gerenciamento de riscos abordando os assuntos tratados no pmbok®, iso 31000 e coso
TRANSCRIPT
GERENCIAMENTO DE RISCOS ABORDANDO OS ASSUNTOS TRATADOS NO PMBOK®, COSO E ISO 31000.
Jefferson Oliveira, PMP
OBJETIVOS
Fornecer uma visão abrangente do gerenciamento de riscos de uma organização;
Aplicar os conceitos de forma pragmática, apresentando ferramentas e técnicas para desenvolver a percepção dos riscos de forma estruturada; e
Aprimorar os resultados dos seus projetos e operações de rotina.
SUMÁRIO Introdução
Noções preliminares Principais conceitos
Desenvolvimento Metodologia COSO ISO 31000:2009 PMBOK® Apresentação de casos práticos Dinâmica em grupo
Conclusão Quadro comparativo entre as metodologias apresentadas Apresentação das matrizes desenvolvidas
INTRODUÇÃO Noções preliminares
Cultura organizacional das empresas e maturidade para praticar o gerenciamento de riscos
O maior desafio de uma gestão é fazer a coisa certa no tempo certo além de gerenciar as expectativas dos envolvidos (Planejamento)
FATO: Informações precisas e organizadas são a base da nossa habilidade para vencer as adversidades
INTRODUÇÃO Noções preliminares
Toda MUDANÇA pressupõe RISCOS
Fugir aos riscos pode resultar em estagnação
“Inovadores que alcançaram êxito não são assumidores de riscos, pois eles procuram definir os riscos que têm que incorrer e minimizá-los o quanto for possível” (Peter Drucker)
ATITUDES PERANTE ÀS MUDANÇAS
INTRODUÇÃO - PARADIGMAS
Não posso quantificar, pois não tenho histórico....
Isto é um trabalho de especialista.... Temos que designar o Gerente de Riscos do Projeto
O Cliente não quer saber dos Riscos... Eu tenho que assumir!!!!
Se eu fizer isto, não ganho mais um contrato!!!! Perco Competitividade!!!
Se eu fizer isto, vou aumentar o custo no orçamento....
O Ger. Risco toma muito tempo... Não tenho este tempo no planejamento!!!
INTRODUÇÃO Principais conceitos
Medida da probabilidade e das perdas acarretadas pelo acontecimento de um evento que afete negativamente o projeto, o processo ou o produto em um projeto (Hall).
Probabilidade de um projeto não atingir os objetivos de custo, desempenho, cronograma e as consequências de não atingir este objetivo (Conrow).
Medida de probabilidade e severidade de efeitos adversos (Lawrence).
Possibilidade de perda ou ganho (Pfleeger).
Risco de auditoria é a possibilidade de o auditor vir a emitir uma opinião tecnicamente inadequada sobre demonstrações contábeis significativamente incorretas (NBC T 11)
Riscos devem ser interpretados como um conjunto de incertezas, encontradas quando ousamos fazer algo, e não como “Problemas”, que são a manifestação dos mesmos.
INTRODUÇÃO Classificação dos riscos pelas incertezas
“Eu não me preocupo com as coisas que eu sei que não sei. Eu só me preocupo com as coisas que eu não sei que não sei. Porque as coisas que sei que não sei, é fácil, é só procurar que vou saber. Porém, as coisas que não sei que não sei, não tenho nem por onde começar!”
Einstein
INTRODUÇÃO Classificação dos riscos pelas incertezas
Total certez
a
Total incertez
a
Incerteza geral
Incerteza
específica
Não sei que não
sei
Sei que não sei
Sei
Sem informação
Informação parcial
Informação completa
Escopo do gerenciamento dos
riscos
INTRODUÇÃO Riscos Desconhecidos (externos): não podem ser gerenciados de forma pró-
ativa. A saída é alocar contingência contra esses riscos.Ex: riscos de catástrofes, metereológicos, economico-políticos (leis, câmbio, inflação)
Riscos Conhecidos: identificados e analisados Correr o risco: as perdas são menores que os custos decorrentes do controle ou quando os
benefícios superam as perdas Evitar o risco: custos ou impacto muito altos, comparados aos benefícios
Como eles podem impactar no nossos processos e projetos?
RISCOS DO PROJETO – afetam cronograma e recursoRISCOS DO NEGÓCIO – afetam a organização
RISCOS DO PRODUTO – afetam a qualidade
COMPONENTES DO RISCO
Risco
Evento
Probabilidade
Impacto
Condição
Consequência Ocorrência
Ex.: A empresa exige que os diagramas sejam desenvolvidos através de um software que nossos projetistas nunca utilizaram.
Ex: A geração dos diagramas e o trabalho de gerenciamento da documentação irá demorarmais tempo. Limitações no uso do software implicarão em retrabalho.
O retrabalho deverá aumentar em 25% o trabalhorelativo ao serviço de documentação, caso se concretize.
INTRODUÇÃOAversão ao risco (perfil conservador)
Muito mais sensível a perdas do que a lucros.
Amantes do risco (perfil agressivo)
Adepto das possibilidades positivas em relação às negativas
Indiferente ao risco (arrojado)
Só navega por mares calmos.
INTRODUÇÃO
Processo baseado em Técnicas de dinâmica de grupo Ferramentas
para apoiar o processo
Processo Contínuo
Qual é a cara do gerenciamento de riscos?
COMPETÊNCIAS ESPERADAS Bom ouvinte e excelente coletor de comunicações; Dominar as técnicas de administração de riscos; Bom relacionamento interpessoal, trocando informações com elementos
internos e externos. Habilidade de negociar e convencer pessoas de suas posições; Possuir resiliência para tratar os riscos que aparecerão ao longo da
rotina.
BENEFÍCIOS DA GESTÃO DE RISCOS Minimiza a gerência por crises; Minimiza a ocorrência de surpresas e problemas; Possibilita melhor alavancagem de resultados; Aumenta a probabilidade de sucesso do projeto; Conhecimento quanto à possibilidade de ganho/perda pela exposição aos riscos; Identificação de condições de recuperação de perdas no caso de materialização
dos riscos; Credibilidade; Maior controle nos gerenciamento de Escopo, Tempo e Custo.
ISO 31000:2009
Apresentação da norma técnica Definição de risco Atendimento aos princípios para uma gestão de riscos eficaz (ISO) Processos de identificação e avaliação dos riscos (ISO)
ISO 31000:2009
Norma é o documento estabelecido por consenso e aprovado por um organismo reconhecido, que fornece regras, diretrizes ou características mínimas para atividades ou para seus resultados, visando à obtenção de um grau ótimo de ordenação em um dado contexto.A norma é, por princípio, de uso voluntário, mas quase sempre é usada por representar o consenso sobre o estado da arte de determinado assunto, obtido entre especialistas das partes interessadas.
ISO 31000:2009 A ISO 31000 foi desenvolvida em resposta à demanda das organizações;
“Não se gerencia o que não se mede, não se mede o que
não se define, não se define o que não se entende, não há
sucesso no que não se gerencia” W.
E. Deming
O efeito que essa incerteza tem sobre os objetivos das organizações é chamado de “RISCO”;
ISO 31000:2009 A International Organization for Standardization (ISO) define atitude
perante o risco como uma “abordagem da organização para avaliar e eventualmente buscar, reter, assumir ou afastar-se do risco
Norma estabelecida por consenso (Vários técnicos e segmentos) Aprovado por organismo reconhecido (mantenedora das normas técnicas do mundo)
Definição norma: Conjunto de regras de uso relativas às características de um produto ou de um método, compiladas com o objetivo de uniformizar e de garantir o seu modo de funcionamento e a sua segurança; (Orientação a ser seguida)
ISO 31000:2009 Base nas normas da qualidade (ISO 9001 –
1987)
A 31000 acompanha a evolução do assunto sobre GR e foi acelerada decorrente da publicação dos quatro riscos globais, avaliados pela comunidade internacional, a saber:
Harmonia de padrões, Norma regulamentadora e Procedimento padrão.
ISO 31000:2009Seguranç
a do meio
ambiente e
alimentar
Risco sistêmic
o financei
ro
Terrorismo
Cadeia de fornecimento (ruptura
de forneciment
o)
ISO 31000:2009 Qualquer norma que a ISO esteja lançando,
sempre será integrada ao ciclo da qualidade, o PDCA.
A norma se aplica a riscos financeiros, operacional, saúde colaborador, projetos, meio ambiente, segurança da informação, segurança empresarial, ou seja, é uma norma “guarda-chuva”.
Integrar os processos, terminologia, conceitos, critérios
ISO 31000:2009 Qual o grande benefício da ISO 31000?
Estabelecer linguagem comum, padronizar as melhores práticas e implementar técnicas através de processo padrão.
A ISO 31.000 foi um consenso entre 35 países
ISO 31000:2009
O simples fato de existir atividade, abre a possibilidade de ocorrência de eventos ou situações cujas consequências constituem oportunidades para obtenção de vantagens (lado positivo) ou ameaças ao sucesso (lado negativo).
Segundo a Federação das Associações Européias de Gerenciamento de Risco (Federation of European Risk Management Associations, 2003), o “risco pode ser definido como a combinação da probabilidade de um acontecimento e das suas consequências” (p. 2).
ISO 31000:2009 A partir da análise da relação direta entre risco e controle interno, chega-se à
seguinte definição:
O gerenciamento de riscos corporativos é o processo conduzido em uma organização pelo Conselho de Administração, pela diretoria executiva e pelos demais funcionários, aplicado no estabelecimento de estratégias formuladas para identificar, em toda a organização, eventos em potencial, capazes de afetar a referida organização, e administrar os riscos para mantê-los compatíveis com o seu apetite ao risco e possibilitar garantia razoável de cumprimento dos objetivos da entidade (Coso, 2004, p. 2).
ISO 31000:2009 Fornecimento de princípios e diretrizes Exibir a aplicabilidade para qualquer empresa, seja pública, privada ou comunitária Aplica-se a qualquer tipo de risco, independente da natureza Fornece uma abordagem comum para apoiar Normas que tratem o risco e/ou
setores específicos, e não substituí-las.
Escopo da norma
ISO 31000:2009 Gestão de Riscos: atividades coordenadas para dirigir e controlar uma
organização no que se refere a riscos; Estrutura da Gestão de Riscos: conjunto de componentes que fornecem
fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos;
Política de Gestão de Riscos: declaração das intenções e diretrizes gerais de uma organização relacionadas a gestão de riscos;
Atitude perante o Risco: abordagem da organização para avaliar e eventualmente buscar, reter, assumir ou afastar-se do risco;
Termos e definições
ISO 31000:2009 Contexto externo: ambiente externo no qual a organização busca atingir
seus objetivos; Parte interessada: pessoa ou organização que pode afetar, ser afetada, ou
perceber-se afetada por uma decisão ou atividade; Fonte de risco: elemento que, individualmente ou combinado, tem o
potencial intrínseco para dar origem ao risco; Perfil do risco: descrição de um conjunto de qualquer de riscos. O
conjunto de riscos pode conter riscos que dizem respeito à toda organização, à parte da organização, ou referente ao qual tiver sido definido.
Termos e definições
ISO 31000:2009a) Cria e protege valor; b) Parte da integrante de todos os processos organizacionais; c) Parte da tomada de decisões; d) Aborda explicitamente a incerteza; e) Sistemática, estruturada e oportuna; f) Baseada nas melhores informações disponíveis; g) Feita sob medida; h) Considera fatores humanos e culturais; i) Transparente e inclusiva; j) Dinâmica, interativa e capaz de reagir a mudanças; k) Facilita a melhoria contínua da organização.
Princípios
ISO 31000:2009 O sucesso da Gestão de Riscos é
determinado pela eficácia da gestão do negócio.
Comprometimento forte e sustentável, desde a aprovação da política alinhada aos objetivos do negócio;
Indicadores de desempenho adequados e coerentes com os demais indicadores empresariais
Estrutura
ISO 31000:2009 A estrutura assegura que a informação sobre riscos proveniente desse processo
seja adequadamente reportada e utilizada como base para a tomada de decisões e a responsabilização em todos os níveis organizacionais aplicáveis.
Estrutura
Um Framework ou arcabouço conceitual é um conjunto de conceitos usado para resolver um problema de um domínio específico.
Comunicação e
consulta
Monitoramento e análise
crítica
Estabelecimento do contexto
Identificação dos riscos
Análise dos riscos
Avaliação dos riscos
Tratamento de riscos
Framework Gerenciamento de Riscos
Um dos objetivos da ISO 31000 é a incorporação do gerenciamento dos riscos à administração organizacional. Para tanto, o processo deverá seguir:
1) Se tornar parte integrante do processo de gestão organizacional;
2) Incorporar-se à cultura e às práticas;
3) Adaptar-se aos processos de negócios da organização.
Processo de avaliação dos riscos
Comunicação e
consulta
Monitoramento e análise
crítica
Estabelecimento do contexto
Identificação dos riscos
Análise dos riscos
Avaliação dos riscos
Tratamento de riscos
Framework Gerenciamento de Riscos
Comunicação e consulta
1) Viabiliza o contato das partes interessadas;
2) Elaborar um plano de comunicação e consulta;
3) Influência na concepção e decisão em relação aos riscos.
Processo de avaliação dos riscos
Comunicação e
consulta
Monitoramento e análise
crítica
Tratamento de riscos
Identificação dos riscos
Análise dos riscos
Avaliação dos riscos
Estabelecimento do contexto
Framework Gerenciamento de Riscos
Estabelecimento do contexto
1) Reconhecimento do ambiente externo e interna para estabelecer a política de GR;
2) Elaborar um plano de comunicação e consulta;
3) Influência na concepção e decisão em relação aos riscos.
4) A abordagem do GR deve se alinhar à cultura, processos, estrutura e estratégias do negócio para desenvolver os critérios de risco (probabilidade, consequências e níveis de risco)
Processo de avaliação dos riscos
Comunicação e
consulta
Monitoramento e análise
crítica
Tratamento de riscos
Identificação dos riscos
Análise dos riscos
Avaliação dos riscos
Estabelecimento do contexto
Framework Gerenciamento de Riscos
Identificação dos riscos
1) Identificar as exposições a riscos que vão contra a intenção dos objetivos organizacionais;
2) Entende-se sobre exposição a riscos a condição formada pora) Elementos expostosb) Valores envolvidosc) Riscos aos quais os
elementos estão expostos;
Processo de avaliação dos riscos
Comunicação e
consulta
Monitoramento e análise
crítica
Tratamento de riscos
Identificação dos riscos
Análise dos riscos
Avaliação dos riscos
Estabelecimento do contexto
Framework Gerenciamento de Riscos
Análise dos riscos
1) Busca determinar a dimensão do risco identificado, através da estimativa de sua probabilidade de ocorrência e de suas consequências.
2) Serão considerados, neste caso, as barreiras que possam evitar a ocorrência dos eventos potenciais e os elementos críticos de segurança que possam minimizar as consequências.
Processo de avaliação dos riscos
Comunicação e
consulta
Monitoramento e análise
crítica
Tratamento de riscos
Identificação dos riscos
Análise dos riscos
Avaliação dos riscos
Estabelecimento do contexto
Framework Gerenciamento de Riscos
Avaliação dos riscos
1) Esta etapa busca definir quais são os riscos identificados e analisados que deverão ser o objeto de tratamento;
2) Será baseada nos parâmetros definidos pelos níveis de riscos.
Processo de avaliação dos riscos
Comunicação e
consulta
Monitoramento e análise
crítica
Tratamento de riscos
Identificação dos riscos
Análise dos riscos
Avaliação dos riscos
Estabelecimento do contexto
Framework Gerenciamento de Riscos
Tratamento dos riscos
1) É momento em que são definidas as possíveis alternativas para o tratamento do risco, selecionando-se as mais recomendáveis, que deverão implantadas a fim de reduzir as probabilidades e ou as consequências dos riscos.
2) Será baseada nos parâmetros definidos pelos níveis de riscos.
Processo de avaliação dos riscos
Quais são exemplos de alternativas de ações de controle?
Comunicação e
consulta
Monitoramento e análise
crítica
Tratamento de riscos
Identificação dos riscos
Análise dos riscos
Avaliação dos riscos
Estabelecimento do contexto
Framework Gerenciamento de Riscos
Monitoramento e análise crítica
1) São incluídos no processo para garantir verificações e vigilância regulares.
2) Garante que os controles sejam eficazes e eficientes, tanto no projeto como na operação;
3) Obtém informações para melhorar o processo de avaliação de riscos;
4) Analisa todos os eventos ou quase acidentes e aprender com eles;
5) Detecta alterações no contexto interno e externo, revendo o processo de avaliação de riscos;
6) Identificar riscos emergentes.
Processo de avaliação dos riscos
ISO 31000:2009A análise de riscos é o momento onde você irá estimar o risco, geralmente, como um produto da sua probabilidade de ocorrência e a gravidade do seu impacto. Por exemplo, o risco de roubo do seu carro é financeiramente maior do que do roubo do seu relógio, durante uma viagem, não é mesmo? Faça um exercício de probabilidade x consequência mentalmente e verifique. Por isso pessoas fazem seguros de veículos frequentemente e muito raramente para relógios de pulso.
A avaliação de riscos é o momento de confrontar esse resultado, com os SEUS níveis toleráveis de riscos. Às vezes esses níveis não são apenas SEUS. Eles podem ser estabelecidos em conjunto com outras partes interessadas ou serem também definidos por lei.
Trocando em miúdos
Analisar Riscos é o momento de obter uma estimativa para o mesmo, uma forma é fazer Probabilidade x Consequência ( P X C);
Avaliar Riscos é comparar esse resultado com o seu critério para saber se alguma medida precisa ser tomada e como priorizar os tratamentos.
Intensificação entre os dois conceitos
ISO 31000:2009
A Certificação Internacional C31000 é concedida mundialmente pelo Global Institute for Risk Management Standards - G31000.
No Brasil, com exclusividade, o QSP - Centro da Qualidade, Segurança e Produtividade realiza periodicamente um Exame Nacional, em português.
Certificação
Para finalizar...
PMBOK® Conhecimento amplamente reconhecidocomo boa prática Atualizado a cada 4 anos O PMBOK não é uma metodologia
Conhecimento em projetos
Conteúdo do PMBOK
Definição: Evento ou condição incerta que, se ocorrer, terá efeito positivo ou negativo em pelo menos um objetivo do projeto.
Definição: Evento ou condição incerta que, se ocorrer, terá efeito positivo ou negativo em pelo menos um objetivo do projeto.
PMBOK® - GERENCIAMENTO DOS RISCOS
Aumentar a probabilidade e o impacto
Reduzir a probabilidade e o impacto
PMBOK – 5ª Ed
PMBOK® - GERENCIAMENTO DOS RISCOS
Riscos são identificados e gerenciados a partir da iniciação e são continuamente atualizados ao longo do projeto.
Incerteza é a falta de conhecimento sobre um evento que reduz a confiança nas conclusões tirada com base nos dado. (Custo, prazo, qualidade, comunicações)
Tipos de risco: Existem dois tipos principais de riscos, sendo eles: Risco empresarial: Risco de lucro ou prejuízo Risco puro: Apenas o risco de prejuízo (incêndio, furto, lesões corporais)
PMBOK® - GERENCIAMENTO DOS RISCOS
Planejar o gerenciamento dos Riscos
Identificar os Riscos
Realizar a análise qualitativa dos riscos
Realizar a análise quantitativa dos riscos
Planejar as respostas aos riscos
Controlar os riscos
Planejamento Monitoramento e controle
Processos
de Gerenciamento
dos Risc
os
PMBOK® - GERENCIAMENTO DOS RISCOS
É o processo de definição de como conduzir as atividades de gerenciamento dos riscos de um projeto.
Planejar o gerenciamento dos Riscos
Metodologia Prazos
Orçamento Formatos de relatório
Categorias de risco
Tolerâncias revisadas
Papéis e responsabilidades
Periodicidade de revisão
PMBOK® - GERENCIAMENTO DOS RISCOSPlanejar o gerenciamento dos Riscos
Requisitos
Tecnologia
Interface
Complexidade
Qualidade
Subcontratado
Fornecedores
Cliente
Regulamentos
Clima
Dependências
Recursos
Priorização
Financiamento
Estimativa
Planejamento
Comunicação
Controle
Estrutura Analítica dos Riscos (EAR)
Técnico Externo Organizacional Gerenciamento de projetos
10% são imprevisív
eis
PMBOK® - GERENCIAMENTO DOS RISCOSPlanejar o gerenciamento dos Riscos
Riscos por afinidade
Pessoal Local do embarque Política de embarque Processamento do pedido
Exemplo: Quais são os riscos que podem causar atraso na entrega do material na data prometida?
Despacho do material
Empregados sem
experiências
Sistema de recompensa
por produtividade
Falta de treinamento
As docas são frias demais no
inverno e quentes demais no verão
Mesmo local de devolução e expedição de produtos
Docas superlotadas
Mudanças frequentes de
fretesEmbarque realizado
pelo próprio vendedor para atender uma
urgência do pedido
Formulários preenchidos
manualmente
Erros de dados contratuais do
cliente
Código de barra ilegível
Erro de preço ou alíquota
Caixa danificada
PMBOK® - GERENCIAMENTO DOS RISCOSPlanejar o gerenciamento dos Riscos
Exemplos de fontes de risco:
Cronograma: “Talvez o equipamento chegue antes do planejado e o pacote de trabalho ABC possa começar três dias antes.
Custo: “Devido ao mau tempo e condições das estradas, o equipamento para a fundação do projeto chegue depois do planejado, pode ser necessário prorrogar o aluguel do depósito a um custo de R$ 200.000,00.
Qualidade: “Talvez o concreto seque antes do início do inverno, conforme nossos padrões de qualidade, e seja possível iniciar os pacotes de trabalho sucessores antes do planejado.
Escopo: “Se não definirmos corretamente o escopo para a instalação do servidor do banco de dados do sistema, será necessário contratar mais dois recursos ao custo de R$ 7.000,00 para cumprir o prazo estabelecido.
Recursos: “Joãozinho é um auditor tão bom que provavelmente aceite a proposta de uma empresa que anda recrutando alguns recursos da nossa empresa. Caso isso ocorra, o cronograma atrasará entre 100 e 275 horas.
PMBOK® - GERENCIAMENTO DOS RISCOS
Identificar os Riscos
Definição: Processo de identificação dos riscos que podem afetar o projeto ou processo além da documentação de suas características
Gerentes
Equipes
Setor de riscos
Especialistas
Usuários finais
Outras partes
interessadas
Clientes
Quem participa da identificação dos riscos?
PMBOK® - GERENCIAMENTO DOS RISCOS
Identificar os Riscos
Técnicas de coleta de informações
1) Brainstorming 2) Técnica Delphi
PMBOK® - GERENCIAMENTO DOS RISCOS
Identificar os Riscos
Técnicas de coleta de informações
3) Entrevistas 4) Análises de causa-raiz
PMBOK® - GERENCIAMENTO DOS RISCOS
Identificar os Riscos
Técnicas de coleta de informações
5) Análise SWOT 4) Opinião especializada
PMBOK® - GERENCIAMENTO DOS RISCOS
Identificar os Riscos
Qual a saída do processo identificar os riscos?
Registro dos riscos
PMBOK® - GERENCIAMENTO DOS RISCOS
Identificar os Riscos
• Planos de gerenciamento do projeto• Estimativas do projeto• Registro das partes interessadas• Documentos de aquisição
Entrada
PMBOK® - GERENCIAMENTO DOS RISCOS
Identificar os Riscos
Código Descrição do risco Responsável pelo risco
PMBOK® - GERENCIAMENTO DOS RISCOSRealizar a análise qualitativa dos riscos
Processo de priorização de riscos para análise ou ação adicional subsequente através de avaliação e combinação de sua probabilidade de ocorrência e impacto
PMBOK® - GERENCIAMENTO DOS RISCOSRealizar a análise qualitativa dos riscos
Objetivos:
Avaliar subjetivamente a probabilidade e o impacto de cada risco.
Criar uma lista menor dos riscos que serão submetidos ao processo subsequente
Riscos que constarão no planejamento de respostas ao riscos.
PMBOK® - GERENCIAMENTO DOS RISCOSRealizar a análise qualitativa dos riscos
Como classificar os riscos?
Matriz de probabilidade e impacto
Critérios de análise
Pontuação de corte
PMBOK® - GERENCIAMENTO DOS RISCOSRealizar a análise qualitativa dos riscos
Pontuação de corte
MEDIÇÃO QUALITATIVAClassificaç
ão Probabilidade Impacto
AltoÉ muito provável que o evento de risco ocorra, ou seja, alta probabilidade de
ocorrência.
Se o evento de risco ocorrer haverá um impacto significativo em um objetivo do
projeto.
MédioÉ provável que o evento de risco
ocorra, logo tem probabilidade média de ocorrer.
Se o evento de risco ocorrer haverá um impacto moderado em um objetivo do
projeto.
BaixoNão é provável que o evento de risco
ocorra, devido à baixa probabilidade do evento.
Se o evento de risco ocorrer haverá um pequeno impacto em um objetivo do
projeto.
Atenção!! Na análise qualitativa um risco classificado como baixo, poderá estar subavaliado.
PMBOK® - GERENCIAMENTO DOS RISCOS
Qual o resultado esperado com a análise qualitativa dos riscos?
Realizar a análise qualitativa dos riscos
Riscos priorizados e classificados
Definição dos riscos que serão analisados e
observados
Riscos agrupados por categoriaLista de riscos que
necessitem respostas imediatas
Processo inicial após a identificação dos riscos
PMBOK® - GERENCIAMENTO DOS RISCOS
Processo de analisar numericamente o efeito dos riscos identificados nos objetivos gerais do projeto.
Realizar a análise quantitativa dos riscos
Análise do valor monetário esperado
Árvore de decisão
Modelagem e Simulação de Monte Carlo
PMBOK® - GERENCIAMENTO DOS RISCOS
Análise do valor monetário esperado
Realizar a análise quantitativa dos riscos
Probabilidade
Impacto
VME
PMBOK® - GERENCIAMENTO DOS RISCOS
Análise do valor monetário esperado
Realizar a análise quantitativa dos riscos
Risco Probabilidade Impacto Valor esperado
Fornecedor entram de greve durante o projeto 50% R$ 500.000,00Inundações em Março 70% R$ 200.000,00Cotação da compra da matéria-prima reduza 10% (-) R$ 300.000
Valor esperado dos riscos do projeto - VME
PMBOK® - GERENCIAMENTO DOS RISCOSRealizar a análise quantitativa dos riscos
PMBOK® - GERENCIAMENTO DOS RISCOSRealizar a análise quantitativa dos riscos
Árvore de decisão
Decisão?
Evento 1Demanda forte
Demanda fraca
Evento 2Demanda forte
Demanda fraca
- É um diagrama que descreve as principais interações entre decisões e possibilidades.
- Utiliza a mesma sistemática do VME para determinar o conjunto de resultados.
- Reúne os atos, eventos e resultados possíveis
- Realizada com apoio de opiniões especializadas
PMBOK® - GERENCIAMENTO DOS RISCOSRealizar a análise quantitativa dos riscos
Árvore de decisão
CASE: Somos uma equipe de engenharia num projeto de construção de uma casa de uma grande fã de Oscar Niemeyer. O custo para construção da casa é de R$ 180.000,00. Como temos a necessidade de inovar quanto aos desenhos do nosso projeto, o escopo do trabalho exige requisitos detalhados. Sendo assim, existe um risco de que o produto final não seja aprovado no teste de aceitação do cliente. Após a análise da equipe, a resposta ao risco encontrada foi a construção de uma maquete em 3D. O custo da maquete será de R$ 40.000,00 e o custo de retrabalho será de R$ 250.000,00.
PMBOK® - GERENCIAMENTO DOS RISCOS
Custo para construção da casa é de R$ 180.000,00;
Custo da maquete será de R$ 40.000,00; e Probabilidade de aprovação: - 70% - Com a maquete - 20% - Sem a maquete Custo de retrabalho será de: - R$ 120.000,00 – Com maquete - R$ 250.000,00 – Sem maquete
Construir ou não construi
r
Produzir:
R$ 40.000,00
Não produzir:
R$ 0,00
Aprovado?
Aprovado?
Aprovado: R$ 40.000,00
Reprovado: R$ 76.000,00
70%x R$ 0,00
30%x R$ 120.000 = R$ 36.000
20%x R$ 0,00
80%x R$ 250.000 = R$ 200.000
Aprovado: R$ 0,00
Reprovado: R$ 200.000,00
PMBOK® - GERENCIAMENTO DOS RISCOSRealizar a análise quantitativa dos riscos
Simulação de Monte Carlo
- Executa o projeto inúmeras vezes
- Simula a execução de um processo
- Técnica matemática computadorizada
- Avalia o risco geral do projeto
- Resultado esperado: Probabilidade de finalizar um projeto num dia específico ou Probabilidade de alcançar o pico máximo de produção.
PMBOK® - GERENCIAMENTO DOS RISCOS
Realizar a análise qualitativa dos riscos
Realizar a análise quantitativa dos riscos
Subjetiva: Avaliação
Objetiva: Números
Probabilidade e impacto
Computadores e séries matemáticas
Generalista
Específico
TODOS os riscos serão submetidos aos dois processos?
PMBOK® - GERENCIAMENTO DOS RISCOS
Desenvolvimento de opções e ações para aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto.
Planejar as respostas aos riscos
Características:Boa relação custo-benefícioRealistasEnvolvimento das partes interessadas
PMBOK® - GERENCIAMENTO DOS RISCOSVisão geral - Planejar as respostas aos riscos
RISCO
A
Estratégia de tratamento
Respostas
Proprietário
Gatilho (Trigger)
Risco secundário
Risco residual
- Plano de contingência- Plano alternativo- Reserva de contingência
PMBOK® - GERENCIAMENTO DOS RISCOSPlanejar as respostas aos riscos
Evitar – Eliminar a ameaça eliminando a causa. Evitar que a ameaça até mesmo envolver a expansão do escopo do projeto. ( probabilidade de 75% vs testes adicionais)
Estratégia de tratamento Riscos negativos
Mitigar – Reduzir a probabilidade e/ou o impacto de uma ameaça, tornando-a um risco menor e possivelmente removendo-a do alto da lista dos principais riscos.
Transferir – Tornar outra parte responsável pelo risco contratando seguros, bônus de desempenho ou terceirizando o trabalho. (O risco vai formalizado em contrato)
PMBOK® - GERENCIAMENTO DOS RISCOSPlanejar as respostas aos riscos
Explorar – Adicionar trabalho ou mudar o projeto para assegurar que a oportunidade ocorra.
Estratégia de tratamento Riscos positivos
Melhorar – Aumentar a possibilidade (probabilidade e impacto) dos riscos positivos
Compartilhar – Alocar a propriedade total ou parcial da oportunidade a um terceiro (criando uma parceria, uma equipe ou projeto conjunto) que seja mais capacitado para concretizar a oportunidade.
PMBOK® - GERENCIAMENTO DOS RISCOSPlanejar as respostas aos riscos
Aceitar – Não fazer nada e dizer “se acontecer, aconteceu”.
A aceitação ativa pode envolver a criação de planos para contingência para serem implementados se o risco ocorrer se a alocação de reservas de tempo e custos ao projeto.
Estratégia de tratamento Riscos positivos
Riscos negativos
PMBOK® - GERENCIAMENTO DOS RISCOSExemplos práticos
Risco Estratégia Descrição
Risco da variação cambial reduzir meu aporte de recursos mensal Transferir Realizar um contrato de Hedge junto a um Banco, para garantir fechamento de câmbio estável.
Qualquer variação do câmbio será absorvida pelo banco. Obviamente, este serviço é pago…
Risco de apagão ou queda de energia durante oficinas de capacitação que
utilizam projetor multimídiaMitigar
Levar material impresso (diagramas, fotos) e ter à disposição flip-chart quadro branco. Caso a energia seja cortada, o impacto será reduzido – pois a capacitação ainda acontecerá, mesmo que
sem os recursos multimídia que a enriquecem.
Risco de não termos apoio dos meios de comunicação local para a mobilização a ser realizada
Evitar Escolher outra forma de realizar a mobilização – através da contratação de um carro de som e de uma passeata com voluntários e uma banda de música.
Risco de chuvas durante a construção das casas Aceitar
Como não é possível alterar o período da construção, por requerimento do financiados, a solução é aceitar o risco, no caso da ocorrência de chuvas, informar ao financiador os impactos no
cronograma e orçamento do projeto. É importante, porém que o financiador esteja ciente deste risco (por escrito), mesmo que ele não aceite alterar o período.
PMBOK® - GERENCIAMENTO DOS RISCOSPlanejar as respostas aos riscos
DescriçãoRemover um pacote de trabalho ou uma atividade.Designar um membro da equipa para visitar a fábrica do fornecedor para identificar possíveis atrasos nas entregas de insumos.Iniciar a negociação dos equipamentos antes do planejado, para garantir um preço mais baixo.Terceirizar um pacote de trabalho para obter uma oportunidade.Notificar a administração que pode haver um aumento nos custos se ocorrer um risco, pois nenhuma ação está sendo adotada para eliminar o risco.Afastar um recurso problemático do projeto.Fornecedor treinamento adicional a um membro da equipe com experiência limitada.Treinar a equipe em estratégias de resolução de conflitos.Terceirizar um trabalho difícil para um empresa mais experiente.Solicitar que o cliente faça parte do trabalho.Fazer um protótipo de um equipamento com muito risco
Estratégia de respostaEvitar
Mitigar o impacto.ExplorarMelhorar o impacto
Aceitar..EvitarMitigar a probabilidadeMitigar o impactoTransferirTransferirMitigar a probabilidade
PMBOK® - GERENCIAMENTO DOS RISCOSPlanejar as respostas aos riscos
São eventos que acionam a resposta de contingência. Os sinais de aviso iniciais para cada risco em um projeto devem ser identificados para que os responsáveis pelos riscos saibam quando agir.
Gatilho (Trigger)
Ajuda e desenvolve a resposta ao risco, devendo implementar a resposta ao risco. O responsável pode ser uma parte interessada em vez de um membro da equipe. EVITA AS REUNIÕES!!!
Responsáveis pelo risco
PMBOK® - GERENCIAMENTO DOS RISCOSPlanejar as respostas aos riscos
Quaisquer novos riscos criados pela implementação das respostas ao riscos selecionados. Ex 1.: Contratamos um terceirizado = risco secundário do fornecedor falir ou não ter agenda para a entrega. Ex 2.: Aquisição de uma máquina importada da China parar de funcionar.
Risco secundário
Riscos que permanecem após o planejamento de respostas a risco. Mesmo após a aplicação de todas as estratégias disponíveis, ele ainda pode existir. São aceitos passivamente e devem ser adequadamente documentados e revisados com frequência.
Risco residual
PMBOK® - GERENCIAMENTO DOS RISCOSPlanejar as respostas aos riscos
Os planos para contingências descrevem as ações específicas que serão adotadas se a oportunidade ou a ameaça ocorrer.
Planos para contingência
São ações específicas que serão adotadas se os planos para contingências não forem eficazes.
Planos alternativos
Soluções de contorno (workarounds )
Ações corretivas para realinhar o plano. Lida com os fatos de acordo com a ocorrência.
PMBOK® - GERENCIAMENTO DOS RISCOSPlanejar as respostas aos riscos
Estratégia de tratamento
Exemplo: Você está num projeto de
desenvolvimento de um software
Num dado momento, foi necessário
integrá-lo com o sistema de
pedidos de venda
Como nossa empresa não está acostumada a trabalhar com a tecnologia A, podemos ter problemas na integração do software produzido com o sistema de cobrança do cliente, gerando custos adicionais, atrasos e insatisfação no cliente em relação à qualidade.
Não temos costume de trabalhar com esse sistema parceiro!
PMBOK® - GERENCIAMENTO DOS RISCOS Partimos do pressuposto que o processo ou projeto é substancialmente
menos arriscado do que seria sido se não tivesse planejado. Será viabilizado através de reuniões
Controlar os riscos
Atualização no registro dos
riscosInformações sobre o
desempenho do trabalho
Encerramento dos riscos que não são
mais aplicáveis
Lições aprendidas
Qual a saída para controlar os riscos?
DIAGRAMA DE RESPONSABILIDADES
ESTRATÉGIA DE REAÇÃO AOS RISCOS
ContençãoPrevençãoAlavancage
m
ContingênciaAproveitamen
to
METODOLOGIA COSO Origem e finalidade Definição de risco Dimensões da metodologia COSO Auditoria baseada em risco
O COSO É UMA ENTIDADE SEM FINS LUCRATIVOS, VOLTADA PARA O APERFEIÇOAMENTO DA QUALIDADE DOS RELATÓRIOS FINANCEIROS ATRAVÉS DA:
ÉTICA PROFISSSIONAL
GOVERNANÇA CORPORATIVA
IMPLEMENTAÇÃO DE CONTROLE INTERNO
METODOLOGIA COSO
Estrutura os demais componentes do controle interno e também está ligado a fatores como:
Integridade; Competência dos funcionários e da entidade; Filosofia e estilo gerenciais; Forma com que a gestão organiza e desenvolve seu pessoal; Comprometimento da direção da entidade.
É efetivo quando as pessoas da organização:
Conhecem claramente suas atribuições; Sabem os limites de suas autoridades; Tem consciência, competência, e comprometimento de FAZER o que é CERTO
da MANEIRA CERTA.
É a identificação e análise dos riscos relevantes para o alcance dos objetivos e metas da entidade, com vistas a dar a resposta apropriada;
Atividade contínua e interativa em toda a entidade.
Avaliar o risco de fraude possui proximidade com o componente de Atividade de Controles, do cubo mágico.
METODOLOGIA COSOAvaliação dos riscosA organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação e a avaliação dos riscos associados aos objetivos.A organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa os riscos como uma base para determinar a forma como devem ser gerenciados.A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos.A organização identifica e avalia as mudanças que poderiam afetar, de forma significativa, o sistema de controle interno.
MENSURAÇÃO DO RISCO
Estimativa da importância do risco;
Avaliação da probabilidade de ocorrência do risco;
Avaliação da tolerância da organização ao risco.
Evitar: Suspensão das atividadesReduzir: Adoção de procedimentos de controle para minimizar a probalidade e/ou o impacto do risco.Compartilhar: Redução da probabilidade ou do impacto, quer seja com terceirização de atividades, contratação de seguros, etc.Aceitar: Não adotar medidas mitigadoras
Resposta ao Risco
probabilidade
impacto
Baixo Impacto /Baixa Probabilidade
Aceitar
Baixo Impacto /Alta Probabilidade
Reduzir
Alto Impacto /Baixa Probabilidade
Compartilhar
Alto Impacto /Alta Probabilidade
Evitar Compatilhar
Reduzir
Fonte: INTOSAI
Resposta ao Risco
Exemplos de atividades de controles:
Limites de alçada (prevenção); Autorização prévia (prevenção); Conciliação (detecção); Revisão de desempenho (detecção); Segurança física (prevenção e detecção); Segregação de funções (prevenção); Sistemas informatizados – TI (prevenção e detecção); Normatização interna (prevenção).
A efetividade depende:
da relação direta com os objetivos da entidade; da adequação (controle correto, no local correto e proporcional ao
risco envolvido); do exercício permanente; de um custo adequado.
USO DA ESTRUTURA DO COSO PARA AVALIAR A ADEQUAÇÃO E A EFICÁCIA DO SISTEMA DE GERENCIAMENTO DE RISCO E CONTROLE DA ORGANIZAÇÃO
Há um forte ambiente e cultura éticos?
Como a organização identifica e gerencia riscos?
O sistema de controle é efetivo?
Há um monitoramento forte?
Antes da avaliação dos controles, a administração deverá determinar o nível de risco aceitável na área que será examinada.
Auditores internos deverão identificar o que é esse nível de risco, que é identificado em termos de redução do impacto potencial das principais ameaças para a realização dos principais objetivos da área sob análise.
Se a administração não tem identificado os principais riscos e seus níveis aceitáveis, os auditores internos deverão estar aptos a auxiliar essa identificação, por meio de workshops de facilitação de identificação de riscos ou outras técnicas usadas pela organização.
Uma vez que os níveis de riscos sejam identificados, os controles podem ser avaliados, verificando se estão preparados para detectá-los e reduzi-los aos níveis esperados.
ATIVIDADES APLICADAS SOB A METODOLOGIA COSO
CONCLUSÃO Considerações finais
Comparativos entre os processos apresentados
Apresentação das matrizes desenvolvidas