TCC - GEEP17 - Analise Comparativa de Metodologias de Gestao de Risco

March 21, 2018 | Author: Andre Sampaio | Category: Project Management, Chemistry, Industries, Technology, Manufacturing And Engineering
Share Embed Donate


Short Description

Descripción: Análise comparativa entre metodologias de gerenciamento de riscos baseadas no PMI, FMEA, HAZOP, ISO 31000 e...

Description

Grupo: Turma GEEP17/SP – Gestão Estratégica e Econômica de Projetos

ANDRÉ PONTES SAMPAIO ARISTIDES SOUZA BARCELLOS CRISTIANE NICOLI SANSEVERO EDUARDO SALVADOR RAMOS

ANÁLISE COMPARATIVA ENTRE METODOLOGIAS DE GERENCIAMENTO DE RISCOS BASEADAS NO PMI, FMEA, HAZOP, ISO 31000 E MERCADO FINANCEIRO

Trabalho apresentado ao curso MBA em Gerência de Projetos, Pós-Graduação lato sensu, da Fundação Getulio Vargas como requisito parcial para a obtenção do Grau de Especialista em Gerência de Projetos.

ORIENTADOR: Prof. Mário Luis Sampaio Pereira

São Paulo 04/2011

FUNDAÇÃO GETULIO VARGAS PROGRAMA FGV MANAGEMENT MBA EM GERÊNCIA DE PROJETOS

O Trabalho de Conclusão de Curso

ANÁLISE COMPARATIVA ENTRE METODOLOGIAS DE GERENCIAMENTO DE RISCOS BASEADAS NO PMI, FMEA, HAZOP, ISO 31000 E MERCADO FINANCEIRO

elaborado por André Pontes Sampaio, Aristides Souza Barcellos, Cristiane Nicoli Sansevero, Eduardo Salvador Ramos e aprovado pela Coordenação Acadêmica do curso de MBA em Gerência de Projetos, foi aceito como requisito parcial para a obtenção do certificado do curso de pós-graduação, nível de especialização do Programa FGV Management.

São Paulo, 05 de Abril de 2011

Carlos A. C. Salles Jr. Coordenador Acadêmico Executivo

Mário Luis Sampaio Pereira Prof. Orientador

TERMO DE COMPROMISSO

O(s) aluno(s) André Pontes Sampaio, Aristides Souza Barcellos, Cristiane Nicoli Sansevero e Eduardo Salvador Ramos, abaixo assinado(s), do curso de MBA em Gerência de Projetos, Turma 17 do Programa FGV Management, realizado nas dependências da Fundação Getúlio Vargas – São Paulo, no período de 17/08/2009 a 07/12/2010, declara que o conteúdo do Trabalho de Conclusão de Curso intitulado ANÁLISE COMPARATIVA ENTRE METODOLOGIAS DE GERENCIAMENTO DE RISCOS BASEADAS NO PMI, FMEA, HAZOP, ISO 31000 E MERCADO FINANCEIRO, é autêntico, original e de sua autoria exclusiva.

São Paulo, 05 de Abril de 2011

André Pontes Sampaio

Aristides Souza Barcellos

Cristiane Nicoli Sansevero

Eduardo Salvador Ramos

À Deus pela oportunidade. Às nossas famílias, por tudo. Aos professores e amigos que trabalham arduamente em busca da própria superação.

RESUMO

A área de gerência de projetos que lida com estas incertezas ou problemas, mesmo antes que eles ocorram, é a gerência de riscos. Entender e tratar adequadamente tais riscos, visando minimizar impactos negativos nas organizações é o principal objetivo do processo de Gerenciamento de Risco.

Como forma de auxiliar o gerenciamento de riscos, surgiram no mercado algumas metodologias e ferramentas com o propósito de permitir identificar, analisar e traçar respectivos planos de ação de resposta aos riscos dos projetos.

O presente trabalho discute brevemente a fundamentação teórica de Gerenciamento de Projetos e Gerenciamento de Riscos. O objetivo principal é apresentar a conceituação teórica e prática das principais metodologias para análise e gerenciamento de riscos em projetos (PMBOK, FMEA, HAZOP, ISO 31000 e mercado financeiro); verificar o respectivo favorecimento na análise de riscos; efetuar um comparativo entre elas no tocante às perspectivas de aplicabilidade - ambiente de negócios mais compatível - e apresentar as vantagens e desvantagens de cada metodologia.

A escolha de uma metodologia de gerenciamento de riscos integrada com o projeto e alinhada à organização, certamente garantirá o sucesso deste processo.

Palavras Chave: Metodologias de análise de risco, PMBOK, FMEA, HAZOP, ISO 31000, riscos no mercado financeiro, Gerenciamento de Projetos, Gerenciamento de Riscos

ABSTRACT

Risk Management Plan is an important part of any project management. Risk Management Plan deals with uncertainties or problems even before they occur. To understand and provide risk responses in order to minimize negative impacts in an organization is the main purpose of the Risk Management Plan.

In order to perform a project risk management, several project risk management tools and methodologies enable us to identify, analyze and establish risk response action plans.

This research presents a general view of Project Management and Risk Management theories. The main objective of this narrative is to present the mains project risk management methodologies (PMBOK, FMEA, HAZOP, ISO 31000 and financial market); to analyze the benefits coming from their use; to establish a comparative analysis between them in respect of business perspective applicability and determine their advantages and disadvantages.

Choosing a good methodology, adherent to the company’s needs and projects, will certainly ensure a successful risk management process.

Key Words: Risk management tools, PMBOK, FMEA, HAZOP, ISO 31000, financial market risks, Project Management, Risk Management

AGRADECIMENTOS

Às nossas famílias pelo apoio, incentivo e por acreditarem em nós. Agradecemos em especial nossos queridos pais, pois sem seus esforços para nos educar, nós não teríamos chegado a lugar algum.

SUMÁRIO

1. INTRODUÇÃO .................................................................................................................. 10 1.1. PROPOSTA DO TRABALHO ................................................................................................. 10 1.2. OBJETIVO .......................................................................................................................... 12 2. FUNDAMENTAÇÃO TEÓRICA..................................................................................... 12 2.1. O QUE É PROJETO? ............................................................................................................ 12 2.2. O QUE É GERENCIAMENTO DE PROJETOS? ....................................................................... 13 2.3. O QUE É RISCO?................................................................................................................. 13 2.4. O QUE É GERENCIAMENTO DE RISCOS? ............................................................................ 13 2.5. O QUE É METODOLOGIA? .................................................................................................. 14 2.6. POR QUE É IMPORTANTE GERENCIAR RISCOS EM PROJETOS ........................................... 14 3. METODOLOGIA DE GERENCIAMENTO DE RISCO .............................................. 15 3.1. HAZOP ............................................................................................................................. 15 3.2. FMEA................................................................................................................................ 24 3.3. ISO 31000.......................................................................................................................... 34 3.4. PMBOK ............................................................................................................................ 54 3.5. MERCADO FINANCEIRO .................................................................................................... 61 4. ANÁLISE COMPARATIVA ENTRE OS MÉTODOS.................................................. 66 4.1. RELACIONAMENTOS ENTRE PROCESSOS .......................................................................... 66 4.2. MATRIZ COMPARATIVA .................................................................................................... 68 5. CONCLUSÕES................................................................................................................... 72

6. POSSÍVEIS DESDOBRAMENTOS............................................................................... 100

7. REFERÊNCIAS BIBLIOGRÁFICAS ........................................................................... 101

8. GLOSSÁRIO .................................................................................................................... 104

LISTA DE FIGURAS E TABELAS Figura 1 Fluxograma de análise de desvio .........................................................................................22 Figura 2 Formulário de registro da análise HAZOP ........................................................................23 Figura 3 Formulário Padrão de FMEA (IQA, 2001) ........................................................................10 Figura 4 Componentes do framework.................................................................................................39 Figura 5 Processos de gestão de risco .................................................................................................46 Figura 6 Processos de gestão de risco .................................................................................................55 Figura 7 Fluxograma de análise de risco de projeto pela metodologia HAZOP ............................84 Figura 8 Formulário de registro da análise HAZOP para gerenciamento de risco em projeto....85

Tabela 1 Palavras-chave da análise HAZOP e respectivos desvios .................................................20 Tabela 2 Palavras-chave da análise HAZOP e respectivos desvios .................................................20 Tabela 3 Critérios de exeqüibilidade sugeridos.................................................................................21 Tabela 4 Índice de ocorrência .............................................................................................................27 Tabela 5 Índice de severidade .............................................................................................................28 Tabela 6 Índice de detecção.................................................................................................................29 Tabela 7 Escala de N.P.R ou RPN (IQA, 2001) .................................................................................29 Tabela 8 Metodologia HAZOP............................................................................................................67 Tabela 9 Metodologia FMEA ..............................................................................................................67 Tabela 10 Metodologia ISO 31000......................................................................................................67 Tabela 11 Metodologia PMBOK.........................................................................................................68 Tabela 12 Metodologia Mercado Financeiro .....................................................................................68 Tabela 13 Principais características da metodologia HAZOP .........................................................69 Tabela 14 Principais características da metodologia FMEA ...........................................................69 Tabela 15 Principais características da metodologia ISO 31000 .....................................................69 Tabela 16 Principais características da metodologia PMBOK ........................................................70 Tabela 17 Principais características das metodologias CreditRisk+ e Credit Portifolio View .....70 Tabela 18 Principais características das metodologias KMV e Credit Metrics .............................71 Tabela 19 Grupo de palavras-chave para análise de desvios do projeto e os respectivos desvios gerados ..................................................................................................................................................81

10

1. INTRODUÇÃO 1.1. Proposta do trabalho Quando falamos em gerenciar projetos, surgem muitos termos em comum, como: escopo, tempo, custo, qualidade, recursos, comunicação, dentre outros. À medida que o tempo passa, vivenciamos experiências e delas extraímos algumas lições. De modo análogo, podemos perceber que gerenciar projetos é um processo em constante evolução, agregando conceitos que muitas vezes já existem, mas que não puderam ser percebidos naquele momento. Esses conceitos lentamente ganham visibilidade por se tornarem comuns em lugares diferentes. Alguns deles são vistos como causas de sucesso ou de fracasso. Surge então uma palavrachave: incerteza. Quando pensamos sobre incerteza, frequentemente a associamos ao azar, à chance de algo dar errado e a algo ruim que possa acontecer. Culturalmente, tendemos a falar de incertezas sobre o risco que representa em nossas escolhas. Então risco torna-se algo ruim, que deve ser evitado. Mas afinal, risco também não pode ser visto como a chance de dar certo? Ao gerenciar projetos, é fato que a incerteza representa risco do projeto não acontecer. Naturalmente, pelo processo evolutivo, algumas ferramentas e técnicas foram criadas para evitar que algo ruim aconteça e leve um projeto ao insucesso. Entender e tratar adequadamente os riscos, visando minimizar impactos negativos nas operações das organizações é o principal objetivo do processo de Gerenciamento de Risco. Para a identificação destes impactos, existem algumas metodologias de análises ou ferramentas de gerenciamento de risco e cada uma dessas ferramentas possui origens diferentes e se desenvolveram sob pontos de vistas, necessidades e percepções diferentes, por pessoas que pensam e sentem de forma diferente. A escolha de uma boa metodologia de análise de risco, adaptada às necessidades da organização, é um dos requisitos chaves para o sucesso deste processo. As análises de risco são feitas, basicamente, sobre análises probabilísticas. Os primeiros estudos de registros surgiram no século XVII na Inglaterra. Estes estudos foram conduzidos por John Graunt, considerado o precursor da teoria da amostragem (SALLES JR. et al., 2006). No século XIX, com o nascimento da curva de Gauss ou curva normal, foi possível coletar

11

dados, estudar sua distribuição e projetar o futuro de forma sistemática, permitindo que possamos decidir se devemos ou não correr certo risco (SALLES JR, 2006). O surgimento destas metodologias se deu, basicamente, com o aprofundamento dos estudos de probabilidade e estatística e com a necessidade do homem em preservar grandes investimentos, sejam eles de recursos financeiros, humanos, materiais ou qualquer outro recurso limitado de alguma forma, e principalmente, durante e após a 2ª Guerra Mundial, período da Guerra-Fria, tempos em que o inimigo era poderoso e os recursos escassos. Neste período, não havia tempo a perder, pois essa poderia ser a diferença entre a vitória e a derrota. Os contratempos em decorrência de incertezas tinham que ser minimizados ou, melhor, eliminados, quando possível. Os grandes projetos governamentais desse período foram a gêneses da gestão de risco. Algumas das metodologias, hoje empregadas na gestão de riscos, surgiram de adaptações e aperfeiçoamentos de metodologias desenvolvidas para projetos deste período. Entretanto, não limitados aos projetos governamentais, algumas indústrias e setores da economia, utilizando-se do conceito de prevenção desenvolvido e disseminado no referido período, criaram metodologias próprias para a prevenção e mitigação dos efeitos dos eventos inesperados ou não previstos. Alguns setores, mais recentemente, têm desenvolvido metodologias para aproveitamento de incertezas boas, as oportunidades, porém a grande maioria dos métodos foca nas incertezas ruins, os desvios nos processos ou ocorrências de eventos não esperados. Entenda-se por evento não esperado todo evento não projetado, determinado ou descrito para ocorrer a determinado tempo e em uma determinada etapa do processo/projeto. Como existem inúmeros métodos para análise de riscos, este trabalho selecionou as metodologias que favorecem estas análises e suas correlações com prática de projetos. A familiaridade com as metodologias e a consolidação em seus setores de origem também foram levados em consideração para a escolha. Frente à necessidade de se compilar comparações entre elas em um só trabalho, uma vez que tal tema não é recorrente na literatura, este trabalho permitirá responder algumas questões levantadas na prática de Gestão de Riscos e Gestão de Projetos.

12

1.2. Objetivo Considerando as metodologias HAZOP, FMEA, ISO 31000, PMBOK e Mercado Financeiro, este trabalho tem por objetivo endereçar as seguintes questões: • Qual a aplicabilidade de cada metodologia? • Quais as vantagens e desvantagens? • Qual o favorecimento da análise de riscos para projetos? • Qual a complexidade? • Há correlação com práticas de projetos? Para que seja possível responder estas questões, primeiramente, será feita a análise e o detalhamento das metodologias propostas para o estudo e, posteriormente, a respostas aos questionamentos propostos. Estes são alguns dos objetivos que este trabalho pretende esclarecer, visando o auxilio das próximas turmas na compreensão da disciplina de gestão de risco e na ampliação da bibliografia disponível. Entendemos que é possível se aprofundar nestas análises, inclusive, com a proposição de uma nova metodologia que congregue os pontos fortes de cada uma delas e que seja alinhada com as boas práticas disseminadas pelo Project Management Institute (PMI).

2. FUNDAMENTAÇÃO TEÓRICA 2.1. O que é projeto? “Projeto é um esforço para se atingir um objetivo específico por meio de um conjunto único de tarefas inter-relacionadas e da utilização eficaz de recursos” (GIDO e CLEMENTS, 2007, p. 4, apud DOMINGUES, 2008, p.13).

Segundo a definição do PMI (PMI, 2004, p. 21), “projeto é um esforço

temporário

empreendido para criar um produto, serviço ou resultado exclusivo”. O objetivo do projeto é alcançar e satisfazer os objetivos que os stakeholders aceitaram quando o projeto foi iniciado (HELDMAN, 2005, p. 3, apud DOMINGUES, 2008, p.13).

13

2.2. O que é gerenciamento de projetos? “O Gerenciamento de Projetos é a aplicação de conhecimento, habilidades, ferramentas e técnicas às atividades do projeto a fim de atender aos seus requisitos.” (PMBOK, 2004).

Em outras palavras, a gestão de projeto envolve primeiramente um planejamento, seguido da execução deste plano para se atingir o objetivo do projeto. Os gerentes de projetos se deparam com a tripla restrição ao atendimento das necessidades dos stakeholders de seus projetos, onde o escopo, o custo e o tempo têm que ser balanceados e atendidos para que a qualidade não seja afetada. Estes fatores estão intimamente relacionados, sendo que se algum for alterado, pelo menos outro deverá também ser afetado. 2.3. O que é risco? “O risco do projeto é um evento ou condição incerta que, se ocorrer, terá um efeito positivo ou negativo sobre pelo menos um objetivo do projeto, como tempo, custo, escopo ou qualidade...” (PMBOK, 2004)

Risco é a incerteza da ocorrência de um evento não projetado, determinado ou descrito para ocorrer a determinado tempo e em uma determinada etapa do processo/projeto, seja esse evento conhecido ou não, podendo como conseqüência da sua ocorrência, gerar ganhos ou perdas ao processo/projeto. 2.4. O que é gerenciamento de riscos? O gerenciamento de riscos trabalha com a identificação e controle de possíveis incertezas. Se quisermos ter um domínio sobre acontecimentos futuros, devemos prevê-los através da disponibilidade de informações: • quando todas as informações são conhecidas, há a certeza absoluta. Se há plena ciência, isso não é classificado como risco e sim como um caso já conhecido; • quando se detém informações parciais, há a incerteza e há um risco de ocorrer ou não; • quando não há nenhuma informação disponível, temos a total incerteza, portanto, riscos estarão associados (SALLES JR., 2006, p. 24).

14

Referente ao conceito de risco em gerenciamento de projetos, o PMBOK o define como sendo “um evento ou condição incerta que, se ocorrer, terá um efeito positivo ou negativo sobre pelo menos um objetivo do projeto, como tempo, custo, escopo ou qualidade” (PMI, 2004, p. 8). Com isso, o PMBOK especifica que “o objetivo do gerenciamento de riscos do projeto é aumentar a probabilidade e o impacto dos eventos positivos e diminuir a probabilidade e o impacto dos eventos adversos ao projeto” (PMI, 2004, p. 237). De nada adianta elaborar um plano de gerenciamento de riscos e não colocá-lo em prática, ou seja, deixá-lo arquivado. De maneira geral, a gerência de riscos é constituída de cinco etapas, as quais devem ser integralmente seguidas: • identificar e documentar os riscos; • analisar (qualitativamente e/ou quantitativamente) e estabelecer prioridades; • elaborar um plano de ações (respostas aos riscos); • monitorar e controlar este plano; • realizar revisões do plano de maneira a assegurar que as mudanças ocorridas durante a execução do projeto sejam incorporadas.

2.5. O que é metodologia? Metodologia é o estudo dos métodos ou então as etapas a seguir de um determinado processo (WIKIPEDIA, 28/03/2011). No âmbito deste estudo a melhor definição é a de seguir as etapas de um processo, pois serão detalhadas ao longo do trabalho o passo-a-passo de cada uma das metodologias identificadas para o trabalho.

2.6. Por que é importante gerenciar riscos em projetos De acordo com (SALLES JR, 2006, p 25), neste ambiente existe uma bela reflexão sobre o assunto:

15

“Eu não me preocupo com as coisas que sei que não sei, Eu só me preocupo com as coisas que não sei que não sei. Porque as coisas que sei que não sei, é fácil – é só procurar que vou saber. Porém, as coisas que não sei que não sei, não tenho nem por onde começar!” (Einstein, circa 1940)

Em suma, a importância de se gerenciar os riscos do projeto propicia a preparação para a ocorrência das incertezas. Se for maléfica, será possível reduzir os seus efeitos e/ou a probabilidade de sua ocorrência; se for benéfica, poder-se-á otimizar os seus efeitos e/ou a probabilidade de ocorrência.

3. METODOLOGIA DE GERENCIAMENTO DE RISCO 3.1. HAZOP Esta metodologia, segundo (WIKIPÉDIA, 2011), surgiu em 1963 na HEAVY ORGANIC CHEMICAL DIVISION OF IMPERIAL CHEMICAL INDUSTRIES – ICI, (Divisão de Química Orgânica Pesada da ICI, em tradução livre), à época, a maior indústria química britânica e uma das maiores do mundo. Neste período, no intuito de determinar melhorias no processo fabril, uma equipe de 3 pessoas se reunia 3 vezes por semana durante 4 meses para estudar o projeto de uma nova planta industrial de fenol. O grupo iniciou os estudos aplicando a técnica de “análise crítica” na busca por melhorias no projeto da nova planta, entretanto, com o desenvolvimento das atividades e com a maturidade desenvolvida, mudaram o foco para identificação e determinação de soluções para os possíveis “desvios” do projeto. Posteriormente, após estas adaptações, o método foi redefinido pela ICI e adotou-se a nomenclatura “estudos de operacionalidade” e, em um terceiro momento, quando vislumbradas novas possibilidades para o estudo, introduziu ao método a “análise de perigo”, surgindo o HAZOP (Hazard and Operability Studies) ou, em tradução livre, estudo de perigos e operacionalidades. De acordo com (REIS, 2008) a metodologia HAZOP é uma técnica de análise qualitativa desenvolvida com o intuito de examinar as linhas de processo, identificando perigos e prevenindo problemas. Esta metodologia é baseada em um procedimento que gera perguntas de maneira estruturada e sistemática através do uso apropriado de um conjunto de palavraschave aplicadas a pontos críticos do sistema em estudo.

16

Ainda de acordo com o (KLETZ, 2006), HAZOP é um estudo estruturado e sistemático de processos em planejamento, existentes ou em operação, no intuito de identificar e avaliar problemas que podem representar riscos às pessoas, equipamentos e/ou a eficiência da operação. Esta técnica é amplamente empregada na indústria, principalmente, na indústria química, onde se originou, porém devido a sua simplicidade e eficácia na identificação dos riscos, pode ser aplicada em outros setores da economia. Além disso, com adaptação, pode ser aplicada à gestão de projetos nas áreas de conhecimentos do PMBOK. Segundo (SMITH, 2006), em tradução livre, as três questões básicas do HAZOP, são: “O que poderia sair errado?” (What could go wrong?); “Como poderíamos saber disso?” (How would we know it?); “O que poderíamos fazer com relação a isso?” (What could we do about it?) O estudo de perigo e operacionalidade (HAZOP) se propõe a responder estas questões, pois a análise é feita com base em informações específicas levantadas pelos participantes do projeto no grupo de estudo formado para a aplicação da técnica. Esta etapa será detalhada em tópico específico posteriormente. 3.1.1 Aplicação da metodologia HAZOP O HAZOP se aplica tanto a processos existentes quanto a novos, independentemente do tamanho. Conforme (ALBERTON, 1996) “O método HAZOP é principalmente indicado quando da implantação de novos processos na fase de projeto ou na modificação de processos já existentes. Vale ressaltar que o HAZOP é conveniente para projetos e modificações tanto grandes quanto pequenos.” Inicialmente desenvolvido para a análise dos sistemas de processos químicos, foi posteriormente estendido a outros tipos de sistemas e também para operações mais complexas e de sistemas de software. (WIKIPEDIA, 2011) Em suma, sempre que se desejar identificar e se precaver de desvios em processos já consolidados ou não, pode-se utilizar o HAZOP. 3.1.2 Passos para execução do HAZOP

17

Devido às limitações bibliográficas, este trabalho foca o desenvolvimento da metodologia na sua área de criação, a indústria química. A bibliografia disponível em português sobre o tema é muito limitada e as fontes em língua inglesa, em sua maioria, são focadas na indústria química e/ou petroquímica. Primeiramente, forma-se o grupo que analisará os possíveis desvios do processo. Segundo (KLETZ, 2006), HAZOP é uma metodologia desenvolvida em grupo. Para um novo projeto, a equipe usual na indústria química é formada por: Engenheiro de Projeto ou Projetista: • Normalmente um engenheiro mecânico e, na fase inicial do projeto, o responsável por manter o orçamento. O engenheiro de projeto deseja minimizar as alterações, mas, ao mesmo tempo, descobrir o quanto antes se há algum perigo ou problema operacional desconhecido. Engenheiro de Processo • Normalmente o engenheiro químico que desenvolveu o fluxograma. Gerente de Comissionamento • Normalmente um engenheiro químico que terá que iniciar e operar a planta e, portanto, tenderá a pressionar por toda mudança que facilitará sua atividade. Engenheiro projetista do sistema de controle • As modernas instalações industriais possuem sofisticados sistemas de controle, monitoramento e automação. O resultado da análise HAZOP, em muitos casos, resulta na adição desses sistemas. Químico de Pesquisa • Fará parte da equipe se o desenvolvimento de um novo produto químico estiver envolvido. Líder de equipe independente

18

• Um especialista na técnica “HAZOP” e não na instalação industrial. Seu trabalho é garantir que a equipe siga o procedimento. Por se tratar de uma metodologia que tem como definição identificar os perigos dos processos, caso o líder não tenha um bom nível de conhecimento sobre a segurança do trabalho e não haja nenhuma outra pessoa com esse conhecimento, é necessária a presença de um representante com essas características na equipe. Como percebido, os interesses de cada um dos membros da equipe são diferentes e, conseqüentemente, haverá discussões. Uma das funções do líder é tentar balancear as discussões, corrigindo as distorções. “In industry the optimal level of conflit is not zero”, isto é, “Na indústria, o nível ótimo de conflito (discussão) não é zero”. (KLETZ, 2006 apud SIR JOHN HARVEY-JONES)

Ainda, segundo (KLETZ, 2006), caso não haja consenso, o líder deverá considerar o ponto fora de questão - entretanto, na maior parte das vezes a questão é solucionada com a presença de um especialista. Para uma planta industrial já existente, a equipe deve ser formada por pessoas com experiência na referida planta, normalmente formada por: Gerente de Operações • Pessoa responsável pela operação da planta. Encarregado de Operações • Pessoa que realmente sabe o que acontece e não o que se supõe que era para acontecer. Engenheiro de manutenção • Responsável pela manutenção mecânica, o engenheiro de manutenção sabe muitas das falhas que ocorrem. Engenheiro de controle

19

• Responsável pela manutenção dos instrumentos de controle, bem como, pela instalação de novos instrumentos. Gerente de análise de falhas • Responsável pela investigação técnica dos problemas e por transferir os resultados de laboratório para a escala industrial. Líder de equipe independente • Um especialista na técnica “HAZOP” e não na instalação industrial. Seu trabalho é garantir que a equipe siga o procedimento. (KLETZ, 2006), adverte para o tamanho da equipe. A equipe deve ter uma combinação como a descrita acima, mas não deve ser muito grande, uma vez que isso pode atrapalhar o progresso das atividades. Seis ou sete pessoas são geralmente suficientes. Vale observar que em ambos os casos, tanto na implantação de uma nova planta industrial como na ampliação de uma já existente, a equipe deve contar ainda com um redator que auxiliará o líder da equipe nos registros das decisões tomadas nas reuniões. Com relação ao tamanho da equipe, recomenda-se uma equipe mínima de 5 membros e detalha que para a execução do método HAZOP deve-se formar um grupo de estudo multidisciplinar que avaliará os possíveis desvios dos processos do projeto. Quando o projeto for muito complexo ou muito grande, recomenda-se a formação de vários grupos menores, entre 5 a 8 membros cada, sendo que o líder do estudo e o redator deverão ser os mesmos em todos os grupos. A manutenção do líder e do redator em todos os grupos auxilia na compatibilização das soluções dos diversos estudos e no monitoramento das soluções propostas. Uma vez definido o grupo, este analisará os componentes do sistema em pequenas seções e, separadamente, os equipamentos e demais componentes promovendo os possíveis desvios. A comparação dos parâmetros determinados nos projetos com os parâmetros gerados pelos desvios identificados determina o impacto do desvio no processo e, com a identificação das causas e das conseqüências para os possíveis desvios analisados, pode-se determinar as ações a serem tomadas pelo grupo.

20

Posteriormente, para auxiliar na análise, o grupo utiliza uma combinação de palavras-chave com os parâmetros de projeto em estudo. Com isso, têm-se os desvios possíveis para os diversos parâmetros, sendo para (KLETZ, 2006) as palavras-chave apresentadas nas tabelas abaixo: Tabela 1 Palavras-chave da análise HAZOP e respectivos desvios Fonte: HAZOP and Hazan 4ª Edição, KLETZ, T. (2006)

Palavra-chave

Significado

NÃO

Negação completa da intenção do projeto

MAIS

Aumento quantitativo

MENOS

Diminuição quantitativa

PARTE

Modificação qualitativa / redução

ALÉM

Substituição completa

Outros autores acrescentam ao rol de palavras-chave às listadas abaixo: Tabela 2 Palavras-chave da análise HAZOP e respectivos desvios Fonte: WIKIPEDIA, 2011

Palavra-chave

Significado

BEM COMO

Modificação qualitativa / aumento

REVERSO

Oposto lógico da intenção do projeto

PRECOCE

Relativo ao tempo do relógio

TARDIO

Relativo ao tempo do relógio

ANTES

Relativo à ordem ou seqüência

DEPOIS

Relativo à ordem ou seqüência

21

Para determinar se uma solução deve ou não ser registrada e avaliada, devem-se considerar alguns critérios de exeqüibilidade, sendo que (KLETZ, 2006) define algumas perguntas que auxiliam nesta determinação: Tabela 3 Critérios de exeqüibilidade sugeridos Fonte: Adaptação Table 2.4 HAZOP and Hazan 4ª Edição, KLETZ, T. (2006)

Alguns fatores a serem considerados na escolha de uma solução para registro dos resultados do HAZOP. É de fácil utilização? Qual o grau de treinamento requerido? É bem comprovado? Quais são os custos iniciais e os de implantação? Qual a viabilidade e a qualidade do suporte? Atualizações são viáveis? É compatível com outros programas? (inclusive e-mail e internet) Quais outros estudos são considerados? Pode ser personalizado? Como são monitoradas as ações e as mudanças? Pode ser integrado com o arquivo histórico de acidentes? É possível realizar uma pesquisa nos relatórios por palavras especificas? Existe um mecanismo de verificação ortográfica?

Após a formação do grupo, as palavras-chave que formarão os desvios a serem estudados e as perguntas de exeqüibilidades que auxiliarão na aceitabilidade ou não da solução proposta, apresenta-se a seguir o fluxograma da análise dos desvios identificados no sistema.

22

Figura 1 Fluxograma de análise de desvio Fonte: Adaptação Figure 2.1 HAZOP and Hazan 4ª Edição, (KLETZ, 2006)

Como observado acima, este fluxograma é genérico e serve para a análise de todos os possíveis desvios identificados pelo grupo de estudo. O resultado de cada análise é registrado pelo redator, inclusive as responsabilidades de cada setor. O acompanhamento será feito pelo líder, que será o responsável por monitorar a implantação das soluções propostas.

23

3.1.3 Exemplo de formulário HAZOP O formulário abaixo exemplifica como a metodologia HAZOP pode ser aplicada: Título de Estudo:

N.º Projeto:

Elaborado por:

Folha

Equipe de estudo:

Linha do Diagrama: Data:

N.º

de

ref.

Desvio Operacional (Palavra-Chave)

Notas

de

consultas

ações

e

Acompanhamento Responsável e Comentários de Revisão

Figura 2 Formulário de registro da análise HAZOP Fonte: HAZOP and Hazan 4ª Edição, (KLETZ, 2006)

O campo “título de estudo” é o local destinado ao título que identificará o estudo HAZOP realizado. O campo “n.º do projeto” é o local destinado ao código do projeto em estudo, utilizado para equipes.

24

O campo “elaborador por” destina-se a inclusão do redator responsável pelo preenchimento do formulário. O campo “folha” destina-se à identificação da numeração da página do formulário da análise da respectiva “linha do diagrama”. O campo “equipe de estudo” destina-se a relacionar os participantes do grupo de estudos HAZOP, inclusive com a identificação do cargo que ocupava no momento do estudo. O campo “linha do diagrama” destina-se a identificar a seção ou o equipamento ou o componente a que se refere o estudo. O campo “data” é destinado à informação da data em que o estudo HAZOP foi realizado. A coluna “n.º de referência” é a ordenação das análises, isto é, a numeração que identifica o desvio estudado ou na seção ou no equipamento ou no componente. A coluna “desvio operacional” identifica o desvio analisado para aquela etapa. A coluna “notas de ações e consultas” é o local onde se relaciona as ações definidas a serem tomadas para tratar o desvio identificado para aquela etapa do processo (“n.º de referência”). A coluna “responsável” identifica o responsável por implementar as ações propostas na coluna “notas de ações e consultas”. A coluna “acompanhamento e comentários de revisão” é o local que se destina a anotações sobre o status de implementação das ações e as revisões das ações propostas.

3.2. FMEA Em 1949, o exército americano criou um processo formal denominado “Procedures for Performing a Failure Mode, Effects and Criticality Analysis” (Procedimentos para desenvolver uma análise de modo, efeitos e criticidade de falhas), que mais tarde foi denominado FMEA (Failure Mode and Effects Analysis, ou Análise de Modo e Efeito de Falhas). A NASA, por volta dos anos 60, desenvolveu esta técnica para o programa Apollo, com o objetivo de eliminar falhas em equipamentos que não teriam como ser reparados após o lançamento. Em 1972 a Ford introduziu seu uso (FMEA de Processo) na indústria automobilística, difundindo-o na indústria por meio da Norma Q 101 (RAMOS, 2006, p.71).

25

O principal objetivo do FMEA é evitar que problemas cheguem até o consumidor final do produto, sistema, processo ou serviço. Por isso, FMEA provê um método sistemático para examinar todos os modos que uma falha pode ocorrer (STAMATIS, 2003, p. 22, apud DOMINGUES, 2008, p.32). Neste sentido, (RAMOS, 2006, p.71) explica que “a técnica de FMEA foi criada com enfoque no projeto de novos produtos e processos, mas devido a sua grande utilidade, passou a ser aplicada de diferentes formas e em diferentes tipos de organizações”. O FMEA pode ser descrito como uma metodologia sistemática que deve ser aplicada por grupos multidisciplinares, para aumentar, com a agregação e sinergia dos conhecimentos das pessoas envolvidas, o grau de percepção, de análise e de solução das falhas e defeitos (TOLEDO, 2002, apud VIEIRA, 2008). O FMEA surgiu da combinação de cinco técnicas: Kaizen, Brainstorming, Regra de Pareto, Análise de Causa Raiz e Mapeamento de Processo (DAILEY, 2004, p. 6 apud DOMINGUES, 2008, p. 32) e seu uso é requerido pelas normas QS9000, ISO TS 16949, EAQF94, VDA 6.1, AVSQ para projetos e processos de fabricação. O FMEA é atualmente utilizado por indústrias de diferentes ramos como química, automotiva, alimentícia. Conforme o QS9000, FMEA é: 1- Um conjunto de atividades com intuito de identificar e avaliar as falhas potenciais do produto/processo e os efeitos destas falhas; 2- Identificar ações que poderiam eliminar ou reduzir a chance da falha potencial ocorrer; 3-Documentar o processo. Em resumo, o FMEA procura listar todas as possíveis falhas (de produto ou do Processo) e suas causas para que sejam analisadas e tomadas as ações preventivas necessárias. A maior vantagem da utilização do FMEA é a de evidenciar qual é o ponto mais crítico do projeto, com vistas à tomada de ações preventivas para minimizar o impacto dos riscos para cada área de conhecimento do PMBOK: integração, escopo, custos, tempo, qualidade, recursos humanos e comunicação.

Tipos de FMEA Dois tipos de FMEA surgiram desde a sua criação em meados de 1960:

26

FMEA de projeto (dFMEA - design failure modes and effects analysis): na qual são consideradas as falhas que poderão ocorrer com o produto dentro das especificações do projeto. O objetivo desta análise é evitar falhas no produto ou no processo decorrente do projeto. É comumente denominada também de FMEA de produto. FMEA de processo (pFMEA - process failure mode and effect analysis): são consideradas as falhas no planejamento e execução do processo, ou seja, o objetivo desta análise é evitar falhas do processo, tendo como base as não conformidades do produto com as especificações do projeto. O fundamento da metodologia de FMEA é o mesmo, seja para produto ou processo, sistema ou procedimento, para produtos novos ou em operação. O FMEA pode ser personalizado, considerando-se atributos exclusivos de cada projeto. Aplicação e elementos básicos da FMEA A utilização da técnica de FMEA deve ocorrer na melhoria da qualidade dos produtos e processos, desenvolvimento de novo produto ou processo, para reduzir as falhas potenciais de produtos e processos que já estão em operação e ainda, redução da ocorrência de não conformidades em processos administrativos. Passos para execução do FMEA: Esta metodologia avalia as possíveis formas que o produto ou processo podem falhar de maneira lógica e sistemática. O modo como as falhas podem ocorrer são avaliados com base em 3 quesitos: ocorrência, gravidade e detecção. Abaixo, seguem os passos para a execução do FMEA.

• Equipe: a equipe de execução do FMEA deve ter conhecimento de como funciona o método, deve identificar quais as implicações das falhas do item considerado. As equipes de trabalho devem ser formadas durante o planejamento do FMEA, devem ser multidisciplinares e com integrantes de diversas áreas.

• Determinação dos itens: a equipe deverá identificar as etapas/itens com maior número de falhas, quais as etapas críticas do processo;

27

• Definir um formulário padrão do FMEA: o formulário FMEA pode ser adequado considerando atributos exclusivos de cada projeto ou empresa;

• Coleta de informações: para que o preenchimento do formulário seja o mais real possível, deve-se obter o máximo de dados possíveis. FMEA’s realizados anteriormente, registros internos de falhas e demais documentações podem ser utilizados para contribuir com a identificação das falhas;

• Preenchimento do formulário FMEA: as informações registradas deverão ser claras e concisas para facilitar a avaliação e entendimento dos envolvidos;

• Identificação dos tipos de falhas: para auxiliar esta etapa e agrupar as possíveis falhas, pode-se utilizar o diagrama de Ishikawa (“espinha de peixe”);

• Identificação de seus efeitos: Descrição dos efeitos a partir de cada falha ocorrida; • Identificação das causas das falhas: as falhas anteriores, projetos e produtos similares podem auxiliar na identificação;

• Análise das falhas para determinação de índices: para cada falha determina-se um índice de ocorrência, gravidade e detecção. Na avaliação do índice de ocorrência (Tabela 04), são examinados históricos de manutenção, dados do fornecedor, relatórios de falhas, entre outros.

Tabela 4 Índice de ocorrência Fonte: Adaptada de (Helman e Andery, 1995 apud BARASUOL)

ÍNDICE DE OCORRÊNCIA (O) Probabilidade de Índice Ocorrência

Ocorrência

28

1

Remota

Excepcional

2

Muito pequena

Muito poucas vezes

3

Pequena

Poucas vezes

4-6

Moderada

Ocasional

7-8

Alta

Freqüente

9-10

Muito alta

Inevitável

O índice de gravidade ou índice de severidade (Tabela 05) - é analisado o grau de insatisfação que poderá trazer ao cliente. Tabela 5 Índice de severidade Fonte: Adaptada de (Helman e Andery, 1995 apud BARASUOL).

ÍNDICE DE SEVERIDADE (S) Índice

Conceito

1

Falha de menor ocorrência e quase não são percebidos os efeitos sobre o produto ou processo.

2-3

Produto: redução de desempenho. Processo: perda gradual de eficiência.

4-6

Produto: degradação progressiva. Processo: ineficiência, baixa produtividade.

7-8

9-10

Produto: não desempenha sua função. Processo: quase não se consegue manter a produção, baixa eficiência e produtividade. Alta taxa de refugo. Produto: não desempenha sua função. Processo: quase não se consegue manter a

29

produção, baixa eficiência e produtividade. Alta taxa de refugo. 9-10

Processo: não se consegue produzir, colapso. Produto: problemas catastróficos, pode ocasionar danos a bens ou pessoas.

A probabilidade de a falha ser detectada antes de acontecer denomina-se índice de detecção (Tabela 06). Tabela 6 Índice de detecção Fonte: Adaptada de (Helman e Andery, 1995 apud BARASUOL). ÍNDICE DE DETECÇAO (D) Índice

Probabilidade de detecção

1

Muito alta

2-3

Alta (cerca de 90% das vezes)

4-6

Moderada (cerca de 50% das vezes)

7-8

Pequena

9-10

Muito pequena

9

Remota (a falha não pode ser detectada)

• Hierarquização das causas: determinar o RPN (Risk Priority Number) ou NPR: para tal, multiplicam-se entre si os índices de ocorrência, gravidade e detecção. A causa que tiver o maior RPN deve ser atacada primeiramente, e assim por diante. Tabela 7 Escala de N.P.R ou RPN (IQA, 2001) N.P.R.

Critério de priorização para tomada de ação

Alto

Prioridade zero. Item vulnerável e importante.

30

(acima de 100)

Requer ações preventivas.

Médio

Prioridade um. Item vulnerável. Requer ações

(de 50 a 100)

preventivas ou corretivas.

Baixo

Prioridade dois. Item pouco vulnerável. Podem ser

(de 1 a 50)

tomadas ações preventivas ou corretivas.

• Resposta aos riscos: Deve-se elaborar um plano de ação para cada falha, atacando primeiramente as falhas com maior risco e estabelecer respectivas ações para prevenilas. O plano de ação visará reduzir a probabilidade de ocorrência da falha, reduzir a sua gravidade e aumentar a probabilidade de detecção.

Ainda, as ações podem envolver diferentes estratégias para se lidar com os riscos, como: • Aceitar o risco da falha, dependendo do seu impacto x custo de prevenção. • Tomar medidas para prevenção total da falha. • Tomar medidas para redução da ocorrência falha ou da causa da falha. • Tomar medidas para aumentar a probabilidade de detecção da falha. • Tomar medidas para reduzir o efeito da falha. Exemplos de formulário FMEA

Figura 3 Formulário Padrão de FMEA (IQA, 2001)

31

A “função” - Expressam o que o projeto, processo ou serviço deve fazer para satisfazer o cliente. Um “modo de falha” é a maneira pela qual um processo pode falhar potencialmente em atender aos requisitos de produto ou processo descrito na coluna função. Os “Efeitos da falha” é a descrição das conseqüências do modo de falha, isto é, o que o cliente sofre quando o modo de falha, definido no elemento anterior, ocorre. As “Causas da falha” - são as deficiências do projeto que podem resultar no modo de falha em questão e devem ser listadas de forma a permitir ações preventivas para cada uma delas. A “Severidade ou Gravidade” é o grau de seriedade/importância de cada efeito da falha potencial. A severidade é normalmente medida em uma escala de 1 a 10. O número 1 indica que o efeito não é sério aos olhos do cliente ou que o cliente talvez nem perceba o efeito. O número 10 reflete os piores efeitos e conseqüências resultantes do modo de falha. As definições correspondentes aos números na escala de severidade que aparecem na Tabela 05 servem como um guia para o desenvolvimento de uma escala específica à organização. A “Ocorrência” é a probabilidade de ocorrência da causa da falha potencial. A ocorrência é a freqüência com que o modo de falha ocorre durante o ciclo de vida do projeto. A ocorrência é estimada através de uma escala de 1 a 10. O número 1 indica uma chance remota do modo de falha ocorrer. O número 10 reflete a ocorrência certa do modo de falha. As definições que aparecem na Figura 3 servem como um guia para o desenvolvimento de uma escala específica à organização. Uma redução no índice de ocorrência somente ocorre quando uma ou mais das causas do modo de falha são removidas ou controladas. A “Detecção” é a probabilidade de a causa da falha potencial ser identificada antes de a falha chegar ao cliente. A detecção é a estimativa da probabilidade de se detectar o modo de falha ou a causa, no ponto previsto e com a precisão e exatidão necessária, baseando-se nas formas de controle previstas. A detecção é estimada através de uma escala de 1 a 10. O número 1 sugere que esse modo de falha ou suas causas certamente serão detectados antes de chegarem ao cliente. O número 10 sugere que a forma mais provável de a organização tomar conhecimento do problema ocorre com a reclamação do cliente.

32

A escala de detecção que aparece na Tabela 06 serve como um guia e deve ser ajustada, a fim de se adequar a cada organização. Para alcançar um índice de detecção menor, o planejamento do controle do projeto tem de ser melhorado. NPR = Severidade x Ocorrência x Detecção É o produto dos índices de severidade, ocorrência e detecção, conforme a fórmula (IQA, 2001): NPR = N severidade * N ocorrência * N det ecção Onde: NPR

Número de prioridade do risco;

N severidade Índice de severidade do modo de falha; N ocorrência Índice de ocorrência do modo de falha; N det ecção Índice de detecção do modo de falha ou causa. Dentro do escopo da FMEA este valor ficará entre 1 e 1000 e poderá ser usado para priorizar as deficiências do projeto. Uma sugestão de tabela de prioridade é apresentada na tabela 07. “Ações Recomendadas” são as ações recomendadas para evitar a ocorrência da falha antes da concepção do produto/processo. Todas as ações recomendadas devem ser implementadas ou adequadamente abordadas. Esta é uma das principais colunas do FMEA é deve ser preenchida para assegurar que serão tomadas ações para evitar a ocorrência da falha potencial. Esta coluna indica que houve realmente análise sobre os riscos identificados.

Responsável e Prazo É a pessoa, equipe ou organização que executará a ação recomendada no elemento anterior dentro do prazo estabelecido pela equipe do projeto.

33

Resultados da Ação É uma breve descrição da ação realizada, com a data de sua efetivação e com os novos índices resultantes (severidade, ocorrência e detecção). Controles Atuais Os controles são as formas de prevenção e detecção de cada modo de falha, estes são estrategicamente colocados no processo de desenvolvimento do projeto, a fim de detectar possíveis problemas que foram previstos pela equipe e impedir que estes evoluam para as fases subseqüentes. Utilização da FMEA para Gestão de Riscos em Projetos O FMEA pode ser aplicado para cada área de conhecimento do PMBOK, com o objetivo de se evitar que algum problema em alguma das áreas passe despercebido. As áreas de conhecimento devem ser informadas na coluna das funções no formulário de FMEA, sendo, desta forma, a base para identificação dos modos de falhas, efeitos e causas. Uma desvantagem do FMEA para o gerenciamento de riscos é que ele foi concebido para encontrar problemas potenciais no projeto, sistema ou processo, o que acaba excluindo seu uso como ferramenta para análise de riscos positivos. Após o início de sua aplicação, o FMEA deverá ser atualizado e revisto sempre que necessário, pois novas falhas passam a ser conhecidas e previstas (devido às alterações de critério de qualidade por parte dos clientes, alterações de fornecedores e propostas vindas através de serviços de atendimento ao cliente). FMEA possui um enfoque genérico, o que lhe permite cobrir as mais diversas áreas e situações. O FMEA é um formulário que pode – e deve – ser personalizado para cada situação, projeto ou empresa. É composto por tabela e índices de classificação sucintos e objetivos, o que o caracteriza como uma técnica simples, eficiente, de fácil compreensão e implantação. Alguns autores sugerem que para a utilização de FMEA na gestão de riscos em projetos, fazse necessário registrar no formulário FMEA: a estratégia de resposta ao risco, responsável / prazo implementação, status da execução das ações recomendadas a cada revisão da FMEA.

34

3.3. ISO 31000 Dois mil e nove foi o ano da padronização na área da gestão de riscos, tanto no mundo como no Brasil. Uma empreitada que começou em 2005, em Tókio, no Japão, culminou em 2009 com o lançamento da ISO 31000. A primeira norma internacional da história sobre Gestão de Riscos ISO 31000:2009 - Risk management - principles and guidelines (Gestão de riscos princípios e diretrizes), um documento de apenas 24 páginas, podendo ser adotado por organizações de todos os tipos e tamanhos, e de qualquer setor de atividade (indústrias, instituições financeiras, órgãos públicos, hospitais, etc). O texto original da ISO 31000 foi baseado na norma AS/NZS 4360:2004. O desenvolvimento da norma internacional foi feito por um comitê especial composto por delegações de 35 países que se uniram para criar um grupo de trabalho único denominado ISO Technical Management Board on Risk Management. No Brasil, a ABNT (Associação Brasileira de Normas Técnicas) criou a Comissão de Estudo Especial de Gestão de Riscos (CEE 63), com mais de 100 empresas e entidades de diferentes setores, com o intuito de discutir e definir a norma. A ISO 31000 surgiu da necessidade de harmonizar padrões, regulamentações e frameworks já publicados que estavam relacionados com a gestão de riscos. A origem da norma vem da necessidade das corporações de lidar com as incertezas que podem afetar os seus objetivos, suas iniciativas estratégicas, suas atividades operacionais, seus processos ou seus projetos. Por isso, a norma pode ser aplicada aos vários tipos de riscos de diferentes setores da organização, tais como financeiro e de projetos, saúde, entre outros, incluindo a visão moderna de que risco também é oportunidade. A proposta de convergência está alinhada com a visão integrada de ERM – Enterprise Risk Management. Portanto, por se tratar de uma norma de alto nível, não há concorrência com as normas já existentes, pois a ISO 31000 fornece orientações e alinhamento com outras normas específicas. A ISO 31000 surge também para integrar as diversas metodologias e terminologias, pois faltava um consenso em relação à terminologia e aos conceitos utilizados para a gestão de riscos. O resultado mais comum dessa equação é que a gestão de riscos acaba sendo tratada de forma isolada, fazendo com que vários gestores (saúde, meio ambiente, segurança de TI, jurídico, financeiro, seguros, entre outros) trabalhem em ilhas departamentais, o que ocasiona a utilização de terminologias, sistemas, critérios e conceitos diferentes para cada uma das

35

áreas da empresa. Ou seja, cada departamento não possui o denominado “impacto cruzado”, pois não enxerga o impacto do risco que está estudando em outras áreas ou processos. A ISO 31000 possui um processo consistente e uma estrutura abrangente para ajudar a assegurar um gerenciamento de risco de forma eficaz, eficiente e coerente. Por esta razão, a abordagem é genérica fornecendo os princípios e diretrizes para gerenciar qualquer forma de risco de uma maneira sistemática, transparente e confiável, dentro de um escopo e contexto definido pela organização. Segundo estipula a própria ISO 31000, ela é destinada ao seguinte público alvo: a) responsáveis pelo desenvolvimento da política de gestão de riscos no âmbito de suas organizações; b) responsáveis por assegurar que os riscos são eficazmente gerenciados em toda a organização ou em uma área, atividade ou projeto específico; c) aqueles que precisam avaliar a eficácia de uma organização em gerenciar riscos; d) desenvolvedores de normas, guias, procedimentos e códigos de práticas que, no todo ou em parte, estabelecem como o risco deve ser gerenciado dentro do contexto específico desses documentos. A gestão de riscos já faz parte das práticas e processos de gestão de muitas organizações, embora não de maneira plena. Não é preciso que exista um centro de excelência corporativa em Gestão de Riscos na empresa, para que se faça uma análise crítica das práticas e processos existentes. Uma distinção interessante que a norma faz é entre os termos “gerência de riscos” e “gerenciamento de riscos”. A “gerência de riscos” trata da arquitetura (princípios, framework e processos) para o gerenciamento dos riscos, enquanto que o “gerenciamento de riscos” se refere à aplicação dessa arquitetura para tratar riscos particulares. A norma possui o seguinte índice de conteúdo (ISO 31000, 2009): Introdução 1. Escopo 2. Termos e Definições

36

3. Princípios 4. Estrutura (Framework) 5. Processos 6. Anexos: Atributos da gestão de riscos avançada 3.3.1 Escopo A ISO 31000 estabelece os princípios e orientações genéricas sobre a gestão de risco, podendo ser utilizada por qualquer empresa pública, privada, associação, grupo ou indivíduo. Assim, esta norma não é específica para alguma indústria ou setor, podendo ser aplicada em toda a organização e em um vasto leque de necessidades, incluindo as estratégias e decisões de operações, processos, funções, projetos, produtos e serviços. A norma pode ser aplicada a qualquer tipo de risco, seja qual for a sua natureza, mesmo de consequências positivas ou negativas. Ela foi criada com o objetivo de harmonizar os processos de gestão de risco nas normas existentes e futuras. A ideia é que a norma ofereça uma abordagem comum de apoio às normas existentes que tratam de riscos específicos para alguns setores, porém não para substituí-las, mas sim para suportá-las. Finalmente, também está definido no escopo que essa norma não se destina para fins de certificação. 3.3.2 Termos e definições A norma ISO 31000 não tinha por objetivo padronizar as terminologias de gestão de riscos, pois já existia uma norma anterior, denominada ISO Guide 73, que criou uma linguagem comum, definindo vocabulário, terminologia e conceitos genéricos que se aplicam a todas as áreas e setores no gerenciamento de riscos. No Brasil, ambas as normas foram traduzidas e publicadas pela ABNT em 30 de novembro de 2009, como normas brasileiras: ABNT NBR ISO 31000 (contendo 24 páginas) e ABNT ISO Guia 73 (contendo 12 páginas). Outra norma relacionada à ISO 31000 é a norma ISO/IEC 31010:2009 “Risk management – Risk assessment techniques” ou, em português, Gestão de riscos – Técnicas de avaliação de riscos, que entrou oficialmente em vigor no dia 1º de dezembro de 2009. Essa norma ISO 31010 não se destina nem à certificação nem a usos regulatórios ou contratuais, mas fornece orientação detalhada sobre a seleção e aplicação de técnicas sistemáticas qualitativas e quantitativas de avaliação de riscos.

37

3.3.3 Princípios A ISO estabelece una lista de 11 princípios que devem ser compreendidos e difundidos por toda a organização, como forma de suportar um gerenciamento de risco eficaz na empresa. 1.

A gestão de riscos cria e protege valor. •

A gestão de riscos contribui para a realização dos objetivos e melhoria do desempenho, por exemplo, saúde e segurança humana, segurança, conformidade legal e regulamentar, proteção ambiental, qualidade do produto, gerenciamento de projetos, eficiência nas operações, governança e reputação.

2.

A gestão de riscos é parte integrante de todos os processos organizacionais. •

A gestão de riscos não é uma atividade autônoma, separada das principais atividades e processos da organização. A gestão de riscos é parte integrante de todos os processos organizacionais, incluindo planejamento estratégico e todos os processos de gestão da mudança.

3.

A gestão de riscos é parte do processo decisório. •

A gestão de riscos ajuda no processo de tomada de decisões, uma vez que as decisões serão tomadas com base nas melhores informações disponíveis, tendo maior chance de sucesso ou fracasso na priorização das ações e alternativas.

4.

A gestão dos riscos aborda explicitamente a incerteza. •

A gestão de riscos tem em conta explicitamente a incerteza e como ela pode ser abordada para minimizar prejuízos ou maximizar os lucros.

5.

A gestão de riscos é sistemática, estruturada e oportuna. •

Uma abordagem sistemática, oportuna e estruturada de gestão de riscos contribui para a eficiência e resultados confiáveis.

6.

A gestão de riscos é baseada na melhor informação disponível. •

As entradas para o processo de gerenciamento de risco são baseadas em fontes de informação, tais como dados históricos, experiências, observações dos envolvidos,

38

previsão e julgamento de especialistas. No entanto, os tomadores de decisão devem levar em consideração eventuais limitações dos dados ou da modelagem utilizada, uma vez que existe a possibilidade de divergência entre as informações previstas e o que irá realmente ocorrer. 7.

A gestão de risco é alinhada com o perfil da empresa. •

A gestão de riscos está alinhada com o contexto externo e interno da organização, além do perfil de risco (moderado ou arriscado).

8.

A gestão de riscos leva os fatores humanos e culturais em consideração. •

A gestão de riscos deve identificar capacidades, percepções e intenções das pessoas internas ou externas à organização que podem facilitar ou dificultar a realização dos objetivos planejados.

9.

A gestão de riscos deve ser transparente e inclusiva. •

O adequado envolvimento e a participação dos responsáveis por tomarem decisões na organização garantem que a gestão de risco é pertinente e adequada. Responsáveis por processos críticos também devem ser envolvidos para que a sua opinião seja levada em consideração na identificação e tratamento dos riscos.

10.

A gestão de riscos é dinâmica, interativa e receptiva às mudanças. •

Como eventos externos e internos podem ocorrer, ocasionando a mudança do contexto, deve haver uma revisão sistemática da gestão dos riscos para acompanhar e detectar essas mudanças.

11.

A gestão de riscos facilita a melhoria contínua da organização. •

As organizações devem desenvolver estratégias para melhorar a sua maturidade em gerenciamento de riscos junto com todos os outros processos da organização.

3.3.4 Estrutura (framework) 3.3.4.1 Introdução

39

O sucesso da gestão de riscos depende de como irão incorporá-la através de toda a organização, em todos os níveis. O framework descreve os componentes necessários para gerenciar riscos e as formas como eles se relacionam. A figura a seguir ilustrar os componentes do framework de gestão de riscos a ser adotado pela organização: •

Mandato e comprometimento;



Concepção da estrutura para gerenciar riscos;



Implementação da gestão de riscos;



Monitoramento e análise crítica;



Melhoria contínua da estrutura.

Figura 4 Componentes do framework De acordo com a ISO, o framework não se destina a especificar um sistema de gestão, mas sim a ajudar as organizações a integrar a gestão de risco em seu sistema de gestão global. Portanto, as organizações devem adaptar os componentes do framework às suas necessidades específicas para que as práticas de gestão da organização e os processos existentes incluam os componentes de gestão de risco para determinados riscos ou situações.

40

3.3.4.2 Mandato (pela diretoria) e comprometimento (pelos demais níveis) A introdução da gestão de riscos na organização e o suporte à sua eficácia exigem forte comprometimento da alta administração, bem como o planejamento estratégico e rigoroso para atingir o empenho de todos os níveis organizacionais. A administração deve: •

definir e aprovar a política de gestão de risco;



garantir que a cultura da organização e a política de gestão de risco estejam de acordo;



determinar indicadores de desempenho da gestão de riscos que se alinham com os indicadores de desempenho da organização;



alinhar os objetivos de gestão de riscos com os objetivos e estratégias da organização;



assegurar a conformidade legal;



atribuir responsabilidades em níveis apropriados para os departamentos da organização;



garantir que os recursos necessários estejam alocados à gestão de riscos;



comunicar os benefícios da gestão de riscos a todos os interessados;



garantir que a gestão de riscos continua a ser apropriada.

3.3.4.3 Concepção da estrutura para gerenciar riscos 3.3.4.3.1 Entendimento da organização e seu contexto Antes de iniciar o projeto e implementação da estrutura de gestão do risco, é importante avaliar e compreender tanto o contexto externo como o contexto interno da organização. A avaliação do contexto externo da organização pode incluir: •

o ambiente social e cultural, jurídico, regulamentar, financeiro, tecnológico, económico, natural e competitivo, seja internacional, nacional, regional ou local;



principais tendências que podem ter impacto sobre os objetivos da organização;

41



relacionamentos e percepções das partes interessadas externas.

Já a avaliação do contexto interno da organização pode incluir: •

governança, estrutura organizacional, papéis e responsabilidades na organização;



políticas, objetivos e estratégias definidas para a organização;



pontos fortes da organização, em termos da capacidade dos recursos e seus conhecimentos (por exemplo: capital para investir, tempo, pessoas, processos, sistemas e tecnologias);



sistemas de informação, fluxos de informação e processos de decisão (formais e informais);



relações entre os diversos envolvidos pela gestão de riscos e a cultura da organização;



normas, diretrizes e modelos adotados pela organização;



modelo utilizado para as relações contratuais.

3.3.4.3.2 Estabelecer uma política de gestão de risco A organização deve ter uma política de gestão de riscos aprovada pela alta direção da corporação, caso essa ainda não exista. A política de gestão de risco deve indicar claramente os objetivos da organização e normalmente aborda os seguintes temas: •

justificativa da organização para o gerenciamento de risco;



relacionamentos entre os objetivos da organização e as políticas de gestão de riscos;



responsabilidades e competências para o gerenciamento de risco;



processo que determina como os interesses conflitantes serão tratados;



compromisso de tornar disponíveis os recursos necessários à gestão de risco;



processo que determina como o desempenho da gestão de riscos será medido;

42



compromisso de rever e melhorar a política de gestão de riscos em resposta a um evento ocorrido.

A política de gestão de risco deve ser comunicada de forma apropriada. 3.3.4.3.3 Responsabilidade A organização deve assegurar que haja responsabilidades, autoridades e competências adequadas para o gerenciamento de riscos, incluindo a implementação e manutenção do processo de gestão de riscos. Deve ser assegurada a adequação, a eficácia e a eficiência dos controles que medem o desempenho da gestão de riscos. Isso pode ser facilitado pelas seguintes definições de responsabilidade: •

identificar os proprietários dos riscos, que terão a responsabilidade e a autoridade para gerenciá-los;



identificar quem é responsável pelo desenvolvimento, implementação e manutenção do framework de gestão de risco;



identificar as responsabilidades das pessoas em todos os níveis da organização que estejam relacionadas aos projetos ou atividades do processo de gestão de riscos;



responsáveis pela medição do desempenho e a emissão de relatórios.

3.3.4.3.4 Integração em processos organizacionais A gestão de riscos deve ser incorporada em todas as práticas de organização e nos seus processos de forma eficiente. O gerenciamento de riscos deve fazer parte dos processos organizacionais, e não ser um processo separado dos demais. Em particular, a gestão de riscos deve ser incorporada no planejamento estratégico e na política dos negócios, principalmente nos processos de mudanças. Deve haver um plano de gestão de risco em toda a organização para assegurar que a política de gestão de riscos é implementada e que a gestão de riscos faz parte de todas as práticas organizacionais e seus processos. O plano de gerenciamento de risco pode ser integrados em outros planos organizacionais, tais como o planejamento estratégico.

43

3.3.4.3.5 Recursos A organização deve alocar recursos adequados para a gestão de riscos, considerando os seguintes pontos: •

pessoas, habilidades, experiência e competência que são necessárias para a efetiva gestão de riscos;



recursos necessários para cada etapa do processo de gestão de risco;



processos, métodos e ferramentas a serem utilizadas para o gerenciamento de risco;



processos e procedimentos organizacionais devem estar documentados;



sistemas de informação e sistemas de gestão do conhecimento devem ser utilizados para suportar a gestão de riscos;



programas de treinamentos devem estar previstos.

3.3.4.3.6 Estabelecer a comunicação interna e os mecanismos de comunicação A organização deve estabelecer a comunicação interna e os mecanismos que serão utilizados para essa comunicação de forma a apoiar e incentivar o controle das responsabilidades e a propriedade dos riscos. Esses mecanismos devem assegurar que: •

a estrutura de gerenciamento de risco deve ser comunicada de forma adequada;



relatórios internos adequados sobre a eficácia dos processos e os resultados obtidos no gerenciamento dos riscos;



informações relevantes derivadas da aplicação de gestão de riscos deve estar disponíveis aos interessados nos momentos certos e em níveis apropriados;



deve existir um processo de consulta com as partes internas, incluindo formas de consolidar as informações sobre os riscos e sua sensibilidade.

44

3.3.4.3.7 Estabelecer a comunicação externa e os mecanismos de comunicação A organização deve desenvolver e implementar um plano de como irá se comunicar com os agentes externos. Isto deve envolver: •

envolver as partes interessadas externas adequadas para troca de informações;



relatórios externos para cumprir com os requisitos legais, regulatórios e de governança;



fornecer feedback e informação sobre comunicações e consultas;



usar a comunicação para construir a confiança na organização;



comunicar as partes interessadas no caso de crise ou de emergência.

Estes mecanismos devem incluir processos para consolidar as informações de riscos, tendo em conta a sua sensibilidade. 3.3.4.4 Implementar a gestão de riscos 3.3.4.4.1 Aplicação do framework para a gestão de risco Ao aplicar o framework para o gerenciamento de riscos em uma organização, esta deve: •

definir o momento adequado e a estratégia de implementação do framework;



aplicar a política de gestão de riscos nos processos organizacionais;



cumprir os requisitos legais e regulamentares;



garantir que a tomada de decisões pela alta administração esteja alinhada com os resultados dos processos de gestão de riscos;



realizar sessões de formação e capacitação do quadro funcional;



comunicar e consultar as partes interessadas para garantir que a gestão de risco continua a ser apropriada.

45

3.3.4.4.2 Aplicar o processo de gestão e riscos A gestão de riscos deve ser feita de forma a assegurar que os processos sejam aplicados a todos os níveis e funções da organização de acordo com um plano de gestão de risco. 3.3.4.5 Monitoramento e análise crítica do framework Para assegurar que a gestão dos riscos seja eficaz no apoio do desempenho organizacional, a organização deve: •

medir o desempenho da gestão de riscos em função dos indicadores definidos anteriormente, os quais devem ser revistos periodicamente para adequação;



periodicamente medir a adoção do plano de gestão de riscos;



periodicamente verificar se a política de gestão de riscos e o plano ainda são adequados, levando em consideração as mudanças no contexto externo ou interno da organização;



relatórios sobre a adoção da política de gestão de riscos;



avaliar a eficácia do framework de gerenciamento de riscos.

3.3.4.6 Melhoria contínua do framework Com base nos resultados do acompanhamento e revisão do framework, os planos e as políticas definidos anteriormente podem ser avaliados. Estas decisões devem fornecer melhorias na gestão de riscos da organização e na sua cultura com relação ao processos de gerenciamento dos riscos. 3.3.5 Processos 3.3.5.1 Introdução O processo de gerenciamento de riscos descrito pela norma ISO 31000 deve ser: •

parte integrante da gestão;



incorporado na cultura e nas práticas da organização;



adaptado aos processos de negócio da organização.

46

A figura a seguir ilustrar os processos que fazem parte do gerenciamento de riscos a serem adotados pela organização: •

processo de comunicação e consulta;



processo estabelecimento do contexto;



processo de avaliação dos riscos, que incorpora a identificação, a análise e a avaliação dos riscos;



processo de tratamento dos riscos;



processo de monitoramento e análise críticas dos riscos.

Figura 5 Processos de gestão de risco Fonte: (ISO31000, 2009)

O processo possui sete fases claramente identificadas, sendo um processo retroalimentativo. Ou seja, segue os princípios do ciclo da qualidade, PDCA – Plan – Do – Check – Action. 3.3.5.2 Processo de comunicação e consulta

47

A fase de comunicação e consulta abrange tanto a comunicação interna quanto a externa, assegurando que os responsáveis compreendam os fundamentos sobre os quais as decisões são tomadas e as respectivas razões. As partes interessadas devem ser identificadas e seus papéis e responsabilidades delimitados e documentados nesta fase. É importante desenvolver um plano de comunicação que permita a cada uma das partes conhecerem o andamento do processo e que eles forneçam subsídios para seu desenvolvimento. A comunicação externa e interna deve assegurar que os responsáveis pela implementação do processo de gestão de riscos compreendão as bases sobre às quais as decisões são tomadas e as razões pelas quais algumas ações específicas são necessárias. A abordagem da equipe deve ser: •

ajudar a estabelecer um contexto adequado;



garantir que os interesses das partes serão compreendidos e considerados;



assegurar que os riscos sejam devidamente identificados;



trazer colaboradores de diferentes áreas de conhecimento para a análise de riscos em conjunto;



garantir que os diferentes pontos de vista sejam devidamente considerados durante a definição dos critérios para a avaliação dos riscos;



apoio e suporte para o plano de tratamento dos riscos;



melhorar a gestão de mudanças;



desenvolver uma comunicação adequada tanto para áreas externa, como áreas internas à organização.

A comunicação e a consulta com as diversas partes interessadas é importante para que eles façam seus considerações sobre os riscos com base em suas percepções e suas experiências. Essas percepções podem variar devido às diferenças de valores, necessidades, conceitos e preocupações das diversas partes interessadas. Como suas considerações podem ter um impacto significativo sobre as decisões, as percepções destes stakeholders devem ser identificadas e registadas para garantir a rastreabilidade durante um processo decisório.

48

3.3.5.3 Processo de estabelecimento do contexto Nesta etapa, definem-se os parâmetros básicos, por meio dos quais serão identificados os riscos que precisam ser geridos e qual será o escopo do restante do processo de gestão de riscos. Também são definidos os critérios que serão utilizados na identificação, avaliação, impacto e aceitação dos riscos. A definição do contexto tem como entrada todas as informações relevantes sobre a organização. O passo principal para se obter o contexto está na descrição dos objetivos do projeto e dos ambientes nos quais eles estão contextualizados. Outro importante aspecto é a definição dos critérios que serão usados na determinação dos riscos do projeto. Estes critérios envolvem a determinação das conseqüências de segurança e os métodos usados para a análise e avaliação dos riscos. Portanto, a fase de estabelecimento do contexto preconiza entender os fatores e as variáveis externas, incluindo as tendências e as relações com as partes interessadas externas e suas percepções de valores. Já no contexto interno procura-se entender: objetivos estratégicos, cultura, processos, estrutura e estratégia. O principal objetivo deste processo é estabelecer o contexto da gestão de riscos, seus critérios e métodos que a organização deverá utilizar, definindo-se as metas, objetivos, responsabilidades e o apetite ao risco que a organização suporta. 3.3.5.4 Processo de avaliação de riscos 3.3.5.4.1 Introdução O processo de avaliação dos riscos engloba a identificação e a análise e avaliação dos riscos. Vale observar que a norma ISO/IEC 31010 fornece orientação sobre as técnicas de avaliação de riscos, a qual pode ser utilizada como completo à norma 31000. 3.3.5.4.2 Identificação dos riscos A identificação de riscos é uma das etapas mais críticas, pois os riscos não identificados não serão analisados nem tratados, e uma vez concretizados poderão ocasionar o fracasso do projeto. O objetivo dessa etapa é determinar os eventos que possam causar perdas potenciais e

49

deixar claro como, onde e porquê a perda pode ocorrer. A identificação deve conter tanto os riscos que estão, como os que não estão sob o controle do projeto. Na prática, a identificação de riscos é bem mais complexa, pois as informações são baseadas em experiências e critérios subjetivos dos próprios responsáveis pelo projeto. A identificação dos riscos envolve a identificação das ameaças, dos controles existentes, das vulnerabilidades e das conseqüências. Dessa forma, a fase da identificação de riscos, no processo de avaliação de riscos, é a listagem dos perigos que o processo, departamento e ou empresa possui com as respectivas fontes de riscos. A identificação deve ser crítica, pois um risco que não é identificado nesta fase não será incluído em análises posteriores. Essa é uma fase estratégica, pois é nela que se entendem os fatores de riscos e os fatores facilitadores da existência do risco na empresa. A organização deve identificar as fontes de risco, áreas de impacto, suas causas e suas possíveis conseqüências. O objetivo desta etapa é gerar uma lista abrangente de riscos com base nos eventos que possam criar, melhorar, prevenir, diminuir, acelerar ou atrasar a obtenção dos objetivos da organização. É importante identificar os riscos associados a não realização de uma oportunidade que trará benefícios, e não somente os riscos que podem trazer prejuízos. A identificação dos riscos deve considerar um vasto leque de conseqüências, mesmo que a fonte de risco ou a causa não seja evidente. Para identificar o que pode acontecer, é necessário considerar os possíveis cenários que demonstram as conseqüências que podem ocorrer. 3.3.5.4.3 Análise dos riscos A fase de análise de riscos desenvolve a compreensão dos riscos, produzindo dados que irão auxiliar na decisão sobre quais riscos serão tratados e as formas de tratamento visando a eficiência de custos. Isso envolve considerações sobre a origem dos riscos, suas consequências e as probabilidades de ocorrência dos mesmos. As consequências e probabilidades são combinadas para produzir o nível de cada risco. Com a compreensão dos riscos, a empresa poderá tomar decisões a respeito de seu tratamento. A análise envolve a apreciação das causas e as fontes de risco, suas consequências positivas ou negativas, e a probabilidade de que essas consequências possam ocorrer. Uma metodologia de estimativa pode ser qualitativa ou quantitativa ou uma combinação de ambas, dependendo das circunstâncias. A estimativa qualitativa utiliza uma escala com

50

atributos qualificadores que descrevem a magnitude dos potenciais impactos e a probabilidade de ocorrerem. A estimativa quantitativa adota uma escala de valores numéricos tanto para conseqüências, quanto para a probabilidade. A análise de riscos envolve o desenvolvimento de uma compreensão dos riscos. A maneira como as consequências e as probabilidades são expressas e a forma como são combinadas também é importante para considerar a interdependência dos diferentes riscos e suas fontes. A confiança na determinação do nível de risco e sua sensibilidade devem ser consideradas na análise, pois fatores como a divergência de opinião entre especialistas, incertezas, relevância da informação ou limitações na modelagem devem ser destacadas durante o processo de tomada de decisão. De acordo com a norma ISO 31000, a análise dos riscos pode ser qualitativa, semiquantitativa ou quantitativa, ou ainda uma combinação desses, dependendo das circunstâncias. Os impactos e suas probabilidades podem ser determinadas pela modelagem dos resultados de um evento ou conjunto de eventos, ou por extrapolação a partir de estudos experimentais ou a partir dos dados disponíveis, onde as conseqüências podem ser expressas em termos de impactos tangíveis e intangíveis. Em alguns casos, mais de um valor numérico é necessário para especificar as consequências e probabilidades de ocorrência em diferentes épocas, lugares ou situações. 3.3.5.4.4 Avaliação dos riscos A fase da avaliação de riscos visa auxiliar na tomada de decisões com base nos resultados da análise de riscos. Este processo tem por objetivo definir quais riscos necessitam de tratamento, bem como qual a prioridade para o tratamento de cada risco identificado. Portanto, o objetivo da avaliação de riscos é tomar decisões, baseadas nos resultados da análise de risco (preteridos pela identificação e estimativa de riscos), definindo-se as prioridades e a real necessidade de tratamento dos riscos analisados. A avaliação envolve a comparação dos níveis dos riscos encontrados, com os critérios estabelecidos quando o contexto foi considerado. Ao término da avaliação, pode ser verificado junto às partes interessadas se seu resultado é satisfatório (utilizando o processo de Comunicar e Consultar). Caso não seja, uma nova rodada da Análise/Avaliação dos riscos deve ser empreendida. A partir da revisão é possível uma redefinição do contexto. Na avaliação de riscos, que envolve comparar o nível de risco

51

encontrado durante a análise de riscos, pode-se utilizar uma Matriz de Riscos como ferramenta de gestão. O objetivo da avaliação de riscos é auxiliar na tomada de decisões, com base nos resultados da análise de risco. A avaliação do risco consiste em comparar o nível de risco encontrado durante o processo de análise, com critérios de riscos estabelecidos durante a definição do contexto. Com base nessa comparação, define-se a necessidade de tratamento do risco e sua prioridade. As decisões devem ser feitas em conformidade com os requisitos legais, regulamentares e outras. Em algumas circunstâncias, a avaliação de risco pode levar a uma necessidade de proceder com uma análise mais aprofundada, ou ainda, pode levar a uma decisão de não tratar o risco. Esta decisão será influenciada pela tolerância da organização e os critérios que foram estabelecidos. 3.3.5.5 Processo de tratamento de riscos O tratamento dos riscos envolve a identificação do tratamento aos riscos, avaliação destas opções e a preparação para colocar em prática os tratamentos selecionados. O tratamento inicia com uma lista de riscos ordenados por prioridade, conforme os critérios de avaliação dos riscos descritos anteriormente, associados aos possíveis cenários de incidentes que os provocam. Para cada um dos riscos são relacionadas opções de tratamento. A fase de Tratamento de Riscos envolve um processo cíclico composto por: • avaliação do tratamento já realizado; • decisão se os níveis do risco residual são toleráveis; • se não forem toleráveis, definição e execução de um novo tratamento; • avaliação e eficácia desse tratamento. As opções de tratamento são: • ação de evitar o risco (remoção da fonte de riscos, se o risco for negativo) ou aumento do risco (se o risco for positivo); • mitigação (alteração da probabilidade ou alteração do impacto/conseqüência);

52

• transferência (compartilhamento) do risco; • aceitação (retenção) do risco por uma decisão consistente e bem embasada. Selecionar a opção de tratamento mais adequada aos riscos envolve equilibrar os custos e os esforços de execução versus os benefícios esperados após o tratamento. Ao selecionar as opções de tratamento dos riscos, a organização deve considerar as percepções das partes interessadas e as formas mais adequadas de se comunicar, pois o tratamento pode impactar outras partes da organização, e estes devem estar cientes das decisões tomadas. Alguns tratamentos de riscos podem ser mais aceitáveis para alguns stakeholders que para outros. O tratamento de riscos em si pode apresentar riscos. Um risco significativo pode ser a ineficácia das medidas de tratamento. A monitorização deve ser parte integrante do plano de tratamento de riscos para dar garantia de que as medidas permaneçam eficazes. O tratamento de riscos também pode introduzir riscos secundários que precisem ser avaliados, tratados, controlados e revisados. Estes riscos secundários devem ser incorporados no plano de tratamento, da mesma forma como o risco original, e não tratado como um novo risco. A ligação entre os dois riscos devem ser identificada e documentada. Ao término do tratamento são identificados os riscos residuais. Se tais riscos não forem aceitáveis, os tratamentos podem ser refeitos, ou ainda, todo o processo de gestão de riscos pode ser revisto. A aceitação do risco é feita a partir da análise do risco residual e é conveniente que a decisão de aceitar os riscos seja formalmente registrada, junto com à alta direção da organização responsável pela decisão (novamente utilizando-se do processo de Comunicar e Consultar). Infelizmente, nem sempre os riscos residuais estão de acordo com o idealizado no início do processo, porém, fatores como o tempo para aplicar um tratamento ao risco, baixa probabilidade de ocorrência e custos elevados para a resposta ao risco podem justificar a aceitação dos riscos. A documentação sobre os planos de tratamento deve incluir os seguintes itens, para garantir uma gestão de riscos rastreável, com registros que forneçam base para a melhoria dos métodos e das ferramentas utilizados no processo: • as razões para a seleção do tratamento;

53

• quem são os responsáveis pela aprovação do plano e quem são os responsáveis pela execução do plano; • ações propostas; • necessidades de recursos, incluindo contingências; • medidas de desempenho e restrições; • relatórios e requisitos de monitorização; • cronograma e agenda do planejamento. O plano de tratamento deve ser integrados com a gestão de processos da organização e discutido com os tomadores de decisão, pois estes devem estar cientes da natureza e dimensão do risco residual após o tratamento dos riscos. 3.3.5.6 Processo de monitorar e analisar criticamente O Monitoramento e Análise Crítica dos Riscos são partes essenciais da gestão de riscos. Os riscos não são estáticos e devem ser monitorados a fim de verificar a eficácia das estratégias de implementação e mecanismos de gerenciamento utilizados no tratamento dos riscos. Portanto, o processo de monitoramento deve ser contínuo e dinâmico. Além do monitoramento contínuo, mudanças organizacionais ou externas podem alterar o contexto da análise, levando a uma revisão completa da gestão de riscos. Revisões também podem ser iniciadas periodicamente ou realizadas por terceiros, como forma de identificar novas necessidades ou adaptação de algum parâmetro definido anteriormente. Cada estágio do processo de gestão de riscos deve ser documentado de forma apropriada. Suposições, métodos, origens de dados, análises, resultados e justificativas das decisões tomadas devem ser registrados, pois facilitam uma revisão das estratégias definidas e a rastreabilidade de quem participou dessas definições. O monitoramento e análise crítica podem ser realizados de forma regular (periódicas) ou podem acontecer em resposta a um fato específico (disparadas pela ocorrência de determinado evento, por exemplo, ocorrência de um risco que não identificado anteriormente). A organização deve haver uma definição clara e direta das responsabilidades de quem vai realizar o monitoramento e a análise crítica.

54

3.4. PMBOK O Project Management Body of Knowledge, também conhecido como PMBOK é um conjunto de práticas em gestão de projetos publicado pelo Project Management Institute (PMI) e constitui a base do conhecimento em gerência de projetos do PMI. Estas práticas são reunidas na forma de um guia, chamado de Guia do Conjunto de Conhecimentos em Gerenciamento de Projetos, ou Guia PMBOK. O guia (PMBOK, 2004) é o guia que identifica um conjunto de conhecimentos em gerenciamento de projetos amplamente reconhecido como boa prática, sendo utilizado como base pelo PMI. Uma boa prática não significa que o conhecimento e as práticas devem ser aplicadas uniformemente a todos os projetos, sem considerar se são ou não apropriados, e sim que são recomendações genéricas que podem ser adaptadas para os casos específicos de cada organização. O Guia PMBOK também fornece e promove um vocabulário comum para se discutir, escrever e aplicar o gerenciamento de projetos possibilitando o intercâmbio eficiente de informações entre os profissionais de gerência de projetos. O guia é baseado em processos e subprocessos para descrever de forma organizada o trabalho a ser realizado durante o projeto. Os processos descritos se relacionam e interagem durante a condução do trabalho e a descrição de cada um deles é feita em termos de entradas; ferramentas/técnicas e saídas. O capítulo 11 do guia trata especificamente do gerenciamento dos riscos do projeto e inclui os processos de planejamento, identificação, análise, planejamento de respostas aos riscos e, monitoramento e controle de riscos de um projeto. Os objetivos do gerenciamento dos riscos são aumentar a probabilidade e o impacto dos eventos positivos e reduzir a probabilidade e o impacto dos eventos negativos no projeto. Portanto, de acordo com o PMBOK, a área de conhecimento de gerenciamento dos riscos é composta por seis processos: • Planejar o gerenciamento dos riscos: processo de definição de como conduzir as atividades de gerenciamento dos riscos de um projeto. • Identificar os riscos: processo de determinação dos riscos que podem afetar o projeto e de documentação de suas características. • Realizar a análise qualitativa dos riscos: processo de priorização dos riscos para análise ou ação adicional através da avaliação e combinação de sua probabilidade de ocorrência e impacto.

55

• Realizar a análise quantitativa dos riscos: processo de analisar numericamente o efeito dos riscos identificados, nos objetivos gerais do projeto. • Planejar as respostas aos riscos: processo de desenvolvimento de opções e ações para aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto. • Monitorar e controlar os riscos: processo de implementação de planos de respostas aos riscos, acompanhamento dos riscos identificados, monitoramento dos riscos residuais, identificação de novos riscos e avaliação da eficácia dos processos de tratamento dos riscos durante todo o projeto.

Figura 6 Processos de gestão de risco Fonte: (PMBOK, 2004)

3.4.1 Planejar o gerenciamento dos riscos Planejar o gerenciamento dos riscos é o processo responsável pela definição de como serão as atividades de gerenciamento dos riscos de um projeto. Um planejamento cuidadoso aumenta a probabilidade de sucesso para os outros cinco processos de gerenciamento dos riscos. O planejamento é importante para fornecer tempo e recursos suficientes para as atividades de gerenciamento dos riscos e para estabelecer uma base para a avaliação dos riscos. Este processo deve começar na concepção do projeto e ser concluído nas fases iniciais do planejamento do projeto.

56

As equipes dos projetos fazem reuniões de planejamento para desenvolver o plano de gerenciamento dos riscos. Os participantes dessas reuniões podem incluir o gerente de projetos, membros selecionados da equipe do projeto e das partes interessadas, pessoas da organização com responsabilidade de gerenciar o planejamento de riscos e outros, conforme necessário. Durante essas reuniões, as responsabilidades de gerenciamento dos riscos serão atribuídas. Os modelos organizacionais para categorias de riscos e as definições dos níveis de risco e a matriz de probabilidade e impacto serão adaptados ao projeto específico. A organização pode usar uma estrutura de categorização previamente preparada, que pode ser organizada em uma estrutura analítica dos riscos (EAR). A estrutura analítica dos riscos (EAR) é uma representação, organizada hierarquicamente por categoria e subcategoria de risco, que identifica as diversas áreas e causas de riscos potenciais. Se não existirem modelos para essas outras etapas do processo, eles podem ser gerados nessas reuniões. Os resultados dessas atividades serão resumidos no plano de gerenciamento dos riscos. 3.4.2 Identificar os riscos Identificar os riscos é o processo realizado por toda a equipe do projeto na determinação dos riscos que podem afetar o projeto e da documentação de suas características. Identificar os riscos é um processo interativo, pois novos riscos podem surgir ou se tornar conhecidos durante o ciclo de vida do projeto. A frequência da interação e os participantes de cada ciclo variam de acordo com a situação. O processo deve envolver a equipe do projeto para desenvolver e manter um sentido de propriedade e responsabilidade pelos riscos e pelas ações associadas de resposta a riscos. As principais partes interessadas, principalmente o cliente, devem ser entrevistadas ou participar de alguma forma desse processo. As partes interessadas externas à equipe do projeto também podem fornecer informações adicionais. Além disso, é possível fazer uma revisão da documentação do projeto, incluindo planos, premissas, arquivos de projetos anteriores, contratos e outras informações para auxiliar na identificação. A qualidade dos planos, bem como a consistência entre esses planos e os requisitos e as premissas do projeto, podem ser indicadores de riscos no projeto. Exemplos de técnicas de coleta de informações a fim de identificar riscos incluem:

57

Brainstorming: As ideias sobre o risco do projeto são geradas sob a liderança de um facilitador, seja em uma sessão tradicional de troca de ideias de forma livre (brainstorming) ou estruturada (usando técnicas de entrevista em grupo). Os riscos são então identificados e categorizados de acordo com o tipo e suas definições. Técnica Delphi: O facilitador usa um questionário para solicitar ideias sobre riscos importantes do projeto. As respostas são resumidas e redistribuídas aos especialistas para comentários adicionais. O consenso pode ser alcançado após algumas rodadas desse processo. Entrevistas. Entrevistar participantes experientes do projeto, partes interessadas e especialistas no assunto pode identificar riscos. Análise da causa-raiz. A análise da causa-raiz é uma técnica específica para identificar um problema, descobrir as causas subjacentes que levaram a ele e desenvolver ações preventivas. A principal saída do processo de Identificar os riscos é a lista dos riscos identificados. A preparação do registro dos riscos começa no processo de Identificar e fica disponível para outros processos de gerenciamento do projeto e de gerenciamento dos riscos do projeto. 3.4.3 Realizar a análise qualitativa dos riscos Realizar a análise qualitativa de riscos é o processo de priorização dose riscos através da combinação de sua probabilidade de ocorrência e impacto. As organizações podem aumentar o desempenho do projeto se concentrando nos riscos de alta prioridade. A realização da análise qualitativa de riscos normalmente é um meio rápido e econômico de estabelecer as prioridades do processo de Planejar as respostas aos riscos e define a base para a realização da análise quantitativa dos riscos, se necessária. Este processo deve ser revisto durante o ciclo de vida do projeto, considerando as mudanças nos riscos do projeto, o qual pode resultar na realização da análise quantitativa dos riscos ou ir diretamente para o processo de planejamento de respostas a riscos. A avaliação do impacto de riscos investiga o efeito potencial sobre um objetivo do projeto, como cronograma, custo, qualidade ou desempenho, incluindo tanto os efeitos negativos das ameaças como os efeitos positivos das oportunidades. A avaliação da probabilidade e do impacto é feita para cada risco identificado. As probabilidades e os impactos dos riscos são classificados de acordo com as definições fornecidas no plano de gerenciamento dos riscos.

58

Os riscos com baixas classificações de probabilidade e impacto serão incluídos em uma lista de observação para monitoramento futuro. A avaliação da importância de cada risco normalmente é conduzida usando uma matriz de probabilidade e impacto. Essa matriz especifica as combinações de probabilidade e impacto que resultam em uma classificação dos riscos como de prioridade baixa, moderada ou alta. A organização pode classificar um risco separadamente para cada objetivo (por exemplo, custo, tempo e escopo). O agrupamento dos riscos por causas-raiz comuns pode resultar no desenvolvimento de respostas a riscos eficazes. O registro dos riscos é iniciado durante o processo de Identificar os riscos. Depois o registro dos riscos é atualizado com informações deste processo e é incluído nos documentos do projeto. 3.4.4 Realizar a análise quantitativa dos riscos Realizar a análise quantitativa de riscos é o processo de analisar numericamente o efeito dos riscos identificados nos objetivos gerais do projeto. A análise quantitativa é realizada nos riscos que foram priorizados pela análise qualitativa como tendo impacto potencial e substancial nas demandas concorrentes do projeto. Esse processo é usado para atribuir uma classificação numérica a esses riscos individualmente ou para avaliar o efeito agregado de todos os riscos que afetam o projeto. Em alguns casos, realizar a análise quantitativa pode não ser necessária para desenvolver respostas eficazes a riscos. O processo de Realizar a análise quantitativa de riscos deve ser repetido depois de Planejar as respostas aos riscos e também como parte do processo de Monitorar e controlar os riscos, para determinar se o risco geral do projeto diminuiu satisfatoriamente. As tendências podem indicar a necessidade de mais ou menos ações de gerenciamento dos riscos. As técnicas mais usadas incluem: •

Análise de sensibilidade. A análise de sensibilidade ajuda a determinar quais riscos têm mais impacto potencial no projeto.



Análise do valor monetário esperado. A análise do valor monetário esperado (em Inglês EMV) calculado com cenários que podem ocorrer ou não. O VME das oportunidades geralmente será expresso em valores positivos, enquanto o dos riscos terá valores negativos. O VME do projeto é calculado multiplicando o valor de cada

59

resultado possível pela sua probabilidade de ocorrência e somando esses produtos. Um uso comum desse tipo de análise é a árvore de decisão. •

Modelagem e simulação. As simulações interativas em geral são executadas usando a técnica de Monte Carlo, onde o modelo do projeto é calculado várias vezes com valores de entrada selecionados aleatoriamente. O resultado de uma simulação ilustra a probabilidade de atingir determinadas metas.

O registro dos riscos também é atualizado para incluir um relatório quantitativo dos riscos detalhando as abordagens quantitativas e recomendações. 3.4.5 Planejar as respostas aos riscos Planejar as respostas aos riscos é o processo de desenvolvimento de opções para aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto baseados nas prioridades. Esse processo engloba a identificação e a designação de uma pessoa para assumir a responsabilidade por cada resposta ao risco. Em geral é necessário selecionar a melhor resposta ao risco entre as diversas opções possíveis. Existem várias estratégias de respostas a riscos disponíveis. A estratégia ou a mescla de estratégias com maior probabilidade de ser eficaz deve ser selecionada para cada risco. É possível desenvolver um plano alternativo para implementação caso a estratégia selecionada não seja totalmente eficaz ou se um risco aceito ocorrer. As seguintes estratégias podem ser usadas para riscos negativos ou ameaças: •

Eliminar. A eliminação de riscos engloba a eliminação da fonte de risco para remover totalmente a ameaça.



Transferir. A transferência de riscos exige a mudança dos impactos negativos de uma ameaça, juntamente com a responsabilidade da resposta, para um terceiro. Transferir o risco simplesmente passa a responsabilidade pelo gerenciamento para outra parte, mas não o elimina. A transferência de riscos quase sempre envolve o pagamento de um prêmio à parte que está assumindo o risco.



Mitigar. A mitigação de riscos implica na redução da probabilidade e/ou do impacto de um evento para dentro de limites aceitáveis. Adotar uma ação antecipada para

60

reduzir a probabilidade e/ou o impacto de um risco ocorrer no projeto em geral é mais eficaz do que tentar reparar o dano depois de o risco ter ocorrido. •

Aceitar. Essa estratégia é adotada porque raramente é possível eliminar todas as ameaças de um projeto. Indica que a equipe do projeto decidiu não alterar o plano para lidar com um risco. Pode ser passiva ou ativa. A aceitação passiva não requer nenhuma ação exceto documentar a estratégia, deixando que a equipe do projeto trate dos riscos quando eles ocorrerem. A estratégia de aceitação ativa mais comum é estabelecer uma reserva para contingências, incluindo tempo, dinheiro ou recursos para lidar com os riscos.

Por outro lado, as seguintes estratégias podem ser usadas para riscos positivos ou oportunidades: •

Explorar. Essa estratégia pode ser selecionada para riscos com impactos positivos quando a organização deseja garantir que a oportunidade seja concretizada. Procura eliminar a incerteza associada com um determinado risco positivo, garantindo que a oportunidade realmente aconteça.



Compartilhar. Compartilhar um risco positivo envolve a alocação integral ou parcial da propriedade da oportunidade a um terceiro que tenha mais capacidade de capturar a oportunidade para benefício do projeto.



Melhorar. Essa estratégia é usada para aumentar a probabilidade e/ou os impactos positivos de uma oportunidade. Identificar e maximizar os principais impulsionadores desses riscos de impacto positivo pode aumentar a probabilidade de ocorrência.



Aceitar. Aceitar uma oportunidade é desejar aproveitá-la caso ela ocorra, mas não persegui-la ativamente.

No processo de Planejar as respostas aos riscos, as respostas apropriadas são escolhidas, acordadas e incluídas no registro dos riscos. O registro dos riscos deve ser gravado em um nível de detalhamento que corresponda à classificação de prioridades e à resposta planejada. Em geral, os riscos altos e moderados são abordados em detalhes. Os riscos considerados de baixa prioridade são incluídos em uma “lista de observação” para monitoramento periódico. 3.4.6 Monitorar e controlar os riscos

61

Monitorar e controlar os riscos é o processo de ação dos planos de respostas a riscos, acompanhamento dos riscos identificados, monitoramento dos riscos residuais, identificação de novos riscos e avaliação da eficácia do processo de riscos durante o projeto. Esse processo utiliza técnicas como análises de variações e tendências, que requerem o uso das informações de desempenho geradas durante a execução do projeto. As reavaliações dos riscos do projeto devem ser programadas com regularidade. Já as auditorias de riscos examinam e documentam a eficácia das respostas para lidar com os riscos identificados e suas causas-raiz, bem como a eficácia do processo de gerenciamento dos riscos. Durante a execução do projeto podem ocorrer alguns riscos, com impactos positivos ou negativos nas reservas para contingências de orçamento ou cronograma. A análise das reservas compara a quantidade restante de reservas para contingências com a quantidade de risco restante a qualquer momento no projeto a fim de determinar se as reservas restantes são adequadas. Portanto, monitorar e controlar os riscos muitas vezes resulta na identificação de novos riscos, na reavaliação dos riscos atuais e no encerramento dos riscos que estão desatualizados.

3.5. Mercado Financeiro Falar de gerenciamento de risco no mercado financeiro já deixou de ser novidade há muito tempo. No Brasil, as instituições financeiras tornaram-se referência mundial como especialistas neste tema. A crise econômica mundial em 2009 deixou diversos negócios em estado de alerta, muitos sentiram seus efeitos, exceto as grandes instituições no Brasil. Os modelos de gerenciamento de risco adotados por estas instituições financeiras estão muito maduros, tamanha maturidade requer revisões e adaptações periódicas e constantes em seus modelos. No âmbito internacional, (GARSIDE, 1 999, p. 1), há relatos que as expressivas perdas de crédito ocorridas no final dos anos 80 e início dos anos 90 levaram as instituições a buscarem técnicas mais modernas de gerenciamento de risco de crédito, visando avaliar não apenas o risco relativo às exposições individuais, mas também o risco associado ao portfólio de crédito como um todo.

62

No Brasil, (PRADO, 2 000, p. 2) registra que a estabilização da economia a partir da metade da década de 90 conduziu o crédito a assumir um papel de crescente importância nas instituições financeiras. Nesse ambiente, alguns bancos vêm procurando se alinhar às melhores práticas internacionais de gestão de risco, desenvolvendo sofisticadas metodologias para medir o risco dos seus portfólios de crédito. O processo evolutivo de gestão de risco de crédito nas instituições financeiras tem sido acompanhado por uma maior prioridade na utilização de modelos quantitativos como suporte às decisões de crédito e à administração das carteiras. Uma das razões que motiva a adoção de modelos quantitativos de risco de crédito é o interesse dos bancos em metodologias mais maduros para determinar o montante de capital econômico que deve ser alocado para contemplar os riscos assumidos em seus portfólios. Deve-se destacar que um dos fatores determinantes para o desempenho de uma instituição financeira é a alocação eficiente de capital. É uma balança com dois pesos: de um lado a capitalização excessiva prejudica o retorno para os acionistas do banco, de outro a alocação de um montante de capital insuficiente para suportar o risco gerado pelos ativos da instituição pode comprometer a sua continuidade. As técnicas de gestão de risco de crédito vêm sofrendo aprimoramentos pelo modelo regulamentar sobre requerimento de capital estabelecido pelo Comitê da Basiléia sobre Supervisão Bancária. As regras propostas pelo Acordo da Basiléia (BCBS, 1988) determinam o requerimento de capital mínimo nas instituições financeiras com base em uma sistemática de ponderação dos ativos pelo risco. Esta estrutura regulamentar foi objeto de severas críticas por parte da indústria bancária, principalmente por não levar em consideração as diferenças na qualidade de crédito dos tomadores e o efeito da diversificação da carteira. Consequentemente, o Comitê da Basiléia empreendeu um processo de revisão normativo, dando origem ao Novo Acordo de Capital (BCBS, 2004). Este entrou em vigor em 2006 e proporcionou mais flexibilidade às instituições financeiras, possibilitando que as mesmas criassem seus próprios modelos internos de avaliação de risco de crédito para o cálculo do capital regulamentar, desde que eles fossem aprovados pelas autoridades de supervisão bancária locais. A busca pelo aprimoramento das técnicas de gestão de risco de crédito deu origem a uma demanda por novas metodologias de avaliação de risco de carteiras.

63

Dentre os modelos difundidos na indústria bancaria internacional, destacam-se o CreditMetrics, do banco J. P. Morgan (GUPTON , 1 997), o Credit Risk+, do Credit Suisse First Boston (CSFB, 1997), o CreditPortfolioView, da McKinsey, e o KMV, da KMV Corporation (KEALHOFER, 1993). Os modelos de risco de portfólio têm por objetivo principal estimar a função densidade de probabilidade que define a distribuição de perdas em crédito de uma carteira. A partir da distribuição de perdas, pode ser qualificado o risco de crédito do portfólio e calculado o capital econômico a ser alocado pela instituição.

3.5.1 Crédito e Risco de Crédito Crédito pode ser definido sob diversas perspectivas. De acordo com (SCHRICKEL, 2 000, p. 25), “Crédito é todo ato de vontade ou disposição de alguém de destacar ou ceder, temporariamente, parte do seu patrimônio a um terceiro, com a expectativa de que esta parcela volte à sua posse integralmente, após decorrido o tempo estipulado.” Para instituição financeira, crédito é disponibilizar um valor de um tomador de recursos na forma de um empréstimo ou financiamento, mediante compromisso de pagamento em uma data futura. O crédito também pode referir-se a uma contingência, como operações de prestação de garantias a terceiros, onde exige-se recursos se e somente se o tomador não cumprir o acordo. O conceito de crédito está relacionado à expectativa do recebimento de um valor em um determinado período de tempo. Em conseqüência, (CAOUETTE, 1 999, p. 1) definem que “[...] o risco de crédito é a chance de que esta expectativa não se cumpra.” De forma mais específica, o risco de crédito é entendido como a possibilidade de o credor incorrer em perdas, em razão de as obrigações assumidas pelo tomador não serem liquidadas nas condições pactuadas. Essas perdas podem envolver total ou parcialmente o valor do capital emprestado, além dos encargos financeiros incidentes sobre ele. Segundo (BESSIS, 1 998, p. 81): “Risco de crédito é definido pelas perdas geradas pro um evento de default do tomador ou pela deterioração da sua qualidade de crédito.” Há diversas situações que podem caracterizar um evento de default ou evento de inadimplência de um tomador de crédito. O autor cita como possíveis eventos de default o atraso no pagamento de uma obrigação, o descumprimento de uma cláusula contratual restritiva (covenant), como, por

64

exemplo, um índice máximo de endividamento, o início de um procedimento legal como a concordata e a falência ou, ainda, a inadimplência de natureza econômica, que ocorre quando o valor econômico dos ativos da empresa se reduz a um nível inferior ao das suas dividas, indicando que os fluxos de caixa esperados não serão suficientes para liquidar as obrigações assumidas (BESSIS, 1998, p.82). A deterioração da qualidade de crédito do tomador não resulta m uma perda imediata para a instituição financeira, mas sim no incremento da probabilidade de que um evento de default venha a ocorrer. Nos sistemas de classificação de risco, as alterações na qualidade de crédito dos tomadores dão origem às chamadas migrações de risco. Destaca-se que cada instituição financeira adota seu próprio conceito

de evento

de

inadimplência, estando geralmente relacionado ao atraso no pagamento de um compromisso assumido pelo tomador por períodos como 60 ou 90 dias. Em linha geral, risco se refere às situações em que podem ser determinados os possíveis resultados ou valores das variáveis envolvidas no problema, bem como as respectivas probabilidades de ocorrência. Assim, ao contrário da incerteza, o risco é definido por uma situação em que a distribuição de probabilidade dos resultados possíveis é conhecida. Na teoria de finanças, o conceito de risco esta associado à variabilidade dos resultados em relação a um valor médio esperado. Quanto maior for o grau de dispersão de uma variável em torno da média, maior será a probabilidade de que os seus resultados sejam diferentes do valor esperado e, portanto, maior será o seu risco. Quando são tomadas decisões com base no valor esperado de uma variável, a variabilidade dos seus resultados revela o risco envolvido na decisão. Uma medida estatística tradicionalmente utilizada para mensurar a dispersão de resultados é o desvio padrão. O risco de crédito geralmente é avaliado a partir dos diversos fatores que compõem. De acordo com ( BESSIS 1998, p. 81), o risco de crédito pode ser dividido em três partes: risco de default, risco de exposição e risco de recuperação. O autor comenta que o risco de default está associado probabilidade de ocorrer um evento de default com o tomador, o risco de exposição decorre da incerteza em relação ao valor futuro da operação de crédito, enquanto que o risco de recuperação se refere à incerteza quanto ao valor que pode ser recuperado pelo credor, no caso de um default do tomador (BESSIS, 1998, p. 82-85).

65

O risco de exposição é baixo nas operações onde há um cronograma de amortizações fixo, entretanto pode ser significativo nas contingências e nas linhas de crédito rotativo, nas quais o tomador pode sacar os recursos conforme suas necessidades, até um determinado limite previamente estabelecido. O risco de recuperação, por sua vez, depende do tipo de evento de default e das características da operação de crédito, como valor, praz o e garantias vinculadas. O risco de default é também tratado por “risco cliente”, pois está vinculado às características intrínsecas do tomador de crédito. Por outro lado, os riscos de exposição e de recuperação são tratados por “risco operação”, uma vez que estão associados a fatores específicos de operação de crédito. O tipo de risco de crédito tratado neste estudo é o risco de default, já que é utilizado um modelo estatístico para mensurar a probabilidade das empresas incorrerem em um evento de default, cujo conceito adotado é o de concordata ou falência. Os riscos de exposição e de recuperação não são tratados na pesquisa, devido ao fato de inexistirem informações públicas detalhadas sobre carteiras de credito que permitam a inclusão dessas variáveis no trabalho. Importante destacar que o risco de crédito não esta presente apenas nas operações tradicionais de concessão de crédito, mas também em outras modalidades de instrumentos financeiros nos quais existam obrigações a serem cumpridas por uma contraparte. Apesar do potencial de riscos desses instrumentos, os empréstimos e financiamentos ainda são as principais fontes de risco de crédito para a maioria das instituições.

3.5.2 Modelos de mensuração de risco • CreditMetrics – Desenvolvido pelo JPMorgan Bank Inc. foi baseado na abordagem de migração da qualidade do crédito concedido. Este modelo procura definir probabilidades de mudanças da qualidade do crédito, inclusive para falência, dentro de um horizonte temporal. A partir das probabilidades e do intervalo de tempo ele consegue estimar o valor da perda potencial da carteira dado um determinado nível de confiança estatístico. • KMV – Desenvolvido pela KMV Corporation está baseado na abordagem estrutural ou avaliação de ativos com base na teoria de opção. Segundo (SAUNDERS, 2000) esta abordagem consta da literatura desde a publicação do artigo de Robert Merton “On the Pricing of Corporate Debt: The Risk Structure of Interest Rate” no Journal of Finance de 06/1974. O modelo considera o processo de falência e relacionado à estrutura de

66

capital de firma. A falência acontece quando o valor dos ativos cai abaixo de um nível critico. • CreditRisk+ - Desenvolvido pela Credit Suisse Financial Products (CSFP) esta baseado na abordagem atuarial. O modelo procura estabelecer medidas de perda esperada com base no perfil de sua carteira de empréstimos ou títulos e no histórico de inadimplência. • CreditPortfolioView – Desenvolvido pela Consultoria McKinsey esta baseado no impacto de variáveis econômicas na inadimplência. Este modelo procura traçar cenários multi-período onde a

chance de falência

esta condicionada a

variáveis como

desemprego, patamar de taxas de juros, taxa de crescimento na economia, etc.

4. ANÁLISE COMPARATIVA ENTRE OS MÉTODOS Após a dissertação das cinco metodologias de Gerenciamento de Risco (HAZOP, FMEA, ISO 31000, PMBOK e Mercado Financeiro) no capítulo anterior, vemos que há similaridades e diferenças entre elas, o que pode ser melhor visualizado em uma tabela comparativa. A escolha destas metodologias foi baseada na análise de seus respectivos favorecimentos da análise de risco e suas correlações com prática de projetos. A familiaridade com as metodologias, a consolidação em seus setores de origem e a necessidade de se compilar comparações entre elas em um só trabalho também interferiram na escolha. 4.1. Relacionamentos entre processos Considerando que as cinco metodologias abordam o mesmo assunto e estão relacionadas ao gerenciamento de riscos, elas são similares em algumas fases que compõem a estrutura básica de cada metodologia. As diferenças existentes entre as metodologias estão baseadas em atividades e /ou produtos específicos gerados ou não pelos processos de cada metodologia. A seguir, propõe-se uma tabela com as atividades de gerenciamento de riscos para cada metodologia, visando demonstrar o relacionamento entre os diversos processos de identificação dos riscos, natureza da análise (qualitativa e/ou quantitativa), estratégias de respostas aos riscos, monitoramento e controle.

67

Processo de gerenciamento de riscos estruturado em 5 etapas Tabela 8 Metodologia HAZOP Metodologia

HAZOP

Contexto

Definição da linha de processo a ser estudada.

Identificação

Com a utilização das palavras-guia identifica-se os possíveis desvios (riscos) nos processo e nos equipamentos pertencentes à linha em estudo.

Avaliação

Análise qualitativa dos desvios. O desvio realmente pode ocorrer?

Tratamento / Plano de respostas

Propõe-se soluções para tratamento dos desvios e é feita a análise de viabilidade para a implantação da solução proposta. Registro e acompanhamento da implantação das soluções propostas e suas revisões.

Revisão e Monitoração

Tabela 9 Metodologia FMEA Metodologia

FMEA

Contexto

Definição do ramo que o método será utilizado (ex. indústria química, automotiva e alimentícia).

Identificação

Identificação das falhas potenciais do produto ou processo.

Avaliação

Análise qualitativa das falhas de acordo com os índices de severidade, ocorrência e detecção. Análise quantitativa das falhas de acordo com os índices de severidade, ocorrência e detecção.

Tratamento / Plano de respostas

Tratamento com base no cálculo do RPN.

Revisão e Monitoração

Revisão de planos de ação de maneira a assegurar que as mudanças ocorridas durante a execução do projeto não interferiram na classificação numérica e priorização dos riscos identificados no planejamento.

Tabela 10 Metodologia ISO 31000 Metodologia Contexto Identificação Avaliação Tratamento / Plano de respostas Revisão e Monitoração

ISO 31000 Comunicação e consulta Estabelecimento do contexto Identificação de riscos Análise de riscos Avaliação de riscos Tratamento de riscos Monitoramento e análise crítica

68

Tabela 11 Metodologia PMBOK Metodologia

PMBOK

Contexto

Planejamento do gerenciamento dos riscos

Identificação

Identificação de riscos Análise qualitativa dos riscos

Avaliação

Análise quantitativa dos riscos

Tratamento / Plano de respostas Revisão e Monitoração

Planejamento de resposta aos riscos Monitoramento e controle dos riscos

Tabela 12 Metodologia Mercado Financeiro Metodologia

Mercado Financeiro

Contexto

Planejar riscos e eliminá-los no próprio negócio

Identificação

Identificação (Basiléia e dados históricos)

Avaliação

Análise quantitativa

Tratamento / Plano de respostas Revisão e Monitoração

Reações Monitoramento e controle dos riscos

4.2. Matriz comparativa A fim de possibilitar a comparação entre estas metodologias, as seguintes características relevantes foram compiladas em uma matriz. São elas: • Aplicabilidade de cada metodologia • Vantagens • Desvantagens • Favorecimento da análise de riscos para projetos • Correlação com prática de projetos

69

Comparação entre as características das metodologias Tabela 13 Principais características da metodologia HAZOP Metodologia Aplicabilidade Vantagens Desvantagens Favorecimento da análise de riscos para projetos Correlação com práticas de projetos

HAZOP Voltado para processos industriais, desenvolvido para indústria Química/Petroquímica. Abrange todos os processos e seus desvios possíveis O método prevê somente a análise qualitativa. É dependente do conhecimento do grupo para obter as vantagens propostas. Identifica todos os possíveis desvios tanto nas linhas dos processos quanto nos equipamentos. É voltado para processos, e não para projetos. Com adaptações, pode ser utilizado para processos de gestão de projeto.

Tabela 14 Principais características da metodologia FMEA Metodologia

Aplicabilidade

Vantagens

Desvantagens Favorecimento da análise de riscos para projetos Correlação com práticas de projetos

FMEA Utilizada por indústrias de diferentes ramos (química, automotiva e alimentícia) para identificar todas as possíveis falhas, seja para produto ou processo, sistema ou procedimento, produtos novos ou em operação, mudando apenas o objetivo de sua aplicação. Evidencia qual é o ponto mais crítico do projeto, com vistas à tomada de ações preventivas para minimizar o impacto dos riscos em escopo, prazo, custo, recursos humanos, além de possuir um enfoque genérico, o que lhe permite ser personalizado para cada situação, projeto ou empresa. Identifica as falhas potenciais no projeto, sistema ou processo, o que acaba excluindo seu uso como ferramenta para análise de riscos positivos. Apesar desta metodologia ser quantitativa, sua análise é subjetiva principalmente devido às discrepâncias na definição dos índices de severidade, ocorrência e detecção. Identifica todas as possíveis falhas (seja para produto ou processo, sistema ou procedimento, produtos novos ou em operação) e suas causas para que sejam analisadas e tomadas as ações preventivas necessárias (gerenciamento de riscos). O FMEA pode ser aplicado para cada área de conhecimento do PMBOK, apesar do enfoque inicial ser qualidade. O formulário FMEA pode ser adequado considerando atributos exclusivos de cada projeto.

Tabela 15 Principais características da metodologia ISO 31000 Metodologia Aplicabilidade

Vantagens Desvantagens

ISO 31000 Abordagem genérica com princípios e diretrizes para gerenciar qualquer forma de risco de uma maneira sistemática, transparente e confiável, dentro de um escopo e contexto definido pela organização, suportando tanto projetos como processos. Harmoniza padrões, regulamentações e frameworks já publicados, alinhada com a visão integrada e, por se tratar de uma norma de alto nível, não há concorrência com as normas já existentes Não define claramente as entradas, ferramentas e técnicas e saídas de cada processo, sendo necessária a utilização de outras normas para complementá-la, por exemplo, a

70

norma ISO 31010 que descreve as ferramentas e técnicas na avaliação dos riscos. Favorecimento da análise de riscos para projetos Correlação com práticas de projetos

A norma pode ser aplicada a qualquer tipo de risco, seja qual for a sua natureza, mesmo de consequências positivas ou negativas, onde a norma oferece uma abordagem comum de apoio às normas existentes que tratam de riscos específicos para alguns setores, porém não para substituí-las, mas sim para suportá-las. Estabelece uma filosofia para aplicar gerenciamento do risco organizacional em toda sua estrutura, incluindo as estratégias e decisões de operações, processos, funções, projetos, produtos e serviços, bem como os projetos da organização e os processos de mudança organizacional.

Tabela 16 Principais características da metodologia PMBOK Metodologia

PMBOK

Constitui uma base de conhecimento a ser aplicado no gerenciamento de projetos para os casos específicos de cada organização, fornecendo um vocabulário comum para se Aplicabilidade discutir, escrever e aplicar o gerenciamento de projetos possibilitando o intercâmbio eficiente de informações entre os profissionais. O guia é baseado em processos e subprocessos para descrever de forma organizada o trabalho a ser realizado durante o projeto. Os processos descritos se relacionam e Vantagens interagem durante a condução do trabalho e a descrição de cada um deles é feita em termos de entradas; ferramentas/técnicas e saídas. Aborda somente o escopo de projeto, não tratando dos riscos de processos Desvantagens operacionais que podem impactar o projeto e os objetivos do projeto. Os objetivos deste processo no PMBOK são aumentar a probabilidade e o impacto Favorecimento da análise de riscos dos eventos positivos e reduzir a probabilidade e o impacto dos eventos negativos no projeto. para projetos Correlação com O capítulo 11 do guia trata especificamente do gerenciamento dos riscos do projeto e inclui os processos de planejamento, identificação, análise, planejamento de respostas práticas de aos riscos e, monitoramento e controle de riscos de um projeto. projetos

Tabela 17 Principais características das metodologias CreditRisk+ e Credit Portifolio View Metodologia

Aplicabilidade

Vantagens

Desvantagens

Favorecimento da análise de riscos para projetos

Mercado Financeiro CreditRisk+

Credit Portifolio View

Normalmente são utilizados pelas instituições financeiras, porém qualquer empresa com programas próprios de crédito podem utilizá-los. Quando não há certeza quanto aos valores dos fluxos de caixa futuros, sua aplicabilidade torna-se reduzida pela necessidade de geração dos possíveis valores dos fluxos no vencimento. Para solução deste problema, é necessário o desenvolvimento de modelos integrados. Simplicidade para sua implementação, pois a Não se restringe apenas aos valores de modelagem utiliza apenas a média e o desviomercado associados aos cenários de padrao. Assim, a única variável relevante para inadimplência e não inadimplência, apurando modelagem é a média histórica de todos os valores que o título pode apresentar inadimplência. em um período. O modelo utiliza apenas uma variável que é a Este modelo não considera a taxa de juros média histórica de inadimplência, e essa determinística, portanto, as mudanças nos hipótese simplificadora faz com que a taxa de valores das carteiras decorrentes apenas das inadimplência impeça alterações em seu nível alterações nos spreads de crédito não serão geral, capturadas. Todas podem ser incorporadas às questões de cunho financeiro ou diretamente relacionado às finanças de um projeto.

71

Correlação com práticas de projetos

Alta coesão com métodos de quantificação e simulações estatísticas, porém, requer cuidado ao identificar informações relevantes e fortemente relacionadas às causas do risco.

Tabela 18 Principais características das metodologias KMV e Credit Metrics Metodologia Aplicabilidade

Vantagens

Desvantagens

Mercado Financeiro KMV Credit Metrics Idem a Tabela 17 Principais características das metodologias CreditRisk+ e Credit Portifolio View Baseado em dados do mercado acionário, Não se restringe apenas aos valores de ao invés de agências de classificação ou mercado associados aos cenários de áreas de avaliação de crédito das inadimplência e não inadimplência, instituições financeiras, servindo também apurando todos os valores que o título para avaliação e precificação de pode apresentar em um período. operações de crédito. Seus valores são incondicionais, ou seja, Não captura o risco sistemático da não são afetados pelas novas informações carteira, e por isso, esse método não incorporadas diariamente ao cenário funciona bem como modelo preditivo de econômico. A apuração da média é muito risco de crédito associado a alterações na questionada porque o período de análise é volatilidade ou descontinuidade nos bem longo, em torno de 20 anos, fazendo preços dos ativos. com que ele captura diferentes ambientes econômicos.

Favorecimento da análise de riscos para projetos

Idem a Tabela 17 Principais características das metodologias CreditRisk+ e Credit Portifolio View

Correlação com práticas de projetos

Alta coesão com métodos de quantificação e simulações estatísticas, porém, requer cuidado ao identificar informações relevantes e fortemente relacionadas às causas do risco.

72

5. CONCLUSÕES 5.1 André Pontes Sampaio Na conclusão deste trabalho, enfatizo a abordagem dos seguintes objetivos pessoais específicos: (1) demonstrar os principais desafios intrínsecos ao tema Gerenciamento de Risco de TI na minha instituição de trabalho; (2) analisar com maior profundidade as vantagens de cada metodologia estudada no intuito de aplicá-las no meu ambiente de trabalho, considerando os desafios apontados; e, descrever as adaptações em um processo organizacional de minha responsabilidade em minha instituição de trabalho a partir das melhores práticas identificadas. 5.1.1 Principais desafios intrínsecos ao tema gerenciamento de risco de ti em minha instituição de trabalho Mesmo considerando que a aplicação das noções de Gerenciamento de Risco de TI se tornou essencial, muitas organizações acreditam que esse processo está atrelado somente à adoção de soluções tecnológicas eficazes, sejam estas de hardware ou software. Durante muito tempo esta visão contribuiu para justificar o não estabelecimento de uma política integrada de Gerenciamento de Riscos, visto que a cada ano os recursos financeiros destinados à área de tecnologia se tornaram cada vez mais disputados, considerando a quantidade enorme de projetos que deveriam ser desenvolvidos pelo Departamento de Tecnologia da Informação (DTI). Na instituição em que trabalho não foi diferente. Muito se investiu nos projetos de redundâncias físicas e/ou lógica dos sistemas informatizados, de forma a tentar minimizar quaisquer indisponibilidades nos ativos organizacionais que afetassem os serviços corporativos providos pelo DTI. Somente em 2009, iniciou-se um projeto amplo com objetivo de definir um plano de continuidade de negócios, e uma das ações necessárias para suportar esse plano foi criação de um centro de processamento de dados (CPD) em Campinas/SP, para assumir e suportar a continuidade dos principais serviços críticos no caso de uma catástrofe geral no centro de processamento de dados (CPD) em São Paulo/SP. Dentro deste contexto, foram definidos os 05 (cinco) serviços mais críticos da instituição, os quais deveriam ser suportados integralmente pelo CPD secundário em caso de falha no CPD principal. Dessa forma, não é exagero afirmar que a responsabilidade pelo processo de Gerenciamento de Riscos da organização recai, na grande maioria das vezes, nos gestores de tecnologia da informação. Em geral, os gestores buscam balancear os riscos aos quais as

73

organizações estão suscetíveis e suas respectivas conseqüências, com os custos envolvidos na minimização dos riscos. Infelizmente, um problema que detectei durante esse processo é que os gestores normalmente esquecem que a base de suporte para todo este arcabouço tecnológico são os processos e as pessoas, os quais recebem pouco foco durante o desenvolvimento deste trabalho, embora eles reconheçam a importância de se ter um adequado conhecimento e compreensão de todos os riscos. De modo algum estou contradizendo a eficácia da construção do plano de continuidade em andamento; ressalto apenas que a sua instauração deve ser feita de modo abrangente e estruturado, incorporando o treinamento das pessoas e identificação dos riscos operacionais nos processos para aumentar a maturidade do gerenciamento dos riscos na organização. Portanto, nesta minha conclusão do trabalho, focarei na integração do processo Gerenciamento de Mudanças de Infraestrutura de TI (definido na Transição de Serviços do guia ITIL) para suportar o plano de continuidade de negócios e fazer com que as pessoas envolvidas neste processo participem ativamente no gerenciamento de riscos, mesmo que forma inconsciente. Estará neste escopo treinamento (workshop) relacionado ao processo de mudanças com atividades de identificação, avaliação e plano de resposta aos riscos operacionais envolvidos em cada mudança. Esse é o principal desafio identificado para a melhoria dos processos de gerenciamento de riscos de TI em desenvolvimento na instituição onde trabalho. 5.1.2 Análise das vantagens de cada metodologia para aplicação em meu ambiente de trabalho O objetivo do Gerenciamento de Risco de TI não é eliminar todos os riscos em sua plenitude, mas sim reduzí-los a um nível aceitável, onde as falhas estão previstas e consideradas dentro deste limite. As metodologias apresentadas nesse trabalho fornecem técnicas e abordagens diferentes para o processo de gerenciamento de riscos. Identificarei em cada metodologia sua principal vantagem para incorporação ao processo de Gerenciamento de Mudanças de Infraestrutura de TI, visando melhorar o processo e conscientizar as pessoas envolvidas sobre a importância e necessidade de focar em riscos e planejar respostas. A metodologia HAZOP possui uma importante característica voltada à análise com o intuito de examinar as linhas do processo, identificando perigos e prevenindo problemas. Nesta metodologia, identificam-se perigos e previnem-se falhas nos processos e equipamentos

74

baseando-se em um procedimento que gera perguntas de maneira estruturada e sistemática através do uso apropriado de um conjunto de palavras-chave aplicadas a pontos críticos do sistema em estudo. Para a melhoria do Processo de Mudanças, verificou-se a possibilidade de utilizar a técnica HAZOP durante a etapa do processo denominada Revisão PósImplementação, como forma de registrar as falhas ocorridas no processo e corrigí-las. Conforme estabelecido no capítulo 3, o método HAZOP é principalmente indicado quando da implantação de novos processos na fase de projeto ou na modificação de processos já existentes. Em suma, sempre que se desejar identificar e precaver-se de desvios em processos já consolidados ou não, pode-se utilizar o HAZOP. Para a execução do método HAZOP, deve-se formar um grupo de estudo multidisciplinar que avaliará os possíveis desvios dos processos. Especificamente tratando do processo de mudanças, esse grupo multidisciplinar envolverá o gerente do processo de mudanças (líder do processo HAZOP), o gerente do processo de liberações (redator do processo HAZOP) e toda a equipe técnica envolvida na mudança. A manutenção do líder e do redator em todos os grupos auxilia na compatibilização das soluções dos diversos estudos e no monitoramento das soluções propostas. Uma vez definido o grupo, este analisará a efetividade na mudança durante a reunião de Revisão Pós-Implementação, identificando os possíveis desvios que geraram algum tipo de incidente. A comparação entre os parâmetros planejados para ocorrer e os parâmetros gerados pelos desvios identificados determina o impacto do desvio no processo. Com a identificação das causas e das conseqüências, os desvios analisados poderão determinar as ações a serem tomadas pelo grupo para a melhoria do processo de mudanças na instituição. Com relação à metodologia FMEA, seu principal objetivo é evitar que problemas cheguem até o consumidor final do produto, sistema, processo ou serviço. Por isso, FMEA provê um método sistemático para examinar todos os modos que uma falha pode ocorrer. Para a melhoria do processo de mudanças, a metodologia FMEA será aplicada durante a atividade de Homologação e Testes da Mudança, a qual passará a ser obrigatória o uso dessa metodologia antes de promover a mudança para o ambiente de produção. Como o FMEA é uma metodologia sistemática que deve ser aplicada por grupos multidisciplinares para aumentar, com a agregação e sinergia dos conhecimentos das pessoas envolvidas, o grau de percepção, de análise e de solução das falhas e defeitos, esta atividade de homologação da mudança envolverá os desenvolvedores do sistema e os usuários que

75

utilizam o sistema, como forma de validar todo o plano de teste previsto. A equipe deverá listar todas as possíveis falhas (do produto ou do processo) e suas causas para que sejam analisadas e tomadas as ações preventivas necessárias. A maior vantagem da utilização do FMEA é a de evidenciar qual é o ponto mais crítico dos testes, com vistas à tomada de ações preventivas para minimizar o impacto dos riscos. A utilização da técnica FMEA deve melhorar a qualidade dos sistemas e processos de promoção desses sistemas para a produção, uma vez que envolve as diversas equipes para atuarem de forma integrada. O modo como as falhas podem ocorrer são avaliados com base em 03 (três) quesitos: ocorrência, gravidade e detecção. Após o início de sua aplicação, o FMEA deverá ser atualizado e revisto sempre que necessário, pois novas falhas passam a ser conhecidas e previstas (devido às alterações de critério de qualidade por parte dos clientes e planos de testes específicos para cada sistema). Para a utilização dessa metodologia, um formulário FMEA será criado e personalizado para suportar a atividade de homologação da mudança. Conforme define a metodologia, o formulário será composto por tabela e índices de classificação sucintos e objetivos, caracterizando-o como simples, eficiente, de fácil compreensão e implantação. A ISO 31000 será utilizada neste processo de melhoria do Processo de Mudanças de Infraestrutura de TI como o principal arcabouço para o sucesso nas mudanças propostas no processo (Estabelecimento do Contexto) e suporte para sua efetividade através da construção e aderência à uma política de riscos institucional de conhecimento de todo o corpo funcional (Mandato e Comprometimento). A utilização da ISO 31000 justifica-se ainda pelo objetivo de integrar as diversas metodologias propostas nesta conclusão, como forma de maximizar a gestão de riscos para que a mesma não seja tratada de forma isolada. Como a gestão de riscos na organização e o suporte à sua eficácia exigem forte comprometimento da alta administração, bem como o planejamento estratégico e rigoroso para atingir o empenho de todos os níveis organizacionais, fará parte deste trabalho auxiliar a construção de uma política de gestão de riscos aprovada pela alta direção da corporação, uma vez que, infelizmente, essa ainda não existe. Tenho o entendimento que esse é um importante pilar para comprometimento das diversas equipes envolvidas para o sucesso da melhoria que está sendo proposta. Fará parte do treinamento (workshop) sobre o processo de mudança a lista dos 11 (onze) princípios definidos pela ISO, para que sejam compreendidos e difundidos por toda a organização, como forma de suportar um gerenciamento de risco eficaz na empresa. As

76

pessoas envolvidas devem ter o entendimento de que a gestão de riscos: cria e protege valor (suporta o plano de continuidade de negócios que está em desenvolvimento no DTI); é parte integrante de todos os processos organizacionais (por isso fará parte do processo de mudança); é parte do processo decisório (aprovação ou não da mudança e o seu agendamento futuro); aborda explicitamente a incerteza; é sistemática, estruturada e oportuna; é baseada na melhor informação disponível (daí a necessidade do empenho dos envolvidos em identificar os riscos operacionais); é alinhada com o perfil da empresa; leva os fatores humanos e culturais em consideração (motivo pelo qual o workshop será feito para os diversos departamentos); deve ser transparente e inclusiva (processo e templates estarão divulgado na Intranet da instituição); é dinâmica, interativa e receptiva às mudanças; e facilita a melhoria contínua da organização. Com relação ao guia PMBoK que trata especificamente do gerenciamento dos riscos de projetos, cada mudança passará a ser encarada como um projeto específico, uma vez que atende a definição: “projeto é um esforço temporário empreendido para criar um produto, serviço ou resultado exclusivo”. Dessa forma, para cada mudança, a equipe que submeterá a Requisição de Mudança será responsável pelas atividades de: identificar os riscos (determinação dos riscos que podem afetar a mudança); realizar a análise qualitativa dos riscos (priorização dos riscos para análise ou ação adicional através da avaliação e combinação de sua probabilidade de ocorrência e impacto); realizar a análise quantitativa dos riscos (analisar numericamente o efeito dos riscos identificados, nos objetivos gerais da mudança) e planejar as respostas aos riscos (desenvolvimento de opções e ações para aumentar as oportunidades e reduzir as ameaças aos objetivos das mudanças). Estas informações serão registradas em um formulário próprio criado para a submissão da Requisição da Mudança. Ficarão sob responsabilidade do gerente do processo de mudanças as atividades de planejar o gerenciamento dos riscos (definição do processo, e sua publicação na Intranet, de como conduzir as atividades de gerenciamento dos riscos de uma mudança) e monitorar e controlar os riscos (acompanhamento dos riscos identificados, monitoramento dos riscos residuais, identificação de novos riscos e avaliação da eficácia dos processos de tratamento dos riscos durante a mudança). Finalmente, a gestão de riscos baseada na metodologia do mercado financeiro será utilizada para avaliar o risco geral do Planejamento Futuro das Mudanças, o qual engloba todas as

77

mudanças aprovadas para ocorrer em um determinado período. O conjunto de mudanças futuras será considerado como a carteira (portfólio) a ser avaliada, onde cada mudança possui seu risco específico e para maximizar o sucesso das mudanças, o risco de cada mudança deve ser preferencialmente independente dos demais. Assim, o risco geral da programação futura de mudanças considerará o impacto que uma mudança pode ocasionar na execução de outra, uma vez que a aplicação de uma mudança pode criar riscos não previstos anteriormente. Na teoria de finanças, o conceito de risco está associado à variabilidade dos resultados em relação a um valor médio esperado. Portanto, a meta do processo é criar uma carteira eficiente de mudanças futuras que minimize o nível de risco de indisponibilidade dos ativos através da diversificação dessas mudanças. Quanto mais negativa (ou menos positiva) for a correlação entre as diversas mudanças futuras, maiores serão os benefícios de redução de riscos na diversificação. Essa diversificação deve suportar a atividade de Agendamento das Mudanças Futuras. Com isso, através das ações previstas de adoção do gerenciamento de riscos nos processos de mudanças de infraestrutura, objetiva-se aumentar a probabilidade e o impacto dos eventos positivos e reduzir a probabilidade e o impacto dos eventos negativos nas mudanças executadas na empresa onde trabalho.

78

5.2 Aristides Souza Barcellos Conforme descrito no inicio deste trabalho, quando pensamos na gestão de projetos pensamos em diversas áreas de conhecimento, conforme exposto no PMBOK, inclusive gerenciamento de risco. Para o gerenciamento de risco, atualmente, existem diversas metodologias disponíveis e dentro deste rol de possibilidades foram detalhadas as metodologias que favorecem estas análises e suas correlações com as práticas de gerenciamento de projetos. A familiaridade com as metodologias e a consolidação em seus setores de origem também foram levados em consideração para a escolha. Na proposta de subsidiar as futuras turmas do MBA de Gerenciamento de Projeto destaco, dentre as metodologias descritas anteriormente, metodologia HAZOP e a metodologia proposta no PMBOK, juntas estas duas se complementam. A primeira trata da análise qualitativa de processos operacionais que impactam diretamente os objetivos do projeto, enquanto na segunda esta análise é tida como uma desvantagem, justamente por não avaliar estes processos. Além disto, a análise de risco proposta pelo PMBOK destaca a necessidade da análise quantitativa que não é avaliada pela HAZOP, o ponto falho dessa metodologia, e possue uma estrutura baseada em processos e subprocessos que descrevem de forma organizada o trabalho a ser realizado durante o projeto, esta estrutura é alinhada a estrutura proposta pela HAZOP. Como dito anteriormente, a metodologia HAZOP surgiu para ser empregada tanto em processos novos como nos já existentes, independentemente do tamanho, e não como uma ferramenta para ser aplicada na gestão de risco de projeto, nos moldes do PMBOK. Apesar de não ter surgido como uma ferramenta de gestão de risco de projeto esta pode, com algumas adaptações, ser empregada como uma ferramenta de gestão de risco de projeto em consonância com o PMBOK. Com base no exposto anteriormente e com o propósito de adaptar o HAZOP a gestão de risco em projetos (HAZOP de projeto), alinhado às práticas preconizadas pelo PMI, será proposto adaptações no desenvolvimento, nas formações dos grupos, nas palavras-chave, no fluxograma de análise de desvio (risco) e no formulário de registro das ações definidas pelo grupo de estudo de tal modo que seja possível realizar a identificação das etapas do “HAZOP de projeto” com as etapas descritas no capítulo 11 do PMBOK.

79

5.2.1 Formação do grupo de estudo Como trata-se de um grupo de estudo voltado para a análise de riscos na gestão de um projeto os membros serão os representantes das áreas de conhecimento definidas no PMBOK, apesar de (Kletz, 2006) recomendar o número máximo de 8 integrantes, todos farão parte do grupo, isto é, será um grupo com 10 membros. A Seguir, a formação do grupo e suas respectivas responsabilidades. • Gerente de Projeto Responsável pela gestão do projeto e por contribuir com a visão dos “stakeholders” na análise de risco. • Representante da Qualidade O gerente de qualidade ou o responsável pelo controle da qualidade do projeto, responsável por avaliar o impacto dos desvios na qualidade do projeto, seja no produto final ou nos processos. • Representante do Gerenciamento do Escopo O gerente de escopo ou o responsável pelo controle do escopo, responsável por avaliar o impacto dos desvios no escopo do projeto. • Representante do Planejamento (Tempo) O gerente de planejamento ou o responsável pelo planejamento do projeto, responsável por avaliar o impacto dos desvios no cronograma do projeto. • Representante do Custo O gerente de custo ou o representante pelo controle de custo do projeto, responsável por avaliar o impacto quantitativo dos desvios no projeto e avaliar o custo da implantação das soluções propostas pelo grupo. • Representante da Integração das Áreas O responsável pela integração das áreas de conhecimento e por auxiliar na avaliação dos impactos nas diversas áreas.

80

• Representante de Comercial (Aquisição) O responsável pela contratação e aquisição de materiais e serviços para o projeto, avalia o impacto nos fornecimentos e auxilia no orçamento das soluções propostas para os desvios. • Representante dos Recursos Humanos O responsável por avaliar o impacto nas pessoas envolvidas no projeto, tanto na necessidade de contratação/demissão quanto na saúde e segurança do trabalho. • Representante de Comunicação O responsável por avaliar a necessidade de comunicação interna e externa e por registrar as decisões tomadas pelo grupo para responder aos mais diversos desvios identificados, isto é, o redator. • Líder do Grupo O Responsável por conduzir a reunião e, necessariamente, deve conhecer da metodologia HAZOP e a metodologia proposta pelo PMBOK. Será o responsável por monitorar a implantação das soluções propostas. O Líder pode ser o responsável pelo gerenciamento do risco do projeto, caso seja necessário pode solicitar a presença de especialistas para tratar soluções para desvios mais específicos, caso no grupo de estudo não haja ninguém com o conhecimento necessário sobre o tema tratado. Nota-se que esta formação será a mesma, independentemente, do tamanho do projeto. Como sugerido por (Nolan, 1994), caso seja necessário, em decorrência da complexidade do projeto, pode-se realizar vários grupos, porém, para a gestão de risco em projeto, é necessário a permanência do Líder e do Redator, conforme exposto por (Kletz, 2006). Além destes 2, recomendo a permanência dos representantes de custo, tempo, escopo e qualidade. É necessária a permanência destes outros 4, pois todos os desvios impactará em ao menos 1 destes objetivos do projeto. “O risco do projeto é um evento ou condição incerta que, se ocorrer, terá um efeito positivo ou negativo sobre pelo menos um objetivo do projeto, como tempo, custo, escopo ou qualidade...”

81

(PMBOK, 2004)

5.2.2 Palavras-chave e respectivos desvios Uma vez definido o grupo, este analisará as etapas do projeto em pequenos eventos e, separadamente, os eventos externos que podem impactar os objetivos do projeto e comparará as expectativas do projeto com os cenários possíveis criados pelo grupo, assim, pode-se determina o impacto dos cenários criados nos objetivos do projeto (Custo, Tempo, Escopo, Qualidade). Com a identificação das causas e das conseqüências para os possíveis cenários analisados determinar-se-ão as ações a serem tomadas pelo grupo. As palavras-chave utilizadas pelo grupo de estudo serão as apresentadas na tabela abaixo mais aquelas que, devido à peculariedade de cada projeto, o grupo julgar pertinente

Tabela 19 Grupo de palavras-chave para análise de desvios do projeto e os respectivos desvios gerados GRUPO DE PALAVRAS-CHAVE PARA ANÁLISE DE RISCOS DO PROJETO Palavra-chave

Significado

NÃO

Negação completa da intenção do projeto

MAIS

Aumento quantitativo

MENOS

Diminuição quantitativa

PARTE

Modificação qualitativa / redução

ALÉM

Substituição completa

BEM COMO

Modificação qualitativa / aumento

REVERSO

Oposto lógico da intenção do projeto

PRECOCE

Relativo ao tempo do relógio

TARDIO

Relativo ao tempo do relógio

ANTES

Relativo à ordem ou seqüência

DEPOIS

Relativo à ordem ou seqüência

82

5.2.3 Análise qualitativa e quantitativa dos riscos identificados O grupo deverá fazer a análise individual de cada risco identificado tanto qualitativamente quanto quantitativamente e munidos destas informações proporão as ações de resposta. A análise quantitativa é uma inovação à metodologia HAZOP que originalmente não prevê este tipo de análise. Sendo que o impacto deverá ser avaliado nos 4 objetivos do projeto. Ao final da análise quantitativa o grupo deverá ser capaz de responder as 4 perguntas a seguir: • Qual o impacto financeiro no projeto? (Área de conhecimento CUSTO) • Qual o impacto no prazo do projeto? (Área de conhecimento TEMPO) • Qual o impacto no escopo do projeto? (Área de conhecimento ESCOPO) • Qual o impacto na qualidade do projeto? (Área de conhecimento QUALIDADE); Com as resposta das perguntas acima e com o estudo de viabilidade e exeqüibilidade proposto por (Kletz, 2006) o grupo poderá sugerir respostas aos riscos de maneira que minimizem as perdas e maximizem os ganhos. 5.2.4 Estudo de viabilidade e exeqüibilidade O estudo de viabilidade e exeqüibilidade da resposta ao risco proposto por (Kletz, 2006) não se adéqua de maneira satisfatória a esta proposta de adequação da metodologia HAZOP como ferramenta de análise e gerenciamento de risco do projeto. Como descrito anteriormente, a proposta original do estudo visa muito mais os processos na indústria, não se adequando ao gerenciamento de risco em projeto. Porém, a idéia de se realizar um estudo de viabilidade e exeqüibilidade como uma das etapas da metodologia é fantástica, pois força a equipe a preparar este estudo, com isso, reduzindo a probabilidade de tomada de decisão sem respaldo em informações técnicas. 5.2.5 Fluxograma HAZOP compatibilizado com o pmbok O fluxograma originalmente proposto por (Kletz, 2006) para o estudo HAZOP é adequado para o estudo de processos em plantas industriais. Para a adequação ao modelo de gerenciamento de Risco proposto pelo PMI é necessário adequarmos algumas informações do fluxograma, bem como, incluir novas caixas de atividades.

83

Para uma melhor identificação com o a estrutura proposta no PMBOK as atividades relacionadas no fluxograma foram agrupadas de tal maneira que pudessem ser classificadas nos processos de gerenciamento de risco proposto pelo PMI. Sendo os processos descritos abaixo, conforme expostos no capítulo 11 do PMBOK 3ª Edição, 2004: •

Item 11.1 – Planejamento do gerenciamento de riscos – decisão de como abordar, planejar e executar as atividades de gerenciamento de riscos de um projeto.



Item 11.2 – Identificação de riscos – determinação dos riscos que podem afetar o projeto e documentação de suas características.



Item 11.3 – Análise qualitativa de riscos – priorização dos riscos para análise ou ação adicional subseqüente através de avaliação e combinação de sua probabilidade de ocorrência e impacto.



Item 11.4 – Análise quantitativa de riscos – análise numérica do efeito dos riscos identificados nos objetivos gerais do projeto.



Item 11.5 – Planejamento de respostas a riscos – desenvolvimento de opções e ações para aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto.



Item 11.6 – Monitoramento e controle dos riscos – acompanhamento dos riscos identificados, monitoramento dos riscos residuais, identificação dos novos riscos, execução de planos de respostas a riscos e avaliação da sua eficácia durante todo o ciclo de vida do projeto.

84

Figura 7 Fluxograma de análise de risco de projeto pela metodologia HAZOP Fonte: Adaptado Figure 2.1 HAZOP and Hazan 4ª Edição, (Kletz, 2006).

O fluxograma deverá ser seguido para todos os riscos identificados e as ações de respostas deverão ser anotadas no formulário adaptado do HAZOP para análise de risco de projeto. 5.2.6 Formulário de anotação e controle de respostas aos riscos identificados O formulário de anotação e controle de respostas aos riscos identificados foi adaptado do formulário apresentado por (Kletz, 2006) para a metodologia HAZOP. A adaptação se deve a necessidade de registrar os objetivos do projeto impactados pelo risco identificado, os custos que estes impactos gerariam no projeto, a área de conhecimento em estudo e o processo estudado. Nome do Projeto:

N.º Projeto:

85

Elaborado por:

Folha

Equipe de estudo:

Data: Área de Conhecimento: Processo/Procedimento:

N.º

de

referência

Desvio

Notas

de

(Palavra-

ações

e

Chave)

consultas

Objetivo Impactado

Acompanhament Descrição do Impacto

Responsável

o e Comentários de Revisão

Figura 8 Formulário de registro da análise HAZOP para gerenciamento de risco em projeto . Fonte: Adaptado do formulário: HAZOP and Hazan 4ª Edição, (Kletz, 2006)

O campo “nome do projeto” é o local destinado ao título que identificará o projeto no qual o HAZOP foi realizado. O campo “n.º do projeto” é o local destinado ao código do projeto em estudo, utilizado pelas equipes. O campo “elaborador por” destina-se a inclusão do redator responsável pelo preenchimento do formulário.

86

O campo “folha” destina-se a identificação da numeração da página do formulário da análise do respectivo “processo/procedimento”. O campo “equipe de estudo” destina-se a relacionar os participantes do grupo de estudos HAZOP, inclusive com a identificação do cargo que ocupava no momento do estudo. O campo “área de conhecimento” destina-se a identificar área de conhecimento proposto pelo PMI que será estudada. O campo “processo/procedimento” destina-se a detalhar o processo dentro da área de conhecimento que será estudado. O campo “data” é destinado a informação da data em que o estudo HAZOP foi realizado. A coluna “n.º de referência” é a ordenação das análises, isto é, a numeração que identifica o desvio estudado ou na seção ou no equipamento ou no componente. A coluna “desvio” identifica o desvio analisado para aquela etapa. A coluna “notas de ações e consultas” é o local onde se relaciona as ações definidas a serem tomadas para tratar o desvio identificado para aquela etapa do processo (“n.º de referência”) A coluna “objetivo impactado” é local indicado para informa quais/qual dos 4 objetivos do projeto foram/foi impactado pelo desvio. A coluna “descrição do impacto” é local indicado para detalhar o impacto nos objetivos do projeto, inclusive o custo estimado do impacto. A coluna “responsável” identifica o responsável por implementar as ações propostas na coluna “notas de ações e consultas”. A coluna “acompanhamento e comentários de revisão” é o local que se destina a anotações sobre o status de implementação das ações e as revisões das ações propostas. 5.2.7 Aplicação da metodologia HAZOP de projeto A aplicação desta adaptação do HAZOP de projeto para a gestão de riscos em projeto segue basicamente a metodologia original desenvolvida pelo ICI e, posteriormente, detalhada por

87

Trevor Kletz. A diferença está na inclusão de algumas etapas de análises que agregarão informações técnicas para a proposição das respostas aos riscos. Com as adaptações propostas o estudo de desvios não se limitará as linhas de processos internos, como na metodologia original, e, sim, abrangerá as mais diferentes alterações possíveis na concepção original do projeto. Essas alterações serão pensadas e abordadas pelos membros da equipe de estudo que, com suas habilidades e experiências passadas, poderão imaginar e propor soluções para os mais variados cenários imaginados durante a aplicação da metodologia.

88

5.3 Cristiane Nicoli Sansevero Nessa dissertação foi apresentado o embasamento conceitual do processo de Gerenciamento de Risco. Este gerenciamento proporciona a identificação dos riscos aos quais os projetos estão suscetíveis, a elaboração de estratégias para mitigação de tais riscos e monitoração do ambiente de forma a assegurar a eficácia dos controles empregados. O propósito da presente dissertação foi analisar cinco metodologias distintas de Gerenciamento de Risco: HAZOP, FMEA, ISO 31000, PMBOK e Mercado Financeiro. A escolha das metodologias baseou-se na análise de seus respectivos favorecimentos da gerência de risco de projetos e possíveis correlações com prática de projetos. Outros fatores a serem considerados para a escolha são a familiaridade dos profissionais de gerenciamento de projetos para com as metodologias e a necessidade de compilar comparações entre elas em um só trabalho, visto que tal tema não é recorrente na literatura. Para sistematizar o processo de análise, alguns requisitos foram selecionados por serem de essencial importância para o desenvolvimento do tema: a aplicabilidade de cada metodologia, as vantagens, as desvantagens, o favorecimento da análise de riscos para projetos, a complexidade e a correlação com prática de projetos. Segue-se uma breve análise de cada metodologia com o intuito de se aprofundar em pontos que não foram explorados nas matrizes comparativas do capítulo 4. Iniciaremos com o estudo de identificação de perigos e operabilidade conhecido como HAZOP. Trata-se de uma técnica de análise qualitativa que identifica perigos e previne problemas. Sua simplicidade e eficácia na identificação dos riscos permitem o seu uso em diversos setores. Foi desenvolvida para examinar as linhas de processo, mas pode ser adaptada para a aplicação em gerência de projetos nas áreas de conhecimento do PMBOK. Solicita-se que a equipe envolvida seja multidisciplinar, para aumentar a eficiência de avaliação dos possíveis desvios dos processos do projeto. O caráter multidisciplinar do HAZOP permite compreensão dos problemas de diferentes áreas e possibilita aliar experiência e competência individuais aos benefícios do trabalho em equipe. Dada a característica heterogênea da equipe, a presença de um líder para balancear as discussões, corrigindo as distorções é de extrema importância.

89

Em linhas gerais, o FMEA procura listar todas as possíveis falhas (de produto ou do processo) e suas causas para que sejam analisadas e tomadas as ações preventivas necessárias. Permite determinar o ponto mais crítico do projeto, com vistas à tomada de ações preventivas para minimizar o impacto dos riscos para cada área de conhecimento do PMBOK. Observa-se que a melhoria contínua não é colocada em prática nas empresas para se manter um histórico atualizado das falhas de seus produtos e processos. Os FMEAs realizados anteriormente constituem um histórico de possíveis falhas, o qual permite a incorporação de falhas não previstas, bem como a reavaliação, com base em dados objetivos, das falhas já previstas pelo grupo. Apesar de ser um método de baixa complexidade, baixo custo de execução e boa confiabilidade, alguns ajustes são recomendados, tais como: a criação de um banco de dados de falhas, o qual vigorará como fonte de conhecimento para futuras equipes. Apesar desta metodologia ser quantitativa, sua análise é subjetiva principalmente devido às discrepâncias na definição dos índices de severidade, ocorrência e detecção. Assim, o gerente de projetos deverá ser capacitado para nortear objetivamente e coerentemente as discussões da equipe. Para a utilização de HAZOP e FMEA, a presença de um líder/gerente de projeto capacitado para revisar e confrontar os riscos potenciais levantados pelo grupo, com as que realmente ocorrem no dia-a-dia do processo e uso do produto, confere eficiência à metodologia. Os gerentes de projeto devem promover treinamentos, padronização de linguagem para que o histórico de falhas e perigos sejam de interesse e uso comum à equipe multidisciplinar. Ambas as metodologias proporcionam ações de melhoria no projeto do produto/processo devido: dados históricos e devida monitoração do plano de ações (melhoria contínua); diminuição de custos por meio da mitigação dos riscos; benefícios da incorporação, dentro da organização, da atitude de prevenção e mitigação de riscos; benefícios advindos do trabalho em equipe e preocupação com a satisfação dos stakeholders. Sobre a norma ISO 31000, ela estabelece uma abordagem genérica para qualquer forma de risco de uma maneira sistemática, transparente e confiável, dentro de um escopo e contexto definido pela organização, suportando tanto projetos como processos. A norma pode ser aplicada aos vários tipos de riscos de diferentes setores da organização, tais como financeiro e de projetos, saúde, entre outros, incluindo a visão moderna de que risco também é

90

oportunidade. Possibilita lidar com incertezas que podem afetar os seus objetivos, suas iniciativas estratégicas, suas atividades operacionais, seus processos ou seus projetos. Do mesmo modo que as metodologias anteriores, HAZOP e FMEA, a contribuição multidisciplinar permite a cada uma das partes conhecerem o andamento do processo e fornecerem subsídios para seu desenvolvimento. A consulta de diversas partes interessadas é importante para que se façam considerações sobre os riscos com base em suas percepções e suas experiências. Como as considerações podem ter um impacto significativo sobre as decisões, estas percepções devem ser registadas para garantir a rastreabilidade durante um processo decisório. O monitoramento contínuo também deve ser realizado, pois mudanças organizacionais ou externas podem alterar o contexto da análise, requerendo a revisão da gestão de riscos, como forma de identificar novas necessidades ou adaptação de algum parâmetro definido anteriormente. O PMBOK reúne conhecimentos em gerenciamento de projetos, os quais são recomendações genéricas que podem ser adaptadas para os casos específicos de cada organização. Os objetivos do gerenciamento dos riscos desta metodologia consistem em aumentar a probabilidade e o impacto dos eventos positivos e reduzir a probabilidade e o impacto dos eventos negativos no projeto. Aborda somente o escopo de projeto, não tratando dos riscos de processos operacionais que podem impactar o projeto e os objetivos do projeto. A equipe do projeto, as partes interessadas, sejam elas interna ou externa, deverão participar da identificação do risco – assim, verificamos o envolvimento multidisciplinar como essencial para a eficiência no levantamento dos riscos. As reavaliações dos riscos do projeto devem ser programadas com regularidade, o que resulta na identificação de novos riscos, na reavaliação dos riscos atuais e no encerramento dos riscos que estão desatualizados. Sobre a análise de risco do mercado financeiro, as metodologias avaliadas (Credit Risk+, Credit PortifolioView, KMV, Credit Metrics) podem ser incorporadas às questões financeiras ou diretamente relacionadas às finanças de um projeto, sendo que há uma melhor expectativa de adequação quando esses riscos podem ser quantificados. Por possuir aplicabilidade a projetos, entende-se que os critérios gerais de gerenciamento de risco possuem utilidade neste nicho.

91

Verifica-se que as metodologias (HAZOP, FMEA, ISO 31000, PMBOK) descritas neste trabalho, se apóiam nas atividades gerais do gerenciamento de risco, as quais devem ser executadas de forma contínua e cíclica, conforme elucidado abaixo: • identificação e documentação dos riscos; • análise (qualitativa e/ou quantitativa) e estabelecimento de prioridades; • elaboração de um plano de ações (plano de respostas aos riscos); • monitoração e controle; • revisões do plano de maneira a assegurar que as mudanças ocorridas durante a execução do projeto sejam incorporadas. A literatura consultada para a metodologia de risco do Mercado Financeiro não menciona objetivamente as etapas descritas acima. Futuros trabalhos poderão ser realizados para enquadramento desta metodologia nas etapas de gerenciamento do risco. Após a análise das metodologias neste capítulo, alguns pontos comuns entre elas são levantados e merecem uma discussão mais detalhada, são eles: a necessidade de equipe multidisciplinar, a geração de uma base de dados histórica para identificação dos riscos e a monitoração e controle dos riscos. O gerente de projetos, para efetividade do processo, deverá estar atento a estes pontos. No tocante às equipes multidisciplinares e ao histórico de falhas, há de se ressaltar a necessidade da atividade de Comunicação, para que estes pontos sejam implementados e interfaceados adequadamente. A comunicação entre os membros/stakeholders do projeto é um dos fatores mais importantes para a execução da gerência de risco, sendo o Plano de Comunicação perfeitamente ajustável, seja qual for a metodologia a ser empregada. Na literatura, não houve menção do plano de comunicação durante o estudo das metodologias, mas isto não dispensa a importância de seu uso. Do mesmo modo, cabe discursar sobre as ações corretivas como forma de re-planejamento e correção dos desvios encontrados ao longo do acompanhamento da execução do projeto (monitoração e controle), promovendo a análise de riscos que durante os levantamentos iniciais não tenham sido percebidos ou que tenham apresentado sinais de ocorrência quando o

92

projeto já tenha sido iniciado. Os riscos residuais devem ser aceitos prontamente com um acompanhamento apropriado pelo uso dos planos de contingência e assim, deve-se retroagir e incorporá-los ao planejamento. Não menos importante, é a escolha de um gerente de projetos com as competências e habilidades requeridas no projeto e que conheça a estratégia a qual o seu projeto está alinhado, valorizando a interface entre as áreas e a melhoria contínua. A atenção a esses pontos assegurará que o gerenciamento de riscos continuará a se desenvolver. O gerenciamento de riscos deve ser dinâmico, figurando assim, como indispensável ferramenta de gerenciamento e conferindo sua importante contribuição para o sucesso do projeto e dos negócios. Alguns autores mencionam que a identificação de risco deveria também abordar ameaças e oportunidades, desde que se enquadrem na definição de risco. De maneira idêntica à abordagem geral de gerenciamento de risco, as respostas às ameaças seriam: impedir, transferir ou reduzir. Por sua vez, as respostas às oportunidades seriam: explorar, compartilhar ou desenvolver. Embora, nem todas as metodologias estudadas sejam voltadas para a identificação de riscos positivos (exemplos HAZOP e FMEA), uma análise estratégica (exemplo SWOT) pode se conduzida paralelamente à gestão de riscos de maneira a identificar as oportunidade e ameaças e respectivo alinhamento das ações. Com a intenção de obter todos os benefícios da implantação do processo de risco para a organização em geral, é importante que o gerenciamento de riscos torne-se completamente integrado ao nível estratégico e ao operacional, independente da metodologia a ser utilizada. Para que a prática de gerenciamento de risco se dê de forma contínua e cíclica, o senso comum deve ser estruturado na organização de forma construtiva e não repreensiva, conscientizando a todos de que é uma característica natural de todo projeto e não uma atividade opcional ou adicional. A escolha de uma boa metodologia de Gerenciamento de Risco, adaptada às necessidades da organização, é um dos requisitos chaves para o sucesso deste processo. O gerente de projetos deve conhecer a estratégia a qual o seu projeto está alinhado concentrando-se em agregar valor à organização e a seus acionistas. As vantagens e desvantagens em se utilizar uma

93

metodologia em detrimento das outras são dadas principalmente em função da complexidade, confiabilidade e razões de ordem financeira. Analisando-se as metodologias HAZOP, FMEA e ISO 31000, vemos que elas estabelecem processos de gerenciamento de risco que incluem desde o planejamento à monitoração e controle. Constata-se também, a adaptabilidade destas metodologias ao padrão do PMBOK, bem como sua contribuição para o contexto de gerenciamento de projetos nas organizações. A interface entre estas metodologias e o padrão PMBOK é confirmada, uma vez que os produtos de cada etapa possuem relação direta com as áreas de conhecimento em gerenciamento de projetos, consolidando a conexão entre a metodologia e a minimização dos desvios nas etapas subseqüentes do projeto. Não foi possível estabelecer a mesma interface entre as metodologias de risco para o mercado financeiro e o PMBOK.

Sugere-se, como tópicos para continuação da pesquisa, um

entendimento da metodologia de risco do mercado financeiro e sua contribuição para o gerenciamento de projetos, bem como a sua aplicação em projetos de outros segmentos. O aperfeiçoamento das fases iniciais de um projeto e um planejamento estruturado acarreta diminuição das incertezas do projeto e uma garantia de que os requisitos do mesmo foram identificados e registrados. Do mesmo modo, deve-se ter em mente que o reconhecimento de incertezas faz parte de todos os níveis da organização, por isso a importância de se estabelecer equipes multidisciplinares, colocar em prática um plano de comunicação, reconhecer gerentes de projetos com competência e habilidades adequadas para promover a melhoria contínua no mapeamento de riscos e contemplação das estratégias de mitigação. A escolha de uma metodologia de gerenciamento de riscos deve estar integrada com o projeto e alinhada à organização. O resultado, certamente, culminará com a diminuição dos desvios quanto aos prazos, custos, qualidade e, conseqüente, um aumento da competitividade da organização.

94

5.4 Eduardo Salvador Ramos O objetivo deste trabalho foi reunir informações de algumas metodologias utilizadas especificamente a questões que envolvam riscos, seja em projetos ou negócios, independentemente de sua natureza, seja em empresas da área financeira, construção, governamental, tecnologia ou outras quaisquer. Iniciamos o trabalho procurando identificar os conceitos de cada método, visando o desenvolvimento de uma narrativa contínua e assim então atingir uma abordagem simplificada de tudo aquilo que foi difundido em diversas publicações, artigos, revistas e sites da internet, possibilitando após essa narrativa uma comparação entre modelos que surgiram nos mais diversos ambientes de negócio. Sejam eles riscos considerados “riscos bons” ou “riscos ruins”, ao contrário do que é comumente percebido pela grande maioria, onde risco está sempre associado a perdas e prejuízos, o desafio foi elucidar como algumas metodologias lidam com essas incertezas, o que pode ser considerado para tal análise e o que realmente devemos esperar para obter um bom modelo de gerenciamento de risco. Não é muito difícil entender o porquê “risco” é considerado sempre como algo ruim, está puramente associado à lógica: o resultado só vem depois de uma operação/ação. Está implícito que primeiramente devemos realizar o esforço e depois ver o que acontece, ou de maneira mais simplória, como diz o ditado popular: “pagar para ver”. Elaboramos uma introdução para contextualizar melhor este trabalho, explicando o que é projeto, o que é gerenciamento de projetos, o que é risco, o que é gerenciamento de riscos, o que é metodologia e qual a importância de se gerenciar riscos em um projeto. Pesquisamos então alguns livros que se propuseram a elucidar tais conceitos que traduzem de modo geral aquilo que ocorre no mundo real. A partir desta contextualização, buscamos então informações para identificarmos quais modelos e metodologias foram ou ainda são utilizadas pelas diversas organizações, as quais propuseram a identificar e responder a uma incerteza, com atenção especial as incertezas que podem oferecer riscos a um negócio ou a um projeto. Essas metodologias não apresentam conceitos novos, ou seja, algo que ainda ninguém havia percebido. O objetivo de uma metodologia de risco quaisquer é oferecer a uma empresa,

95

ferramentas que possibilitam identificar tudo aquilo que pode ser um ponto fraco no contexto em que ela se insere e que podem trazer danos irrecuperáveis do ponto de vista financeiro, embora este não seja único não menos importante, mas é um recurso escasso para a grande maioria das organizações. A maior parte das empresas se preocupa muito pouco ou sequer se preocupam ou até mesmo não sabem lidar com a questão de gerenciamento de risco. As poucas que se preocupam priorizam atenção quase visceral com um bom modelo. Elas sabem que não é possível controlar tudo. Sabem também que cometem julgamentos errados e por conseqüência decisões equivocadas, ninguém está isento de cometer falhas. Portanto, reconhecem que, embora exista o fator “sorte”, muito pode ser feito para evitar que o pior os aconteça. Ao priorizar o desenvolvimento de suas metodologias, adequá-las aos seus negócios, incumbindo todos seus detalhes e peculiaridades, e assegurarem com cautela que todo planejamento vem sendo realizado cuidadosamente, os efeitos e resultados são percebidos sem grandes explicações. A metodologia do HAZOP busca prover uma identificação e elaboração de um planejamento de problemas que podem ocorrer com pessoas, equipamentos ou processos de produção. Muito disseminada na indústria, principalmente química, já que dai ela se originou, é uma metodologia de fácil implementação e pode ser utilizada em diversos segmentos, pois baseiase em uma análise de informações levantadas pelos envolvidos nos processos. O sucesso desta metodologia refere-se essencialmente pela formação de um grupo responsável pela identificação dos riscos. Este grupo enriquece o método pois exprime a experiência dos executores na fase de identificação e torna-se conhecimento de todos, fazendo com que grande parte das ameaças sejam identificadas com grande margem de precisão e agregando os interesses de cada papel, cada função demandado pela organização. Passa-se então a projetar resultados no campo estratégico da organização, tornando possível visualizar com mais detalhes a “espinha dorsal” do negócio. Toda e qualquer decisão é registrada por um redator, não apenas para apontar culpados, mas para viabilizar outro ponto fundamental, em outra fase, em outro momento: lições aprendidas. Embora pareça um mar de rosas, por ter como característica sua simplicidade, o HAZOP não procura incorporar conceitos matemáticos ou estatísticos, que tornam o processo de identificação mais fácil de ser compreendido (já pensando no processo de comunicação, como

96

garantir que os interlocutores entenderam exatamente a mesma coisa sobre a informação passada), isso porque utiliza uma pequena tabela de palavras que procuram comprimir a precisão que os números podem exprimir em termos que ilustram o estado de alerta. Alguns autores defendem que esta simplicidade deve ser empregada sempre que possível, outros não acreditam que esta seja a melhor alternativa e prefere pela precisão dos números (referindo-se a análise quantitativa). Há ainda quem ache que o ideal é a combinação dos dois (qualitativo e quantitativo). Tendo em vista que isso pode variar devido à natureza de um negócio e seus valores, e até mesmo os valores das próprias empresas e se não bastasse os valores de seus proprietários, não é possível optar pela adoção de um tipo. A natureza de um projeto pode pender mais a variáveis quantitativas ou qualitativas. O impacto dos riscos pode decidir qual a melhor abordagem. Já a metodologia FMEA surgiu em um meio puramente físico e matemático, em um ambiente extremamente hostil, NASA, onde um equipamento tripulado com vida, não teria como ser reparados após seu lançamento. Através de um combinado de técnicas de comunicação, hoje seu uso é requerido em uma série de normas no âmbito mundial, amplamente utilizado por indústrias. Visa garantir que o produto final chegue ao seu destino sem falhas e defeitos, sem deixar de lado o processo de produção. Sua grande vantagem é evidenciar qual/quais os pontos mais críticos de um projeto, através de ações preventivas visando minimizar o risco em cada processo. Aqui podemos notar uma semelhança muito próxima ao guia PMBOK e suas áreas de conhecimento, que por sua vez propõe identificação dos riscos para cada uma dessas áreas, favorecendo uma estrutura mais sólida para elaboração de um plano de gerenciamento de riscos. Podemos perceber sutilmente que o FMEA nos conduz a outra direção, levando-nos a pensarmos em suas aplicabilidades no âmbito de projetos, porém, apontamos como uma de suas desvantagens o fato de que como ele foi desenvolvido para potenciais problemas em sistemas, processos ou projetos, ele não fornece ferramentas mais apuradas para análise de riscos bons, aqueles que possibilitam visualizar oportunidades de ganhos. O ISO 31000 surgiu no Japão, em um documento sucinto visando disponibilizar práticas de gerenciamento de risco a qualquer tipo de empresa, independente do porte e setor. Um fato muito interessante desta metodologia é que seu objetivo principal é harmonizar padrões de outras metodologias advindas da necessidade das corporações em lidar com incertezas que pudessem afetar seus objetivos, estratégias, processos e projetos. Por isso esta metodologia

97

pode ser aplicada aos vários tipos de riscos da organização. Outro fator relevante é que ela incorpora a visão de que risco também é uma oportunidade. Além disso, os processos do modelo proposto procura instaurar uma cultura na organização, de modo a não tratar o gerenciamento de risco apenas quando surgir a necessidade de gerir risco, mas manter os conceitos como uma rotina geral na organização. Este modelo incorpora análise tanto qualitativa quanto quantitativa. O ISO 31000 parece suprir a deficiências das demais metodologias, porém, o documento que descreve os processos desta norma não esclarece as entradas, ferramentas e saídas de cada processo. Além disso, faz-se necessário buscar outras normas que complementam essa “deficiência”. Não chega a ser uma desvantagem tão expressiva, mas as demais metodologias citadas neste trabalho não apresentam tal complemento. Por outro lado são mais simples de serem implementadas e recomendadas para empresas que procuram amadurecer seus processos antes de aproveitar melhor os conceitos de gestão de riscos. A metodologia do PMBOK é o modelo pivô deste trabalho. O guia reúne conceitos de práticas de forma coesa e que obtiveram sucesso em grandes projetos. Não se restringe apenas ao método de gerenciamento de risco. Aqui destacamos o diferencial deste trabalho, onde a idéia não é restringir apenas as comparações das metodologias de risco umas com as outras, mas como a abordagem adotada pelas mesmas possibilita contemplar um espectro maior de riscos que podem conduzir a outros riscos. As práticas de gestão de risco do PMBOK elucidam “risco” com conceitos mais bem aceitos dentre a maioria dos autores, de que a causa pode trazer efeitos negativos, mas também pode trazer efeitos positivos. Mas não é exclusivo como pudemos verificar no ISO 31000. Diferentemente do ISO 31000, o PMBOK descreve as técnicas e ferramentas para viabilizar um bom plano de gerenciamento de risco. Assim como nas demais metodologias, é caracterizada pelos processos de planejar, identificar, analisar qualitativamente, analisar quantitativamente, pré-estabelecer respostas aos riscos, monitorar e controlar os riscos. Este é o ponto comum em todas as metodologias. Todas elas abordam gerenciamento de risco como identificação e elaboração de respostas (caso o risco ocorra) e medidas preventivas com todos os envolvidos, sejam em processos ou projetos. O PMBOK destaca que o processo de identificação requer um grande esforço e atenção para que as causas sejam corretamente identificadas, através de especialistas e dados históricos.

98

Aqui, o guia sugere que os stakeholders participem desta fase de alguma forma para que possam fornecer informações adicionais. O guia trata também que a qualidade das informações colhidas e como são explicitadas nos planos podem ser indicadores de riscos no projeto. Outro ponto importante deste guia, é que ele expõe claramente termos técnicos para não gerar ambigüidade de informação. Analogamente, as demais metodologias não apresentaram tais esclarecimentos. Não significa que por isso é o melhor, mas apenas faz um esforço para incentivar a experimentação. O guia também sugere reavaliações dos riscos e com certa regularidade e freqüência. Já que contempla em um de seus processos a necessidade de mensurar a eficácia das respostas para lidar com os riscos e suas causas-raiz. Também esclarece que durante a execução de um projeto, podem ocorrer riscos, que devem ser avaliados se seus impactos são positivos ou negativos em reservas de contingência (referindo-se a tempo e custo). Podemos concluir então que monitorar e controlar os riscos pode resultar na identificação de novos riscos e na reavaliação dos identificados anteriormente, reiniciando o fluxo de identificação e verificando se o risco em questão foi extinto, aumentou seu impacto ou tornou-se uma oportunidade de ganhos. Já no mercado financeiro, nota-se que o desafio é conseguir incorporar variáveis microeconômicas e macroeconômicas em seus modelos. Seus conceitos podem ser utilizados para explicar gerenciamento de riscos, porém, suas ferramentas não, já que se baseiam em cenários muito específicos de negócio e não apenas de processo ou projeto, onde um negócio existe a perspectiva de continuidade falando de execução, e projeto é um esforço temporário e processo “como” será feito. Este trabalho procurou apenas conceituar algumas metodologias utilizadas no mercado financeiro, sem explorar com riqueza de detalhes, pois não era o escopo deste documento esclarecer como são os processos de identificação e resposta aos riscos. Porém, pudemos verificar uma forte coesão com fórmulas, probabilidades e estatísticas no modelo, ponderando sempre questões micro e macroeconômicas com o perfil do solicitante de crédito, avaliando qual a probabilidade dele quitar sua divida no prazo acordado com a instituição. Os modelos de gerenciamento de risco no mercado financeiro assemelham-se muito aos outros modelos, pois antes de equacionar as variáveis, procura identificar os riscos para o

99

projeto de negócio, no caso das metodologias citadas neste trabalho, o projeto produz um produto que é a concessão de crédito. Após a identificação, definem-se respostas ao risco e incorpora-se as respostas também as equações e estimativas. A partir desta equação, os resultados obtidos de risco são praticamente extintos, tornando praticamente zero a probabilidade de ele ocorrer, em função do volume de crédito concedido a um grande número de clientes em carteira. Resta então atentar-se apenas a contingência, resumida a um bom capital de giro caso ocorra alguma situação adversa em variáveis macroeconômicas. O próprio modelo de negócio incumbe-se de responder ao risco de inadimplência caso ele ocorra e ainda o transforma em oportunidade. A partir destas pesquisas, vemos que os conceitos de gestão de riscos são muito sólidos e podem ser seguramente implantados em empresas que pretendam monitorar e controlar riscos de seus negócios, pois isso pode custar sua própria sobrevivência. Fica mais claro que os modelos que contemplam de forma mais completa, podem exigir um esforço de entendimento e adequação para se alcançar melhores resultados, mas também trazem benefícios sólidos e duradouros para a saúde do negócio. Nenhum modelo abordado neste trabalho apresentou conceitos contraditórios, apenas o mercado financeiro que abordou de modo muito específico em função da natureza do seu negócio. Em outras palavras, não se encaixa como uma luva para quem pretende começar do zero, mas possui uma base conceitual idêntica a todos os demais modelos, onde risco representa a chance de dar certo e errado ao mesmo tempo, deve ser identificado considerando opiniões especialistas e dados históricos sobre o objeto em questão, avaliar a adequação das respostas aos riscos como lições aprendidas e monitorar e controlar para identificar novos riscos ou mutações dos riscos já identificados.

100

6. POSSÍVEIS DESDOBRAMENTOS Durante o desenvolvimento deste trabalho, identificamos diversas possibilidades de aprofundamento em função da irrestrita capacidade de aplicação. Sugerem-se como possíveis desdobramentos: • Aprofundar os estudos da metodologia de risco do mercado financeiro e sua contribuição para o gerenciamento de projetos, bem como a sua aplicação em projetos de diferentes segmentos. Algumas metodologias de gestão de riscos no mercado financeiro derivam outras metodologias que não foram citadas neste trabalho devido à restrição do tema e o objetivo do trabalho. • A avaliação de estudo de casos de empresas que tenham adotado as metodologias analisadas, permitindo a obtenção de dados dos gestores de projetos sobre as dificuldades encontradas e resultados obtidos. • Faz-se necessário também um mapeamento mais preciso de outros requisitos relevantes a serem utilizados na comparação das metodologias. • Proposição de melhorias de maneira a minimizar os impactos das desvantagens de cada metodologia.

101

7. REFERÊNCIAS BIBLIOGRÁFICAS ACUSAFE. HAZARD ANALYSIS – HAZOP. Disponível http://www.acusafe.com/Hazard_Analysis/Hazard_Analysis-index.htm. Acesso 21/02/2011

em: em

ALBERTON, A. Uma Metodologia Para Auxiliar No Gerenciamento De Riscos E Na Seleção De Alternativas De Investimentos Em Segurança. Disponível em: http://www.eps.ufsc.br/disserta96/anete/index/indx_ane.htm. Acesso em 21/02/2011; ASSAF NETO, A. Mercado Financeiro. 8 ed. São Paulo: Atlas, 2008 BACEN, Banco Central do Brasil, 2011. BARASUOL, Robson B. FMEA – Uma abordagem simplificada. Disponível em: http://200.169.53.89/download/CD%20congressos/2006/CRICTE%202006/trabalhos/576324egp-18-08-111734.pdf. Acesso em 23 fev. 2011 BESSIS, J. Risk management in banking. Chichester: John Wiley & Sons, 2002. BEST, P. Implementing Value-at-Risk. New York: John Wiley & Sons, 1998. BM&FBOVESPA. Disponível em: http://www.bovespa.com.br. Acesso em: 03 mar.2011. CAOUETTE, John B., ALTMAN, Edward. I. e NARAYANAN, Paul. Managing Credit Risk – The next Great Financial Challenge, New York: John Wiley & Son Inc., 1998. DOMINGUES, Rafael M. Uso do FMEA como ferramenta para análise de riscos em projetos. Disponível em: http://projetos.inf.ufsc.br/arquivos_projetos/projeto_615/Uso_Do_FMEA_Analise_RiscosRMD.pdf. Acesso em 29 set. 2010. FACHIN, O. Fundamentos de metodologia. 4. ed. São Paulo: Saraiva, 2003. GAIO, L. E.; SÁFADI, T. Memória longa na volatilidade do índice BOVESPA: uma análise utilizando modelos da classe ARCH. Revista de Economia e Administração, v. 7, n. 2, p. 228-243, 2008. GARSIDE, Thomas et al. Credit portifolio management. Oliver, Wyman & Company, Dez 1999. Disponível em: http://www.erisk.com. Acesso em: 08/10/2010. GITMAN, L. J. Princípios de administração financeira. 2. ed. Porto Alegre: Bookman, 2001. GUPTON, Greg M. et al. CreditMetrics: Technical Report. New York: J.P. Morgan & Co. Incorporated, 1997. HILLSON D. Gerenciamento de riscos: melhores práticas e desenvolvimentos futuros. Disponível em: http://www.risk-doctor.com/pdf-files/mundopmpaperoct05portuguese.pdf. Acesso em 23 fev 2011.

102

INSTITUTO DA QUALIDADE AUTOMOTIVA Análise dos Sistemas de Medição MSA: Manual de Referência. 3ª Edição. São Paulo: [s.n.], 2006. ISO31000. ABNT NBR ISO 31000. Gestão de riscos - Princípios e diretrizes, 2009. KEALHOFER, Stephen; BOHN, Jeffrey R. Portifolio management of default risk. São Francisco: KMV LLC, 1993. KLETZ, T. HAZOP AND HAZAN. 4ª edição. Rugby: Institution of Chemical Engineers, 2006. 247p.MARTINS, G. A. ; THEÓPHILO, C. R. Metodologia da Investigação Científica para Ciências Sociais Aplicadas. São Paulo: Atlas, 2007. NARAYANAGOUNDER S., GURUSAMI K. A. New Approach for Prioritization of Failure Modes in Design FMEA using ANOVA. World Academy of Science, Engineering and Technology número 49, 2009, páginas 524-531. NOPSA – National Offshore Petroleum Safety Authority. Guidance Note N-04300-GN0107 Revision 2, July 2010. 32p. Norma QS-9000. PALADY, Paul. FMEA Análise dos Modos de Falha e Efeitos: Prevendo e Prevenindo Problemas Antes que Ocorram. 3ª Edição. São Paulo: Instituto IMAM, 2004. PMBOK. PMBOK Guide: a guide to the project management body of knowledge. Newtown Square: Project Management Institute, 2004. PRADO, Renata G.A., BASTOS, Norton T., DUARTE Jr., Antonio M., Gerenciamento de Riscos de Crédito em Bancos de Varejo no Brasil, São Paulo: IBMEC, 2002. PROJECT MANAGEMENT INSTITUTE. Um Guia do Conjunto de Conhecimentos em Gerenciamento de Projetos. 3ª edição. Newtown Square: PMI, 2004. 405p. RAMOS, Eliani F. A gestão de Riscos usando FMEA. Revista Mundo PM número 10, 2006. Páginas 71 a 74.RAMOS, Eliani F. Utilização da FMEA para Gestão de Riscos em Projetos de Desenvolvimento de Software. Disponível em: http://www.euax.com.br/artigos. Acesso em 29 set 2010. REIS, K. HAZOP. Disponível http://www.qualidadebrasil.com.br/artigo/qualidade/HAZOP. Acesso 20/02/2011.

em:

SALLES JR., C. A. C; SOLER, A. M; VALLE, J. A. S; RABECHINI JR., R. Gerenciamento de Riscos em Projetos. Rio de Janeiro: Editora FGV, 2006. 160p. SAUNDERS, A. Financial institutions management: a modern perspective. Homewood, IL: Irwin,1996. 2nd ed. SAUNDERS, Anthony. Medindo o Risco de Crédito – Novas Abordagens para Value at Risk e Outros Paradigmas. Rio de Janeiro: Qualitymark, 2000. SCHRICKEL, Wolfgang K. Análise de crédito: concessão e gerência de empréstimos. 5. Ed. São Paulo: Atlas, 2000.

103

SECURATO, J. R. Decisões Financeiras em condições de risco. 2 ed. São Paulo: Saint Paul Editora, 2007. SMITH, S.W. Three HAZOP Questions: "What could go wrong?"; "How would we know it?"; "What could we do about it?". Disponível em: http://www.HAZOP.com Acesso em 21/02/2011 VIEIRA, Erlon C. S. Metodologia FMEA – análise de modo e efeitos de falha e orientações estratégicas. Disponível em: http://www.gepeq.dep.ufscar.br/arquivos/ErlonMonografia%20FMEA%20-%20ufscar-Etapa.pdf. Acesso em 23 fev. 2011. WIKIPEDIA. Hazard and operability study. Disponível http://en.wikipedia.org/wiki/Hazard_and_operability_study. Acesso 21/02/2011

em:

104

8. GLOSSÁRIO Ações Estratégicas - Iniciativas que indicam como deverão ser alcançados os objetivos estratégicos. Análise Qualitativa – Visa realizar uma análise subjetiva dos riscos do projeto, expressas por palavras e não por números. Análise Quantitativa - Visa realizar uma avaliação quantitativa dos riscos do projeto, expressas por números e não por palavras. Ameaças - Fenômenos ou condições atuais ou potenciais capazes de dificultar substancialmente e por longo tempo o bom desempenho da Instituição (em termos do cumprimento da sua Missão, Objetivos Estratégicos, desempenho competitivo etc.). Análise do Ambiente Externo - Construção da visão das evoluções prováveis do ambiente externo da Instituição, a médio e longo prazo, visando a antecipar oportunidades e ameaças para o seu bom desempenho, face à missão e aos objetivos permanentes. Análise do Ambiente Interno - Diagnóstico dos pontos fortes e fracos da Instituição. Avaliação Estratégica - Exercício de mapeamento e interpretação das interações entre oportunidades e ameaças, frente às forças e fraquezas mais relevantes, em cada cenário. Árvore de Decisão - É um diagrama que descreve as principais interações entre decisões e possibilidades. A árvore de decisão usa a noção do Valor Esperado para determinar o conjunto de resultados. É um diagrama de todos os atos, eventos e resultados possíveis. Auditoria - Atividade de verificação de cumprimento de diretrizes. Cenários - Descrições sistêmicas de futuros qualitativamente distintos e das trajetórias que os conectam a situação de origem. Constituem recurso útil, no processo de planejamento estratégico participativo. Gerência de Riscos - Processos necessários para planejar o gerenciamento, identificar, analisar, responder, monitorar e controlar riscos em projetos (PMBOK 2004)

105

Indicadores de Desempenho - Medições de características dos produtos ou dos processos, para monitoramento da conveniência de ações gerenciais. Integração - Processo de harmonizar os sistemas, para se suplantar as incompatibilidades. Maturidade - É o desenvolvimento de sistemas e processo que são por natureza repetitivos e garantem uma alta probabilidade de que cada um deles seja um sucesso. Melhoria Contínua - Processo para incriminação da qualidade em serviços ou Produtos Monitoramento e Controle - Acompanhar como está se comportando aquilo que planejamos com relação aos riscos do projeto. Objetivos Estratégicos - Conjunto de resultados desejados que, obrigatoriamente, precisam concretizar-se no horizonte temporal do plano estratégico. Deve conter indicadores de resultados observáveis e analisáveis, o que realizar a gradação do que deve ser realizado, o alvo ou objeto da realização e uma qualificação de como vamos realizar o pretendido (ênfases e restrições). Oportunidades - Situações, tendências ou fenômenos externos à Instituição, atuais ou potenciais, que podem contribuir, em grau relevante e por longo tempo, para a realização da missão ou o cumprimento dos objetivos permanentes. Seu aproveitamento depende das condições do ambiente interno. Planejamento Estratégico - Nível de planejamento estratégico que tem por objeto as decisões que não podem ser descentralizadas sob pena de se correr o risco de graves erros de subutilização. Plano Estratégico - Modelo de decisões coerente, unificado e integrador, que: (a) determina e revela o propósito institucional em termos de missão, objetivos permanentes, programas de ação, prioridades de alocação de recursos; (b) delimita os domínios de atuação da Instituição; (c) descreve as condições internas de respostas ao ambiente externo e a forma de modificá-las, com vistas ao fortalecimento da Instituição; (d) engaja todos os níveis hierárquicos (institucional, das áreas básicas de atuação e funcional), para a consecução dos fins maiores; (e) define a natureza das contribuições econômicas e não-econômicas que a Instituição deve fornecer a seus parceiros-chave.

106

PMBOK (Guide of Project Management Body of Knowledge) - Guia mestre de gerenciamento de Projetos – Esforço temporário para efetuar um produto. Processo - Conjunto de ações com intuito de monitorar a execução de um produto ou serviço em projetos. Respostas aos riscos - Elaboração de um plano de ações voltadas ao aproveitamento das oportunidades, bem com para reduzir as ameaças aos objetivos do projeto. Stakeholder - Todos os interessados ou afetados pelo desenvolvimento de um projeto

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF