Alessandro Almeida | www.alessandroalmeida.com

1° Semestre de 2013

SLIDES DAS AULAS

AULA TÓPICOS ABORDADOS LINK

1 Definições de risco e gestão de riscos. Acesse

2 Benefícios da gestão de riscos. Acesse

3 ISO 31000:2009. Acesse

4 Processo para gestão de riscos (Parte 1). Acesse

5Processo para gestão de riscos (Parte 2). COSO (Enterprise Risk Management). NBR15999 (Gestão da Continuidade dos Negócios).

Acesse

6 Risk IT. PMBOK. CMMI. O Risco de TI (Framework 4A). Acesse

Alessandro Almeida | www.alessandroalmeida.com

1° Semestre de 2013Clique aqui

para escolher

outra aula

Vamos nos conhecer?

Por que estou aqui?

Depois conversaremos...

Apresentar o conceito de Gestão de Riscos, incentivando a reflexão sobre o tema no dia-a-dia

Compartilhar frameworks e (boas) práticas aplicáveis à rotina da Gestão de Riscos em TI

Sobre as “boas práticas” ou “melhores práticas”

Cuidado!!!!

Quem definiu que as práticas são boas ou melhores?

A empresa fez uma avaliação?

Houve um diagnóstico?

Os principais stakeholders foram ouvidos?

Sinal de alerta:

Consultoria ou um grupo restrito definindo e decidindo as “melhores” práticas para a área de TI

Riscos no dia-a-dia

Riscos Corporativos

RISCOS DE TI

RISCOS EM PROJETOS

Dinâmica das aulas

Sem monólogo, por favor!

▪ Tragam seus questionamentos, ideias e experiências!

▪ A colaboração ajuda na construção do conhecimento.

Dinâmica das aulas

Material em constante mudança

Materiais disponíveis nos endereços:

www.slideshare.net/alessandroalmeida

www.alessandroalmeida.com/unifieo.htm

▪ CMMI

▪ Gestão de Processos

▪ Governança de TI

▪ Etc.

Avaliação semanal: 50% da nota

Participação nas atividades

Avaliação final: 50% da nota

“Prova” ou atividade em grupo?

▪ Vocês decidem!

▪ Vantagens e desvantagens...

▪ Avaliação escolhida: Atividade em Grupo

Sobre a frequência nas aulas...

Em todas as aulas...

O feedback de vocês é fundamental

Ajustes na dinâmica (conteúdo, velocidade, etc.)

Ouvidoria do UNIFIEO

Na última aula...

Avaliação sobre a disciplina

Em todas as aulas...

O feedback de vocês é fundamental

Ajustes na dinâmica (conteúdo, velocidade, etc.)

Ouvidoria do UNIFIEO

Na última aula...

Avaliação sobre a disciplina

Pessoalmente ou através do endereço alessandro.almeida@uol.com.br

Downloads:

www.alessandroalmeida.com/unifieo.htm

www.slideshare.net/alessandroalmeida

1ª Atividade

Em grupos de até 5 alunos, discutir as definições de Risco e Gestão de Riscos

Levantar exemplos de aplicação da Gestão de Riscos Exemplos do mundo corporativo e / ou do dia a dia

Cada grupo apresentará suas conclusões aos demais colegas

Durante a atividade, passarei pelos grupos para conhecê-los

O que é “Gestão de Riscos”?

Gestão de Riscos•“ato ou efeito de gerir; administração, gerência”•Administrar: “gerir, governar, dirigir”•Administrar: “atuar, exercer a autoridade de administrador; dirigir”

Gestão de Riscos•“probabilidade de insucesso”•“em função de acontecimento eventual”•“ocorrência não depende exclusivamente da vontade dos interessados”

Definição do CobiT 4.1:

Em negócios, o potencial de que uma certa

ameaça irá explorar as vulnerabilidades de um recurso ou grupo de recursos para causar perda e/ou prejuízos; usualmente medido por

uma combinação de impacto e probabilidadede ocorrência.

Sendo assim, o risco deve ser encarado de forma negativa?

Exemplos de “riscos”:

Risco de ganhar na Mega-Sena

Risco de se apaixonar

Risco de ser promovido na empresa

Definição da ISO 31000:2009:

Efeito da incerteza nos objetivos

▪ Efeito: Desvio em relação ao esperado (positivo e/ou negativo)

▪ Expresso pela combinação de probabilidade e consequência

Definição do PMBoK, 4ª edição:

Um evento ou condição incerta que, se ocorrer,

provocará um efeito positivo ou negativo nos objetivos de um projeto

Envolve incerteza! Impacto Probabilidade Oportunidades Ameaças

Vulnerabilidades

Sempre presente em nosso dia-a-dia... ...até mais do que imaginamos

Fonte da imagem “Risco de Afogamento”:

http://www.flickr.com/photos/kiko_fernandes/4148281427/

Aplicações financeiras oferecem risco...

Por exemplo: Investimento em ações de empresas listadas na BM&FBOVESPA

Neste caso, quando a empresa vai abrir o capital ou ofertar novas ações, um documento explicativo é emitido, e nele há um capítulo somente sobre os riscos...

Evolução das ações da B2W (últimos 5 anos)

Quanto maior o risco, maior o retorno exigido pelos investidores

0

1

2

3

4

5

1 2 3 4 5 6 7 8 9 10

Risco versus Taxa de Retorno

Risco Taxa de Retorno

Administrar a incerteza?

Como identificá-los?

Como administrá-los?

Fatos...

Os riscos sempre estarão lá, independente de você conhecê-los e gerenciá-los

Gestão de riscos é um tema que sempre está na moda!

Não percam a próxima aula!

Alessandro Almeida | www.alessandroalmeida.com

1° Semestre de 2013Clique aqui

para escolher

outra aula

Plano para Gestão de Riscos

Objetivo:

Montar um plano para Gestão de Riscos de um projeto ou da operação de TI de uma empresa (fictícia ou não)

Grupos de até 5 alunos Detalhar a metodologia(s) utilizada(s) para

identificação dos riscos Documentar o contexto e os parâmetros de

risco

Aplicar os frameworks e práticas que serão apresentados durante as aulas

Acompanhamento semanal da evolução

Informar a situação

Validar a metodologia utilizada

Apresentar o rascunho do material

Importante: O acompanhamento semanal vai compor a nota da atividade

Entregáveis

CD contendo:

▪ Plano para Gestão de Riscos

▪ Apresentação realizada para a turma

Data da entrega e apresentação:

20 de junho

Tempo de apresentação: cada grupo terá entre 30 a 40 minutos

Depois é só escolher a comemoração!

Fonte da Imagem: http://www.gettyimages.com/detail/82143945/Retrofile

Depois é só escolher a comemoração!

Os seguintes itens devem ser apresentados:

Grupo

Contexto

▪ Empresa fictícia ou real?

▪ Informações sobre a empresa e o mercado em que ela atua

▪ Plano de Riscos para a empresa, para uma área ou para um projeto?

Relembrando a aula passada...

Definição do PMBoK, 4ª edição:

Um evento ou condição incerta que, se ocorrer,

provocará um efeito positivo ou negativo nos objetivos de um projeto

Envolve incerteza! Impacto Probabilidade Oportunidades Ameaças

Vulnerabilidades

Administrar a incerteza! Fatos...

Os riscos sempre estarão lá, independente de você conhecê-los e gerenciá-los

Gestão de riscos é um tema que sempre está na moda!

Por que a Gestão de Riscos deve estar na pauta dos executivos?

De acordo com a NBR ISO 31000:2009 – Gestão de Riscos – Princípios e Diretrizes

Aumentar a probabilidade de atingir os objetivos

Encorajar uma gestão proativa Estar atento para a necessidade de

identificar e tratar os riscos através de toda a organização

Melhorar a identificação de oportunidades e ameaças Lembram da Análise SWOT?

Parênteses

O conceito de estratégia...

em grego stratēgía, em latim “estrategi”, em francês stratégie, em inglês strategy, em alemão strategie, em italiano strategia, em espanhol estrategia

O conceito de estratégia...

em grego stratēgía, em latim “estrategi”, em francês stratégie, em inglês strategy, em alemão strategie, em italiano strategia, em espanhol estrategia

O conceito de estratégia...

em grego stratēgía, em latim “estrategi”, em francês stratégie, em inglês strategy, em alemão strategie, em italiano strategia, em espanhol estrategia

Como podemos definir estratégia? Estratégia diz respeito a posicionar uma

organização para a obtenção de vantagem competitiva

Envolve escolhas a respeito de que setores participar, quais produtos e serviços oferecer e como alocar recursos corporativos

Seu objetivo principal é criar valor para acionistas e outros stakeholders ao proporcionar valor para o cliente

Como podemos definir estratégia? Estratégia diz respeito a posicionar uma

organização para a obtenção de vantagem competitiva

Envolve escolhas a respeito de que setores participar, quais produtos e serviços oferecer e como alocar recursos corporativos

Seu objetivo principal é criar valor para acionistas e outros stakeholders ao proporcionar valor para o cliente

Converter declarações da direção estratégica em objetivos, indicadores, metas, iniciativas e orçamentos específicos, que orientam a ação e alinham a organização para a execução eficaz da estratégia

Converter declarações da direção estratégica em objetivos, indicadores, metas, iniciativas e orçamentos específicos, que orientam a ação e alinham a organização para a execução eficaz da estratégia

Ferramenta para análise do cenário:

Pontos Fortes

Pontos Fracos

Oportunidades

Ameaças

Pode ser utilizada como base para o Planejamento Estratégico

Uma boa gestão de riscos permite que a empresa identifique (de

forma precisa) as oportunidades e ameaças

Atender às normas internacionais e requisitos legais e regulatórios pertinentes

Melhorar a Governança Melhorar a confiança das partes

interessadas (stakeholders) Estabelecer uma base confiável para a

tomada de decisão e o planejamento Melhorar o reporte das informações

financeiras

Melhorar os controles Alocar e utilizar eficazmente os recursos para

o tratamento de riscos Melhorar a eficácia e eficiência operacional Melhorar o desempenho em saúde e

segurança, bem como a proteção ao meio ambiente

Melhorar a prevenção de perdas e a gestão de incidentes

Minimizar perdas

Melhorar a aprendizagem organizacional

Aumentar a resiliência da organização

2ª Atividade

Em grupos de até 5 alunos, façam a leitura do artigo “O dilema da pitanga na Natura”

Publicado na edição 1011 da Revista Exame: http://exame.abril.com.br/revista-exame/edicoes/1011/noticias/o-dilema-da-pitanga-na-natura

Após a leitura, discutam entre o grupo os problemas que ocorreram na implantação do sistema SAP na Natura.

O que poderia ter sido feito para evitá-los?

Como a Gestão dos Riscos poderia ajudar?

Qual é a relação percebida entre a Gestão dos Riscos, o desempenho da empresa e a Gestão de Projetos?

Documentem o consenso do grupo

Quando um recurso se torna

essencial para a competição mas

irrelevante para a estratégia, os

riscos que cria passam a importar

mais do que as vantagens que

oferece.

Alessandro Almeida | www.alessandroalmeida.com

1° Semestre de 2013Clique aqui

para escolher

outra aula

Definição do PMBoK, 4ª edição:

Um evento ou condição incerta que, se ocorrer,

provocará um efeito positivo ou negativo nos objetivos de um projeto

Envolve incerteza Fato!

Os riscos sempre estarão lá, independente de você conhecê-los e gerenciá-los

Gestão de riscos é um tema que sempre está na moda!

O risco está sempre presente em nosso dia-a-dia...

...até mais do que imaginamos

Ferramenta importante para que a gestão da empresa seja bem sucedida...

Identificar e atingir os objetivos estratégicos

Compliance

Maior transparência (interna e externa)

Atuação proativa diante dos movimentos do mercado

Fonte: http://www1.folha.uol.com.br/cotidiano/2013/05/1275712-latino-entra-em-cabine-de-aviao-da-tam-durante-voo-e-anac-cobra-explicacao.shtml

Fonte da foto: http://variedadesnovaral.blogspot.com/2009/12/biblioteconomia-e-reinvencao-da-roda.html

Gestão de Riscos Corporativos

Gestão de Riscos – Princípios e Diretrizes

NBR ISO 31000 Gestão de Riscos – Princípios e Diretrizes

Publicada em 2009 Visa a harmonização das normas que

envolvem Gestão de Riscos Considera que todas as organizações

gerenciam o risco de alguma forma Por isso, estabelece um número de princípios que

precisam ser atendidos para tornar a Gestão de Riscos eficaz

Aplicável a qualquer tipo de empresa

Abordagem genérica

Não tem como objetivo a certificação Recomenda o desenvolvimento de um

framework que contemple todo o ciclo de vida da Gestão de Riscos

Propõe a inserção da cultura de Gestão de Riscos no DNA da empresa

Arquitetura para Gestão de Riscos:

Princípios

Arquitetura para Gestão de Riscos:

Princípios

PRINCÍPIOS

Arquitetura para Gestão de Riscos:

Princípios

FRAMEWORK

Arquitetura para Gestão de Riscos:

Princípios

PROCESSO

De acordo com a ISO 31000:2009

Arquitetura para Gestão de Riscos:

Princípios

PRINCÍPIOS

Cria e protege valor Parte integrante de todos os processos

organizacionais Parte da tomada de decisões Aborda explicitamente a incerteza É sistemática, estruturada e oportuna

Baseia-se nas melhores informações disponíveis

É feita sob medida Considera fatores humanos e culturais É transparente e inclusiva É dinâmica, iterativa e capaz de reagir a

mudanças Facilita a melhoria contínua da organização

De acordo com a ISO 31000:2009

Arquitetura para Gestão de Riscos:

Princípios

FRAMEWORK

Concepção da Estrutura para

Gerenciar Riscos

Implementação da Gestão de

Riscos

Monitoramento e Análise Crítica

da Estrutura

Melhoria Contínua da

Estrutura

Mandato e Comprometimento

Mandato e Comprometimento

Patrocínio! Alinhamento entre objetivos de Gestão de

Riscos com os objetivos e estratégias da empresa

Assegura que os recursos necessários sejam alocados para a Gestão de Riscos

Concepção da Estrutura para

Gerenciar Riscos

Mandato e Comprometimento

Entendimento da organização e seu contexto Estabelecimento da política de Gestão de

Riscos Responsabilização Integração nos processos organizacionais Recursos Estabelecimento de mecanismos de

comunicação e reporte internos e externos

Concepção da Estrutura para

Gerenciar Riscos

Implementação da Gestão de

Riscos

Mandato e Comprometimento

Implementar

Estrutura para gerenciar riscos

Processo de Gestão de Riscos

Concepção da Estrutura para

Gerenciar Riscos

Implementação da Gestão de

Riscos

Monitoramento e Análise Crítica

da Estrutura

Melhoria Contínua da

Estrutura

Mandato e Comprometimento

Análise crítica da eficácia do framework Considerando o contexto interno e externo,

realizar a avaliação periódica de desempenho

Políticas

Planos

Processos

Etc.

Concepção da Estrutura para

Gerenciar Riscos

Implementação da Gestão de

Riscos

Monitoramento e Análise Crítica

da Estrutura

Melhoria Contínua da

Estrutura

Mandato e Comprometimento

Considerando dados levantados no monitoramento e análise crítica, implementar melhorias no framework

Concepção da Estrutura para

Gerenciar Riscos

Implementação da Gestão de

Riscos

Monitoramento e Análise Crítica

da Estrutura

Melhoria Contínua da

Estrutura

Mandato e Comprometimento

Plan

Do

Check

Act

De acordo com a ISO 31000:2009

Arquitetura para Gestão de Riscos:

Princípios

PROCESSO

Deve acontecer durante todas as fases do processo de Gestão de Riscos!

Auxilia que os riscos sejam identificados corretamente

Reúne diferentes áreas de especialização em conjunto para análise de riscos

Aprimora a gestão de mudanças durante o processo de Gestão de Riscos

Detalhamento do contexto identificado na Concepção da Estrutura para Gerenciar Riscos (framework)

Estabelecer os contextos externo e interno

Definição das regras do jogo

Critérios de risco

Metodologias

Papéis e Responsabilidades

Metas

Etc.

Identificação de Riscos

Quais são as fontes de risco?

Considerar todos os riscos (mesmo aqueles que não são controlados pela empresa)

Reações em cadeia (efeitos cumulativos e em cascata provocados pelos riscos)

Fonte: http://riskreport.weforum.org/

Análise de Riscos

Desenvolver a compreensão dos riscos

Apreciação das causa e as fontes de risco (análise de causa e efeito)

Análise das consequências positivas e negativas (e a probabilidade de ocorrer)

Classificação dos riscos

Análise quantitativa e / ou qualitativa

Avaliação de Riscos

Considerando as informações levantadas, o que faremos?

Quais riscos necessitam de tratamento?

Qual será a prioridade na implementação do tratamento?

Importante: A avaliação pode sugerir que o risco não seja tratado, somente monitorado.

Seleção e implementação de uma ou mais opções para modificar os riscos

Processo cíclico:

Avaliação do tratamento de riscos já realizado

Decisões se os níveis de risco residual são toleráveis

▪ Não? Definir e implementar novo tratamento

Avaliação da eficácia desse tratamento

As opções podem incluir:

Tomada ou aumento do risco (aproveitando uma oportunidade)

Remoção da fonte de risco

Alteração da probabilidade

Alteração das consequências

Compartilhamento do risco

Seleção das opções de tratamento de riscos

Envolve equilíbrio (custos e esforços X benefícios decorrentes)

Qual é a ordem de prioridade em que os tratamentos devem ser implementados?

Monitoramento!!!!!

Um risco pode gerar outros riscos

Planejamento! Quais os benefícios do tratamento escolhido?

Ações

Responsabilidades

Cronograma

Medição de desempenho

Etc.

Plano integrado com o processo e apresentado aos stakeholders

Garantir que os controles sejam eficazes e eficientes

Obter informações adicionais para melhorar o processo de avaliação dos riscos

Lições aprendidas!

Analisar os eventos, mudanças, tendências, sucessos e fracassos

Identificar riscos emergentes Detectar mudanças no contexto

O que a ISO 31000:2009 proporciona?

Princípios

=Governança Corporativa dos

Riscos

Recomendação de leitura:

Governança Corporativa dos Riscos do Banco do Brasil: http://bit.ly/fJ1Iek

Atividade

1. Em grupos de até 5 alunos, discutir e listar as práticas corporativas de Gestão de Riscos utilizadas em suas empresas Caso não seja possível identificar práticas

corporativas, foquem nas práticas departamentais ou dos projetos que vocês participam

2. Associar as práticas identificadas pelo grupo com as práticas discutidas durante a aula

3. Como a ISO 31000 poderia ajudar?

Arquitetura para Gestão de Riscos:

Princípios

Plano para Gestão de Riscos

Os seguintes itens devem ser apresentados:

Grupo

Contexto

▪ Empresa fictícia ou real?

▪ Informações sobre a empresa e o mercado em que ela atua

▪ Plano de Riscos para a empresa, para uma área ou para um projeto?

Apresentar uma lista com os primeiros dezriscos identificados

Neste momento, não é necessário apresentar a probabilidade, impacto ou a criticidade

Riscos positivos e negativos

Alessandro Almeida | www.alessandroalmeida.com

1° Semestre de 2013Clique aqui

para escolher

outra aula

Plano para Gestão de Riscos

Alguns exemplos de turmas anteriores...

Apresentar uma lista com os primeiros dezriscos identificados

Neste momento, não é necessário apresentar a probabilidade, impacto ou a criticidade

Riscos positivos e negativos

Rever e complementar a lista de riscos, aplicando o aprendizado da aula de hoje

Iniciar a análise dos riscos...

Não se esqueçam de definir os parâmetros de risco

Aquecendo os motores...

Reflexão sobre Um Estudo de Caso

A empresa:

Fábrica de software com 80 funcionários e faturamento de aproximadamente 10 milhões por ano

O projeto:

Um dos maiores que a empresa já havia realizado

Valor: Quase 1 milhão de reais

Descobrindo as incertezas...

Etapa fundamental do processo de Gestão de Riscos

Riscos ignorados ou não mapeados nesta etapa podem virar um grande problema no futuro

Benchmarking Entrevistas Check-lists Opinião especializada

Consultoria

Brainstorming Lições aprendidas

Tempestade de idéias ou “toró de parpite” Diferenças de pensamentos e experiências

geram novas ideias Compartilhar as ideias, sem filtros Julgamento pode “bloquear” o processo

A avaliação das ideias é feita no final da sessão de brainstorming

Base histórica Reuniões entre equipes Aprendizado Inter-projetos

http://finito-log.blogspot.com/2004/08/o-aprendizado-inter-projetos.html

Aprendizagem organizacional

Premissa São fatores que, para fins de planejamento, são

considerados verdadeiros, reais ou certos sem prova ou demonstração

Talvez o seu projeto dependa de alguma premissa para dar certo

Restrição Limitação ou imposição de limite

Seu projeto precisa ser realizado dentro do limite definido

Premissa: Talvez o seu projeto dependa de alguma premissa para dar certo...

▪ A Roberta, especialista em BI, vai participar do projeto.

▪ O cliente vai disponibilizar um analista de negócios em tempo integral na fase de levantamento de requisitos.

Restrição: Seu projeto precisa ser realizado dentro do limite definido...

▪ O projeto precisa ser concluído antes de 31/12

▪ O custo não pode ultrapassar R$ 500.000

Premissas e restrições são um bom ponto de partida para a identificação dos riscos...

A Roberta, especialista em BI, vai participar do projeto.

▪ Quais eventos podem tirar a Roberta do projeto?

▪ O que faremos se ela sair?

O projeto precisa ser concluído antes de 31/12

▪ Quais eventos podem fazer com que o projeto atrase?

▪ O que faremos se o projeto atrasar?

# Descrição(P)ositivo(N)egativo

001 Entrega fora do prazo N

002 Escopo não atendido N

003 Não aceitação do sistema pelos clientes N

004 Explorar um novo segmento de mercado P

005 Não atender o orçamento definido N

006 Não atender os critérios de qualidade N

007 Dominar uma nova tecnologia P

Quero ganhar tempo na identificação dos

riscos!

Conforme for identificando cada risco, já

vou atribuir a probabilidade e o impacto!

Conforme for identificando cada risco, já

vou atribuir a probabilidade e o impacto!

Cuidado!

Antecipar a etapa de análise dos riscos pode tirar o seu foco da identificação, deixando que alguns riscos passem despercebidos (além de impactar na produtividade)

Além disso, é importante se certificar que todos (ou a maioria) os riscos foram identificados, desta forma, será mais fácil agrupá-los por similaridade de fontes ou categorias

Atividade – Parte 1

Atividade em grupo de até 5 alunos Realizar a leitura do Estudo de Caso Identificar e listar os riscos (positivos e

negativos) do projeto Lembrando algumas técnicas que podem ser

utilizadas:▪ Brainstorming

▪ Lições aprendidas

▪ Opinião especializada

▪ Benchmarking

(De acordo com a ISO 31000: Análise e Avaliação dos Riscos)

Definição dos parâmetros de risco

Probabilidade

Impacto

Categorias e fontes de risco

Qual é a chance do risco ocorrer? Apresentado de forma quantitativa ou

qualitativa

Impacto financeiro? Imagem? Legal? Quais são as consequências do risco?

Pensando nas consequências, é possível concluir o impacto (alto, médio ou baixo – por exemplo)

Após a análise (impacto x probabilidade), é possível definir a Prioridade, Criticidade ou Peso do risco

O que devemos tratar primeiro?

Alto impacto e baixa probabilidade?

Baixo impacto e alta probabilidade?

Categorias:

Ajudam a organizar os riscos, facilitando a consolidação para as ações definidas no plano

▪ Fases do ciclo de vida

▪ Tipos de Processos

▪ Áreas da empresa

▪ Etc.

Aplicável quando há uma grande lista de riscos

Fontes de Risco

Quais são as fontes de risco?

Internos ou externos?

▪ Fornecedor não habilitado para o trabalho

▪ Tecnologia nova

▪ Inovação

▪ Estimativas feitas de forma incorreta

▪ Etc.

Uma única fonte pode resultar em diversos riscos

# Descrição (P)ositivo(N)egativo

Fonte

001 Entrega fora do prazo N Falta de planejamento

002 Escopo não atendido N Falta de planejamento

003 Não aceitação do sistema pelos clientes N Tecnologia nova

004 Explorar um novo segmento P Tecnologia nova

005 Não atender o orçamento definido N Falta de planejamento

006 Não atender os critérios de qualidade N Falta de planejamento

007 Dominar uma nova tecnologia P Tecnologia nova

# Descrição Prob. Imp. Critic.

001 Entrega fora do prazo 4 5 20

002 Escopo não atendido 3 5 15

003 Não aceitação do sistema pelos clientes 3 4 12

004 Explorar um novo segmento 3 4 12

005 Não atender o orçamento definido 5 5 25

006 Não atender os critérios de qualidade 2 5 10

007 Dominar uma nova tecnologia 5 5 25

Priorização dos riscos

Qual é o risco mais crítico?

Onde devemos atuar primeiro?

Qual será a estratégia para tratamento dos riscos?

Quando for um risco negativo...

Eliminar: Remover totalmente a ameaça (pode envolver mudanças radicais)

Transferir: Repassar o risco para um terceiro, mas não o elimina (por exemplo: Seguro)

Mitigar: Reduzir o impacto ou a probabilidade

Aceitar: Conheço o risco, sua probabilidade e seu impacto, mas concluí que é melhor “deixar a vida me levar” e atuar somente se o risco ocorrer

Quando for um risco positivo...

Explorar: Direciono recursos para garantir que a oportunidade se concretize

Compartilhar: Envolvo um terceiro na exploração da oportunidade (por exemplo: Criação de uma joint venture)

Melhorar: Realizo ações para ampliar a probabilidade ou impacto positivo da oportunidade

Aceitar: Não tomarei ação, somente aproveitando os resultados caso a oportunidade se concretize

# Descrição Critic. Estratégia de Resposta ao Risco

001 Entrega fora do prazo 20 Mitigar

002 Escopo não atendido 15 Mitigar

003 Não aceitação do sistema pelos clientes 12 Mitigar

004 Explorar um novo segmento 12 Explorar

005 Não atender o orçamento definido 25 Aceitar

006 Não atender os critérios de qualidade 10 Mitigar

007 Dominar uma nova tecnologia 25 Melhorar

Atividade – Parte 2

Considerando os riscos identificados na Parte 1da atividade, o grupo deve avaliar cada risco, discutindo e documentando: Probabilidade Impacto Criticidade Fontes de risco Estratégia de resposta ao risco

Importante... Primeiro definam os critérios! Avaliem se é interessante categorizar os riscos

# Descrição Fonte Prob. Imp. Critic. Estratégia de Resposta ao Risco

Vulnerabilidade Ameaça

Alessandro Almeida | www.alessandroalmeida.com

1° Semestre de 2013Clique aqui

para escolher

outra aula

Atividade – Parte 2

Considerando os riscos identificados na Parte 1da atividade, o grupo deve avaliar cada risco, discutindo e documentando: Probabilidade Impacto Criticidade Fontes de risco Estratégia de resposta ao risco

Importante... Primeiro definam os critérios! Avaliem se é interessante categorizar os riscos

# Descrição Fonte Prob. Imp. Critic. Estratégia de Resposta ao Risco

Plano para Gestão de Riscos

Rever e complementar a lista de riscos, aplicando o aprendizado da aula passada

Iniciar a análise dos riscos...

Não se esqueçam de definir os parâmetros de risco

Apresentar a versão inicial do PPT e do Plano para Gestão de Riscos

Considerando a estratégia de resposta, definição de como os riscos serão tratados Projeto?

Plano de Ação?

Papéis e Responsabilidades

Custo

Cronograma Sempre que possível, direcionar as ações na

fonte do(s) risco(s)

Monitorar o tratamento

Acompanhar o andamento

Se necessário, rever o(s) plano(s) e as ações

Avaliar os riscos residuais

▪ Se necessário, o tratamento dos riscos residuais deve constar no plano

Pode não ter um fim definido

Gestão de Riscos em Projetos

≈Ações rápidas, baixo custo

Gestão de Riscos Organizacionais

≈Ações de médio e longo prazo,

alto custo

Atividade – Parte 3

Os riscos já foram identificados e analisados Considerando a estratégia de resposta para

cada risco, definam um plano de ação O plano de ação deve contemplar os

seguintes tópicos:

O que fazer?

Quem fará?

Quem será envolvido?

# Descrição Fonte Prob. Imp. Critic.Estratégia de Resposta ao Risco

Plano de Ação

1O que fazer?Quem fará?Quem será envolvido?

2O que fazer?Quem fará?Quem será envolvido?

Gestão de Riscos Corporativos

Princípios

COSO

Disponível para download no endereço

http://www.coso.org/ERM-IntegratedFramework.htm

http://coso.org/-ERM.htm

Três dimensões:

Componentes do Gerenciamento de Riscos Corporativos

Objetivos

Unidades da Organização

Gestão da Continuidade de Negócios

Norma baseada na BSI 25999:2006

Parte 1: Código de Prática

Parte 2: Requisitos

Processo da organização que estabelece uma estrutura estratégica e operacional adequada para:

Melhorar proativamente a resiliência da organização contra possíveis interrupções de sua capacidade em atingir seus principais objetivos

Processo da organização que estabelece uma estrutura estratégica e operacional adequada para:

Prover uma prática para restabelecer a capacidade de uma organização fornecer seus principais produtos e serviços, em um nível previamente acordado, dentro de um tempo previamente determinado após uma interrupção

Processo da organização que estabelece uma estrutura estratégica e operacional adequada para:

Obter reconhecida capacidade de gerenciar uma interrupção no negócio, de forma a proteger a marca e reputação da organização

Possibilita que a capacidade de Continuidade de Negócios seja estabelecida (se necessário) e mantida de forma apropriada ao tamanho e complexidade da organização

Priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.

Estabelece os requisitos que irão definir a seleção das estratégias de GCN apropriadas

Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo esses produtos e serviços:

Em um nível de operações aceitável

Em uma quantidade de tempo aceitável

...durante e logo após uma interrupção

Criação de uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente, para manter ou restaurar as operações

Demonstrar a que ponto as estratégias e planos estão completos, atualizados e precisos

Identificar oportunidades de melhorias

A GCN deve se tornar parte dos valores da organização, dando confiança às partes interessadas quanto à capacidade da organização de sobreviver a interrupções

Alessandro Almeida | www.alessandroalmeida.com

1° Semestre de 2013Clique aqui

para escolher

outra aula

Gestão de Riscos Corporativos

Princípios

COSO

Disponível para download no endereço

http://www.coso.org/ERM-IntegratedFramework.htm

http://coso.org/-ERM.htm

Três dimensões:

Componentes do Gerenciamento de Riscos Corporativos

Objetivos

Unidades da Organização

Gestão da Continuidade de Negócios

Norma baseada na BSI 25999:2006

Parte 1: Código de Prática

Parte 2: Requisitos

Processo da organização que estabelece uma estrutura estratégica e operacional adequada para:

Melhorar proativamente a resiliência da organização contra possíveis interrupções de sua capacidade em atingir seus principais objetivos

Processo da organização que estabelece uma estrutura estratégica e operacional adequada para:

Prover uma prática para restabelecer a capacidade de uma organização fornecer seus principais produtos e serviços, em um nível previamente acordado, dentro de um tempo previamente determinado após uma interrupção

Processo da organização que estabelece uma estrutura estratégica e operacional adequada para:

Obter reconhecida capacidade de gerenciar uma interrupção no negócio, de forma a proteger a marca e reputação da organização

Possibilita que a capacidade de Continuidade de Negócios seja estabelecida (se necessário) e mantida de forma apropriada ao tamanho e complexidade da organização

Priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.

Estabelece os requisitos que irão definir a seleção das estratégias de GCN apropriadas

Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo esses produtos e serviços:

Em um nível de operações aceitável

Em uma quantidade de tempo aceitável

...durante e logo após uma interrupção

Criação de uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente, para manter ou restaurar as operações

Demonstrar a que ponto as estratégias e planos estão completos, atualizados e precisos

Identificar oportunidades de melhorias

A GCN deve se tornar parte dos valores da organização, dando confiança às partes interessadas quanto à capacidade da organização de sobreviver a interrupções

Framework que sugere um processo para gestão de riscos de TI

Disponível no endereço www.isaca.org/riskit Contempla:

Análise

Responsabilidades

Indicadores

Etc.

Atua no “Como fazer?”

Complementares...

ISO 31000 Risk IT

O que fazer? Como fazer?

Risk Governance (RG)

RG1 Establish and maintain a common risk view

RG2 Integrate with ERM

RG3 Make risk-aware business decisions

Risk Evaluation (RE)

RE1 Collect data

RE2 Analyse risk

RE3 Maintain risk profile

Risk Response (RR)

RR1 Articulate risk

RR2 Manage risk

RR3 React to events

Gestão de Riscos em Projetos

Áreas de conhecimento Integração

Escopo

Tempo

Custos

Qualidade

Recursos humanos

Comunicações

Riscos

Aquisições

Áreas de conhecimento Integração

Escopo

Tempo

Custos

Qualidade

Recursos humanos

Comunicações

Riscos

Aquisições

Área de conhecimento que tem como objetivo...

“aumentar a probabilidade e o impacto dos eventos positivos e reduzir a probabilidade e o impacto dos eventos negativos no projeto”.

Área de conhecimento composta por 6 processos...

Além das diversas técnicas e processos sugeridos pelo PMBoK, o PMI criou um padrão para gerenciamento de riscos em projetos....

Além das diversas técnicas e processos sugeridos pelo PMBoK, o PMI criou um padrão para gerenciamento de riscos em projetos....

Além das diversas técnicas e processos sugeridos pelo PMBoK, o PMI criou um padrão para gerenciamento de riscos em projetos....

Practice Standard for Project RiskManagement

Disponível para download no site do PMI (somente para membros)

Para quem deseja se especializar, há a certificação PMI Risk Management Professional (PMI-RMP)

Para quem possui a partir de 3000 horas de experiência em gestão de riscos em projetos e 30 horas de treinamento sobre o tema.

PP: Project Planning, Área de Processo do Nível 2PMC: Project Monitoring and Control, Área de Processo do Nível 2RSKM: Risk Management, Área de Processo do Nível 3

Processos ad hocInitial

Configuration Management (CM)

Measurement and Analysis (MA)

Project Monitoring and Control (PMC)

Project Planning (PP)

Process and Product Quality Assurance (PPQA)

Requirements Management (REQM)

Supplier Agreement Management (SAM)

Managed

Decision Analysis and Resolution (DAR)

Integrated Project Management (IPM)

Organizational Process Definition (OPD)

Organizational Process Focus (OPF)

Organizational Training (OT)

Product Integration (PI)

Requirements Development (RD)

Risk Management (RSKM)

Technical Solution (TS)

Validation (VAL)

Verification (VER)

Defined

Organizational Process Performance (OPP)

Quantitative Project Management (QPM)Quantitatively Managed

Causal Analysis and Resolution (CAR)

Organizational Innovation and Deployment (OID)Optimizing

CMMI Model

Foundation

CMMI-DEV CMMI-ACQ

CMMI-SVC

Fonte: -http://www.sei.cmu.edu/cmmi/models/CMMI-Services-status.html

Apresentam práticas específicas que focam a gestão de riscos em projetos, sem um processo definido

Atendem os requisitos do nível 2 de maturidade

SG 1 Establish Estimates SG 2 Develop a Project Plan SP 2.1 Establish the Budget and Schedule

SP 2.2 Identify Project Risks

SP 2.3 Plan Data Management

SP 2.4 Plan the Project’s Resources

SP 2.5 Plan Needed Knowledge and Skills

SP 2.6 Plan Stakeholder Involvement

SP 2.7 Establish the Project Plan SG 3 Obtain Commitment to the Plan

SG 1 Monitor the Project Against the Plan SP 1.1 Monitor Project Planning Parameters

SP 1.2 Monitor Commitments

SP 1.3 Monitor Project Risks

SP 1.4 Monitor Data Management

SP 1.5 Monitor Stakeholder Involvement

SP 1.6 Conduct Progress Reviews

SP 1.7 Conduct Milestone Reviews SG 2 Manage Corrective Action to Closure

Propõe a definição de um processo para gestão de riscos

Nível de maturidade 3 (definido)

Objetivos e práticas específicas que definem “mais do mesmo” (quando já vimos os outros frameworks)...

SG 1 Prepare for Risk Management

SP 1.1 Determine Risk Sources and Categories

SP 1.2 Define Risk Parameters

SP 1.3 Establish a Risk Management Strategy

SG 2 Identify and Analyze Risks

SP 2.1 Identify Risks

SP 2.2 Evaluate, Categorize, and Prioritize Risks

SG 3 Mitigate Risks

SP 3.1 Develop Risk Mitigation Plans

SP 3.2 Implement Risk Mitigation Plans

O óbvio que não é tão óbvio quanto deveria...

Quais são os processos de negócio mais críticos? Como a TI os suporta?

Qual é a função da TI dentro do negócio?

Quais são as consequências do risco de TI?

Dependência da TI pelas empresas

Consequências do Risco de TI

EUA, dezembro de 2004...

Fonte: http://www.dailymail.co.uk/news/article-497399/Strike-threat-Christmas-flights-lead-holiday-airport-chaos.html

Fonte: http://www.mylamppost.com/page/2/

Entre 22 e 24 de dezembro, 91% de todos os voos foram alterados ou cancelados

Milhares de alterações no sistema que gerencia a escala da tripulação

Mas ninguém sabia que o sistema suportava somente 32 mil alterações por mês...

24 de dezembro, 22:00...

24 de dezembro, 22:00...

A normalização das operações aconteceu somente no dia 29 de dezembro

200 mil passageiros sem saber o que fazer

Todas as linhas aéreas estavam sobrecarregadas

Três semanas depois, o presidente da empresa renunciou

Prejuízo?

Resultado direto: US$ 20.000.000,00

(além dos danos causados à reputação da empresa e aos clientes)

A substituição do sistema foi planejada e protelada diversas vezes...

A não substituição foi o principal problema?

A empresa tinha um plano para recuperação dos processos críticos, em caso de falhas?

Havia um sistema de backup? Existia um processo de contingência

documentado?

Qual foi a falha?

Não existência de um processo que compreendesse e administrasse as consequências comerciais do risco de TI

Garantir que os grandes riscos corporativos sejam administrados num nível aceitável é uma responsabilidade de seus executivos seniores

Possibilidade de que algum evento imprevisto, que envolva falha ou mau uso da TI, ameace um objetivo empresarial

O óbvio que não é tão óbvio quanto deveria...

Traduzindo o risco de TI em termos comerciais...

Traduz o risco de TI em termos comerciais Permite analisar as acomodações entre riscos Considera quatro objetivos inter-relacionados

da empresa:

Disponibilidade (Availability)

Acesso (Access)

Precisão (Accuray)

Agilidade (Agility)

Manter os sistemas (e seus processos comerciais) em operação e recuperá-los em caso de interrupções

Quais processos dependem mais de TI?

Quais são as prováveis consequências caso os sistemas de apoio fiquem indisponíveis?

Assegurar o acesso apropriado a dados e sistemas, de modo que as pessoas certas o tenham quando precisarem

Considera a possibilidade de mau uso de informações delicadas

Quais categorias gerais de informação são mais críticos para o sucesso ou fracasso da informação?

Quais as consequências caso essas informações sejam perdidas, distribuídas ou comprometidas?

Proporcionar informações corretas, oportunas e completas que atendam aos requisitos da administração, do pessoal, dos clientes, dos fornecedores e dos reguladores

Para os processos e as categorias de informação essenciais, os dados são suficientemente precisos e oportunos para atender a requisitos internos e externos?

Ser capaz de mudar com rapidez e custo administrado

Por exemplo: Integração de uma empresa adquirida

Quais grandes mudanças estratégicas são previsíveis e como TI pode sustentá-las?

Com que frequência os projetos de negócio com envolvimento significativo da TI ficam dentro do prazo e do orçamento?

Criando a capacidade organizacional para moldar e manter o perfil de risco...

Atuam em conjunto para melhorar o perfil de risco da empresa e mantê-lo sob controle:

Alicerce

Processo de Governança do Risco

Cultura de Consciência do Risco

Base tecnológica instalada Não mais complexa do que o absolutamente

necessário Bem administrada e compreendida Procedimentos e pessoal de suporte

Cria e administra os processos, procedimentos e estruturas organizacionais para...

Definir e manter políticas e normas

Identificar e priorizar riscos

Administrar riscos e monitorar suas tendências ao longo do tempo

Assegurar a observância de políticas e normas para o risco

Princípios

Consciência geral, por toda empresa, da natureza e das consequências do comportamento de risco e de como evitá-lo

Cultura que estimule a discussão do risco abertamente

É possível atuar nas três disciplinas ao mesmo tempo?

Qual deve ser priorizada? Qual é a disciplina mais fácil de “vender” para

os executivos? É fundamental ter um ponto de partida e não

querer abraçar o mundo!

Ninguém precisa reinventar a roda! Funcionam como direcionadores para

estabelecimento da Gestão de Riscos Dizem “o que fazer?”, e não “como fazer?”

É importante utilizá-los como referência, mas segui-los “by the book” pode ser um erro fatal

Burocracia

Boicote

Controles desnecessários e em excesso

Atividade

Em grupo Realizar a leitura do Estudo de Caso A descrição da atividade está na página 3

alessandro.almeida@uol.com.brwww.slideshare.net/alessandroalmeida