Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e COSO

GERENCIAMENTO DE RISCOS ABORDANDO OS ASSUNTOS TRATADOS NO PMBOK®, COSO E ISO 31000.

Jefferson Oliveira, PMP

OBJETIVOS

Fornecer uma visão abrangente do gerenciamento de riscos de uma organização;

Aplicar os conceitos de forma pragmática, apresentando ferramentas e técnicas para desenvolver a percepção dos riscos de forma estruturada; e

Aprimorar os resultados dos seus projetos e operações de rotina.

SUMÁRIO Introdução

Noções preliminares Principais conceitos

Desenvolvimento Metodologia COSO ISO 31000:2009 PMBOK® Apresentação de casos práticos Dinâmica em grupo

Conclusão Quadro comparativo entre as metodologias apresentadas Apresentação das matrizes desenvolvidas

INTRODUÇÃO Noções preliminares

Cultura organizacional das empresas e maturidade para praticar o gerenciamento de riscos

O maior desafio de uma gestão é fazer a coisa certa no tempo certo além de gerenciar as expectativas dos envolvidos (Planejamento)

FATO: Informações precisas e organizadas são a base da nossa habilidade para vencer as adversidades

INTRODUÇÃO Noções preliminares

Toda MUDANÇA pressupõe RISCOS

Fugir aos riscos pode resultar em estagnação

“Inovadores que alcançaram êxito não são assumidores de riscos, pois eles procuram definir os riscos que têm que incorrer e minimizá-los o quanto for possível” (Peter Drucker)

ATITUDES PERANTE ÀS MUDANÇAS

INTRODUÇÃO - PARADIGMAS

Não posso quantificar, pois não tenho histórico....

Isto é um trabalho de especialista.... Temos que designar o Gerente de Riscos do Projeto

O Cliente não quer saber dos Riscos... Eu tenho que assumir!!!!

Se eu fizer isto, não ganho mais um contrato!!!! Perco Competitividade!!!

Se eu fizer isto, vou aumentar o custo no orçamento....

O Ger. Risco toma muito tempo... Não tenho este tempo no planejamento!!!

INTRODUÇÃO Principais conceitos

Medida da probabilidade e das perdas acarretadas pelo acontecimento de um evento que afete negativamente o projeto, o processo ou o produto em um projeto (Hall).

Probabilidade de um projeto não atingir os objetivos de custo, desempenho, cronograma e as consequências de não atingir este objetivo (Conrow).

Medida de probabilidade e severidade de efeitos adversos (Lawrence).

Possibilidade de perda ou ganho (Pfleeger).

Risco de auditoria é a possibilidade de o auditor vir a emitir uma opinião tecnicamente inadequada sobre demonstrações contábeis significativamente incorretas (NBC T 11)

Riscos devem ser interpretados como um conjunto de incertezas, encontradas quando ousamos fazer algo, e não como “Problemas”, que são a manifestação dos mesmos.

INTRODUÇÃO Classificação dos riscos pelas incertezas

“Eu não me preocupo com as coisas que eu sei que não sei. Eu só me preocupo com as coisas que eu não sei que não sei. Porque as coisas que sei que não sei, é fácil, é só procurar que vou saber. Porém, as coisas que não sei que não sei, não tenho nem por onde começar!”

Einstein

INTRODUÇÃO Classificação dos riscos pelas incertezas

Total certez

a

Total incertez

a

Incerteza geral

Incerteza

específica

Não sei que não

sei

Sei que não sei

Sei

Sem informação

Informação parcial

Informação completa

Escopo do gerenciamento dos

riscos

INTRODUÇÃO Riscos Desconhecidos (externos): não podem ser gerenciados de forma pró-

ativa. A saída é alocar contingência contra esses riscos.Ex: riscos de catástrofes, metereológicos, economico-políticos (leis, câmbio, inflação)

Riscos Conhecidos: identificados e analisados Correr o risco: as perdas são menores que os custos decorrentes do controle ou quando os

benefícios superam as perdas Evitar o risco: custos ou impacto muito altos, comparados aos benefícios

Como eles podem impactar no nossos processos e projetos?

RISCOS DO PROJETO – afetam cronograma e recursoRISCOS DO NEGÓCIO – afetam a organização

RISCOS DO PRODUTO – afetam a qualidade

COMPONENTES DO RISCO

Risco

Evento

Probabilidade

Impacto

Condição

Consequência Ocorrência

Ex.: A empresa exige que os diagramas sejam desenvolvidos através de um software que nossos projetistas nunca utilizaram.

Ex: A geração dos diagramas e o trabalho de gerenciamento da documentação irá demorarmais tempo. Limitações no uso do software implicarão em retrabalho.

O retrabalho deverá aumentar em 25% o trabalhorelativo ao serviço de documentação, caso se concretize.

INTRODUÇÃOAversão ao risco (perfil conservador)

Muito mais sensível a perdas do que a lucros.

Amantes do risco (perfil agressivo)

Adepto das possibilidades positivas em relação às negativas

Indiferente ao risco (arrojado)

Só navega por mares calmos.

INTRODUÇÃO

Processo baseado em Técnicas de dinâmica de grupo Ferramentas

para apoiar o processo

Processo Contínuo

Qual é a cara do gerenciamento de riscos?

COMPETÊNCIAS ESPERADAS Bom ouvinte e excelente coletor de comunicações; Dominar as técnicas de administração de riscos; Bom relacionamento interpessoal, trocando informações com elementos

internos e externos. Habilidade de negociar e convencer pessoas de suas posições; Possuir resiliência para tratar os riscos que aparecerão ao longo da

rotina.

BENEFÍCIOS DA GESTÃO DE RISCOS Minimiza a gerência por crises; Minimiza a ocorrência de surpresas e problemas; Possibilita melhor alavancagem de resultados; Aumenta a probabilidade de sucesso do projeto; Conhecimento quanto à possibilidade de ganho/perda pela exposição aos riscos; Identificação de condições de recuperação de perdas no caso de materialização

dos riscos; Credibilidade; Maior controle nos gerenciamento de Escopo, Tempo e Custo.

ISO 31000:2009

Apresentação da norma técnica Definição de risco Atendimento aos princípios para uma gestão de riscos eficaz (ISO) Processos de identificação e avaliação dos riscos (ISO)

ISO 31000:2009

Norma é o documento estabelecido por consenso e aprovado por um organismo reconhecido, que fornece regras, diretrizes ou características mínimas para atividades ou para seus resultados, visando à obtenção de um grau ótimo de ordenação em um dado contexto.A norma é, por princípio, de uso voluntário, mas quase sempre é usada por representar o consenso sobre o estado da arte de determinado assunto, obtido entre especialistas das partes interessadas.

ISO 31000:2009 A ISO 31000 foi desenvolvida em resposta à demanda das organizações;

“Não se gerencia o que não se mede, não se mede o que

não se define, não se define o que não se entende, não há

sucesso no que não se gerencia” W.

E. Deming

O efeito que essa incerteza tem sobre os objetivos das organizações é chamado de “RISCO”;

ISO 31000:2009 A International Organization for Standardization (ISO) define atitude

perante o risco como uma “abordagem da organização para avaliar e eventualmente buscar, reter, assumir ou afastar-se do risco

Norma estabelecida por consenso (Vários técnicos e segmentos) Aprovado por organismo reconhecido (mantenedora das normas técnicas do mundo)

Definição norma: Conjunto de regras de uso relativas às características de um produto ou de um método, compiladas com o objetivo de uniformizar e de garantir o seu modo de funcionamento e a sua segurança; (Orientação a ser seguida)

ISO 31000:2009 Base nas normas da qualidade (ISO 9001 –

1987)

A 31000 acompanha a evolução do assunto sobre GR e foi acelerada decorrente da publicação dos quatro riscos globais, avaliados pela comunidade internacional, a saber:

Harmonia de padrões, Norma regulamentadora e Procedimento padrão.

ISO 31000:2009Seguranç

a do meio

ambiente e

alimentar

Risco sistêmic

o financei

ro

Terrorismo

Cadeia de fornecimento (ruptura

de forneciment

o)

ISO 31000:2009 Qualquer norma que a ISO esteja lançando,

sempre será integrada ao ciclo da qualidade, o PDCA.

A norma se aplica a riscos financeiros, operacional, saúde colaborador, projetos, meio ambiente, segurança da informação, segurança empresarial, ou seja, é uma norma “guarda-chuva”.

Integrar os processos, terminologia, conceitos, critérios

ISO 31000:2009 Qual o grande benefício da ISO 31000?

Estabelecer linguagem comum, padronizar as melhores práticas e implementar técnicas através de processo padrão.

A ISO 31.000 foi um consenso entre 35 países

ISO 31000:2009

O simples fato de existir atividade, abre a possibilidade de ocorrência de eventos ou situações cujas consequências constituem oportunidades para obtenção de vantagens (lado positivo) ou ameaças ao sucesso (lado negativo).

Segundo a Federação das Associações Européias de Gerenciamento de Risco (Federation of European Risk Management Associations, 2003), o “risco pode ser definido como a combinação da probabilidade de um acontecimento e das suas consequências” (p. 2).

ISO 31000:2009 A partir da análise da relação direta entre risco e controle interno, chega-se à

seguinte definição:

O gerenciamento de riscos corporativos é o processo conduzido em uma organização pelo Conselho de Administração, pela diretoria executiva e pelos demais funcionários, aplicado no estabelecimento de estratégias formuladas para identificar, em toda a organização, eventos em potencial, capazes de afetar a referida organização, e administrar os riscos para mantê-los compatíveis com o seu apetite ao risco e possibilitar garantia razoável de cumprimento dos objetivos da entidade (Coso, 2004, p. 2).

ISO 31000:2009 Fornecimento de princípios e diretrizes Exibir a aplicabilidade para qualquer empresa, seja pública, privada ou comunitária Aplica-se a qualquer tipo de risco, independente da natureza Fornece uma abordagem comum para apoiar Normas que tratem o risco e/ou

setores específicos, e não substituí-las.

Escopo da norma

ISO 31000:2009 Gestão de Riscos: atividades coordenadas para dirigir e controlar uma

organização no que se refere a riscos; Estrutura da Gestão de Riscos: conjunto de componentes que fornecem

fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos;

Política de Gestão de Riscos: declaração das intenções e diretrizes gerais de uma organização relacionadas a gestão de riscos;

Atitude perante o Risco: abordagem da organização para avaliar e eventualmente buscar, reter, assumir ou afastar-se do risco;

Termos e definições

ISO 31000:2009 Contexto externo: ambiente externo no qual a organização busca atingir

seus objetivos; Parte interessada: pessoa ou organização que pode afetar, ser afetada, ou

perceber-se afetada por uma decisão ou atividade; Fonte de risco: elemento que, individualmente ou combinado, tem o

potencial intrínseco para dar origem ao risco; Perfil do risco: descrição de um conjunto de qualquer de riscos. O

conjunto de riscos pode conter riscos que dizem respeito à toda organização, à parte da organização, ou referente ao qual tiver sido definido.

Termos e definições

ISO 31000:2009a) Cria e protege valor; b) Parte da integrante de todos os processos organizacionais; c) Parte da tomada de decisões; d) Aborda explicitamente a incerteza; e) Sistemática, estruturada e oportuna; f) Baseada nas melhores informações disponíveis; g) Feita sob medida; h) Considera fatores humanos e culturais; i) Transparente e inclusiva; j) Dinâmica, interativa e capaz de reagir a mudanças; k) Facilita a melhoria contínua da organização.

Princípios

ISO 31000:2009 O sucesso da Gestão de Riscos é

determinado pela eficácia da gestão do negócio.

Comprometimento forte e sustentável, desde a aprovação da política alinhada aos objetivos do negócio;

Indicadores de desempenho adequados e coerentes com os demais indicadores empresariais

Estrutura

ISO 31000:2009 A estrutura assegura que a informação sobre riscos proveniente desse processo

seja adequadamente reportada e utilizada como base para a tomada de decisões e a responsabilização em todos os níveis organizacionais aplicáveis.

Estrutura

Um Framework ou arcabouço conceitual é um conjunto de conceitos usado para resolver um problema de um domínio específico.

Comunicação e

consulta

Monitoramento e análise

crítica

Estabelecimento do contexto

Identificação dos riscos

Análise dos riscos

Avaliação dos riscos

Tratamento de riscos

Framework Gerenciamento de Riscos

Um dos objetivos da ISO 31000 é a incorporação do gerenciamento dos riscos à administração organizacional. Para tanto, o processo deverá seguir:

1) Se tornar parte integrante do processo de gestão organizacional;

2) Incorporar-se à cultura e às práticas;

3) Adaptar-se aos processos de negócios da organização.

Processo de avaliação dos riscos

Comunicação e

consulta


crítica



Análise dos riscos




Comunicação e consulta

1) Viabiliza o contato das partes interessadas;

2) Elaborar um plano de comunicação e consulta;

3) Influência na concepção e decisão em relação aos riscos.


Comunicação e

consulta


crítica



Análise dos riscos





1) Reconhecimento do ambiente externo e interna para estabelecer a política de GR;

2) Elaborar um plano de comunicação e consulta;

3) Influência na concepção e decisão em relação aos riscos.

4) A abordagem do GR deve se alinhar à cultura, processos, estrutura e estratégias do negócio para desenvolver os critérios de risco (probabilidade, consequências e níveis de risco)


Comunicação e

consulta


crítica



Análise dos riscos





1) Identificar as exposições a riscos que vão contra a intenção dos objetivos organizacionais;

2) Entende-se sobre exposição a riscos a condição formada pora) Elementos expostosb) Valores envolvidosc) Riscos aos quais os

elementos estão expostos;


Comunicação e

consulta


crítica



Análise dos riscos




Análise dos riscos

1) Busca determinar a dimensão do risco identificado, através da estimativa de sua probabilidade de ocorrência e de suas consequências.

2) Serão considerados, neste caso, as barreiras que possam evitar a ocorrência dos eventos potenciais e os elementos críticos de segurança que possam minimizar as consequências.


Comunicação e

consulta


crítica



Análise dos riscos





1) Esta etapa busca definir quais são os riscos identificados e analisados que deverão ser o objeto de tratamento;

2) Será baseada nos parâmetros definidos pelos níveis de riscos.


Comunicação e

consulta


crítica



Análise dos riscos




Tratamento dos riscos

1) É momento em que são definidas as possíveis alternativas para o tratamento do risco, selecionando-se as mais recomendáveis, que deverão implantadas a fim de reduzir as probabilidades e ou as consequências dos riscos.

2) Será baseada nos parâmetros definidos pelos níveis de riscos.


Quais são exemplos de alternativas de ações de controle?

Comunicação e

consulta


crítica



Análise dos riscos




Monitoramento e análise crítica

1) São incluídos no processo para garantir verificações e vigilância regulares.

2) Garante que os controles sejam eficazes e eficientes, tanto no projeto como na operação;

3) Obtém informações para melhorar o processo de avaliação de riscos;

4) Analisa todos os eventos ou quase acidentes e aprender com eles;

5) Detecta alterações no contexto interno e externo, revendo o processo de avaliação de riscos;

6) Identificar riscos emergentes.


ISO 31000:2009A análise de riscos é o momento onde você irá estimar o risco, geralmente, como um produto da sua probabilidade de ocorrência e a gravidade do seu impacto. Por exemplo, o risco de roubo do seu carro é financeiramente maior do que do roubo do seu relógio, durante uma viagem, não é mesmo? Faça um exercício de probabilidade x consequência mentalmente e verifique. Por isso pessoas fazem seguros de veículos frequentemente e muito raramente para relógios de pulso.

A avaliação de riscos é o momento de confrontar esse resultado, com os SEUS níveis toleráveis de riscos. Às vezes esses níveis não são apenas SEUS. Eles podem ser estabelecidos em conjunto com outras partes interessadas ou serem também definidos por lei.

Trocando em miúdos

Analisar Riscos é o momento de obter uma estimativa para o mesmo, uma forma é fazer Probabilidade x Consequência ( P X C);

Avaliar Riscos é comparar esse resultado com o seu critério para saber se alguma medida precisa ser tomada e como priorizar os tratamentos.

Intensificação entre os dois conceitos

ISO 31000:2009

A Certificação Internacional C31000 é concedida mundialmente pelo Global Institute for Risk Management Standards - G31000.

No Brasil, com exclusividade, o QSP - Centro da Qualidade, Segurança e Produtividade realiza periodicamente um Exame Nacional, em português.

Certificação

Para finalizar...

PMBOK® Conhecimento amplamente reconhecidocomo boa prática Atualizado a cada 4 anos O PMBOK não é uma metodologia

Conhecimento em projetos

Conteúdo do PMBOK

Definição: Evento ou condição incerta que, se ocorrer, terá efeito positivo ou negativo em pelo menos um objetivo do projeto.

Definição: Evento ou condição incerta que, se ocorrer, terá efeito positivo ou negativo em pelo menos um objetivo do projeto.

PMBOK® - GERENCIAMENTO DOS RISCOS

Aumentar a probabilidade e o impacto

Reduzir a probabilidade e o impacto

PMBOK – 5ª Ed


Riscos são identificados e gerenciados a partir da iniciação e são continuamente atualizados ao longo do projeto.

Incerteza é a falta de conhecimento sobre um evento que reduz a confiança nas conclusões tirada com base nos dado. (Custo, prazo, qualidade, comunicações)

Tipos de risco: Existem dois tipos principais de riscos, sendo eles: Risco empresarial: Risco de lucro ou prejuízo Risco puro: Apenas o risco de prejuízo (incêndio, furto, lesões corporais)


Planejar o gerenciamento dos Riscos

Identificar os Riscos

Realizar a análise qualitativa dos riscos

Realizar a análise quantitativa dos riscos

Planejar as respostas aos riscos

Controlar os riscos

Planejamento Monitoramento e controle

Processos

de Gerenciamento

dos Risc

os


É o processo de definição de como conduzir as atividades de gerenciamento dos riscos de um projeto.

Planejar o gerenciamento dos Riscos

Metodologia Prazos

Orçamento Formatos de relatório

Categorias de risco

Tolerâncias revisadas

Papéis e responsabilidades

Periodicidade de revisão

PMBOK® - GERENCIAMENTO DOS RISCOSPlanejar o gerenciamento dos Riscos

Requisitos

Tecnologia

Interface

Complexidade

Qualidade

Subcontratado

Fornecedores

Cliente

Regulamentos

Clima

Dependências

Recursos

Priorização

Financiamento

Estimativa

Planejamento

Comunicação

Controle

Estrutura Analítica dos Riscos (EAR)

Técnico Externo Organizacional Gerenciamento de projetos

10% são imprevisív

eis


Riscos por afinidade

Pessoal Local do embarque Política de embarque Processamento do pedido

Exemplo: Quais são os riscos que podem causar atraso na entrega do material na data prometida?

Despacho do material

Empregados sem

experiências

Sistema de recompensa

por produtividade

Falta de treinamento

As docas são frias demais no

inverno e quentes demais no verão

Mesmo local de devolução e expedição de produtos

Docas superlotadas

Mudanças frequentes de

fretesEmbarque realizado

pelo próprio vendedor para atender uma

urgência do pedido

Formulários preenchidos

manualmente

Erros de dados contratuais do

cliente

Código de barra ilegível

Erro de preço ou alíquota

Caixa danificada


Exemplos de fontes de risco:

Cronograma: “Talvez o equipamento chegue antes do planejado e o pacote de trabalho ABC possa começar três dias antes.

Custo: “Devido ao mau tempo e condições das estradas, o equipamento para a fundação do projeto chegue depois do planejado, pode ser necessário prorrogar o aluguel do depósito a um custo de R$ 200.000,00.

Qualidade: “Talvez o concreto seque antes do início do inverno, conforme nossos padrões de qualidade, e seja possível iniciar os pacotes de trabalho sucessores antes do planejado.

Escopo: “Se não definirmos corretamente o escopo para a instalação do servidor do banco de dados do sistema, será necessário contratar mais dois recursos ao custo de R$ 7.000,00 para cumprir o prazo estabelecido.

Recursos: “Joãozinho é um auditor tão bom que provavelmente aceite a proposta de uma empresa que anda recrutando alguns recursos da nossa empresa. Caso isso ocorra, o cronograma atrasará entre 100 e 275 horas.



Definição: Processo de identificação dos riscos que podem afetar o projeto ou processo além da documentação de suas características

Gerentes

Equipes

Setor de riscos

Especialistas

Usuários finais

Outras partes

interessadas

Clientes

Quem participa da identificação dos riscos?



Técnicas de coleta de informações

1) Brainstorming 2) Técnica Delphi




3) Entrevistas 4) Análises de causa-raiz




5) Análise SWOT 4) Opinião especializada



Qual a saída do processo identificar os riscos?

Registro dos riscos



• Planos de gerenciamento do projeto• Estimativas do projeto• Registro das partes interessadas• Documentos de aquisição

Entrada



Código Descrição do risco Responsável pelo risco

PMBOK® - GERENCIAMENTO DOS RISCOSRealizar a análise qualitativa dos riscos

Processo de priorização de riscos para análise ou ação adicional subsequente através de avaliação e combinação de sua probabilidade de ocorrência e impacto


Objetivos:

Avaliar subjetivamente a probabilidade e o impacto de cada risco.

Criar uma lista menor dos riscos que serão submetidos ao processo subsequente

Riscos que constarão no planejamento de respostas ao riscos.


Como classificar os riscos?

Matriz de probabilidade e impacto

Critérios de análise

Pontuação de corte


Pontuação de corte

MEDIÇÃO QUALITATIVAClassificaç

ão Probabilidade Impacto

AltoÉ muito provável que o evento de risco ocorra, ou seja, alta probabilidade de

ocorrência.

Se o evento de risco ocorrer haverá um impacto significativo em um objetivo do

projeto.

MédioÉ provável que o evento de risco

ocorra, logo tem probabilidade média de ocorrer.

Se o evento de risco ocorrer haverá um impacto moderado em um objetivo do

projeto.

BaixoNão é provável que o evento de risco

ocorra, devido à baixa probabilidade do evento.

Se o evento de risco ocorrer haverá um pequeno impacto em um objetivo do

projeto.

Atenção!! Na análise qualitativa um risco classificado como baixo, poderá estar subavaliado.


Qual o resultado esperado com a análise qualitativa dos riscos?


Riscos priorizados e classificados

Definição dos riscos que serão analisados e

observados

Riscos agrupados por categoriaLista de riscos que

necessitem respostas imediatas

Processo inicial após a identificação dos riscos


Processo de analisar numericamente o efeito dos riscos identificados nos objetivos gerais do projeto.


Análise do valor monetário esperado

Árvore de decisão

Modelagem e Simulação de Monte Carlo




Probabilidade

Impacto

VME




Risco Probabilidade Impacto Valor esperado

Fornecedor entram de greve durante o projeto 50% R$ 500.000,00Inundações em Março 70% R$ 200.000,00Cotação da compra da matéria-prima reduza 10% (-) R$ 300.000

Valor esperado dos riscos do projeto - VME

PMBOK® - GERENCIAMENTO DOS RISCOSRealizar a análise quantitativa dos riscos


Árvore de decisão

Decisão?

Evento 1Demanda forte

Demanda fraca

Evento 2Demanda forte

Demanda fraca

- É um diagrama que descreve as principais interações entre decisões e possibilidades.

- Utiliza a mesma sistemática do VME para determinar o conjunto de resultados.

- Reúne os atos, eventos e resultados possíveis

- Realizada com apoio de opiniões especializadas


Árvore de decisão

CASE: Somos uma equipe de engenharia num projeto de construção de uma casa de uma grande fã de Oscar Niemeyer. O custo para construção da casa é de R$ 180.000,00. Como temos a necessidade de inovar quanto aos desenhos do nosso projeto, o escopo do trabalho exige requisitos detalhados. Sendo assim, existe um risco de que o produto final não seja aprovado no teste de aceitação do cliente. Após a análise da equipe, a resposta ao risco encontrada foi a construção de uma maquete em 3D. O custo da maquete será de R$ 40.000,00 e o custo de retrabalho será de R$ 250.000,00.


Custo para construção da casa é de R$ 180.000,00;

Custo da maquete será de R$ 40.000,00; e Probabilidade de aprovação: - 70% - Com a maquete - 20% - Sem a maquete Custo de retrabalho será de: - R$ 120.000,00 – Com maquete - R$ 250.000,00 – Sem maquete

Construir ou não construi

r

Produzir:

R$ 40.000,00

Não produzir:

R$ 0,00

Aprovado?

Aprovado?

Aprovado: R$ 40.000,00

Reprovado: R$ 76.000,00

70%x R$ 0,00

30%x R$ 120.000 = R$ 36.000

20%x R$ 0,00

80%x R$ 250.000 = R$ 200.000

Aprovado: R$ 0,00

Reprovado: R$ 200.000,00


Simulação de Monte Carlo

- Executa o projeto inúmeras vezes

- Simula a execução de um processo

- Técnica matemática computadorizada

- Avalia o risco geral do projeto

- Resultado esperado: Probabilidade de finalizar um projeto num dia específico ou Probabilidade de alcançar o pico máximo de produção.




Subjetiva: Avaliação

Objetiva: Números

Probabilidade e impacto

Computadores e séries matemáticas

Generalista

Específico

TODOS os riscos serão submetidos aos dois processos?


Desenvolvimento de opções e ações para aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto.

Planejar as respostas aos riscos

Características:Boa relação custo-benefícioRealistasEnvolvimento das partes interessadas

PMBOK® - GERENCIAMENTO DOS RISCOSVisão geral - Planejar as respostas aos riscos

RISCO

A

Estratégia de tratamento

Respostas

Proprietário

Gatilho (Trigger)

Risco secundário

Risco residual

- Plano de contingência- Plano alternativo- Reserva de contingência

PMBOK® - GERENCIAMENTO DOS RISCOSPlanejar as respostas aos riscos

Evitar – Eliminar a ameaça eliminando a causa. Evitar que a ameaça até mesmo envolver a expansão do escopo do projeto. ( probabilidade de 75% vs testes adicionais)

Estratégia de tratamento Riscos negativos

Mitigar – Reduzir a probabilidade e/ou o impacto de uma ameaça, tornando-a um risco menor e possivelmente removendo-a do alto da lista dos principais riscos.

Transferir – Tornar outra parte responsável pelo risco contratando seguros, bônus de desempenho ou terceirizando o trabalho. (O risco vai formalizado em contrato)


Explorar – Adicionar trabalho ou mudar o projeto para assegurar que a oportunidade ocorra.

Estratégia de tratamento Riscos positivos

Melhorar – Aumentar a possibilidade (probabilidade e impacto) dos riscos positivos

Compartilhar – Alocar a propriedade total ou parcial da oportunidade a um terceiro (criando uma parceria, uma equipe ou projeto conjunto) que seja mais capacitado para concretizar a oportunidade.


Aceitar – Não fazer nada e dizer “se acontecer, aconteceu”.

A aceitação ativa pode envolver a criação de planos para contingência para serem implementados se o risco ocorrer se a alocação de reservas de tempo e custos ao projeto.

Estratégia de tratamento Riscos positivos

Riscos negativos

PMBOK® - GERENCIAMENTO DOS RISCOSExemplos práticos

Risco Estratégia Descrição

Risco da variação cambial reduzir meu aporte de recursos mensal Transferir Realizar um contrato de Hedge junto a um Banco, para garantir fechamento de câmbio estável.

Qualquer variação do câmbio será absorvida pelo banco. Obviamente, este serviço é pago…

Risco de apagão ou queda de energia durante oficinas de capacitação que

utilizam projetor multimídiaMitigar

Levar material impresso (diagramas, fotos) e ter à disposição flip-chart quadro branco. Caso a energia seja cortada, o impacto será reduzido – pois a capacitação ainda acontecerá, mesmo que

sem os recursos multimídia que a enriquecem.

Risco de não termos apoio dos meios de comunicação local para a mobilização a ser realizada

Evitar Escolher outra forma de realizar a mobilização – através da contratação de um carro de som e de uma passeata com voluntários e uma banda de música.

Risco de chuvas durante a construção das casas Aceitar

Como não é possível alterar o período da construção, por requerimento do financiados, a solução é aceitar o risco, no caso da ocorrência de chuvas, informar ao financiador os impactos no

cronograma e orçamento do projeto. É importante, porém que o financiador esteja ciente deste risco (por escrito), mesmo que ele não aceite alterar o período.


DescriçãoRemover um pacote de trabalho ou uma atividade.Designar um membro da equipa para visitar a fábrica do fornecedor para identificar possíveis atrasos nas entregas de insumos.Iniciar a negociação dos equipamentos antes do planejado, para garantir um preço mais baixo.Terceirizar um pacote de trabalho para obter uma oportunidade.Notificar a administração que pode haver um aumento nos custos se ocorrer um risco, pois nenhuma ação está sendo adotada para eliminar o risco.Afastar um recurso problemático do projeto.Fornecedor treinamento adicional a um membro da equipe com experiência limitada.Treinar a equipe em estratégias de resolução de conflitos.Terceirizar um trabalho difícil para um empresa mais experiente.Solicitar que o cliente faça parte do trabalho.Fazer um protótipo de um equipamento com muito risco

Estratégia de respostaEvitar

Mitigar o impacto.ExplorarMelhorar o impacto

Aceitar..EvitarMitigar a probabilidadeMitigar o impactoTransferirTransferirMitigar a probabilidade


São eventos que acionam a resposta de contingência. Os sinais de aviso iniciais para cada risco em um projeto devem ser identificados para que os responsáveis pelos riscos saibam quando agir.

Gatilho (Trigger)

Ajuda e desenvolve a resposta ao risco, devendo implementar a resposta ao risco. O responsável pode ser uma parte interessada em vez de um membro da equipe. EVITA AS REUNIÕES!!!

Responsáveis pelo risco


Quaisquer novos riscos criados pela implementação das respostas ao riscos selecionados. Ex 1.: Contratamos um terceirizado = risco secundário do fornecedor falir ou não ter agenda para a entrega. Ex 2.: Aquisição de uma máquina importada da China parar de funcionar.

Risco secundário

Riscos que permanecem após o planejamento de respostas a risco. Mesmo após a aplicação de todas as estratégias disponíveis, ele ainda pode existir. São aceitos passivamente e devem ser adequadamente documentados e revisados com frequência.

Risco residual


Os planos para contingências descrevem as ações específicas que serão adotadas se a oportunidade ou a ameaça ocorrer.

Planos para contingência

São ações específicas que serão adotadas se os planos para contingências não forem eficazes.

Planos alternativos

Soluções de contorno (workarounds )

Ações corretivas para realinhar o plano. Lida com os fatos de acordo com a ocorrência.


Estratégia de tratamento

Exemplo: Você está num projeto de

desenvolvimento de um software

Num dado momento, foi necessário

integrá-lo com o sistema de

pedidos de venda

Como nossa empresa não está acostumada a trabalhar com a tecnologia A, podemos ter problemas na integração do software produzido com o sistema de cobrança do cliente, gerando custos adicionais, atrasos e insatisfação no cliente em relação à qualidade.

Não temos costume de trabalhar com esse sistema parceiro!

PMBOK® - GERENCIAMENTO DOS RISCOS Partimos do pressuposto que o processo ou projeto é substancialmente

menos arriscado do que seria sido se não tivesse planejado. Será viabilizado através de reuniões

Controlar os riscos

Atualização no registro dos

riscosInformações sobre o

desempenho do trabalho

Encerramento dos riscos que não são

mais aplicáveis

Lições aprendidas

Qual a saída para controlar os riscos?

DIAGRAMA DE RESPONSABILIDADES

ESTRATÉGIA DE REAÇÃO AOS RISCOS

ContençãoPrevençãoAlavancage

m

ContingênciaAproveitamen

to

METODOLOGIA COSO Origem e finalidade Definição de risco Dimensões da metodologia COSO Auditoria baseada em risco

O COSO É UMA ENTIDADE SEM FINS LUCRATIVOS, VOLTADA PARA O APERFEIÇOAMENTO DA QUALIDADE DOS RELATÓRIOS FINANCEIROS ATRAVÉS DA:

ÉTICA PROFISSSIONAL

GOVERNANÇA CORPORATIVA

IMPLEMENTAÇÃO DE CONTROLE INTERNO

METODOLOGIA COSO

Estrutura os demais componentes do controle interno e também está ligado a fatores como:

Integridade; Competência dos funcionários e da entidade; Filosofia e estilo gerenciais; Forma com que a gestão organiza e desenvolve seu pessoal; Comprometimento da direção da entidade.

É efetivo quando as pessoas da organização:

Conhecem claramente suas atribuições; Sabem os limites de suas autoridades; Tem consciência, competência, e comprometimento de FAZER o que é CERTO

da MANEIRA CERTA.

É a identificação e análise dos riscos relevantes para o alcance dos objetivos e metas da entidade, com vistas a dar a resposta apropriada;

Atividade contínua e interativa em toda a entidade.

Avaliar o risco de fraude possui proximidade com o componente de Atividade de Controles, do cubo mágico.

METODOLOGIA COSOAvaliação dos riscosA organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação e a avaliação dos riscos associados aos objetivos.A organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa os riscos como uma base para determinar a forma como devem ser gerenciados.A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos.A organização identifica e avalia as mudanças que poderiam afetar, de forma significativa, o sistema de controle interno.

MENSURAÇÃO DO RISCO

Estimativa da importância do risco;

Avaliação da probabilidade de ocorrência do risco;

Avaliação da tolerância da organização ao risco.

Evitar: Suspensão das atividadesReduzir: Adoção de procedimentos de controle para minimizar a probalidade e/ou o impacto do risco.Compartilhar: Redução da probabilidade ou do impacto, quer seja com terceirização de atividades, contratação de seguros, etc.Aceitar: Não adotar medidas mitigadoras

Resposta ao Risco

probabilidade

impacto

Baixo Impacto /Baixa Probabilidade

Aceitar

Baixo Impacto /Alta Probabilidade

Reduzir

Alto Impacto /Baixa Probabilidade

Compartilhar

Alto Impacto /Alta Probabilidade

Evitar Compatilhar

Reduzir

Fonte: INTOSAI

Resposta ao Risco

Exemplos de atividades de controles:

Limites de alçada (prevenção); Autorização prévia (prevenção); Conciliação (detecção); Revisão de desempenho (detecção); Segurança física (prevenção e detecção); Segregação de funções (prevenção); Sistemas informatizados – TI (prevenção e detecção); Normatização interna (prevenção).

A efetividade depende:

da relação direta com os objetivos da entidade; da adequação (controle correto, no local correto e proporcional ao

risco envolvido); do exercício permanente; de um custo adequado.

USO DA ESTRUTURA DO COSO PARA AVALIAR A ADEQUAÇÃO E A EFICÁCIA DO SISTEMA DE GERENCIAMENTO DE RISCO E CONTROLE DA ORGANIZAÇÃO

Há um forte ambiente e cultura éticos?

Como a organização identifica e gerencia riscos?

O sistema de controle é efetivo?

Há um monitoramento forte?

Antes da avaliação dos controles, a administração deverá determinar o nível de risco aceitável na área que será examinada.

Auditores internos deverão identificar o que é esse nível de risco, que é identificado em termos de redução do impacto potencial das principais ameaças para a realização dos principais objetivos da área sob análise.

Se a administração não tem identificado os principais riscos e seus níveis aceitáveis, os auditores internos deverão estar aptos a auxiliar essa identificação, por meio de workshops de facilitação de identificação de riscos ou outras técnicas usadas pela organização.

Uma vez que os níveis de riscos sejam identificados, os controles podem ser avaliados, verificando se estão preparados para detectá-los e reduzi-los aos níveis esperados.

ATIVIDADES APLICADAS SOB A METODOLOGIA COSO

CONCLUSÃO Considerações finais

Comparativos entre os processos apresentados

Apresentação das matrizes desenvolvidas

Business

Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e COSO