Alessandro Almeida | www.alessandroalmeida.com
1° Semestre de 2013
SLIDES DAS AULAS
AULA TÓPICOS ABORDADOS LINK
1 Definições de risco e gestão de riscos. Acesse
2 Benefícios da gestão de riscos. Acesse
3 ISO 31000:2009. Acesse
4 Processo para gestão de riscos (Parte 1). Acesse
5Processo para gestão de riscos (Parte 2). COSO (Enterprise Risk Management). NBR15999 (Gestão da Continuidade dos Negócios).
Acesse
6 Risk IT. PMBOK. CMMI. O Risco de TI (Framework 4A). Acesse
Alessandro Almeida | www.alessandroalmeida.com
1° Semestre de 2013Clique aqui
para escolher
outra aula
Vamos nos conhecer?
Por que estou aqui?
Depois conversaremos...
Apresentar o conceito de Gestão de Riscos, incentivando a reflexão sobre o tema no dia-a-dia
Compartilhar frameworks e (boas) práticas aplicáveis à rotina da Gestão de Riscos em TI
Sobre as “boas práticas” ou “melhores práticas”
Cuidado!!!!
Quem definiu que as práticas são boas ou melhores?
A empresa fez uma avaliação?
Houve um diagnóstico?
Os principais stakeholders foram ouvidos?
Sinal de alerta:
Consultoria ou um grupo restrito definindo e decidindo as “melhores” práticas para a área de TI
Riscos no dia-a-dia
Riscos Corporativos
RISCOS DE TI
RISCOS EM PROJETOS
Dinâmica das aulas
Sem monólogo, por favor!
▪ Tragam seus questionamentos, ideias e experiências!
▪ A colaboração ajuda na construção do conhecimento.
Dinâmica das aulas
Material em constante mudança
Materiais disponíveis nos endereços:
www.slideshare.net/alessandroalmeida
www.alessandroalmeida.com/unifieo.htm
▪ CMMI
▪ Gestão de Processos
▪ Governança de TI
▪ Etc.
Avaliação semanal: 50% da nota
Participação nas atividades
Avaliação final: 50% da nota
“Prova” ou atividade em grupo?
▪ Vocês decidem!
▪ Vantagens e desvantagens...
▪ Avaliação escolhida: Atividade em Grupo
Sobre a frequência nas aulas...
Em todas as aulas...
O feedback de vocês é fundamental
Ajustes na dinâmica (conteúdo, velocidade, etc.)
Ouvidoria do UNIFIEO
Na última aula...
Avaliação sobre a disciplina
Em todas as aulas...
O feedback de vocês é fundamental
Ajustes na dinâmica (conteúdo, velocidade, etc.)
Ouvidoria do UNIFIEO
Na última aula...
Avaliação sobre a disciplina
Pessoalmente ou através do endereço [email protected]
Downloads:
www.alessandroalmeida.com/unifieo.htm
www.slideshare.net/alessandroalmeida
1ª Atividade
Em grupos de até 5 alunos, discutir as definições de Risco e Gestão de Riscos
Levantar exemplos de aplicação da Gestão de Riscos Exemplos do mundo corporativo e / ou do dia a dia
Cada grupo apresentará suas conclusões aos demais colegas
Durante a atividade, passarei pelos grupos para conhecê-los
O que é “Gestão de Riscos”?
Gestão de Riscos•“ato ou efeito de gerir; administração, gerência”•Administrar: “gerir, governar, dirigir”•Administrar: “atuar, exercer a autoridade de administrador; dirigir”
Gestão de Riscos•“probabilidade de insucesso”•“em função de acontecimento eventual”•“ocorrência não depende exclusivamente da vontade dos interessados”
Definição do CobiT 4.1:
Em negócios, o potencial de que uma certa
ameaça irá explorar as vulnerabilidades de um recurso ou grupo de recursos para causar perda e/ou prejuízos; usualmente medido por
uma combinação de impacto e probabilidadede ocorrência.
Sendo assim, o risco deve ser encarado de forma negativa?
Exemplos de “riscos”:
Risco de ganhar na Mega-Sena
Risco de se apaixonar
Risco de ser promovido na empresa
Definição da ISO 31000:2009:
Efeito da incerteza nos objetivos
▪ Efeito: Desvio em relação ao esperado (positivo e/ou negativo)
▪ Expresso pela combinação de probabilidade e consequência
Definição do PMBoK, 4ª edição:
Um evento ou condição incerta que, se ocorrer,
provocará um efeito positivo ou negativo nos objetivos de um projeto
Envolve incerteza! Impacto Probabilidade Oportunidades Ameaças
Vulnerabilidades
Sempre presente em nosso dia-a-dia... ...até mais do que imaginamos
Fonte da imagem “Risco de Afogamento”:
http://www.flickr.com/photos/kiko_fernandes/4148281427/
Aplicações financeiras oferecem risco...
Por exemplo: Investimento em ações de empresas listadas na BM&FBOVESPA
Neste caso, quando a empresa vai abrir o capital ou ofertar novas ações, um documento explicativo é emitido, e nele há um capítulo somente sobre os riscos...
Evolução das ações da B2W (últimos 5 anos)
Quanto maior o risco, maior o retorno exigido pelos investidores
0
1
2
3
4
5
1 2 3 4 5 6 7 8 9 10
Risco versus Taxa de Retorno
Risco Taxa de Retorno
Administrar a incerteza?
Como identificá-los?
Como administrá-los?
Fatos...
Os riscos sempre estarão lá, independente de você conhecê-los e gerenciá-los
Gestão de riscos é um tema que sempre está na moda!
Não percam a próxima aula!
Alessandro Almeida | www.alessandroalmeida.com
1° Semestre de 2013Clique aqui
para escolher
outra aula
Plano para Gestão de Riscos
Objetivo:
Montar um plano para Gestão de Riscos de um projeto ou da operação de TI de uma empresa (fictícia ou não)
Grupos de até 5 alunos Detalhar a metodologia(s) utilizada(s) para
identificação dos riscos Documentar o contexto e os parâmetros de
risco
Aplicar os frameworks e práticas que serão apresentados durante as aulas
Acompanhamento semanal da evolução
Informar a situação
Validar a metodologia utilizada
Apresentar o rascunho do material
Importante: O acompanhamento semanal vai compor a nota da atividade
Entregáveis
CD contendo:
▪ Plano para Gestão de Riscos
▪ Apresentação realizada para a turma
Data da entrega e apresentação:
20 de junho
Tempo de apresentação: cada grupo terá entre 30 a 40 minutos
Depois é só escolher a comemoração!
Fonte da Imagem: http://www.gettyimages.com/detail/82143945/Retrofile
Depois é só escolher a comemoração!
Os seguintes itens devem ser apresentados:
Grupo
Contexto
▪ Empresa fictícia ou real?
▪ Informações sobre a empresa e o mercado em que ela atua
▪ Plano de Riscos para a empresa, para uma área ou para um projeto?
Relembrando a aula passada...
Definição do PMBoK, 4ª edição:
Um evento ou condição incerta que, se ocorrer,
provocará um efeito positivo ou negativo nos objetivos de um projeto
Envolve incerteza! Impacto Probabilidade Oportunidades Ameaças
Vulnerabilidades
Administrar a incerteza! Fatos...
Os riscos sempre estarão lá, independente de você conhecê-los e gerenciá-los
Gestão de riscos é um tema que sempre está na moda!
Por que a Gestão de Riscos deve estar na pauta dos executivos?
De acordo com a NBR ISO 31000:2009 – Gestão de Riscos – Princípios e Diretrizes
Aumentar a probabilidade de atingir os objetivos
Encorajar uma gestão proativa Estar atento para a necessidade de
identificar e tratar os riscos através de toda a organização
Melhorar a identificação de oportunidades e ameaças Lembram da Análise SWOT?
Parênteses
O conceito de estratégia...
em grego stratēgía, em latim “estrategi”, em francês stratégie, em inglês strategy, em alemão strategie, em italiano strategia, em espanhol estrategia
O conceito de estratégia...
em grego stratēgía, em latim “estrategi”, em francês stratégie, em inglês strategy, em alemão strategie, em italiano strategia, em espanhol estrategia
O conceito de estratégia...
em grego stratēgía, em latim “estrategi”, em francês stratégie, em inglês strategy, em alemão strategie, em italiano strategia, em espanhol estrategia
Como podemos definir estratégia? Estratégia diz respeito a posicionar uma
organização para a obtenção de vantagem competitiva
Envolve escolhas a respeito de que setores participar, quais produtos e serviços oferecer e como alocar recursos corporativos
Seu objetivo principal é criar valor para acionistas e outros stakeholders ao proporcionar valor para o cliente
Como podemos definir estratégia? Estratégia diz respeito a posicionar uma
organização para a obtenção de vantagem competitiva
Envolve escolhas a respeito de que setores participar, quais produtos e serviços oferecer e como alocar recursos corporativos
Seu objetivo principal é criar valor para acionistas e outros stakeholders ao proporcionar valor para o cliente
Converter declarações da direção estratégica em objetivos, indicadores, metas, iniciativas e orçamentos específicos, que orientam a ação e alinham a organização para a execução eficaz da estratégia
Converter declarações da direção estratégica em objetivos, indicadores, metas, iniciativas e orçamentos específicos, que orientam a ação e alinham a organização para a execução eficaz da estratégia
Ferramenta para análise do cenário:
Pontos Fortes
Pontos Fracos
Oportunidades
Ameaças
Pode ser utilizada como base para o Planejamento Estratégico
Uma boa gestão de riscos permite que a empresa identifique (de
forma precisa) as oportunidades e ameaças
Atender às normas internacionais e requisitos legais e regulatórios pertinentes
Melhorar a Governança Melhorar a confiança das partes
interessadas (stakeholders) Estabelecer uma base confiável para a
tomada de decisão e o planejamento Melhorar o reporte das informações
financeiras
Melhorar os controles Alocar e utilizar eficazmente os recursos para
o tratamento de riscos Melhorar a eficácia e eficiência operacional Melhorar o desempenho em saúde e
segurança, bem como a proteção ao meio ambiente
Melhorar a prevenção de perdas e a gestão de incidentes
Minimizar perdas
Melhorar a aprendizagem organizacional
Aumentar a resiliência da organização
2ª Atividade
Em grupos de até 5 alunos, façam a leitura do artigo “O dilema da pitanga na Natura”
Publicado na edição 1011 da Revista Exame: http://exame.abril.com.br/revista-exame/edicoes/1011/noticias/o-dilema-da-pitanga-na-natura
Após a leitura, discutam entre o grupo os problemas que ocorreram na implantação do sistema SAP na Natura.
O que poderia ter sido feito para evitá-los?
Como a Gestão dos Riscos poderia ajudar?
Qual é a relação percebida entre a Gestão dos Riscos, o desempenho da empresa e a Gestão de Projetos?
Documentem o consenso do grupo
Quando um recurso se torna
essencial para a competição mas
irrelevante para a estratégia, os
riscos que cria passam a importar
mais do que as vantagens que
oferece.
Alessandro Almeida | www.alessandroalmeida.com
1° Semestre de 2013Clique aqui
para escolher
outra aula
Definição do PMBoK, 4ª edição:
Um evento ou condição incerta que, se ocorrer,
provocará um efeito positivo ou negativo nos objetivos de um projeto
Envolve incerteza Fato!
Os riscos sempre estarão lá, independente de você conhecê-los e gerenciá-los
Gestão de riscos é um tema que sempre está na moda!
O risco está sempre presente em nosso dia-a-dia...
...até mais do que imaginamos
Ferramenta importante para que a gestão da empresa seja bem sucedida...
Identificar e atingir os objetivos estratégicos
Compliance
Maior transparência (interna e externa)
Atuação proativa diante dos movimentos do mercado
Fonte: http://www1.folha.uol.com.br/cotidiano/2013/05/1275712-latino-entra-em-cabine-de-aviao-da-tam-durante-voo-e-anac-cobra-explicacao.shtml
Fonte da foto: http://variedadesnovaral.blogspot.com/2009/12/biblioteconomia-e-reinvencao-da-roda.html
Gestão de Riscos Corporativos
Gestão de Riscos – Princípios e Diretrizes
NBR ISO 31000 Gestão de Riscos – Princípios e Diretrizes
Publicada em 2009 Visa a harmonização das normas que
envolvem Gestão de Riscos Considera que todas as organizações
gerenciam o risco de alguma forma Por isso, estabelece um número de princípios que
precisam ser atendidos para tornar a Gestão de Riscos eficaz
Aplicável a qualquer tipo de empresa
Abordagem genérica
Não tem como objetivo a certificação Recomenda o desenvolvimento de um
framework que contemple todo o ciclo de vida da Gestão de Riscos
Propõe a inserção da cultura de Gestão de Riscos no DNA da empresa
Arquitetura para Gestão de Riscos:
Princípios
Arquitetura para Gestão de Riscos:
Princípios
PRINCÍPIOS
Arquitetura para Gestão de Riscos:
Princípios
FRAMEWORK
Arquitetura para Gestão de Riscos:
Princípios
PROCESSO
De acordo com a ISO 31000:2009
Arquitetura para Gestão de Riscos:
Princípios
PRINCÍPIOS
Cria e protege valor Parte integrante de todos os processos
organizacionais Parte da tomada de decisões Aborda explicitamente a incerteza É sistemática, estruturada e oportuna
Baseia-se nas melhores informações disponíveis
É feita sob medida Considera fatores humanos e culturais É transparente e inclusiva É dinâmica, iterativa e capaz de reagir a
mudanças Facilita a melhoria contínua da organização
De acordo com a ISO 31000:2009
Arquitetura para Gestão de Riscos:
Princípios
FRAMEWORK
Concepção da Estrutura para
Gerenciar Riscos
Implementação da Gestão de
Riscos
Monitoramento e Análise Crítica
da Estrutura
Melhoria Contínua da
Estrutura
Mandato e Comprometimento
Mandato e Comprometimento
Patrocínio! Alinhamento entre objetivos de Gestão de
Riscos com os objetivos e estratégias da empresa
Assegura que os recursos necessários sejam alocados para a Gestão de Riscos
Concepção da Estrutura para
Gerenciar Riscos
Mandato e Comprometimento
Entendimento da organização e seu contexto Estabelecimento da política de Gestão de
Riscos Responsabilização Integração nos processos organizacionais Recursos Estabelecimento de mecanismos de
comunicação e reporte internos e externos
Concepção da Estrutura para
Gerenciar Riscos
Implementação da Gestão de
Riscos
Mandato e Comprometimento
Implementar
Estrutura para gerenciar riscos
Processo de Gestão de Riscos
Concepção da Estrutura para
Gerenciar Riscos
Implementação da Gestão de
Riscos
Monitoramento e Análise Crítica
da Estrutura
Melhoria Contínua da
Estrutura
Mandato e Comprometimento
Análise crítica da eficácia do framework Considerando o contexto interno e externo,
realizar a avaliação periódica de desempenho
Políticas
Planos
Processos
Etc.
Concepção da Estrutura para
Gerenciar Riscos
Implementação da Gestão de
Riscos
Monitoramento e Análise Crítica
da Estrutura
Melhoria Contínua da
Estrutura
Mandato e Comprometimento
Considerando dados levantados no monitoramento e análise crítica, implementar melhorias no framework
Concepção da Estrutura para
Gerenciar Riscos
Implementação da Gestão de
Riscos
Monitoramento e Análise Crítica
da Estrutura
Melhoria Contínua da
Estrutura
Mandato e Comprometimento
Plan
Do
Check
Act
De acordo com a ISO 31000:2009
Arquitetura para Gestão de Riscos:
Princípios
PROCESSO
Deve acontecer durante todas as fases do processo de Gestão de Riscos!
Auxilia que os riscos sejam identificados corretamente
Reúne diferentes áreas de especialização em conjunto para análise de riscos
Aprimora a gestão de mudanças durante o processo de Gestão de Riscos
Detalhamento do contexto identificado na Concepção da Estrutura para Gerenciar Riscos (framework)
Estabelecer os contextos externo e interno
Definição das regras do jogo
Critérios de risco
Metodologias
Papéis e Responsabilidades
Metas
Etc.
Identificação de Riscos
Quais são as fontes de risco?
Considerar todos os riscos (mesmo aqueles que não são controlados pela empresa)
Reações em cadeia (efeitos cumulativos e em cascata provocados pelos riscos)
Fonte: http://riskreport.weforum.org/
Análise de Riscos
Desenvolver a compreensão dos riscos
Apreciação das causa e as fontes de risco (análise de causa e efeito)
Análise das consequências positivas e negativas (e a probabilidade de ocorrer)
Classificação dos riscos
Análise quantitativa e / ou qualitativa
Avaliação de Riscos
Considerando as informações levantadas, o que faremos?
Quais riscos necessitam de tratamento?
Qual será a prioridade na implementação do tratamento?
Importante: A avaliação pode sugerir que o risco não seja tratado, somente monitorado.
Seleção e implementação de uma ou mais opções para modificar os riscos
Processo cíclico:
Avaliação do tratamento de riscos já realizado
Decisões se os níveis de risco residual são toleráveis
▪ Não? Definir e implementar novo tratamento
Avaliação da eficácia desse tratamento
As opções podem incluir:
Tomada ou aumento do risco (aproveitando uma oportunidade)
Remoção da fonte de risco
Alteração da probabilidade
Alteração das consequências
Compartilhamento do risco
Seleção das opções de tratamento de riscos
Envolve equilíbrio (custos e esforços X benefícios decorrentes)
Qual é a ordem de prioridade em que os tratamentos devem ser implementados?
Monitoramento!!!!!
Um risco pode gerar outros riscos
Planejamento! Quais os benefícios do tratamento escolhido?
Ações
Responsabilidades
Cronograma
Medição de desempenho
Etc.
Plano integrado com o processo e apresentado aos stakeholders
Garantir que os controles sejam eficazes e eficientes
Obter informações adicionais para melhorar o processo de avaliação dos riscos
Lições aprendidas!
Analisar os eventos, mudanças, tendências, sucessos e fracassos
Identificar riscos emergentes Detectar mudanças no contexto
O que a ISO 31000:2009 proporciona?
Princípios
=Governança Corporativa dos
Riscos
Recomendação de leitura:
Governança Corporativa dos Riscos do Banco do Brasil: http://bit.ly/fJ1Iek
Atividade
1. Em grupos de até 5 alunos, discutir e listar as práticas corporativas de Gestão de Riscos utilizadas em suas empresas Caso não seja possível identificar práticas
corporativas, foquem nas práticas departamentais ou dos projetos que vocês participam
2. Associar as práticas identificadas pelo grupo com as práticas discutidas durante a aula
3. Como a ISO 31000 poderia ajudar?
Arquitetura para Gestão de Riscos:
Princípios
Plano para Gestão de Riscos
Os seguintes itens devem ser apresentados:
Grupo
Contexto
▪ Empresa fictícia ou real?
▪ Informações sobre a empresa e o mercado em que ela atua
▪ Plano de Riscos para a empresa, para uma área ou para um projeto?
Apresentar uma lista com os primeiros dezriscos identificados
Neste momento, não é necessário apresentar a probabilidade, impacto ou a criticidade
Riscos positivos e negativos
Alessandro Almeida | www.alessandroalmeida.com
1° Semestre de 2013Clique aqui
para escolher
outra aula
Plano para Gestão de Riscos
Alguns exemplos de turmas anteriores...
Apresentar uma lista com os primeiros dezriscos identificados
Neste momento, não é necessário apresentar a probabilidade, impacto ou a criticidade
Riscos positivos e negativos
Rever e complementar a lista de riscos, aplicando o aprendizado da aula de hoje
Iniciar a análise dos riscos...
Não se esqueçam de definir os parâmetros de risco
Aquecendo os motores...
Reflexão sobre Um Estudo de Caso
A empresa:
Fábrica de software com 80 funcionários e faturamento de aproximadamente 10 milhões por ano
O projeto:
Um dos maiores que a empresa já havia realizado
Valor: Quase 1 milhão de reais
Descobrindo as incertezas...
Etapa fundamental do processo de Gestão de Riscos
Riscos ignorados ou não mapeados nesta etapa podem virar um grande problema no futuro
Benchmarking Entrevistas Check-lists Opinião especializada
Consultoria
Brainstorming Lições aprendidas
Tempestade de idéias ou “toró de parpite” Diferenças de pensamentos e experiências
geram novas ideias Compartilhar as ideias, sem filtros Julgamento pode “bloquear” o processo
A avaliação das ideias é feita no final da sessão de brainstorming
Base histórica Reuniões entre equipes Aprendizado Inter-projetos
http://finito-log.blogspot.com/2004/08/o-aprendizado-inter-projetos.html
Aprendizagem organizacional
Premissa São fatores que, para fins de planejamento, são
considerados verdadeiros, reais ou certos sem prova ou demonstração
Talvez o seu projeto dependa de alguma premissa para dar certo
Restrição Limitação ou imposição de limite
Seu projeto precisa ser realizado dentro do limite definido
Premissa: Talvez o seu projeto dependa de alguma premissa para dar certo...
▪ A Roberta, especialista em BI, vai participar do projeto.
▪ O cliente vai disponibilizar um analista de negócios em tempo integral na fase de levantamento de requisitos.
Restrição: Seu projeto precisa ser realizado dentro do limite definido...
▪ O projeto precisa ser concluído antes de 31/12
▪ O custo não pode ultrapassar R$ 500.000
Premissas e restrições são um bom ponto de partida para a identificação dos riscos...
A Roberta, especialista em BI, vai participar do projeto.
▪ Quais eventos podem tirar a Roberta do projeto?
▪ O que faremos se ela sair?
O projeto precisa ser concluído antes de 31/12
▪ Quais eventos podem fazer com que o projeto atrase?
▪ O que faremos se o projeto atrasar?
# Descrição(P)ositivo(N)egativo
001 Entrega fora do prazo N
002 Escopo não atendido N
003 Não aceitação do sistema pelos clientes N
004 Explorar um novo segmento de mercado P
005 Não atender o orçamento definido N
006 Não atender os critérios de qualidade N
007 Dominar uma nova tecnologia P
Quero ganhar tempo na identificação dos
riscos!
Conforme for identificando cada risco, já
vou atribuir a probabilidade e o impacto!
Conforme for identificando cada risco, já
vou atribuir a probabilidade e o impacto!
Cuidado!
Antecipar a etapa de análise dos riscos pode tirar o seu foco da identificação, deixando que alguns riscos passem despercebidos (além de impactar na produtividade)
Além disso, é importante se certificar que todos (ou a maioria) os riscos foram identificados, desta forma, será mais fácil agrupá-los por similaridade de fontes ou categorias
Atividade – Parte 1
Atividade em grupo de até 5 alunos Realizar a leitura do Estudo de Caso Identificar e listar os riscos (positivos e
negativos) do projeto Lembrando algumas técnicas que podem ser
utilizadas:▪ Brainstorming
▪ Lições aprendidas
▪ Opinião especializada
▪ Benchmarking
(De acordo com a ISO 31000: Análise e Avaliação dos Riscos)
Definição dos parâmetros de risco
Probabilidade
Impacto
Categorias e fontes de risco
Qual é a chance do risco ocorrer? Apresentado de forma quantitativa ou
qualitativa
Impacto financeiro? Imagem? Legal? Quais são as consequências do risco?
Pensando nas consequências, é possível concluir o impacto (alto, médio ou baixo – por exemplo)
Após a análise (impacto x probabilidade), é possível definir a Prioridade, Criticidade ou Peso do risco
O que devemos tratar primeiro?
Alto impacto e baixa probabilidade?
Baixo impacto e alta probabilidade?
Categorias:
Ajudam a organizar os riscos, facilitando a consolidação para as ações definidas no plano
▪ Fases do ciclo de vida
▪ Tipos de Processos
▪ Áreas da empresa
▪ Etc.
Aplicável quando há uma grande lista de riscos
Fontes de Risco
Quais são as fontes de risco?
Internos ou externos?
▪ Fornecedor não habilitado para o trabalho
▪ Tecnologia nova
▪ Inovação
▪ Estimativas feitas de forma incorreta
▪ Etc.
Uma única fonte pode resultar em diversos riscos
# Descrição (P)ositivo(N)egativo
Fonte
001 Entrega fora do prazo N Falta de planejamento
002 Escopo não atendido N Falta de planejamento
003 Não aceitação do sistema pelos clientes N Tecnologia nova
004 Explorar um novo segmento P Tecnologia nova
005 Não atender o orçamento definido N Falta de planejamento
006 Não atender os critérios de qualidade N Falta de planejamento
007 Dominar uma nova tecnologia P Tecnologia nova
# Descrição Prob. Imp. Critic.
001 Entrega fora do prazo 4 5 20
002 Escopo não atendido 3 5 15
003 Não aceitação do sistema pelos clientes 3 4 12
004 Explorar um novo segmento 3 4 12
005 Não atender o orçamento definido 5 5 25
006 Não atender os critérios de qualidade 2 5 10
007 Dominar uma nova tecnologia 5 5 25
Priorização dos riscos
Qual é o risco mais crítico?
Onde devemos atuar primeiro?
Qual será a estratégia para tratamento dos riscos?
Quando for um risco negativo...
Eliminar: Remover totalmente a ameaça (pode envolver mudanças radicais)
Transferir: Repassar o risco para um terceiro, mas não o elimina (por exemplo: Seguro)
Mitigar: Reduzir o impacto ou a probabilidade
Aceitar: Conheço o risco, sua probabilidade e seu impacto, mas concluí que é melhor “deixar a vida me levar” e atuar somente se o risco ocorrer
Quando for um risco positivo...
Explorar: Direciono recursos para garantir que a oportunidade se concretize
Compartilhar: Envolvo um terceiro na exploração da oportunidade (por exemplo: Criação de uma joint venture)
Melhorar: Realizo ações para ampliar a probabilidade ou impacto positivo da oportunidade
Aceitar: Não tomarei ação, somente aproveitando os resultados caso a oportunidade se concretize
# Descrição Critic. Estratégia de Resposta ao Risco
001 Entrega fora do prazo 20 Mitigar
002 Escopo não atendido 15 Mitigar
003 Não aceitação do sistema pelos clientes 12 Mitigar
004 Explorar um novo segmento 12 Explorar
005 Não atender o orçamento definido 25 Aceitar
006 Não atender os critérios de qualidade 10 Mitigar
007 Dominar uma nova tecnologia 25 Melhorar
Atividade – Parte 2
Considerando os riscos identificados na Parte 1da atividade, o grupo deve avaliar cada risco, discutindo e documentando: Probabilidade Impacto Criticidade Fontes de risco Estratégia de resposta ao risco
Importante... Primeiro definam os critérios! Avaliem se é interessante categorizar os riscos
# Descrição Fonte Prob. Imp. Critic. Estratégia de Resposta ao Risco
Vulnerabilidade Ameaça
Alessandro Almeida | www.alessandroalmeida.com
1° Semestre de 2013Clique aqui
para escolher
outra aula
Atividade – Parte 2
Considerando os riscos identificados na Parte 1da atividade, o grupo deve avaliar cada risco, discutindo e documentando: Probabilidade Impacto Criticidade Fontes de risco Estratégia de resposta ao risco
Importante... Primeiro definam os critérios! Avaliem se é interessante categorizar os riscos
# Descrição Fonte Prob. Imp. Critic. Estratégia de Resposta ao Risco
Plano para Gestão de Riscos
Rever e complementar a lista de riscos, aplicando o aprendizado da aula passada
Iniciar a análise dos riscos...
Não se esqueçam de definir os parâmetros de risco
Apresentar a versão inicial do PPT e do Plano para Gestão de Riscos
Considerando a estratégia de resposta, definição de como os riscos serão tratados Projeto?
Plano de Ação?
Papéis e Responsabilidades
Custo
Cronograma Sempre que possível, direcionar as ações na
fonte do(s) risco(s)
Monitorar o tratamento
Acompanhar o andamento
Se necessário, rever o(s) plano(s) e as ações
Avaliar os riscos residuais
▪ Se necessário, o tratamento dos riscos residuais deve constar no plano
Pode não ter um fim definido
Gestão de Riscos em Projetos
≈Ações rápidas, baixo custo
Gestão de Riscos Organizacionais
≈Ações de médio e longo prazo,
alto custo
Atividade – Parte 3
Os riscos já foram identificados e analisados Considerando a estratégia de resposta para
cada risco, definam um plano de ação O plano de ação deve contemplar os
seguintes tópicos:
O que fazer?
Quem fará?
Quem será envolvido?
# Descrição Fonte Prob. Imp. Critic.Estratégia de Resposta ao Risco
Plano de Ação
1O que fazer?Quem fará?Quem será envolvido?
2O que fazer?Quem fará?Quem será envolvido?
Gestão de Riscos Corporativos
Princípios
COSO
Disponível para download no endereço
http://www.coso.org/ERM-IntegratedFramework.htm
http://coso.org/-ERM.htm
Três dimensões:
Componentes do Gerenciamento de Riscos Corporativos
Objetivos
Unidades da Organização
Gestão da Continuidade de Negócios
Norma baseada na BSI 25999:2006
Parte 1: Código de Prática
Parte 2: Requisitos
Processo da organização que estabelece uma estrutura estratégica e operacional adequada para:
Melhorar proativamente a resiliência da organização contra possíveis interrupções de sua capacidade em atingir seus principais objetivos
Processo da organização que estabelece uma estrutura estratégica e operacional adequada para:
Prover uma prática para restabelecer a capacidade de uma organização fornecer seus principais produtos e serviços, em um nível previamente acordado, dentro de um tempo previamente determinado após uma interrupção
Processo da organização que estabelece uma estrutura estratégica e operacional adequada para:
Obter reconhecida capacidade de gerenciar uma interrupção no negócio, de forma a proteger a marca e reputação da organização
Possibilita que a capacidade de Continuidade de Negócios seja estabelecida (se necessário) e mantida de forma apropriada ao tamanho e complexidade da organização
Priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
Estabelece os requisitos que irão definir a seleção das estratégias de GCN apropriadas
Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo esses produtos e serviços:
Em um nível de operações aceitável
Em uma quantidade de tempo aceitável
...durante e logo após uma interrupção
Criação de uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente, para manter ou restaurar as operações
Demonstrar a que ponto as estratégias e planos estão completos, atualizados e precisos
Identificar oportunidades de melhorias
A GCN deve se tornar parte dos valores da organização, dando confiança às partes interessadas quanto à capacidade da organização de sobreviver a interrupções
Alessandro Almeida | www.alessandroalmeida.com
1° Semestre de 2013Clique aqui
para escolher
outra aula
Gestão de Riscos Corporativos
Princípios
COSO
Disponível para download no endereço
http://www.coso.org/ERM-IntegratedFramework.htm
http://coso.org/-ERM.htm
Três dimensões:
Componentes do Gerenciamento de Riscos Corporativos
Objetivos
Unidades da Organização
Gestão da Continuidade de Negócios
Norma baseada na BSI 25999:2006
Parte 1: Código de Prática
Parte 2: Requisitos
Processo da organização que estabelece uma estrutura estratégica e operacional adequada para:
Melhorar proativamente a resiliência da organização contra possíveis interrupções de sua capacidade em atingir seus principais objetivos
Processo da organização que estabelece uma estrutura estratégica e operacional adequada para:
Prover uma prática para restabelecer a capacidade de uma organização fornecer seus principais produtos e serviços, em um nível previamente acordado, dentro de um tempo previamente determinado após uma interrupção
Processo da organização que estabelece uma estrutura estratégica e operacional adequada para:
Obter reconhecida capacidade de gerenciar uma interrupção no negócio, de forma a proteger a marca e reputação da organização
Possibilita que a capacidade de Continuidade de Negócios seja estabelecida (se necessário) e mantida de forma apropriada ao tamanho e complexidade da organização
Priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
Estabelece os requisitos que irão definir a seleção das estratégias de GCN apropriadas
Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo esses produtos e serviços:
Em um nível de operações aceitável
Em uma quantidade de tempo aceitável
...durante e logo após uma interrupção
Criação de uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente, para manter ou restaurar as operações
Demonstrar a que ponto as estratégias e planos estão completos, atualizados e precisos
Identificar oportunidades de melhorias
A GCN deve se tornar parte dos valores da organização, dando confiança às partes interessadas quanto à capacidade da organização de sobreviver a interrupções
Framework que sugere um processo para gestão de riscos de TI
Disponível no endereço www.isaca.org/riskit Contempla:
Análise
Responsabilidades
Indicadores
Etc.
Atua no “Como fazer?”
Complementares...
ISO 31000 Risk IT
O que fazer? Como fazer?
Risk Governance (RG)
RG1 Establish and maintain a common risk view
RG2 Integrate with ERM
RG3 Make risk-aware business decisions
Risk Evaluation (RE)
RE1 Collect data
RE2 Analyse risk
RE3 Maintain risk profile
Risk Response (RR)
RR1 Articulate risk
RR2 Manage risk
RR3 React to events
Gestão de Riscos em Projetos
Áreas de conhecimento Integração
Escopo
Tempo
Custos
Qualidade
Recursos humanos
Comunicações
Riscos
Aquisições
Áreas de conhecimento Integração
Escopo
Tempo
Custos
Qualidade
Recursos humanos
Comunicações
Riscos
Aquisições
Área de conhecimento que tem como objetivo...
“aumentar a probabilidade e o impacto dos eventos positivos e reduzir a probabilidade e o impacto dos eventos negativos no projeto”.
Área de conhecimento composta por 6 processos...
Além das diversas técnicas e processos sugeridos pelo PMBoK, o PMI criou um padrão para gerenciamento de riscos em projetos....
Além das diversas técnicas e processos sugeridos pelo PMBoK, o PMI criou um padrão para gerenciamento de riscos em projetos....
Além das diversas técnicas e processos sugeridos pelo PMBoK, o PMI criou um padrão para gerenciamento de riscos em projetos....
Practice Standard for Project RiskManagement
Disponível para download no site do PMI (somente para membros)
Para quem deseja se especializar, há a certificação PMI Risk Management Professional (PMI-RMP)
Para quem possui a partir de 3000 horas de experiência em gestão de riscos em projetos e 30 horas de treinamento sobre o tema.
PP: Project Planning, Área de Processo do Nível 2PMC: Project Monitoring and Control, Área de Processo do Nível 2RSKM: Risk Management, Área de Processo do Nível 3
Processos ad hocInitial
Configuration Management (CM)
Measurement and Analysis (MA)
Project Monitoring and Control (PMC)
Project Planning (PP)
Process and Product Quality Assurance (PPQA)
Requirements Management (REQM)
Supplier Agreement Management (SAM)
Managed
Decision Analysis and Resolution (DAR)
Integrated Project Management (IPM)
Organizational Process Definition (OPD)
Organizational Process Focus (OPF)
Organizational Training (OT)
Product Integration (PI)
Requirements Development (RD)
Risk Management (RSKM)
Technical Solution (TS)
Validation (VAL)
Verification (VER)
Defined
Organizational Process Performance (OPP)
Quantitative Project Management (QPM)Quantitatively Managed
Causal Analysis and Resolution (CAR)
Organizational Innovation and Deployment (OID)Optimizing
CMMI Model
Foundation
CMMI-DEV CMMI-ACQ
CMMI-SVC
Fonte: -http://www.sei.cmu.edu/cmmi/models/CMMI-Services-status.html
Apresentam práticas específicas que focam a gestão de riscos em projetos, sem um processo definido
Atendem os requisitos do nível 2 de maturidade
SG 1 Establish Estimates SG 2 Develop a Project Plan SP 2.1 Establish the Budget and Schedule
SP 2.2 Identify Project Risks
SP 2.3 Plan Data Management
SP 2.4 Plan the Project’s Resources
SP 2.5 Plan Needed Knowledge and Skills
SP 2.6 Plan Stakeholder Involvement
SP 2.7 Establish the Project Plan SG 3 Obtain Commitment to the Plan
SG 1 Monitor the Project Against the Plan SP 1.1 Monitor Project Planning Parameters
SP 1.2 Monitor Commitments
SP 1.3 Monitor Project Risks
SP 1.4 Monitor Data Management
SP 1.5 Monitor Stakeholder Involvement
SP 1.6 Conduct Progress Reviews
SP 1.7 Conduct Milestone Reviews SG 2 Manage Corrective Action to Closure
Propõe a definição de um processo para gestão de riscos
Nível de maturidade 3 (definido)
Objetivos e práticas específicas que definem “mais do mesmo” (quando já vimos os outros frameworks)...
SG 1 Prepare for Risk Management
SP 1.1 Determine Risk Sources and Categories
SP 1.2 Define Risk Parameters
SP 1.3 Establish a Risk Management Strategy
SG 2 Identify and Analyze Risks
SP 2.1 Identify Risks
SP 2.2 Evaluate, Categorize, and Prioritize Risks
SG 3 Mitigate Risks
SP 3.1 Develop Risk Mitigation Plans
SP 3.2 Implement Risk Mitigation Plans
O óbvio que não é tão óbvio quanto deveria...
Quais são os processos de negócio mais críticos? Como a TI os suporta?
Qual é a função da TI dentro do negócio?
Quais são as consequências do risco de TI?
Dependência da TI pelas empresas
Consequências do Risco de TI
EUA, dezembro de 2004...
Fonte: http://www.dailymail.co.uk/news/article-497399/Strike-threat-Christmas-flights-lead-holiday-airport-chaos.html
Fonte: http://www.mylamppost.com/page/2/
Entre 22 e 24 de dezembro, 91% de todos os voos foram alterados ou cancelados
Milhares de alterações no sistema que gerencia a escala da tripulação
Mas ninguém sabia que o sistema suportava somente 32 mil alterações por mês...
24 de dezembro, 22:00...
24 de dezembro, 22:00...
A normalização das operações aconteceu somente no dia 29 de dezembro
200 mil passageiros sem saber o que fazer
Todas as linhas aéreas estavam sobrecarregadas
Três semanas depois, o presidente da empresa renunciou
Prejuízo?
Resultado direto: US$ 20.000.000,00
(além dos danos causados à reputação da empresa e aos clientes)
A substituição do sistema foi planejada e protelada diversas vezes...
A não substituição foi o principal problema?
A empresa tinha um plano para recuperação dos processos críticos, em caso de falhas?
Havia um sistema de backup? Existia um processo de contingência
documentado?
Qual foi a falha?
Não existência de um processo que compreendesse e administrasse as consequências comerciais do risco de TI
Garantir que os grandes riscos corporativos sejam administrados num nível aceitável é uma responsabilidade de seus executivos seniores
Possibilidade de que algum evento imprevisto, que envolva falha ou mau uso da TI, ameace um objetivo empresarial
O óbvio que não é tão óbvio quanto deveria...
Traduzindo o risco de TI em termos comerciais...
Traduz o risco de TI em termos comerciais Permite analisar as acomodações entre riscos Considera quatro objetivos inter-relacionados
da empresa:
Disponibilidade (Availability)
Acesso (Access)
Precisão (Accuray)
Agilidade (Agility)
Manter os sistemas (e seus processos comerciais) em operação e recuperá-los em caso de interrupções
Quais processos dependem mais de TI?
Quais são as prováveis consequências caso os sistemas de apoio fiquem indisponíveis?
Assegurar o acesso apropriado a dados e sistemas, de modo que as pessoas certas o tenham quando precisarem
Considera a possibilidade de mau uso de informações delicadas
Quais categorias gerais de informação são mais críticos para o sucesso ou fracasso da informação?
Quais as consequências caso essas informações sejam perdidas, distribuídas ou comprometidas?
Proporcionar informações corretas, oportunas e completas que atendam aos requisitos da administração, do pessoal, dos clientes, dos fornecedores e dos reguladores
Para os processos e as categorias de informação essenciais, os dados são suficientemente precisos e oportunos para atender a requisitos internos e externos?
Ser capaz de mudar com rapidez e custo administrado
Por exemplo: Integração de uma empresa adquirida
Quais grandes mudanças estratégicas são previsíveis e como TI pode sustentá-las?
Com que frequência os projetos de negócio com envolvimento significativo da TI ficam dentro do prazo e do orçamento?
Criando a capacidade organizacional para moldar e manter o perfil de risco...
Atuam em conjunto para melhorar o perfil de risco da empresa e mantê-lo sob controle:
Alicerce
Processo de Governança do Risco
Cultura de Consciência do Risco
Base tecnológica instalada Não mais complexa do que o absolutamente
necessário Bem administrada e compreendida Procedimentos e pessoal de suporte
Cria e administra os processos, procedimentos e estruturas organizacionais para...
Definir e manter políticas e normas
Identificar e priorizar riscos
Administrar riscos e monitorar suas tendências ao longo do tempo
Assegurar a observância de políticas e normas para o risco
Princípios
Consciência geral, por toda empresa, da natureza e das consequências do comportamento de risco e de como evitá-lo
Cultura que estimule a discussão do risco abertamente
É possível atuar nas três disciplinas ao mesmo tempo?
Qual deve ser priorizada? Qual é a disciplina mais fácil de “vender” para
os executivos? É fundamental ter um ponto de partida e não
querer abraçar o mundo!
Ninguém precisa reinventar a roda! Funcionam como direcionadores para
estabelecimento da Gestão de Riscos Dizem “o que fazer?”, e não “como fazer?”
É importante utilizá-los como referência, mas segui-los “by the book” pode ser um erro fatal
Burocracia
Boicote
Controles desnecessários e em excesso
Atividade
Em grupo Realizar a leitura do Estudo de Caso A descrição da atividade está na página 3
[email protected]/alessandroalmeida