveis e comoTI pode sustentá-las?
Com que frequência os projetos de negócio com
envolvimento significativo daTI ficam dentro do
prazo e do orçamento?
308. Atuam em conjunto para melhorar o perfil de
risco da empresa e mantê-lo sob controle:
Alicerce
Processo de Governança do Risco
Cultura de Consciência do Risco
309.
310. Base tecnológica instalada
Não mais complexa do que o absolutamente
necessário
Bem administrada e compreendida
Procedimentos e pessoal de suporte
311. Cria e administra os processos,
procedimentos e estruturas organizacionais
para...
Definir e manter políticas e normas
Identificar e priorizar riscos
Administrar riscos e monitorar suas tendências ao
longo do tempo
Assegurar a observância de políticas e normas
para o risco
313. Consciência geral, por toda empresa, da
natureza e das consequências do
comportamento de risco e de como evitá-lo
Cultura que estimule a discussão do risco
abertamente
314. É possível atuar nas três disciplinas ao mesmo
tempo?
Qual deve ser priorizada?
Qual é a disciplina mais fácil de “vender” para
os executivos?
É fundamental ter um ponto de partida e não
querer abraçar o mundo!
315.
316.
317.
318. Ninguém precisa reinventar a roda!
Funcionam como direcionadores para
estabelecimento da Gestão de Riscos
Dizem “o que fazer?”, e não “como fazer?”
319. É importante utilizá-los como referência, mas
segui-los “by the book” pode ser um erro fatal
Burocracia
Boicote
Controles desnecessários e em excesso