Gestão de Riscos em Projetos de TI

Alessandro Almeida | www.alessandroalmeida.com
1° Semestre de 2013
SLIDES DAS
AULAS

AULA TÓPICOS ABORDADOS LINK
1 Definições de risco e gestão de riscos. Acesse
2 Benefícios da gestão de riscos. Acesse
3 ISO 31000:2009. Acesse
4 Processo para gestão de riscos (Parte 1). Acesse
5
Processo para gestão de riscos (Parte 2). COSO
(Enterprise Risk Management). NBR15999 (Gestão da
Continuidade dos Negócios).
Acesse
6 Risk IT. PMBOK. CMMI.O Risco deTI (Framework 4A). Acesse

Alessandro Almeida | www.alessandroalmeida.com
1° Semestre de 2013Clique aqui
para escolher
outra aula

 Apresentar o conceito de Gestão de Riscos,
incentivando a reflexão sobre o tema no dia-
a-dia
 Compartilhar frameworks e (boas) práticas
aplicáveis à rotina da Gestão de Riscos emTI

Sobre as “boas práticas” ou “melhores práticas”

 Cuidado!!!!
 Quem definiu que as práticas são boas ou
melhores?
 A empresa fez uma avaliação?
 Houve um diagnóstico?
 Os principais stakeholders foram ouvidos?
 Sinal de alerta:
 Consultoria ou um grupo restrito definindo e
decidindo as “melhores” práticas para a área deTI

Riscos no dia-
a-dia
Riscos
Corporativos
RISCOS DETI
RISCOS EM
PROJETOS

 Dinâmica das aulas
 Sem monólogo, por favor!
▪ Tragam seus questionamentos, ideias e experiências!
▪ A colaboração ajuda na construção do conhecimento.

 Dinâmica das aulas
 Material em constante mudança
 Materiais disponíveis nos endereços:
 www.slideshare.net/alessandroalmeida
 www.alessandroalmeida.com/unifieo.htm
▪ CMMI
▪ Gestão de Processos
▪ Governança deTI
▪ Etc.

 Avaliação semanal: 50% da nota
 Participação nas atividades
 Avaliação final: 50% da nota
 “Prova” ou atividade em grupo?
▪ Vocês decidem!
▪ Vantagens e desvantagens...
▪ Avaliação escolhida: Atividade em Grupo
 Sobre a frequência nas aulas...

 Em todas as aulas...
 O feedback de vocês é fundamental
 Ajustes na dinâmica (conteúdo, velocidade, etc.)
 Ouvidoria do UNIFIEO
 Na última aula...
 Avaliação sobre a disciplina

 Pessoalmente ou através do endereço
alessandro.almeida@uol.com.br
 Downloads:
 www.alessandroalmeida.com/unifieo.htm
 www.slideshare.net/alessandroalmeida

 Em grupos de até 5 alunos, discutir as definições
de Risco e Gestão de Riscos
 Levantar exemplos de aplicação da Gestão de
Riscos
 Exemplos do mundo corporativo e / ou do dia a dia
 Cada grupo apresentará suas conclusões aos
demais colegas
 Durante a atividade, passarei pelos grupos para
conhecê-los

O que é “Gestão de Riscos”?

Gestão de Riscos
•“ato ou efeito de gerir;
administração, gerência”
•Administrar: “gerir, governar,
dirigir”
•Administrar: “atuar, exercer a
autoridade de administrador;
dirigir”

Gestão de Riscos
•“probabilidade de insucesso”
•“em função de acontecimento
eventual”
•“ocorrência não depende
exclusivamente da vontade dos
interessados”

 Definição do CobiT 4.1:
 Em negócios, o potencial de que uma certa
ameaça irá explorar as vulnerabilidades de
um recurso ou grupo de recursos para causar
perda e/ou prejuízos; usualmente medido por
uma combinação de impacto e probabilidade
de ocorrência.

 Sendo assim, o risco deve ser encarado de
forma negativa?
 Exemplos de “riscos”:
 Risco de ganhar na Mega-Sena
 Risco de se apaixonar
 Risco de ser promovido na empresa

 Definição da ISO 31000:2009:
 Efeito da incerteza nos objetivos
▪ Efeito: Desvio em relação ao esperado (positivo e/ou
negativo)
▪ Expresso pela combinação de probabilidade e
consequência

 Definição do PMBoK, 4ª edição:
 Um evento ou condição incerta que, se ocorrer,
provocará um efeito positivo ou negativo nos
objetivos de um projeto

 Envolve incerteza!
 Impacto
 Probabilidade
 Oportunidades
 Ameaças
 Vulnerabilidades

 Sempre presente em nosso dia-a-dia...
 ...até mais do que imaginamos

 Fonte da imagem “Risco de Afogamento”:
 http://www.flickr.com/photos/kiko_fernandes
/4148281427/

 Aplicações financeiras oferecem risco...
 Por exemplo: Investimento em ações de empresas
listadas na BM&FBOVESPA
 Neste caso, quando a empresa vai abrir o capital
ou ofertar novas ações, um documento
explicativo é emitido, e nele há um capítulo
somente sobre os riscos...

 Evolução das ações da B2W (últimos 5 anos)

 Quanto maior o risco, maior o retorno exigido
pelos investidores
0
1
2
3
4
5
1 2 3 4 5 6 7 8 9 10
Risco versus Taxa de Retorno
Risco Taxa de Retorno

 Administrar a incerteza?
 Como identificá-los?
 Como administrá-los?
 Fatos...
 Os riscos sempre estarão lá, independente de
você conhecê-los e gerenciá-los
 Gestão de riscos é um tema que sempre está na
moda!

 Objetivo:
 Montar um plano para Gestão de Riscos de um
projeto ou da operação deTI de uma empresa
(fictícia ou não)
 Grupos de até 5 alunos
 Detalhar a metodologia(s) utilizada(s) para
identificação dos riscos
 Documentar o contexto e os parâmetros de
risco

 Aplicar os frameworks e práticas que serão
apresentados durante as aulas
 Acompanhamento semanal da evolução
 Informar a situação
 Validar a metodologia utilizada
 Apresentar o rascunho do material
 Importante: O acompanhamento semanal vai
compor a nota da atividade

 Entregáveis
 CD contendo:
▪ Plano para Gestão de Riscos
▪ Apresentação realizada para a turma
 Data da entrega e apresentação:
 20 de junho
 Tempo de apresentação: cada grupo terá entre 30
a 40 minutos

 Depois é só escolher a comemoração!
Fonte da Imagem:
http://www.gettyimages.com/det
ail/82143945/Retrofile

 Depois é só escolher a comemoração!

 Os seguintes itens devem ser apresentados:
 Grupo
 Contexto
▪ Empresa fictícia ou real?
▪ Informações sobre a empresa e o mercado em que ela
atua
▪ Plano de Riscos para a empresa, para uma área ou para
um projeto?

 Administrar a incerteza!
 Fatos...
moda!

 Por que a Gestão de Riscos deve estar na
pauta dos executivos?

De acordo com a NBR ISO 31000:2009 –Gestão de Riscos – Princípios e
Diretrizes

 Aumentar a probabilidade de atingir os
objetivos
 Encorajar uma gestão proativa
 Estar atento para a necessidade de
identificar e tratar os riscos através de
toda a organização
 Melhorar a identificação de oportunidades e
ameaças
 Lembram da Análise SWOT?

 O conceito de estratégia...
 em grego stratēgía, em latim “estrategi”, em
francês stratégie, em inglês strategy, em alemão
strategie, em italiano strategia, em espanhol
estrategia

 Como podemos definir estratégia?
 Estratégia diz respeito a posicionar uma
organização para a obtenção de vantagem
competitiva
 Envolve escolhas a respeito de que setores
participar, quais produtos e serviços oferecer e
como alocar recursos corporativos
 Seu objetivo principal é criar valor para
acionistas e outros stakeholders ao proporcionar
valor para o cliente

 Converter declarações da direção estratégica
em objetivos, indicadores, metas, iniciativas e
orçamentos específicos, que orientam a ação
e alinham a organização para a execução
eficaz da estratégia

 Ferramenta para análise do cenário:
 Pontos Fortes
 Pontos Fracos
 Oportunidades
 Ameaças
 Pode ser utilizada como base para o
Planejamento Estratégico

Uma boa gestão de riscos permite
que a empresa identifique (de
forma precisa) as oportunidades e
ameaças

 Atender às normas internacionais e requisitos
legais e regulatórios pertinentes
 Melhorar a Governança
 Melhorar a confiança das partes
interessadas (stakeholders)
 Estabelecer uma base confiável para a
tomada de decisão e o planejamento
 Melhorar o reporte das informações
financeiras

 Melhorar os controles
 Alocar e utilizar eficazmente os recursos para
o tratamento de riscos
 Melhorar a eficácia e eficiência operacional
 Melhorar o desempenho em saúde e
segurança, bem como a proteção ao meio
ambiente

 Melhorar a prevenção de perdas e a gestão de
incidentes
 Minimizar perdas
 Melhorar a aprendizagem
organizacional
 Aumentar a resiliência da organização

 Em grupos de até 5 alunos, façam a leitura
do artigo “O dilema da pitanga na Natura”
 Publicado na edição 1011 da Revista Exame:
http://exame.abril.com.br/revista-
exame/edicoes/1011/noticias/o-dilema-da-
pitanga-na-natura

 Após a leitura, discutam entre o grupo os
problemas que ocorreram na implantação do
sistema SAP na Natura.
 O que poderia ter sido feito para evitá-los?
 Como a Gestão dos Riscos poderia ajudar?
 Qual é a relação percebida entre a Gestão dos
Riscos, o desempenho da empresa e a Gestão de
Projetos?
 Documentem o consenso do grupo

Quando um recurso se torna
essencial para a competição mas
irrelevante para a estratégia, os
riscos que cria passam a importar
mais do que as vantagens que
oferece.

 Envolve incerteza
 Fato!
moda!
 O risco está sempre presente em nosso dia-a-
dia...
 ...até mais do que imaginamos

 Ferramenta importante para que a gestão da
empresa seja bem sucedida...
 Identificar e atingir os objetivos estratégicos
 Compliance
 Maior transparência (interna e externa)
 Atuação proativa diante dos movimentos do
mercado

Fonte: http://www1.folha.uol.com.br/cotidiano/2013/05/1275712-latino-entra-em-cabine-de-aviao-da-tam-
durante-voo-e-anac-cobra-explicacao.shtml

Fonte da foto: http://variedadesnovaral.blogspot.com/2009/12/biblioteconomia-e-reinvencao-da-roda.html

Gestão de Riscos Corporativos

Gestão de Riscos – Princípios e Diretrizes

 NBR ISO 31000
 Gestão de Riscos – Princípios e Diretrizes
 Publicada em 2009
 Visa a harmonização das normas que
envolvemGestão de Riscos
 Considera que todas as organizações
gerenciam o risco de alguma forma
 Por isso, estabelece um número de princípios que
precisam ser atendidos para tornar a Gestão de
Riscos eficaz

 Aplicável a qualquer tipo de empresa
 Abordagem genérica
 Não tem como objetivo a certificação
 Recomenda o desenvolvimento de um
framework que contemple todo o ciclo de
vida da Gestão de Riscos
 Propõe a inserção da cultura de Gestão de Riscos
no DNA da empresa

 Arquitetura para Gestão de Riscos:
Princípios

Princípios
PRINCÍPIOS

Princípios
FRAMEWORK

Princípios
PROCESSO

De acordo com a ISO 31000:2009

 Cria e protege valor
 Parte integrante de todos os processos
organizacionais
 Parte da tomada de decisões
 Aborda explicitamente a incerteza
 É sistemática, estruturada e oportuna

 Baseia-se nas melhores informações
disponíveis
 É feita sob medida
 Considera fatores humanos e culturais
 É transparente e inclusiva
 É dinâmica, iterativa e capaz de reagir a
mudanças
 Facilita a melhoria contínua da organização

Concepção da
Estrutura para
Gerenciar Riscos
Implementação
da Gestão de
Riscos
Monitoramento
e Análise Crítica
da Estrutura
Melhoria
Contínua da
Estrutura
Mandato e
Comprometimento

 Patrocínio!
 Alinhamento entre objetivos de Gestão de
Riscos com os objetivos e estratégias da
empresa
 Assegura que os recursos necessários sejam
alocados para a Gestão de Riscos

Concepção da
Estrutura para
Gerenciar Riscos
Mandato e
Comprometimento

 Entendimento da organização e seu contexto
 Estabelecimento da política de Gestão de
Riscos
 Responsabilização
 Integração nos processos organizacionais
 Recursos
 Estabelecimento de mecanismos de
comunicação e reporte internos e externos

Concepção da
Estrutura para
Gerenciar Riscos
Implementação
da Gestão de
Riscos
Mandato e
Comprometimento

 Implementar
 Estrutura para gerenciar riscos
 Processo de Gestão de Riscos

 Análise crítica da eficácia do framework
 Considerando o contexto interno e externo,
realizar a avaliação periódica de desempenho
 Políticas
 Planos
 Processos
 Etc.

 Considerando dados levantados no
monitoramento e análise crítica,
implementar melhorias no framework

 Deve acontecer durante todas as fases do
processo de Gestão de Riscos!
 Auxilia que os riscos sejam identificados
corretamente
 Reúne diferentes áreas de especialização em
conjunto para análise de riscos
 Aprimora a gestão de mudanças durante o
processo de Gestão de Riscos

 Detalhamento do contexto identificado na
Concepção da Estrutura para Gerenciar Riscos
(framework)
 Estabelecer os contextos externo e interno

 Definição das regras do jogo
 Critérios de risco
 Metodologias
 Papéis e Responsabilidades
 Metas
 Etc.

 Identificação de Riscos
 Quais são as fontes de risco?
 Considerar todos os riscos (mesmo aqueles que
não são controlados pela empresa)
 Reações em cadeia (efeitos cumulativos e em
cascata provocados pelos riscos)

Fonte: http://riskreport.weforum.org/

 Análise de Riscos
 Desenvolver a compreensão dos riscos
 Apreciação das causa e as fontes de risco (análise
de causa e efeito)
 Análise das consequências positivas e negativas (e
a probabilidade de ocorrer)
 Classificação dos riscos
 Análise quantitativa e / ou qualitativa

 Avaliação de Riscos
 Considerando as informações levantadas, o que
faremos?
 Quais riscos necessitam de tratamento?
 Qual será a prioridade na implementação do
tratamento?
 Importante: A avaliação pode sugerir que o risco
não seja tratado, somente monitorado.

 Seleção e implementação de uma ou mais
opções para modificar os riscos
 Processo cíclico:
 Avaliação do tratamento de riscos já realizado
 Decisões se os níveis de risco residual são
toleráveis
▪ Não? Definir e implementar novo tratamento
 Avaliação da eficácia desse tratamento

 As opções podem incluir:
 Tomada ou aumento do risco (aproveitando uma
oportunidade)
 Remoção da fonte de risco
 Alteração da probabilidade
 Alteração das consequências
 Compartilhamento do risco

 Seleção das opções de tratamento de riscos
 Envolve equilíbrio (custos e esforços X benefícios
decorrentes)
 Qual é a ordem de prioridade em que os
tratamentos devem ser implementados?
 Monitoramento!!!!!
 Um risco pode gerar outros riscos

 Planejamento!
 Quais os benefícios do tratamento escolhido?
 Ações
 Responsabilidades
 Cronograma
 Medição de desempenho
 Etc.
 Plano integrado com o processo e apresentado
aos stakeholders

 Garantir que os controles sejam eficazes e
eficientes
 Obter informações adicionais para melhorar
o processo de avaliação dos riscos
 Lições aprendidas!
 Analisar os eventos, mudanças, tendências,
sucessos e fracassos
 Identificar riscos emergentes
 Detectar mudanças no contexto

O que a ISO 31000:2009 proporciona?

Princípios
=Governança Corporativa dos
Riscos

 Recomendação de leitura:
 Governança Corporativa dos Riscos do Banco do
Brasil: http://bit.ly/fJ1Iek

1. Em grupos de até 5 alunos, discutir e listar as
práticas corporativas de Gestão de Riscos
utilizadas em suas empresas
 Caso não seja possível identificar práticas
corporativas, foquem nas práticas
departamentais ou dos projetos que vocês
participam
2. Associar as práticas identificadas pelo grupo
com as práticas discutidas durante a aula
3. Como a ISO 31000 poderia ajudar?

 Apresentar uma lista com os primeiros dez
riscos identificados
 Neste momento, não é necessário apresentar a
probabilidade, impacto ou a criticidade
 Riscos positivos e negativos

 Alguns exemplos de turmas anteriores...

 Rever e complementar a lista de riscos,
aplicando o aprendizado da aula de hoje
 Iniciar a análise dos riscos...
 Não se esqueçam de definir os parâmetros de
risco

Reflexão sobre Um Estudo de Caso

 A empresa:
 Fábrica de software com 80 funcionários e
faturamento de aproximadamente 10 milhões por
ano
 O projeto:
 Um dos maiores que a empresa já havia realizado
 Valor: Quase 1 milhão de reais

 Etapa fundamental do processo de Gestão
de Riscos
 Riscos ignorados ou não mapeados nesta etapa
podem virar um grande problema no futuro

 Benchmarking
 Entrevistas
 Check-lists
 Opinião especializada
 Consultoria
 Brainstorming
 Lições aprendidas

 Tempestade de idéias ou “toró de parpite”
 Diferenças de pensamentos e experiências
geram novas ideias
 Compartilhar as ideias, sem filtros
 Julgamento pode “bloquear” o processo
 A avaliação das ideias é feita no final da sessão de
brainstorming

 Base histórica
 Reuniões entre equipes
 Aprendizado Inter-projetos
 http://finito-log.blogspot.com/2004/08/o-
aprendizado-inter-projetos.html
 Aprendizagem organizacional

 Premissa
 São fatores que, para fins de planejamento, são
considerados verdadeiros, reais ou certos sem
prova ou demonstração
 Talvez o seu projeto dependa de alguma premissa
para dar certo
 Restrição
 Limitação ou imposição de limite
 Seu projeto precisa ser realizado dentro do limite
definido

 Premissa:Talvez o seu projeto dependa de
alguma premissa para dar certo...
▪ A Roberta, especialista em BI, vai participar do projeto.
▪ O cliente vai disponibilizar um analista de negócios em
tempo integral na fase de levantamento de requisitos.
 Restrição: Seu projeto precisa ser realizado
dentro do limite definido...
▪ O projeto precisa ser concluído antes de 31/12
▪ O custo não pode ultrapassar R$ 500.000

 Premissas e restrições são um bom ponto de
partida para a identificação dos riscos...
 A Roberta, especialista em BI, vai participar do
projeto.
▪ Quais eventos podem tirar a Roberta do projeto?
▪ O que faremos se ela sair?
 O projeto precisa ser concluído antes de 31/12
▪ Quais eventos podem fazer com que o projeto atrase?
▪ O que faremos se o projeto atrasar?

# Descrição
(P)ositivo
(N)egativo
001 Entrega fora do prazo N
002 Escopo não atendido N
003 Não aceitação do sistema pelos clientes N
004 Explorar um novo segmento de mercado P
005 Não atender o orçamento definido N
006 Não atender os critérios de qualidade N
007 Dominar uma nova tecnologia P

Quero ganhar tempo
na identificação dos
riscos!

Conforme for
identificando cada risco, já
vou atribuir a
probabilidade e o impacto!

Conforme for
identificando cada risco, já
vou atribuir a
probabilidade e o impacto!
Cuidado!

 Antecipar a etapa de análise dos riscos pode
tirar o seu foco da identificação, deixando
que alguns riscos passem despercebidos
(além de impactar na produtividade)

 Além disso, é importante se certificar que
todos (ou a maioria) os riscos foram
identificados, desta forma, será mais fácil
agrupá-los por similaridade de fontes ou
categorias

 Atividade em grupo de até 5 alunos
 Realizar a leitura do Estudo de Caso
 Identificar e listar os riscos (positivos e
negativos) do projeto
 Lembrando algumas técnicas que podem ser
utilizadas:
▪ Brainstorming
▪ Lições aprendidas
▪ Opinião especializada
▪ Benchmarking

 (De acordo com a ISO 31000: Análise e
Avaliação dos Riscos)
 Definição dos parâmetros de risco
 Probabilidade
 Impacto
 Categorias e fontes de risco

 Qual é a chance do risco ocorrer?
 Apresentado de forma quantitativa ou
qualitativa

 Impacto financeiro? Imagem? Legal?
 Quais são as consequências do risco?
 Pensando nas consequências, é possível concluir o
impacto (alto, médio ou baixo – por exemplo)

 Após a análise (impacto x probabilidade), é
possível definir a Prioridade, Criticidade ou
Peso do risco
 O que devemos tratar primeiro?
 Alto impacto e baixa probabilidade?
 Baixo impacto e alta probabilidade?

 Categorias:
 Ajudam a organizar os riscos, facilitando a
consolidação para as ações definidas no plano
▪ Fases do ciclo de vida
▪ Tipos de Processos
▪ Áreas da empresa
▪ Etc.
 Aplicável quando há uma grande lista de riscos

 Fontes de Risco
 Quais são as fontes de risco?
 Internos ou externos?
▪ Fornecedor não habilitado para o trabalho
▪ Tecnologia nova
▪ Inovação
▪ Estimativas feitas de forma incorreta
▪ Etc.
 Uma única fonte pode resultar em diversos riscos

# Descrição (P)ositivo
(N)egativo
Fonte
001 Entrega fora do prazo N Falta de planejamento
002 Escopo não atendido N Falta de planejamento
003 Não aceitação do sistema pelos clientes N Tecnologia nova
004 Explorar um novo segmento P Tecnologia nova
005 Não atender o orçamento definido N Falta de planejamento
006 Não atender os critérios de qualidade N Falta de planejamento
007 Dominar uma nova tecnologia P Tecnologia nova

# Descrição Prob. Imp. Critic.
001 Entrega fora do prazo 4 5 20
002 Escopo não atendido 3 5 15
003 Não aceitação do sistema pelos clientes 3 4 12
004 Explorar um novo segmento 3 4 12
005 Não atender o orçamento definido 5 5 25
006 Não atender os critérios de qualidade 2 5 10
007 Dominar uma nova tecnologia 5 5 25

 Priorização dos riscos
 Qual é o risco mais crítico?
 Onde devemos atuar primeiro?
 Qual será a estratégia para tratamento dos
riscos?

 Quando for um risco negativo...
 Eliminar: Remover totalmente a ameaça (pode
envolver mudanças radicais)
 Transferir: Repassar o risco para um terceiro, mas
não o elimina (por exemplo: Seguro)
 Mitigar: Reduzir o impacto ou a probabilidade
 Aceitar: Conheço o risco, sua probabilidade e seu
impacto, mas concluí que é melhor “deixar a vida
me levar” e atuar somente se o risco ocorrer

 Quando for um risco positivo...
 Explorar: Direciono recursos para garantir que a
oportunidade se concretize
 Compartilhar: Envolvo um terceiro na exploração da
oportunidade (por exemplo:Criação de uma joint
venture)
 Melhorar: Realizo ações para ampliar a probabilidade
ou impacto positivo da oportunidade
 Aceitar: Não tomarei ação, somente aproveitando os
resultados caso a oportunidade se concretize

# Descrição Critic. Estratégia de
Resposta ao Risco
001 Entrega fora do prazo 20 Mitigar
002 Escopo não atendido 15 Mitigar
003 Não aceitação do sistema pelos clientes 12 Mitigar
004 Explorar um novo segmento 12 Explorar
005 Não atender o orçamento definido 25 Aceitar
006 Não atender os critérios de qualidade 10 Mitigar
007 Dominar uma nova tecnologia 25 Melhorar

 Considerando os riscos identificados na Parte 1
da atividade, o grupo deve avaliar cada risco,
discutindo e documentando:
 Probabilidade
 Impacto
 Criticidade
 Fontes de risco
 Estratégia de resposta ao risco
 Importante...
 Primeiro definam os critérios!
 Avaliem se é interessante categorizar os riscos

# Descrição Fonte Prob. Imp. Critic. Estratégia de Resposta ao Risco

 Vulnerabilidade  Ameaça

 Rever e complementar a lista de riscos,
aplicando o aprendizado da aula passada
 Iniciar a análise dos riscos...
 Não se esqueçam de definir os parâmetros de
risco

 Apresentar a versão inicial do PPT e do Plano
para Gestão de Riscos

 Considerando a estratégia de resposta,
definição de como os riscos serão tratados
 Projeto?
 Plano de Ação?
 Papéis e Responsabilidades
 Custo
 Cronograma
 Sempre que possível, direcionar as ações na
fonte do(s) risco(s)

 Monitorar o tratamento
 Acompanhar o andamento
 Se necessário, rever o(s) plano(s) e as ações
 Avaliar os riscos residuais
▪ Se necessário, o tratamento dos riscos residuais deve
constar no plano
 Pode não ter um fim definido

Gestão de Riscos em Projetos
≈
Ações rápidas, baixo custo

Gestão de Riscos Organizacionais
≈
Ações de médio e longo prazo,
alto custo

 Os riscos já foram identificados e analisados
 Considerando a estratégia de resposta para
cada risco, definam um plano de ação
 O plano de ação deve contemplar os
seguintes tópicos:
 O que fazer?
 Quem fará?
 Quem será envolvido?

# Descrição Fonte Prob. Imp. Critic.
Estratégia de
Resposta ao Risco
Plano de Ação
1
O que fazer?
Quem fará?
Quem será envolvido?
2
O que fazer?
Quem fará?
Quem será envolvido?

 Disponível para download no endereço
 http://www.coso.org/ERM-
IntegratedFramework.htm
 http://coso.org/-ERM.htm
 Três dimensões:
 Componentes do Gerenciamento de Riscos
Corporativos
 Objetivos
 Unidades da Organização

Gestão da Continuidade de Negócios

 Norma baseada na BSI 25999:2006
 Parte 1: Código de Prática
 Parte 2: Requisitos

 Processo da organização que estabelece uma
estrutura estratégica e operacional
adequada para:
 Melhorar proativamente a resiliência da
organização contra possíveis interrupções de sua
capacidade em atingir seus principais objetivos

adequada para:
 Prover uma prática para restabelecer a
capacidade de uma organização fornecer seus
principais produtos e serviços, em um nível
previamente acordado, dentro de um tempo
previamente determinado após uma interrupção

adequada para:
 Obter reconhecida capacidade de gerenciar uma
interrupção no negócio, de forma a proteger a
marca e reputação da organização

 Possibilita que a capacidade de Continuidade
de Negócios seja estabelecida (se necessário)
e mantida de forma apropriada ao tamanho e
complexidade da organização

 Priorização dos produtos e serviços da
organização e a urgência das atividades que
são necessárias para fornecê-los.
 Estabelece os requisitos que irão definir a
seleção das estratégias de GCN apropriadas

 Permite que uma resposta apropriada seja
escolhida para cada produto ou serviço, de
modo que a organização possa continuar
fornecendo esses produtos e serviços:
 Em um nível de operações aceitável
 Em uma quantidade de tempo aceitável
 ...durante e logo após uma interrupção

 Criação de uma estrutura de gerenciamento
de incidentes, continuidade de negócios e
planos de recuperação de negócios que
detalhem os passos a serem tomados
durante e após um incidente, para manter ou
restaurar as operações

 Demonstrar a que ponto as estratégias e
planos estão completos, atualizados e
precisos
 Identificar oportunidades de melhorias

 A GCN deve se tornar parte dos valores da
organização, dando confiança às partes
interessadas quanto à capacidade da
organização de sobreviver a interrupções

 Framework que sugere um processo para
gestão de riscos deTI
 Disponível no endereço www.isaca.org/riskit
 Contempla:
 Análise
 Responsabilidades
 Indicadores
 Etc.
 Atua no “Como fazer?”

 Complementares...
ISO 31000 Risk IT
O que fazer? Como fazer?

 Risk Governance (RG)
 RG1 Establish and maintain a common risk view
 RG2 Integrate with ERM
 RG3 Make risk-aware business decisions

 Risk Evaluation (RE)
 RE1 Collect data
 RE2 Analyse risk
 RE3 Maintain risk profile

 Risk Response (RR)
 RR1 Articulate risk
 RR2 Manage risk
 RR3 React to events

 Áreas de conhecimento
 Integração
 Escopo
 Tempo
 Custos
 Qualidade
 Recursos humanos
 Comunicações
 Riscos
 Aquisições

 Área de conhecimento que tem como
objetivo...
 “aumentar a probabilidade e o impacto dos
eventos positivos e reduzir a probabilidade e o
impacto dos eventos negativos no projeto”.

 Área de conhecimento composta por 6
processos...

 Além das diversas técnicas e processos
sugeridos pelo PMBoK, o PMI criou um
padrão para gerenciamento de riscos em
projetos....

 Practice Standard for Project Risk
Management
 Disponível para download no site do PMI
(somente para membros)

 Para quem deseja se especializar, há a
certificação PMI Risk Management
Professional (PMI-RMP)
 Para quem possui a partir de 3000 horas de
experiência em gestão de riscos em projetos e 30
horas de treinamento sobre o tema.

PP: Project Planning, Área de Processo do Nível 2
PMC: Project Monitoring and Control, Área de Processo do Nível 2
RSKM: Risk Management,Área de Processo do Nível 3

Processos ad hoc
Initial
Configuration Management (CM)
Measurement and Analysis (MA)
Project Monitoring and Control (PMC)
Project Planning (PP)
Process and Product Quality Assurance (PPQA)
Requirements Management (REQM)
Supplier Agreement Management (SAM)
Managed
Decision Analysis and Resolution (DAR)
Integrated Project Management (IPM)
Organizational Process Definition (OPD)
Organizational Process Focus (OPF)
Organizational Training (OT)
Product Integration (PI)
Requirements Development (RD)
Risk Management (RSKM)
Technical Solution (TS)
Validation (VAL)
Verification (VER)
Defined
 Organizational Process Performance (OPP)
Quantitative Project Management (QPM)Quantitatively Managed
 Causal Analysis and Resolution (CAR)
Organizational Innovation and Deployment (OID)Optimizing

CMMI
Model
Foundation
CMMI-DEV CMMI-ACQ
CMMI-SVC
Fonte: -http://www.sei.cmu.edu/cmmi/models/CMMI-Services-status.html

 Apresentam práticas específicas que focam a
gestão de riscos em projetos, sem um
processo definido
 Atendem os requisitos do nível 2 de maturidade

 SG 1 Establish Estimates
 SG 2 Develop a Project Plan
 SP 2.1 Establish the Budget and Schedule
 SP 2.2 Identify Project Risks
 SP 2.3 Plan Data Management
 SP 2.4 Plan the Project’s Resources
 SP 2.5 Plan Needed Knowledge and Skills
 SP 2.6 Plan Stakeholder Involvement
 SP 2.7 Establish the Project Plan
 SG 3 Obtain Commitment to the Plan

 SG 1 Monitor the Project Against the Plan
 SP 1.1 Monitor Project Planning Parameters
 SP 1.2 Monitor Commitments
 SP 1.3 Monitor Project Risks
 SP 1.4 Monitor Data Management
 SP 1.5 Monitor Stakeholder Involvement
 SP 1.6 Conduct Progress Reviews
 SP 1.7 Conduct Milestone Reviews
 SG 2 ManageCorrective Action to Closure

 Propõe a definição de um processo para
gestão de riscos
 Nível de maturidade 3 (definido)
 Objetivos e práticas específicas que definem
“mais do mesmo” (quando já vimos os outros
frameworks)...

 SG 1 Prepare for Risk Management
 SP 1.1 Determine Risk Sources and Categories
 SP 1.2 Define Risk Parameters
 SP 1.3 Establish a Risk Management Strategy

 SG 2 Identify and Analyze Risks
 SP 2.1 Identify Risks
 SP 2.2 Evaluate, Categorize, and Prioritize Risks

 SG 3 Mitigate Risks
 SP 3.1 Develop Risk Mitigation Plans
 SP 3.2 Implement Risk Mitigation Plans

 O óbvio que não é tão óbvio quanto
deveria...
 Quais são os processos de negócio mais críticos?
Como aTI os suporta?
 Qual é a função daTI dentro do negócio?
 Quais são as consequências do risco deTI?

Dependência
daTI pelas
empresas
Consequências
do Risco deTI

 EUA, dezembro de 2004...
Fonte: http://www.dailymail.co.uk/news/article-497399/Strike-
threat-Christmas-flights-lead-holiday-airport-chaos.html
Fonte: http://www.mylamppost.com/page/2/

 Entre 22 e 24 de dezembro, 91% de todos os
voos foram alterados ou cancelados
 Milhares de alterações no sistema que gerencia a
escala da tripulação
 Mas ninguém sabia que o sistema suportava
somente 32 mil alterações por mês...

 A normalização das operações aconteceu
somente no dia 29 de dezembro
 200 mil passageiros sem saber o que fazer
 Todas as linhas aéreas estavam sobrecarregadas
 Três semanas depois, o presidente da
empresa renunciou

 Prejuízo?
 Resultado direto: US$ 20.000.000,00
 (além dos danos causados à reputação da
empresa e aos clientes)

 A substituição do sistema foi planejada e
protelada diversas vezes...
 A não substituição foi o principal problema?
 A empresa tinha um plano para recuperação
dos processos críticos, em caso de falhas?
 Havia um sistema de backup?
 Existia um processo de contingência
documentado?

 Qual foi a falha?
 Não existência de um processo que
compreendesse e administrasse as consequências
comerciais do risco deTI
 Garantir que os grandes riscos corporativos
sejam administrados num nível aceitável é
uma responsabilidade de seus executivos
seniores

 Possibilidade de que algum evento
imprevisto, que envolva falha ou mau uso da
TI, ameace um objetivo empresarial
 O óbvio que não é tão óbvio quanto deveria...

Traduzindo o risco deTI em termos comerciais...

 Traduz o risco deTI em termos comerciais
 Permite analisar as acomodações entre riscos
 Considera quatro objetivos inter-relacionados
da empresa:
 Disponibilidade (Availability)
 Acesso (Access)
 Precisão (Accuray)
 Agilidade (Agility)

 Manter os sistemas (e seus processos
comerciais) em operação e recuperá-los em
caso de interrupções
 Quais processos dependem mais deTI?
 Quais são as prováveis consequências caso os
sistemas de apoio fiquem indisponíveis?

 Assegurar o acesso apropriado a dados e
sistemas, de modo que as pessoas certas o
tenham quando precisarem
 Considera a possibilidade de mau uso de
informações delicadas
 Quais categorias gerais de informação são mais
críticos para o sucesso ou fracasso da informação?
 Quais as consequências caso essas informações
sejam perdidas, distribuídas ou comprometidas?

 Proporcionar informações corretas,
oportunas e completas que atendam aos
requisitos da administração, do pessoal, dos
clientes, dos fornecedores e dos reguladores
 Para os processos e as categorias de informação
essenciais, os dados são suficientemente precisos
e oportunos para atender a requisitos internos e
externos?

 Ser capaz de mudar com rapidez e custo
administrado
 Por exemplo: Integração de uma empresa
adquirida
 Quais grandes mudanças estratégicas são
previsíveis e comoTI pode sustentá-las?
 Com que frequência os projetos de negócio com
envolvimento significativo daTI ficam dentro do
prazo e do orçamento?

Criando a capacidade organizacional para moldar e manter o perfil de
risco...

 Atuam em conjunto para melhorar o perfil de
risco da empresa e mantê-lo sob controle:
 Alicerce
 Processo de Governança do Risco
 Cultura de Consciência do Risco

 Base tecnológica instalada
 Não mais complexa do que o absolutamente
necessário
 Bem administrada e compreendida
 Procedimentos e pessoal de suporte

 Cria e administra os processos,
procedimentos e estruturas organizacionais
para...
 Definir e manter políticas e normas
 Identificar e priorizar riscos
 Administrar riscos e monitorar suas tendências ao
longo do tempo
 Assegurar a observância de políticas e normas
para o risco

 Consciência geral, por toda empresa, da
natureza e das consequências do
comportamento de risco e de como evitá-lo
 Cultura que estimule a discussão do risco
abertamente

 É possível atuar nas três disciplinas ao mesmo
tempo?
 Qual deve ser priorizada?
 Qual é a disciplina mais fácil de “vender” para
os executivos?
 É fundamental ter um ponto de partida e não
querer abraçar o mundo!

 Ninguém precisa reinventar a roda!
 Funcionam como direcionadores para
estabelecimento da Gestão de Riscos
 Dizem “o que fazer?”, e não “como fazer?”

 É importante utilizá-los como referência, mas
segui-los “by the book” pode ser um erro fatal
 Burocracia
 Boicote
 Controles desnecessários e em excesso

 Em grupo
 Realizar a leitura do Estudo de Caso
 A descrição da atividade está na página 3

alessandro.almeida@uol.com.br
www.slideshare.net/alessandroalmeida

Gestão de Riscos em Projetos de TI

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (20)

Semelhante a Gestão de Riscos em Projetos de TI

Semelhante a Gestão de Riscos em Projetos de TI (20)

Mais de Alessandro Almeida

Mais de Alessandro Almeida (20)

Último

Último (20)

Gestão de Riscos em Projetos de TI