gestão de riscos (2012) - aula 7

Alessandro Almeida | www.alessandroalmeida.com

Análise de Riscos Físicos e Lógicos (ARFL)Análise do Impacto de TI no Negócio

Análise Rápida do Estudo de Caso

# Descrição Fonte

001 Entrega fora do prazo Falta de planejamento

002 Escopo não atendidoMapeamento de requisitos inexistente

003Não aceitação do sistema pelos representantes

Tecnologia nova

# Descrição Prob. Imp. Criticidade

001 Entrega fora do prazo 4 5 20

002 Escopo não atendido 3 4 12

003Não aceitação do sistemapelos representantes

2 3 6

# Descrição Criticidade Plano de Ação

001 Entrega fora do prazo 20 O que fazer?Como fazer?Quem fará?Quanto vai custar?Quem será envolvido?

002 Escopo não atendido 12

003Não aceitação do sistema pelos representantes

6

Gestão de Riscos em Projetos

≈Ações rápidas, baixo custo

Gestão de Riscos Organizacionais

≈Ações de médio e longo prazo,

alto custo

� Framework que sugere um processo para gestão de riscos de TI

� Disponível no endereço www.isaca.org/riskit� Contempla:

� Análise

� Responsabilidades

� Indicadores

� Etc.

� Atua no “Como fazer?”

� Complementares...

ISO 31000 Risk IT

O que fazer? Como fazer?

� Risk Governance (RG)� RG1 Establish and maintain a common risk view

� RG2 Integrate with ERM

� RG3 Make risk-aware business decisions

� Risk Evaluation (RE)� RE1 Collect data

� RE2 Analyse risk

� RE3 Maintain risk profile

� Risk Response (RR)� RR1 Articulate risk

� RR2 Manage risk

� RR3 React to events

Gestão de Riscos em Projetos

� Áreas de conhecimento� Integração

� Escopo

� Tempo

� Custos

� Qualidade

� Recursos humanos

� Comunicações

� Riscos

� Aquisições

� Área de conhecimento que tem como objetivo...� “aumentar a probabilidade e o impacto dos

eventos positivos e reduzir a probabilidade e o impacto dos eventos negativos no projeto”.

� Área de conhecimento composta por 6 processos...

� Exemplo de diagrama de fluxo de dados do processo Planejar o gerenciamento dos

riscos...

� Além das diversas técnicas e processos sugeridos pelo PMBoK, o PMI criou um padrão para gerenciamento de riscos em projetos....

� Practice Standard for Project RiskManagement� Disponível para download no site do PMI

(somente para membros)

� Para quem deseja se especializar, há a certificação PMI Risk Management

Professional (PMI-RMP)

� Para quem possui a partir de 3000 horas de experiência em gestão de riscos em projetos e 30 horas de treinamento sobre o tema.

PP: Project Planning, Área de Processo do Nível 2PMC: Project Monitoring and Control, Área de Processo do Nível 2RSKM: Risk Management, Área de Processo do Nível 3

Processos ad hoc�Initial

Configuration Management (CM)

Measurement and Analysis (MA)

Project Monitoring and Control (PMC)

Project Planning (PP)

Process and Product Quality Assurance (PPQA)

Requirements Management (REQM)

Supplier Agreement Management (SAM)

�Managed

Decision Analysis and Resolution (DAR)

Integrated Project Management (IPM)

Organizational Process Definition (OPD)

Organizational Process Focus (OPF)

Organizational Training (OT)

Product Integration (PI)

Requirements Development (RD)

Risk Management (RSKM)

Technical Solution (TS)

Validation (VAL)

Verification (VER)

�Defined

�Organizational Process Performance (OPP)

Quantitative Project Management (QPM)Quantitatively Managed

�Causal Analysis and Resolution (CAR)

Organizational Innovation and Deployment (OID)Optimizing

CMMI

Model

Foundation

CMMI-DEV CMMI-ACQ

CMMI-SVC

Fonte: -http://www.sei.cmu.edu/cmmi/models/CMMI-Services-status.html

� Apresentam práticas específicas que focam a gestão de riscos em projetos, sem um processo definido� Atendem os requisitos do nível 2 de maturidade

� SG 1 Establish Estimates� SG 2 Develop a Project Plan

� SP 2.1 Establish the Budget and Schedule

� SP 2.2 Identify Project Risks

� SP 2.3 Plan Data Management

� SP 2.4 Plan the Project’s Resources

� SP 2.5 Plan Needed Knowledge and Skills

� SP 2.6 Plan Stakeholder Involvement

� SP 2.7 Establish the Project Plan� SG 3 Obtain Commitment to the Plan

� SG 1 Monitor the Project Against the Plan� SP 1.1 Monitor Project Planning Parameters

� SP 1.2 Monitor Commitments

� SP 1.3 Monitor Project Risks

� SP 1.4 Monitor Data Management

� SP 1.5 Monitor Stakeholder Involvement

� SP 1.6 Conduct Progress Reviews

� SP 1.7 Conduct Milestone Reviews� SG 2 Manage Corrective Action to Closure

� Propõe a definição de um processo para

gestão de riscos

� Nível de maturidade 3 (definido)

� Objetivos e práticas específicas que definem “mais do mesmo” (quando já vimos os outros frameworks)...

� SG 1 Prepare for Risk Management� SP 1.1 Determine Risk Sources and Categories

� SP 1.2 Define Risk Parameters

� SP 1.3 Establish a Risk Management Strategy

� SG 2 Identify and Analyze Risks� SP 2.1 Identify Risks

� SP 2.2 Evaluate, Categorize, and Prioritize Risks

� SG 3 Mitigate Risks� SP 3.1 Develop Risk Mitigation Plans

� SP 3.2 Implement Risk Mitigation Plans

� O óbvio que não é tão óbvio quanto

deveria...

� Quais são os processos de negócio mais críticos? Como a TI os suporta?

� Qual é a função da TI dentro do negócio?

� Quais são as consequências do risco de TI?

Dependência da TI pelas empresas

Consequências do Risco de TI

� EUA, dezembro de 2004...

Fonte: http://www.dailymail.co.uk/news/article-497399/Strike-threat-Christmas-flights-lead-holiday-airport-chaos.html

Fonte: http://www.mylamppost.com/page/2/

� Entre 22 e 24 de dezembro, 91% de todos os voos foram alterados ou cancelados� Milhares de alterações no sistema que gerencia a

escala da tripulação

� Mas ninguém sabia que o sistema suportava somente 32 mil alterações por mês...

� 24 de dezembro, 22:00...

� A normalização das operações aconteceu somente no dia 29 de dezembro

� 200 mil passageiros sem saber o que fazer� Todas as linhas aéreas estavam sobrecarregadas

� Três semanas depois, o presidente da empresa renunciou

� Prejuízo?� Resultado direto: US$ 20.000.000,00

� (além dos danos causados à reputação da empresa e aos clientes)

� A substituição do sistema foi planejada e protelada diversas vezes...� A não substituição foi o principal problema?

� A empresa tinha um plano para recuperação dos processos críticos, em caso de falhas?

� Havia um sistema de backup?� Existia um processo de contingência

documentado?

� Qual foi a falha?� Não existência de um processo que

compreendesse e administrasse as consequências comerciais do risco de TI

� Garantir que os grandes riscos corporativos sejam administrados num nível aceitável é uma responsabilidade de seus executivos seniores

� Possibilidade de que algum evento imprevisto, que envolva falha ou mau uso da TI, ameace um objetivo empresarial� O óbvio que não é tão óbvio quanto deveria...

Traduzindo o risco de TI em termos comerciais...

� Traduz o risco de TI em termos comerciais� Permite analisar as acomodações entre riscos� Considera quatro objetivos inter-relacionados

da empresa:� Disponibilidade (Availability)

� Acesso (Access)

� Precisão (Accuray)

� Agilidade (Agility)

� Manter os sistemas (e seus processos comerciais) em operação e recuperá-los em caso de interrupções� Quais processos dependem mais de TI?

� Quais são as prováveis consequências caso os sistemas de apoio fiquem indisponíveis?

� Assegurar o acesso apropriado a dados e sistemas, de modo que as pessoas certas o tenham quando precisarem

� Considera a possibilidade de mau uso de informações delicadas� Quais categorias gerais de informação são mais

críticos para o sucesso ou fracasso da informação?

� Quais as consequências caso essas informações sejam perdidas, distribuídas ou comprometidas?

� Proporcionar informações corretas, oportunas e completas que atendam aos requisitos da administração, do pessoal, dos clientes, dos fornecedores e dos reguladores� Para os processos e as categorias de informação

essenciais, os dados são suficientemente precisos e oportunos para atender a requisitos internos e externos?

� Ser capaz de mudar com rapidez e custo administrado� Por exemplo: Integração de uma empresa

adquirida

� Quais grandes mudanças estratégicas são previsíveis e como TI pode sustentá-las?

� Com que frequência os projetos de negócio com envolvimento significativo da TI ficam dentro do prazo e do orçamento?

Criando a capacidade organizacional para moldar e manter o perfil de risco...

� Atuam em conjunto para melhorar o perfil de risco da empresa e mantê-lo sob controle:� Alicerce

� Processo de Governança do Risco

� Cultura de Consciência do Risco

� Base tecnológica instalada� Não mais complexa do que o absolutamente

necessário� Bem administrada e compreendida� Procedimentos e pessoal de suporte

� Cria e administra os processos, procedimentos e estruturas organizacionais para...� Definir e manter políticas e normas

� Identificar e priorizar riscos

� Administrar riscos e monitorar suas tendências ao longo do tempo

� Assegurar a observância de políticas e normas para o risco

Princípios

� Consciência geral, por toda empresa, da natureza e das consequências do comportamento de risco e de como evitá-lo

� Cultura que estimule a discussão do risco abertamente

� É possível atuar nas três disciplinas ao mesmo tempo?

� Qual deve ser priorizada?� Qual é a disciplina mais fácil de “vender” para

os executivos?� É fundamental ter um ponto de partida e não

querer abraçar o mundo!

Atividade

� Em grupo� Realizar a leitura do Estudo de Caso� A descrição da atividade está na página 3

� Trabalho e apresentação (PPT) devem ser entregues em CD� A dupla escolhe a dinâmica da apresentação

� A apresentação pode ser disponibilizada?

[email protected]

gestão de riscos (2012) - aula 7

Business