tcc - geep17 - analise comparativa de metodologias de gestao de risco
DESCRIPTION
Análise comparativa entre metodologias de gerenciamento de riscos baseadas no PMI, FMEA, HAZOP, ISO 31000 e Mercado Financeiro no PMDay 2012TRANSCRIPT
Grupo: Turma GEEP17/SP – Gestão Estratégica e Econômica de Projetos
ANDRÉ PONTES SAMPAIO
ARISTIDES SOUZA BARCELLOS
CRISTIANE NICOLI SANSEVERO
EDUARDO SALVADOR RAMOS
ANÁLISE COMPARATIVA ENTRE METODOLOGIAS DE
GERENCIAMENTO DE RISCOS BASEADAS NO PMI, FMEA,
HAZOP, ISO 31000 E MERCADO FINANCEIRO
Trabalho apresentado ao curso MBA em
Gerência de Projetos, Pós-Graduação lato
sensu, da Fundação Getulio Vargas como
requisito parcial para a obtenção do Grau de
Especialista em Gerência de Projetos.
ORIENTADOR: Prof. Mário Luis Sampaio Pereira
São Paulo
04/2011
FUNDAÇÃO GETULIO VARGAS
PROGRAMA FGV MANAGEMENT
MBA EM GERÊNCIA DE PROJETOS
O Trabalho de Conclusão de Curso
ANÁLISE COMPARATIVA ENTRE METODOLOGIAS DE
GERENCIAMENTO DE RISCOS BASEADAS NO PMI, FMEA,
HAZOP, ISO 31000 E MERCADO FINANCEIRO
elaborado por André Pontes Sampaio, Aristides Souza Barcellos, Cristiane Nicoli Sansevero,
Eduardo Salvador Ramos e aprovado pela Coordenação Acadêmica do curso de MBA em
Gerência de Projetos, foi aceito como requisito parcial para a obtenção do certificado do curso
de pós-graduação, nível de especialização do Programa FGV Management.
São Paulo, 05 de Abril de 2011
Carlos A. C. Salles Jr.
Coordenador Acadêmico Executivo
Mário Luis Sampaio Pereira
Prof. Orientador
TERMO DE COMPROMISSO
O(s) aluno(s) André Pontes Sampaio, Aristides Souza Barcellos, Cristiane Nicoli Sansevero e
Eduardo Salvador Ramos, abaixo assinado(s), do curso de MBA em Gerência de Projetos,
Turma 17 do Programa FGV Management, realizado nas dependências da Fundação Getúlio
Vargas – São Paulo, no período de 17/08/2009 a 07/12/2010, declara que o conteúdo do
Trabalho de Conclusão de Curso intitulado ANÁLISE COMPARATIVA ENTRE
METODOLOGIAS DE GERENCIAMENTO DE RISCOS BASEADAS NO PMI, FMEA,
HAZOP, ISO 31000 E MERCADO FINANCEIRO, é autêntico, original e de sua autoria
exclusiva.
São Paulo, 05 de Abril de 2011
André Pontes Sampaio
Aristides Souza Barcellos
Cristiane Nicoli Sansevero
Eduardo Salvador Ramos
À Deus pela oportunidade.
Às nossas famílias, por tudo.
Aos professores e amigos que trabalham arduamente
em busca da própria superação.
RESUMO
A área de gerência de projetos que lida com estas incertezas ou problemas, mesmo antes
que eles ocorram, é a gerência de riscos. Entender e tratar adequadamente tais riscos,
visando minimizar impactos negativos nas organizações é o principal objetivo do
processo de Gerenciamento de Risco.
Como forma de auxiliar o gerenciamento de riscos, surgiram no mercado algumas
metodologias e ferramentas com o propósito de permitir identificar, analisar e traçar
respectivos planos de ação de resposta aos riscos dos projetos.
O presente trabalho discute brevemente a fundamentação teórica de Gerenciamento de
Projetos e Gerenciamento de Riscos. O objetivo principal é apresentar a conceituação
teórica e prática das principais metodologias para análise e gerenciamento de riscos em
projetos (PMBOK, FMEA, HAZOP, ISO 31000 e mercado financeiro); verificar o
respectivo favorecimento na análise de riscos; efetuar um comparativo entre elas no
tocante às perspectivas de aplicabilidade - ambiente de negócios mais compatível - e
apresentar as vantagens e desvantagens de cada metodologia.
A escolha de uma metodologia de gerenciamento de riscos integrada com o projeto e
alinhada à organização, certamente garantirá o sucesso deste processo.
Palavras Chave: Metodologias de análise de risco, PMBOK, FMEA, HAZOP, ISO
31000, riscos no mercado financeiro, Gerenciamento de Projetos, Gerenciamento de
Riscos
ABSTRACT
Risk Management Plan is an important part of any project management. Risk
Management Plan deals with uncertainties or problems even before they occur. To
understand and provide risk responses in order to minimize negative impacts in an
organization is the main purpose of the Risk Management Plan.
In order to perform a project risk management, several project risk management tools
and methodologies enable us to identify, analyze and establish risk response action
plans.
This research presents a general view of Project Management and Risk Management
theories. The main objective of this narrative is to present the mains project risk
management methodologies (PMBOK, FMEA, HAZOP, ISO 31000 and financial
market); to analyze the benefits coming from their use; to establish a comparative
analysis between them in respect of business perspective applicability and determine
their advantages and disadvantages.
Choosing a good methodology, adherent to the company’s needs and projects, will
certainly ensure a successful risk management process.
Key Words: Risk management tools, PMBOK, FMEA, HAZOP, ISO 31000, financial
market risks, Project Management, Risk Management
AGRADECIMENTOS
Às nossas famílias pelo apoio, incentivo e por acreditarem em nós.
Agradecemos em especial nossos queridos pais, pois sem seus esforços para nos educar, nós
não teríamos chegado a lugar algum.
SUMÁRIO
1. INTRODUÇÃO ..................................................................................................................10
1.1. PROPOSTA DO TRABALHO .................................................................................................10
1.2. OBJETIVO ..........................................................................................................................12
2. FUNDAMENTAÇÃO TEÓRICA.....................................................................................12
2.1. O QUE É PROJETO?............................................................................................................12
2.2. O QUE É GERENCIAMENTO DE PROJETOS? .......................................................................13
2.3. O QUE É RISCO?.................................................................................................................13
2.4. O QUE É GERENCIAMENTO DE RISCOS? ............................................................................13
2.5. O QUE É METODOLOGIA ?..................................................................................................14
2.6. POR QUE É IMPORTANTE GERENCIAR RISCOS EM PROJETOS ...........................................14
3. METODOLOGIA DE GERENCIAMENTO DE RISCO ........... ...................................15
3.1. HAZOP .............................................................................................................................15
3.2. FMEA................................................................................................................................24
3.3. ISO 31000..........................................................................................................................34
3.4. PMBOK ............................................................................................................................54
3.5. MERCADO FINANCEIRO ....................................................................................................61
4. ANÁLISE COMPARATIVA ENTRE OS MÉTODOS............ ......................................66
4.1. RELACIONAMENTOS ENTRE PROCESSOS ..........................................................................66
4.2. MATRIZ COMPARATIVA ....................................................................................................68
5. CONCLUSÕES...................................................................................................................72
6. POSSÍVEIS DESDOBRAMENTOS...............................................................................100
7. REFERÊNCIAS BIBLIOGRÁFICAS ...........................................................................101
8. GLOSSÁRIO ....................................................................................................................104
LISTA DE FIGURAS E TABELAS
Figura 1 Fluxograma de análise de desvio .........................................................................................22
Figura 2 Formulário de registro da análise HAZOP ........................................................................23
Figura 3 Formulário Padrão de FMEA (IQA, 2001) ........................................................................10
Figura 4 Componentes do framework.................................................................................................39
Figura 5 Processos de gestão de risco .................................................................................................46
Figura 6 Processos de gestão de risco .................................................................................................55
Figura 7 Fluxograma de análise de risco de projeto pela metodologia HAZOP............................84
Figura 8 Formulário de registro da análise HAZOP para gerenciamento de risco em projeto....85
Tabela 1 Palavras-chave da análise HAZOP e respectivos desvios .................................................20
Tabela 2 Palavras-chave da análise HAZOP e respectivos desvios .................................................20
Tabela 3 Critérios de exeqüibilidade sugeridos.................................................................................21
Tabela 4 Índice de ocorrência .............................................................................................................27
Tabela 5 Índice de severidade .............................................................................................................28
Tabela 6 Índice de detecção.................................................................................................................29
Tabela 7 Escala de N.P.R ou RPN (IQA, 2001) .................................................................................29
Tabela 8 Metodologia HAZOP............................................................................................................67
Tabela 9 Metodologia FMEA..............................................................................................................67
Tabela 10 Metodologia ISO 31000......................................................................................................67
Tabela 11 Metodologia PMBOK.........................................................................................................68
Tabela 12 Metodologia Mercado Financeiro .....................................................................................68
Tabela 13 Principais características da metodologia HAZOP.........................................................69
Tabela 14 Principais características da metodologia FMEA ...........................................................69
Tabela 15 Principais características da metodologia ISO 31000 .....................................................69
Tabela 16 Principais características da metodologia PMBOK........................................................70
Tabela 17 Principais características das metodologias CreditRisk+ e Credit Portifolio View .....70
Tabela 18 Principais características das metodologias KMV e Credit Metrics .............................71
Tabela 19 Grupo de palavras-chave para análise de desvios do projeto e os respectivos desvios
gerados ..................................................................................................................................................81
10
1. INTRODUÇÃO
1.1. Proposta do trabalho
Quando falamos em gerenciar projetos, surgem muitos termos em comum, como: escopo,
tempo, custo, qualidade, recursos, comunicação, dentre outros. À medida que o tempo passa,
vivenciamos experiências e delas extraímos algumas lições. De modo análogo, podemos
perceber que gerenciar projetos é um processo em constante evolução, agregando conceitos
que muitas vezes já existem, mas que não puderam ser percebidos naquele momento. Esses
conceitos lentamente ganham visibilidade por se tornarem comuns em lugares diferentes.
Alguns deles são vistos como causas de sucesso ou de fracasso. Surge então uma palavra-
chave: incerteza.
Quando pensamos sobre incerteza, frequentemente a associamos ao azar, à chance de algo dar
errado e a algo ruim que possa acontecer. Culturalmente, tendemos a falar de incertezas sobre
o risco que representa em nossas escolhas. Então risco torna-se algo ruim, que deve ser
evitado. Mas afinal, risco também não pode ser visto como a chance de dar certo?
Ao gerenciar projetos, é fato que a incerteza representa risco do projeto não acontecer.
Naturalmente, pelo processo evolutivo, algumas ferramentas e técnicas foram criadas para
evitar que algo ruim aconteça e leve um projeto ao insucesso. Entender e tratar
adequadamente os riscos, visando minimizar impactos negativos nas operações das
organizações é o principal objetivo do processo de Gerenciamento de Risco.
Para a identificação destes impactos, existem algumas metodologias de análises ou
ferramentas de gerenciamento de risco e cada uma dessas ferramentas possui origens
diferentes e se desenvolveram sob pontos de vistas, necessidades e percepções diferentes, por
pessoas que pensam e sentem de forma diferente. A escolha de uma boa metodologia de
análise de risco, adaptada às necessidades da organização, é um dos requisitos chaves para o
sucesso deste processo.
As análises de risco são feitas, basicamente, sobre análises probabilísticas. Os primeiros
estudos de registros surgiram no século XVII na Inglaterra. Estes estudos foram conduzidos
por John Graunt, considerado o precursor da teoria da amostragem (SALLES JR. et al., 2006).
No século XIX, com o nascimento da curva de Gauss ou curva normal, foi possível coletar
11
dados, estudar sua distribuição e projetar o futuro de forma sistemática, permitindo que
possamos decidir se devemos ou não correr certo risco (SALLES JR, 2006).
O surgimento destas metodologias se deu, basicamente, com o aprofundamento dos estudos
de probabilidade e estatística e com a necessidade do homem em preservar grandes
investimentos, sejam eles de recursos financeiros, humanos, materiais ou qualquer outro
recurso limitado de alguma forma, e principalmente, durante e após a 2ª Guerra Mundial,
período da Guerra-Fria, tempos em que o inimigo era poderoso e os recursos escassos. Neste
período, não havia tempo a perder, pois essa poderia ser a diferença entre a vitória e a derrota.
Os contratempos em decorrência de incertezas tinham que ser minimizados ou, melhor,
eliminados, quando possível. Os grandes projetos governamentais desse período foram a
gêneses da gestão de risco. Algumas das metodologias, hoje empregadas na gestão de riscos,
surgiram de adaptações e aperfeiçoamentos de metodologias desenvolvidas para projetos
deste período.
Entretanto, não limitados aos projetos governamentais, algumas indústrias e setores da
economia, utilizando-se do conceito de prevenção desenvolvido e disseminado no referido
período, criaram metodologias próprias para a prevenção e mitigação dos efeitos dos eventos
inesperados ou não previstos.
Alguns setores, mais recentemente, têm desenvolvido metodologias para aproveitamento de
incertezas boas, as oportunidades, porém a grande maioria dos métodos foca nas incertezas
ruins, os desvios nos processos ou ocorrências de eventos não esperados. Entenda-se por
evento não esperado todo evento não projetado, determinado ou descrito para ocorrer a
determinado tempo e em uma determinada etapa do processo/projeto.
Como existem inúmeros métodos para análise de riscos, este trabalho selecionou as
metodologias que favorecem estas análises e suas correlações com prática de projetos. A
familiaridade com as metodologias e a consolidação em seus setores de origem também foram
levados em consideração para a escolha. Frente à necessidade de se compilar comparações
entre elas em um só trabalho, uma vez que tal tema não é recorrente na literatura, este trabalho
permitirá responder algumas questões levantadas na prática de Gestão de Riscos e Gestão de
Projetos.
12
1.2. Objetivo
Considerando as metodologias HAZOP, FMEA, ISO 31000, PMBOK e Mercado Financeiro,
este trabalho tem por objetivo endereçar as seguintes questões:
• Qual a aplicabilidade de cada metodologia?
• Quais as vantagens e desvantagens?
• Qual o favorecimento da análise de riscos para projetos?
• Qual a complexidade?
• Há correlação com práticas de projetos?
Para que seja possível responder estas questões, primeiramente, será feita a análise e o
detalhamento das metodologias propostas para o estudo e, posteriormente, a respostas aos
questionamentos propostos.
Estes são alguns dos objetivos que este trabalho pretende esclarecer, visando o auxilio das
próximas turmas na compreensão da disciplina de gestão de risco e na ampliação da
bibliografia disponível. Entendemos que é possível se aprofundar nestas análises, inclusive,
com a proposição de uma nova metodologia que congregue os pontos fortes de cada uma
delas e que seja alinhada com as boas práticas disseminadas pelo Project Management
Institute (PMI).
2. FUNDAMENTAÇÃO TEÓRICA
2.1. O que é projeto?
“Projeto é um esforço para se atingir um objetivo específico por meio de um conjunto único de
tarefas inter-relacionadas e da utilização eficaz de recursos”
(GIDO e CLEMENTS, 2007, p. 4, apud DOMINGUES, 2008, p.13).
Segundo a definição do PMI (PMI, 2004, p. 21), “projeto é um esforço temporário
empreendido para criar um produto, serviço ou resultado exclusivo”. O objetivo do projeto é
alcançar e satisfazer os objetivos que os stakeholders aceitaram quando o projeto foi iniciado
(HELDMAN, 2005, p. 3, apud DOMINGUES, 2008, p.13).
13
2.2. O que é gerenciamento de projetos?
“O Gerenciamento de Projetos é a aplicação de conhecimento, habilidades, ferramentas e técnicas
às atividades do projeto a fim de atender aos seus requisitos.”
(PMBOK, 2004).
Em outras palavras, a gestão de projeto envolve primeiramente um planejamento, seguido da
execução deste plano para se atingir o objetivo do projeto.
Os gerentes de projetos se deparam com a tripla restrição ao atendimento das necessidades
dos stakeholders de seus projetos, onde o escopo, o custo e o tempo têm que ser balanceados e
atendidos para que a qualidade não seja afetada. Estes fatores estão intimamente relacionados,
sendo que se algum for alterado, pelo menos outro deverá também ser afetado.
2.3. O que é risco?
“O risco do projeto é um evento ou condição incerta que, se ocorrer, terá um efeito positivo ou
negativo sobre pelo menos um objetivo do projeto, como tempo, custo, escopo ou qualidade...”
(PMBOK, 2004)
Risco é a incerteza da ocorrência de um evento não projetado, determinado ou descrito para
ocorrer a determinado tempo e em uma determinada etapa do processo/projeto, seja esse
evento conhecido ou não, podendo como conseqüência da sua ocorrência, gerar ganhos ou
perdas ao processo/projeto.
2.4. O que é gerenciamento de riscos?
O gerenciamento de riscos trabalha com a identificação e controle de possíveis incertezas. Se
quisermos ter um domínio sobre acontecimentos futuros, devemos prevê-los através da
disponibilidade de informações:
• quando todas as informações são conhecidas, há a certeza absoluta. Se há plena ciência,
isso não é classificado como risco e sim como um caso já conhecido;
• quando se detém informações parciais, há a incerteza e há um risco de ocorrer ou não;
• quando não há nenhuma informação disponível, temos a total incerteza, portanto, riscos
estarão associados (SALLES JR., 2006, p. 24).
14
Referente ao conceito de risco em gerenciamento de projetos, o PMBOK o define como sendo
“um evento ou condição incerta que, se ocorrer, terá um efeito positivo ou negativo sobre pelo
menos um objetivo do projeto, como tempo, custo, escopo ou qualidade” (PMI, 2004, p. 8).
Com isso, o PMBOK especifica que “o objetivo do gerenciamento de riscos do projeto é
aumentar a probabilidade e o impacto dos eventos positivos e diminuir a probabilidade e o
impacto dos eventos adversos ao projeto” (PMI, 2004, p. 237).
De nada adianta elaborar um plano de gerenciamento de riscos e não colocá-lo em prática, ou
seja, deixá-lo arquivado. De maneira geral, a gerência de riscos é constituída de cinco etapas,
as quais devem ser integralmente seguidas:
• identificar e documentar os riscos;
• analisar (qualitativamente e/ou quantitativamente) e estabelecer prioridades;
• elaborar um plano de ações (respostas aos riscos);
• monitorar e controlar este plano;
• realizar revisões do plano de maneira a assegurar que as mudanças ocorridas durante a
execução do projeto sejam incorporadas.
2.5. O que é metodologia?
Metodologia é o estudo dos métodos ou então as etapas a seguir de um determinado processo
(WIKIPEDIA, 28/03/2011).
No âmbito deste estudo a melhor definição é a de seguir as etapas de um processo, pois serão
detalhadas ao longo do trabalho o passo-a-passo de cada uma das metodologias identificadas
para o trabalho.
2.6. Por que é importante gerenciar riscos em projetos
De acordo com (SALLES JR, 2006, p 25), neste ambiente existe uma bela reflexão sobre o
assunto:
15
“Eu não me preocupo com as coisas que sei que não sei, Eu só me preocupo com as coisas que não
sei que não sei. Porque as coisas que sei que não sei, é fácil – é só procurar que vou saber. Porém, as
coisas que não sei que não sei, não tenho nem por onde começar!”
(Einstein, circa 1940)
Em suma, a importância de se gerenciar os riscos do projeto propicia a preparação para a
ocorrência das incertezas. Se for maléfica, será possível reduzir os seus efeitos e/ou a
probabilidade de sua ocorrência; se for benéfica, poder-se-á otimizar os seus efeitos e/ou a
probabilidade de ocorrência.
3. METODOLOGIA DE GERENCIAMENTO DE RISCO
3.1. HAZOP
Esta metodologia, segundo (WIKIPÉDIA, 2011), surgiu em 1963 na HEAVY ORGANIC
CHEMICAL DIVISION OF IMPERIAL CHEMICAL INDUSTRIES – ICI, (Divisão de
Química Orgânica Pesada da ICI, em tradução livre), à época, a maior indústria química
britânica e uma das maiores do mundo. Neste período, no intuito de determinar melhorias no
processo fabril, uma equipe de 3 pessoas se reunia 3 vezes por semana durante 4 meses para
estudar o projeto de uma nova planta industrial de fenol. O grupo iniciou os estudos aplicando
a técnica de “análise crítica” na busca por melhorias no projeto da nova planta, entretanto,
com o desenvolvimento das atividades e com a maturidade desenvolvida, mudaram o foco
para identificação e determinação de soluções para os possíveis “desvios” do projeto.
Posteriormente, após estas adaptações, o método foi redefinido pela ICI e adotou-se a
nomenclatura “estudos de operacionalidade” e, em um terceiro momento, quando
vislumbradas novas possibilidades para o estudo, introduziu ao método a “análise de perigo”,
surgindo o HAZOP (Hazard and Operability Studies) ou, em tradução livre, estudo de perigos
e operacionalidades.
De acordo com (REIS, 2008) a metodologia HAZOP é uma técnica de análise qualitativa
desenvolvida com o intuito de examinar as linhas de processo, identificando perigos e
prevenindo problemas. Esta metodologia é baseada em um procedimento que gera perguntas
de maneira estruturada e sistemática através do uso apropriado de um conjunto de palavras-
chave aplicadas a pontos críticos do sistema em estudo.
16
Ainda de acordo com o (KLETZ, 2006), HAZOP é um estudo estruturado e sistemático de
processos em planejamento, existentes ou em operação, no intuito de identificar e avaliar
problemas que podem representar riscos às pessoas, equipamentos e/ou a eficiência da
operação.
Esta técnica é amplamente empregada na indústria, principalmente, na indústria química,
onde se originou, porém devido a sua simplicidade e eficácia na identificação dos riscos, pode
ser aplicada em outros setores da economia. Além disso, com adaptação, pode ser aplicada à
gestão de projetos nas áreas de conhecimentos do PMBOK.
Segundo (SMITH, 2006), em tradução livre, as três questões básicas do HAZOP, são:
“O que poderia sair errado?” (What could go wrong?);
“Como poderíamos saber disso?” (How would we know it?);
“O que poderíamos fazer com relação a isso?” (What could we do about it?)
O estudo de perigo e operacionalidade (HAZOP) se propõe a responder estas questões, pois a
análise é feita com base em informações específicas levantadas pelos participantes do projeto
no grupo de estudo formado para a aplicação da técnica. Esta etapa será detalhada em tópico
específico posteriormente.
3.1.1 Aplicação da metodologia HAZOP
O HAZOP se aplica tanto a processos existentes quanto a novos, independentemente do
tamanho. Conforme (ALBERTON, 1996) “O método HAZOP é principalmente indicado
quando da implantação de novos processos na fase de projeto ou na modificação de processos
já existentes. Vale ressaltar que o HAZOP é conveniente para projetos e modificações tanto
grandes quanto pequenos.” Inicialmente desenvolvido para a análise dos sistemas de
processos químicos, foi posteriormente estendido a outros tipos de sistemas e também para
operações mais complexas e de sistemas de software. (WIKIPEDIA, 2011)
Em suma, sempre que se desejar identificar e se precaver de desvios em processos já
consolidados ou não, pode-se utilizar o HAZOP.
3.1.2 Passos para execução do HAZOP
17
Devido às limitações bibliográficas, este trabalho foca o desenvolvimento da metodologia na
sua área de criação, a indústria química. A bibliografia disponível em português sobre o tema
é muito limitada e as fontes em língua inglesa, em sua maioria, são focadas na indústria
química e/ou petroquímica.
Primeiramente, forma-se o grupo que analisará os possíveis desvios do processo. Segundo
(KLETZ, 2006), HAZOP é uma metodologia desenvolvida em grupo. Para um novo projeto, a
equipe usual na indústria química é formada por:
Engenheiro de Projeto ou Projetista:
• Normalmente um engenheiro mecânico e, na fase inicial do projeto, o responsável por
manter o orçamento. O engenheiro de projeto deseja minimizar as alterações, mas, ao
mesmo tempo, descobrir o quanto antes se há algum perigo ou problema operacional
desconhecido.
Engenheiro de Processo
• Normalmente o engenheiro químico que desenvolveu o fluxograma.
Gerente de Comissionamento
• Normalmente um engenheiro químico que terá que iniciar e operar a planta e, portanto,
tenderá a pressionar por toda mudança que facilitará sua atividade.
Engenheiro projetista do sistema de controle
• As modernas instalações industriais possuem sofisticados sistemas de controle,
monitoramento e automação. O resultado da análise HAZOP, em muitos casos, resulta
na adição desses sistemas.
Químico de Pesquisa
• Fará parte da equipe se o desenvolvimento de um novo produto químico estiver
envolvido.
Líder de equipe independente
18
• Um especialista na técnica “HAZOP” e não na instalação industrial. Seu trabalho é
garantir que a equipe siga o procedimento.
Por se tratar de uma metodologia que tem como definição identificar os perigos dos
processos, caso o líder não tenha um bom nível de conhecimento sobre a segurança do
trabalho e não haja nenhuma outra pessoa com esse conhecimento, é necessária a presença de
um representante com essas características na equipe.
Como percebido, os interesses de cada um dos membros da equipe são diferentes e,
conseqüentemente, haverá discussões. Uma das funções do líder é tentar balancear as
discussões, corrigindo as distorções.
“In industry the optimal level of conflit is not zero”, isto é, “Na indústria, o nível ótimo de conflito
(discussão) não é zero”.
(KLETZ, 2006 apud SIR JOHN HARVEY-JONES)
Ainda, segundo (KLETZ, 2006), caso não haja consenso, o líder deverá considerar o ponto
fora de questão - entretanto, na maior parte das vezes a questão é solucionada com a presença
de um especialista.
Para uma planta industrial já existente, a equipe deve ser formada por pessoas com
experiência na referida planta, normalmente formada por:
Gerente de Operações
• Pessoa responsável pela operação da planta.
Encarregado de Operações
• Pessoa que realmente sabe o que acontece e não o que se supõe que era para acontecer.
Engenheiro de manutenção
• Responsável pela manutenção mecânica, o engenheiro de manutenção sabe muitas das
falhas que ocorrem.
Engenheiro de controle
19
• Responsável pela manutenção dos instrumentos de controle, bem como, pela instalação
de novos instrumentos.
Gerente de análise de falhas
• Responsável pela investigação técnica dos problemas e por transferir os resultados de
laboratório para a escala industrial.
Líder de equipe independente
• Um especialista na técnica “HAZOP” e não na instalação industrial. Seu trabalho é
garantir que a equipe siga o procedimento.
(KLETZ, 2006), adverte para o tamanho da equipe. A equipe deve ter uma combinação como
a descrita acima, mas não deve ser muito grande, uma vez que isso pode atrapalhar o
progresso das atividades. Seis ou sete pessoas são geralmente suficientes.
Vale observar que em ambos os casos, tanto na implantação de uma nova planta industrial
como na ampliação de uma já existente, a equipe deve contar ainda com um redator que
auxiliará o líder da equipe nos registros das decisões tomadas nas reuniões.
Com relação ao tamanho da equipe, recomenda-se uma equipe mínima de 5 membros e
detalha que para a execução do método HAZOP deve-se formar um grupo de estudo
multidisciplinar que avaliará os possíveis desvios dos processos do projeto. Quando o projeto
for muito complexo ou muito grande, recomenda-se a formação de vários grupos menores,
entre 5 a 8 membros cada, sendo que o líder do estudo e o redator deverão ser os mesmos em
todos os grupos. A manutenção do líder e do redator em todos os grupos auxilia na
compatibilização das soluções dos diversos estudos e no monitoramento das soluções
propostas.
Uma vez definido o grupo, este analisará os componentes do sistema em pequenas seções e,
separadamente, os equipamentos e demais componentes promovendo os possíveis desvios. A
comparação dos parâmetros determinados nos projetos com os parâmetros gerados pelos
desvios identificados determina o impacto do desvio no processo e, com a identificação das
causas e das conseqüências para os possíveis desvios analisados, pode-se determinar as ações
a serem tomadas pelo grupo.
20
Posteriormente, para auxiliar na análise, o grupo utiliza uma combinação de palavras-chave
com os parâmetros de projeto em estudo. Com isso, têm-se os desvios possíveis para os
diversos parâmetros, sendo para (KLETZ, 2006) as palavras-chave apresentadas nas tabelas
abaixo:
Tabela 1 Palavras-chave da análise HAZOP e respectivos desvios
Fonte: HAZOP and Hazan 4ª Edição, KLETZ, T. (2006)
Palavra-chave Significado
NÃO Negação completa da intenção do projeto
MAIS Aumento quantitativo
MENOS Diminuição quantitativa
PARTE Modificação qualitativa / redução
ALÉM Substituição completa
Outros autores acrescentam ao rol de palavras-chave às listadas abaixo:
Tabela 2 Palavras-chave da análise HAZOP e respectivos desvios
Fonte: WIKIPEDIA, 2011
Palavra-chave Significado
BEM COMO Modificação qualitativa / aumento
REVERSO Oposto lógico da intenção do projeto
PRECOCE Relativo ao tempo do relógio
TARDIO Relativo ao tempo do relógio
ANTES Relativo à ordem ou seqüência
DEPOIS Relativo à ordem ou seqüência
21
Para determinar se uma solução deve ou não ser registrada e avaliada, devem-se considerar
alguns critérios de exeqüibilidade, sendo que (KLETZ, 2006) define algumas perguntas que
auxiliam nesta determinação:
Tabela 3 Critérios de exeqüibilidade sugeridos
Fonte: Adaptação Table 2.4 HAZOP and Hazan 4ª Edição, KLETZ, T. (2006)
Alguns fatores a serem considerados na escolha de uma solução para registro dos
resultados do HAZOP.
É de fácil utilização? Qual o grau de treinamento requerido?
É bem comprovado?
Quais são os custos iniciais e os de implantação?
Qual a viabilidade e a qualidade do suporte?
Atualizações são viáveis?
É compatível com outros programas? (inclusive e-mail e internet)
Quais outros estudos são considerados?
Pode ser personalizado?
Como são monitoradas as ações e as mudanças?
Pode ser integrado com o arquivo histórico de acidentes?
É possível realizar uma pesquisa nos relatórios por palavras especificas?
Existe um mecanismo de verificação ortográfica?
Após a formação do grupo, as palavras-chave que formarão os desvios a serem estudados e as
perguntas de exeqüibilidades que auxiliarão na aceitabilidade ou não da solução proposta,
apresenta-se a seguir o fluxograma da análise dos desvios identificados no sistema.
22
Figura 1 Fluxograma de análise de desvio
Fonte: Adaptação Figure 2.1 HAZOP and Hazan 4ª Edição, (KLETZ, 2006)
Como observado acima, este fluxograma é genérico e serve para a análise de todos os
possíveis desvios identificados pelo grupo de estudo. O resultado de cada análise é registrado
pelo redator, inclusive as responsabilidades de cada setor. O acompanhamento será feito pelo
líder, que será o responsável por monitorar a implantação das soluções propostas.
23
3.1.3 Exemplo de formulário HAZOP
O formulário abaixo exemplifica como a metodologia HAZOP pode ser aplicada:
Título de Estudo: N.º Projeto:
Elaborado por: Folha
Equipe de estudo: Linha do Diagrama:
Data:
N.º de
ref.
Desvio
Operacional
(Palavra-Chave)
Notas de ações e
consultas Responsável
Acompanhamento
e Comentários de
Revisão
Figura 2 Formulário de registro da análise HAZOP
Fonte: HAZOP and Hazan 4ª Edição, (KLETZ, 2006)
O campo “título de estudo” é o local destinado ao título que identificará o estudo HAZOP
realizado.
O campo “n.º do projeto” é o local destinado ao código do projeto em estudo, utilizado para
equipes.
24
O campo “elaborador por” destina-se a inclusão do redator responsável pelo preenchimento
do formulário.
O campo “folha” destina-se à identificação da numeração da página do formulário da análise
da respectiva “linha do diagrama”.
O campo “equipe de estudo” destina-se a relacionar os participantes do grupo de estudos
HAZOP, inclusive com a identificação do cargo que ocupava no momento do estudo.
O campo “linha do diagrama” destina-se a identificar a seção ou o equipamento ou o
componente a que se refere o estudo.
O campo “data” é destinado à informação da data em que o estudo HAZOP foi realizado.
A coluna “n.º de referência” é a ordenação das análises, isto é, a numeração que identifica o
desvio estudado ou na seção ou no equipamento ou no componente.
A coluna “desvio operacional” identifica o desvio analisado para aquela etapa.
A coluna “notas de ações e consultas” é o local onde se relaciona as ações definidas a serem
tomadas para tratar o desvio identificado para aquela etapa do processo (“n.º de referência”).
A coluna “responsável” identifica o responsável por implementar as ações propostas na
coluna “notas de ações e consultas”.
A coluna “acompanhamento e comentários de revisão” é o local que se destina a anotações
sobre o status de implementação das ações e as revisões das ações propostas.
3.2. FMEA
Em 1949, o exército americano criou um processo formal denominado “Procedures for
Performing a Failure Mode, Effects and Criticality Analysis” (Procedimentos para
desenvolver uma análise de modo, efeitos e criticidade de falhas), que mais tarde foi
denominado FMEA (Failure Mode and Effects Analysis, ou Análise de Modo e Efeito de
Falhas). A NASA, por volta dos anos 60, desenvolveu esta técnica para o programa Apollo,
com o objetivo de eliminar falhas em equipamentos que não teriam como ser reparados após o
lançamento. Em 1972 a Ford introduziu seu uso (FMEA de Processo) na indústria
automobilística, difundindo-o na indústria por meio da Norma Q 101 (RAMOS, 2006, p.71).
25
O principal objetivo do FMEA é evitar que problemas cheguem até o consumidor final do
produto, sistema, processo ou serviço. Por isso, FMEA provê um método sistemático para
examinar todos os modos que uma falha pode ocorrer (STAMATIS, 2003, p. 22, apud
DOMINGUES, 2008, p.32). Neste sentido, (RAMOS, 2006, p.71) explica que “a técnica de
FMEA foi criada com enfoque no projeto de novos produtos e processos, mas devido a sua
grande utilidade, passou a ser aplicada de diferentes formas e em diferentes tipos de
organizações”. O FMEA pode ser descrito como uma metodologia sistemática que deve ser
aplicada por grupos multidisciplinares, para aumentar, com a agregação e sinergia dos
conhecimentos das pessoas envolvidas, o grau de percepção, de análise e de solução das
falhas e defeitos (TOLEDO, 2002, apud VIEIRA, 2008).
O FMEA surgiu da combinação de cinco técnicas: Kaizen, Brainstorming, Regra de Pareto,
Análise de Causa Raiz e Mapeamento de Processo (DAILEY, 2004, p. 6 apud DOMINGUES,
2008, p. 32) e seu uso é requerido pelas normas QS9000, ISO TS 16949, EAQF94, VDA 6.1,
AVSQ para projetos e processos de fabricação. O FMEA é atualmente utilizado por indústrias
de diferentes ramos como química, automotiva, alimentícia.
Conforme o QS9000, FMEA é:
1- Um conjunto de atividades com intuito de identificar e avaliar as falhas potenciais do
produto/processo e os efeitos destas falhas;
2- Identificar ações que poderiam eliminar ou reduzir a chance da falha potencial ocorrer;
3- Documentar o processo.
Em resumo, o FMEA procura listar todas as possíveis falhas (de produto ou do Processo) e
suas causas para que sejam analisadas e tomadas as ações preventivas necessárias. A maior
vantagem da utilização do FMEA é a de evidenciar qual é o ponto mais crítico do projeto,
com vistas à tomada de ações preventivas para minimizar o impacto dos riscos para cada área
de conhecimento do PMBOK: integração, escopo, custos, tempo, qualidade, recursos
humanos e comunicação.
Tipos de FMEA
Dois tipos de FMEA surgiram desde a sua criação em meados de 1960:
26
FMEA de projeto (dFMEA - design failure modes and effects analysis): na qual são
consideradas as falhas que poderão ocorrer com o produto dentro das especificações do
projeto. O objetivo desta análise é evitar falhas no produto ou no processo decorrente do
projeto. É comumente denominada também de FMEA de produto.
FMEA de processo (pFMEA - process failure mode and effect analysis): são consideradas
as falhas no planejamento e execução do processo, ou seja, o objetivo desta análise é evitar
falhas do processo, tendo como base as não conformidades do produto com as especificações
do projeto.
O fundamento da metodologia de FMEA é o mesmo, seja para produto ou processo, sistema
ou procedimento, para produtos novos ou em operação. O FMEA pode ser personalizado,
considerando-se atributos exclusivos de cada projeto.
Aplicação e elementos básicos da FMEA
A utilização da técnica de FMEA deve ocorrer na melhoria da qualidade dos produtos e
processos, desenvolvimento de novo produto ou processo, para reduzir as falhas potenciais de
produtos e processos que já estão em operação e ainda, redução da ocorrência de não
conformidades em processos administrativos.
Passos para execução do FMEA: Esta metodologia avalia as possíveis formas que o produto
ou processo podem falhar de maneira lógica e sistemática. O modo como as falhas podem
ocorrer são avaliados com base em 3 quesitos: ocorrência, gravidade e detecção. Abaixo,
seguem os passos para a execução do FMEA.
• Equipe: a equipe de execução do FMEA deve ter conhecimento de como funciona o
método, deve identificar quais as implicações das falhas do item considerado. As
equipes de trabalho devem ser formadas durante o planejamento do FMEA, devem ser
multidisciplinares e com integrantes de diversas áreas.
• Determinação dos itens: a equipe deverá identificar as etapas/itens com maior número
de falhas, quais as etapas críticas do processo;
27
• Definir um formulário padrão do FMEA: o formulário FMEA pode ser adequado
considerando atributos exclusivos de cada projeto ou empresa;
• Coleta de informações: para que o preenchimento do formulário seja o mais real
possível, deve-se obter o máximo de dados possíveis. FMEA’s realizados
anteriormente, registros internos de falhas e demais documentações podem ser
utilizados para contribuir com a identificação das falhas;
• Preenchimento do formulário FMEA: as informações registradas deverão ser claras e
concisas para facilitar a avaliação e entendimento dos envolvidos;
• Identificação dos tipos de falhas: para auxiliar esta etapa e agrupar as possíveis falhas,
pode-se utilizar o diagrama de Ishikawa (“espinha de peixe”);
• Identificação de seus efeitos: Descrição dos efeitos a partir de cada falha ocorrida;
• Identificação das causas das falhas: as falhas anteriores, projetos e produtos similares
podem auxiliar na identificação;
• Análise das falhas para determinação de índices: para cada falha determina-se um índice
de ocorrência, gravidade e detecção.
Na avaliação do índice de ocorrência (Tabela 04), são examinados históricos de manutenção,
dados do fornecedor, relatórios de falhas, entre outros.
Tabela 4 Índice de ocorrência
Fonte: Adaptada de (Helman e Andery, 1995 apud BARASUOL)
ÍNDICE DE OCORRÊNCIA (O)
Índice Probabilidade de
Ocorrência
Ocorrência
28
1 Remota Excepcional
2 Muito pequena Muito poucas vezes
3 Pequena Poucas vezes
4-6 Moderada Ocasional
7-8 Alta Freqüente
9-10 Muito alta Inevitável
O índice de gravidade ou índice de severidade (Tabela 05) - é analisado o grau de insatisfação
que poderá trazer ao cliente.
Tabela 5 Índice de severidade
Fonte: Adaptada de (Helman e Andery, 1995 apud BARASUOL).
Índice
Conceito
1 Falha de menor ocorrência e quase não são
percebidos os efeitos sobre o produto ou
processo.
2-3 Produto: redução de desempenho.
Processo: perda gradual de eficiência.
4-6 Produto: degradação progressiva.
Processo: ineficiência, baixa produtividade.
7-8 Produto: não desempenha sua função. Processo: quase não se consegue manter a produção, baixa eficiência e produtividade. Alta taxa de refugo.
9-10 Produto: não desempenha sua função.
Processo: quase não se consegue manter a
ÍNDICE DE SEVERIDADE (S)
29
produção, baixa eficiência e produtividade. Alta
taxa de refugo.
9-10 Processo: não se consegue produzir, colapso.
Produto: problemas catastróficos, pode ocasionar
danos a bens ou pessoas.
A probabilidade de a falha ser detectada antes de acontecer denomina-se índice de detecção
(Tabela 06).
Tabela 6 Índice de detecção
Fonte: Adaptada de (Helman e Andery, 1995 apud BARASUOL).
Índice Probabilidade de detecção
1 Muito alta
2-3 Alta (cerca de 90% das vezes)
4-6 Moderada (cerca de 50% das vezes)
7-8 Pequena
9-10 Muito pequena
9 Remota (a falha não pode ser detectada)
• Hierarquização das causas: determinar o RPN (Risk Priority Number) ou NPR: para tal,
multiplicam-se entre si os índices de ocorrência, gravidade e detecção. A causa que tiver
o maior RPN deve ser atacada primeiramente, e assim por diante.
Tabela 7 Escala de N.P.R ou RPN (IQA, 2001)
N.P.R. Critério de priorização para tomada de ação
Alto Prioridade zero. Item vulnerável e importante.
ÍNDICE DE DETECÇAO (D)
30
(acima de 100) Requer ações preventivas.
Médio
(de 50 a 100)
Prioridade um. Item vulnerável. Requer ações
preventivas ou corretivas.
Baixo
(de 1 a 50)
Prioridade dois. Item pouco vulnerável. Podem ser
tomadas ações preventivas ou corretivas.
• Resposta aos riscos: Deve-se elaborar um plano de ação para cada falha, atacando
primeiramente as falhas com maior risco e estabelecer respectivas ações para preveni-
las. O plano de ação visará reduzir a probabilidade de ocorrência da falha, reduzir a sua
gravidade e aumentar a probabilidade de detecção.
Ainda, as ações podem envolver diferentes estratégias para se lidar com os riscos, como:
• Aceitar o risco da falha, dependendo do seu impacto x custo de prevenção.
• Tomar medidas para prevenção total da falha.
• Tomar medidas para redução da ocorrência falha ou da causa da falha.
• Tomar medidas para aumentar a probabilidade de detecção da falha.
• Tomar medidas para reduzir o efeito da falha.
Exemplos de formulário FMEA
Figura 3 Formulário Padrão de FMEA (IQA, 2001)
31
A “função” - Expressam o que o projeto, processo ou serviço deve fazer para satisfazer o
cliente.
Um “modo de falha” é a maneira pela qual um processo pode falhar potencialmente em
atender aos requisitos de produto ou processo descrito na coluna função.
Os “Efeitos da falha” é a descrição das conseqüências do modo de falha, isto é, o que o cliente
sofre quando o modo de falha, definido no elemento anterior, ocorre.
As “Causas da falha” - são as deficiências do projeto que podem resultar no modo de falha em
questão e devem ser listadas de forma a permitir ações preventivas para cada uma delas.
A “Severidade ou Gravidade” é o grau de seriedade/importância de cada efeito da falha
potencial. A severidade é normalmente medida em uma escala de 1 a 10. O número 1 indica
que o efeito não é sério aos olhos do cliente ou que o cliente talvez nem perceba o efeito. O
número 10 reflete os piores efeitos e conseqüências resultantes do modo de falha. As
definições correspondentes aos números na escala de severidade que aparecem na Tabela 05
servem como um guia para o desenvolvimento de uma escala específica à organização.
A “Ocorrência” é a probabilidade de ocorrência da causa da falha potencial. A ocorrência é a
freqüência com que o modo de falha ocorre durante o ciclo de vida do projeto. A ocorrência é
estimada através de uma escala de 1 a 10. O número 1 indica uma chance remota do modo de
falha ocorrer. O número 10 reflete a ocorrência certa do modo de falha. As definições que
aparecem na Figura 3 servem como um guia para o desenvolvimento de uma escala específica
à organização. Uma redução no índice de ocorrência somente ocorre quando uma ou mais das
causas do modo de falha são removidas ou controladas.
A “Detecção” é a probabilidade de a causa da falha potencial ser identificada antes de a falha
chegar ao cliente. A detecção é a estimativa da probabilidade de se detectar o modo de falha
ou a causa, no ponto previsto e com a precisão e exatidão necessária, baseando-se nas formas
de controle previstas.
A detecção é estimada através de uma escala de 1 a 10. O número 1 sugere que esse modo de
falha ou suas causas certamente serão detectados antes de chegarem ao cliente. O número 10
sugere que a forma mais provável de a organização tomar conhecimento do problema ocorre
com a reclamação do cliente.
32
A escala de detecção que aparece na Tabela 06 serve como um guia e deve ser ajustada, a fim
de se adequar a cada organização.
Para alcançar um índice de detecção menor, o planejamento do controle do projeto tem de ser
melhorado.
NPR = Severidade x Ocorrência x Detecção
É o produto dos índices de severidade, ocorrência e detecção, conforme a fórmula (IQA,
2001):
ecçãoocorrênciaseveridade NNNNPR det**=
Onde:
NPR Número de prioridade do risco;
severidadeN Índice de severidade do modo de falha;
ocorrênciaN Índice de ocorrência do modo de falha;
ecçãoNdet Índice de detecção do modo de falha ou causa.
Dentro do escopo da FMEA este valor ficará entre 1 e 1000 e poderá ser usado para priorizar
as deficiências do projeto.
Uma sugestão de tabela de prioridade é apresentada na tabela 07.
“Ações Recomendadas” são as ações recomendadas para evitar a ocorrência da falha antes da
concepção do produto/processo. Todas as ações recomendadas devem ser implementadas ou
adequadamente abordadas.
Esta é uma das principais colunas do FMEA é deve ser preenchida para assegurar que serão
tomadas ações para evitar a ocorrência da falha potencial. Esta coluna indica que houve
realmente análise sobre os riscos identificados.
Responsável e Prazo
É a pessoa, equipe ou organização que executará a ação recomendada no elemento anterior
dentro do prazo estabelecido pela equipe do projeto.
33
Resultados da Ação
É uma breve descrição da ação realizada, com a data de sua efetivação e com os novos índices
resultantes (severidade, ocorrência e detecção).
Controles Atuais
Os controles são as formas de prevenção e detecção de cada modo de falha, estes são
estrategicamente colocados no processo de desenvolvimento do projeto, a fim de detectar
possíveis problemas que foram previstos pela equipe e impedir que estes evoluam para as
fases subseqüentes.
Utilização da FMEA para Gestão de Riscos em Projetos
O FMEA pode ser aplicado para cada área de conhecimento do PMBOK, com o objetivo de
se evitar que algum problema em alguma das áreas passe despercebido. As áreas de
conhecimento devem ser informadas na coluna das funções no formulário de FMEA, sendo,
desta forma, a base para identificação dos modos de falhas, efeitos e causas.
Uma desvantagem do FMEA para o gerenciamento de riscos é que ele foi concebido para
encontrar problemas potenciais no projeto, sistema ou processo, o que acaba excluindo seu
uso como ferramenta para análise de riscos positivos.
Após o início de sua aplicação, o FMEA deverá ser atualizado e revisto sempre que
necessário, pois novas falhas passam a ser conhecidas e previstas (devido às alterações de
critério de qualidade por parte dos clientes, alterações de fornecedores e propostas vindas
através de serviços de atendimento ao cliente).
FMEA possui um enfoque genérico, o que lhe permite cobrir as mais diversas áreas e
situações. O FMEA é um formulário que pode – e deve – ser personalizado para cada
situação, projeto ou empresa. É composto por tabela e índices de classificação sucintos e
objetivos, o que o caracteriza como uma técnica simples, eficiente, de fácil compreensão e
implantação.
Alguns autores sugerem que para a utilização de FMEA na gestão de riscos em projetos, faz-
se necessário registrar no formulário FMEA: a estratégia de resposta ao risco, responsável /
prazo implementação, status da execução das ações recomendadas a cada revisão da FMEA.
34
3.3. ISO 31000
Dois mil e nove foi o ano da padronização na área da gestão de riscos, tanto no mundo como
no Brasil. Uma empreitada que começou em 2005, em Tókio, no Japão, culminou em 2009
com o lançamento da ISO 31000. A primeira norma internacional da história sobre Gestão de
Riscos ISO 31000:2009 - Risk management - principles and guidelines (Gestão de riscos -
princípios e diretrizes), um documento de apenas 24 páginas, podendo ser adotado por
organizações de todos os tipos e tamanhos, e de qualquer setor de atividade (indústrias,
instituições financeiras, órgãos públicos, hospitais, etc).
O texto original da ISO 31000 foi baseado na norma AS/NZS 4360:2004. O desenvolvimento
da norma internacional foi feito por um comitê especial composto por delegações de 35 países
que se uniram para criar um grupo de trabalho único denominado ISO Technical Management
Board on Risk Management. No Brasil, a ABNT (Associação Brasileira de Normas Técnicas)
criou a Comissão de Estudo Especial de Gestão de Riscos (CEE 63), com mais de 100
empresas e entidades de diferentes setores, com o intuito de discutir e definir a norma.
A ISO 31000 surgiu da necessidade de harmonizar padrões, regulamentações e frameworks já
publicados que estavam relacionados com a gestão de riscos. A origem da norma vem da
necessidade das corporações de lidar com as incertezas que podem afetar os seus objetivos,
suas iniciativas estratégicas, suas atividades operacionais, seus processos ou seus projetos. Por
isso, a norma pode ser aplicada aos vários tipos de riscos de diferentes setores da organização,
tais como financeiro e de projetos, saúde, entre outros, incluindo a visão moderna de que risco
também é oportunidade.
A proposta de convergência está alinhada com a visão integrada de ERM – Enterprise Risk
Management. Portanto, por se tratar de uma norma de alto nível, não há concorrência com as
normas já existentes, pois a ISO 31000 fornece orientações e alinhamento com outras normas
específicas.
A ISO 31000 surge também para integrar as diversas metodologias e terminologias, pois
faltava um consenso em relação à terminologia e aos conceitos utilizados para a gestão de
riscos. O resultado mais comum dessa equação é que a gestão de riscos acaba sendo tratada de
forma isolada, fazendo com que vários gestores (saúde, meio ambiente, segurança de TI,
jurídico, financeiro, seguros, entre outros) trabalhem em ilhas departamentais, o que ocasiona
a utilização de terminologias, sistemas, critérios e conceitos diferentes para cada uma das
35
áreas da empresa. Ou seja, cada departamento não possui o denominado “impacto cruzado”,
pois não enxerga o impacto do risco que está estudando em outras áreas ou processos. A ISO
31000 possui um processo consistente e uma estrutura abrangente para ajudar a assegurar um
gerenciamento de risco de forma eficaz, eficiente e coerente. Por esta razão, a abordagem é
genérica fornecendo os princípios e diretrizes para gerenciar qualquer forma de risco de uma
maneira sistemática, transparente e confiável, dentro de um escopo e contexto definido pela
organização.
Segundo estipula a própria ISO 31000, ela é destinada ao seguinte público alvo:
a) responsáveis pelo desenvolvimento da política de gestão de riscos no âmbito de suas
organizações;
b) responsáveis por assegurar que os riscos são eficazmente gerenciados em toda a
organização ou em uma área, atividade ou projeto específico;
c) aqueles que precisam avaliar a eficácia de uma organização em gerenciar riscos;
d) desenvolvedores de normas, guias, procedimentos e códigos de práticas que, no todo ou
em parte, estabelecem como o risco deve ser gerenciado dentro do contexto específico
desses documentos.
A gestão de riscos já faz parte das práticas e processos de gestão de muitas organizações,
embora não de maneira plena. Não é preciso que exista um centro de excelência corporativa
em Gestão de Riscos na empresa, para que se faça uma análise crítica das práticas e processos
existentes. Uma distinção interessante que a norma faz é entre os termos “gerência de riscos”
e “gerenciamento de riscos”. A “gerência de riscos” trata da arquitetura (princípios,
framework e processos) para o gerenciamento dos riscos, enquanto que o “gerenciamento de
riscos” se refere à aplicação dessa arquitetura para tratar riscos particulares.
A norma possui o seguinte índice de conteúdo (ISO 31000, 2009):
Introdução
1. Escopo
2. Termos e Definições
36
3. Princípios
4. Estrutura (Framework)
5. Processos
6. Anexos: Atributos da gestão de riscos avançada
3.3.1 Escopo
A ISO 31000 estabelece os princípios e orientações genéricas sobre a gestão de risco,
podendo ser utilizada por qualquer empresa pública, privada, associação, grupo ou indivíduo.
Assim, esta norma não é específica para alguma indústria ou setor, podendo ser aplicada em
toda a organização e em um vasto leque de necessidades, incluindo as estratégias e decisões
de operações, processos, funções, projetos, produtos e serviços. A norma pode ser aplicada a
qualquer tipo de risco, seja qual for a sua natureza, mesmo de consequências positivas ou
negativas. Ela foi criada com o objetivo de harmonizar os processos de gestão de risco nas
normas existentes e futuras. A ideia é que a norma ofereça uma abordagem comum de apoio
às normas existentes que tratam de riscos específicos para alguns setores, porém não para
substituí-las, mas sim para suportá-las. Finalmente, também está definido no escopo que essa
norma não se destina para fins de certificação.
3.3.2 Termos e definições
A norma ISO 31000 não tinha por objetivo padronizar as terminologias de gestão de riscos,
pois já existia uma norma anterior, denominada ISO Guide 73, que criou uma linguagem
comum, definindo vocabulário, terminologia e conceitos genéricos que se aplicam a todas as
áreas e setores no gerenciamento de riscos. No Brasil, ambas as normas foram traduzidas e
publicadas pela ABNT em 30 de novembro de 2009, como normas brasileiras: ABNT NBR
ISO 31000 (contendo 24 páginas) e ABNT ISO Guia 73 (contendo 12 páginas).
Outra norma relacionada à ISO 31000 é a norma ISO/IEC 31010:2009 “Risk management –
Risk assessment techniques” ou, em português, Gestão de riscos – Técnicas de avaliação de
riscos, que entrou oficialmente em vigor no dia 1º de dezembro de 2009. Essa norma ISO
31010 não se destina nem à certificação nem a usos regulatórios ou contratuais, mas fornece
orientação detalhada sobre a seleção e aplicação de técnicas sistemáticas qualitativas e
quantitativas de avaliação de riscos.
37
3.3.3 Princípios
A ISO estabelece una lista de 11 princípios que devem ser compreendidos e difundidos por
toda a organização, como forma de suportar um gerenciamento de risco eficaz na empresa.
1. A gestão de riscos cria e protege valor.
• A gestão de riscos contribui para a realização dos objetivos e melhoria do
desempenho, por exemplo, saúde e segurança humana, segurança, conformidade
legal e regulamentar, proteção ambiental, qualidade do produto, gerenciamento de
projetos, eficiência nas operações, governança e reputação.
2. A gestão de riscos é parte integrante de todos os processos organizacionais.
• A gestão de riscos não é uma atividade autônoma, separada das principais
atividades e processos da organização. A gestão de riscos é parte integrante de
todos os processos organizacionais, incluindo planejamento estratégico e todos os
processos de gestão da mudança.
3. A gestão de riscos é parte do processo decisório.
• A gestão de riscos ajuda no processo de tomada de decisões, uma vez que as
decisões serão tomadas com base nas melhores informações disponíveis, tendo
maior chance de sucesso ou fracasso na priorização das ações e alternativas.
4. A gestão dos riscos aborda explicitamente a incerteza.
• A gestão de riscos tem em conta explicitamente a incerteza e como ela pode ser
abordada para minimizar prejuízos ou maximizar os lucros.
5. A gestão de riscos é sistemática, estruturada e oportuna.
• Uma abordagem sistemática, oportuna e estruturada de gestão de riscos contribui
para a eficiência e resultados confiáveis.
6. A gestão de riscos é baseada na melhor informação disponível.
• As entradas para o processo de gerenciamento de risco são baseadas em fontes de
informação, tais como dados históricos, experiências, observações dos envolvidos,
38
previsão e julgamento de especialistas. No entanto, os tomadores de decisão
devem levar em consideração eventuais limitações dos dados ou da modelagem
utilizada, uma vez que existe a possibilidade de divergência entre as informações
previstas e o que irá realmente ocorrer.
7. A gestão de risco é alinhada com o perfil da empresa.
• A gestão de riscos está alinhada com o contexto externo e interno da organização,
além do perfil de risco (moderado ou arriscado).
8. A gestão de riscos leva os fatores humanos e culturais em consideração.
• A gestão de riscos deve identificar capacidades, percepções e intenções das
pessoas internas ou externas à organização que podem facilitar ou dificultar a
realização dos objetivos planejados.
9. A gestão de riscos deve ser transparente e inclusiva.
• O adequado envolvimento e a participação dos responsáveis por tomarem decisões
na organização garantem que a gestão de risco é pertinente e adequada.
Responsáveis por processos críticos também devem ser envolvidos para que a sua
opinião seja levada em consideração na identificação e tratamento dos riscos.
10. A gestão de riscos é dinâmica, interativa e receptiva às mudanças.
• Como eventos externos e internos podem ocorrer, ocasionando a mudança do
contexto, deve haver uma revisão sistemática da gestão dos riscos para
acompanhar e detectar essas mudanças.
11. A gestão de riscos facilita a melhoria contínua da organização.
• As organizações devem desenvolver estratégias para melhorar a sua maturidade
em gerenciamento de riscos junto com todos os outros processos da organização.
3.3.4 Estrutura (framework)
3.3.4.1 Introdução
39
O sucesso da gestão de riscos depende de como irão incorporá-la através de toda a
organização, em todos os níveis. O framework descreve os componentes necessários para
gerenciar riscos e as formas como eles se relacionam.
A figura a seguir ilustrar os componentes do framework de gestão de riscos a ser adotado pela
organização:
• Mandato e comprometimento;
• Concepção da estrutura para gerenciar riscos;
• Implementação da gestão de riscos;
• Monitoramento e análise crítica;
• Melhoria contínua da estrutura.
Figura 4 Componentes do framework
De acordo com a ISO, o framework não se destina a especificar um sistema de gestão, mas
sim a ajudar as organizações a integrar a gestão de risco em seu sistema de gestão global.
Portanto, as organizações devem adaptar os componentes do framework às suas necessidades
específicas para que as práticas de gestão da organização e os processos existentes incluam os
componentes de gestão de risco para determinados riscos ou situações.
40
3.3.4.2 Mandato (pela diretoria) e comprometimento (pelos demais níveis)
A introdução da gestão de riscos na organização e o suporte à sua eficácia exigem forte
comprometimento da alta administração, bem como o planejamento estratégico e rigoroso
para atingir o empenho de todos os níveis organizacionais.
A administração deve:
• definir e aprovar a política de gestão de risco;
• garantir que a cultura da organização e a política de gestão de risco estejam de acordo;
• determinar indicadores de desempenho da gestão de riscos que se alinham com os
indicadores de desempenho da organização;
• alinhar os objetivos de gestão de riscos com os objetivos e estratégias da organização;
• assegurar a conformidade legal;
• atribuir responsabilidades em níveis apropriados para os departamentos da organização;
• garantir que os recursos necessários estejam alocados à gestão de riscos;
• comunicar os benefícios da gestão de riscos a todos os interessados;
• garantir que a gestão de riscos continua a ser apropriada.
3.3.4.3 Concepção da estrutura para gerenciar riscos
3.3.4.3.1 Entendimento da organização e seu contexto
Antes de iniciar o projeto e implementação da estrutura de gestão do risco, é importante
avaliar e compreender tanto o contexto externo como o contexto interno da organização.
A avaliação do contexto externo da organização pode incluir:
• o ambiente social e cultural, jurídico, regulamentar, financeiro, tecnológico, económico,
natural e competitivo, seja internacional, nacional, regional ou local;
• principais tendências que podem ter impacto sobre os objetivos da organização;
41
• relacionamentos e percepções das partes interessadas externas.
Já a avaliação do contexto interno da organização pode incluir:
• governança, estrutura organizacional, papéis e responsabilidades na organização;
• políticas, objetivos e estratégias definidas para a organização;
• pontos fortes da organização, em termos da capacidade dos recursos e seus
conhecimentos (por exemplo: capital para investir, tempo, pessoas, processos, sistemas
e tecnologias);
• sistemas de informação, fluxos de informação e processos de decisão (formais e
informais);
• relações entre os diversos envolvidos pela gestão de riscos e a cultura da organização;
• normas, diretrizes e modelos adotados pela organização;
• modelo utilizado para as relações contratuais.
3.3.4.3.2 Estabelecer uma política de gestão de risco
A organização deve ter uma política de gestão de riscos aprovada pela alta direção da
corporação, caso essa ainda não exista. A política de gestão de risco deve indicar claramente
os objetivos da organização e normalmente aborda os seguintes temas:
• justificativa da organização para o gerenciamento de risco;
• relacionamentos entre os objetivos da organização e as políticas de gestão de riscos;
• responsabilidades e competências para o gerenciamento de risco;
• processo que determina como os interesses conflitantes serão tratados;
• compromisso de tornar disponíveis os recursos necessários à gestão de risco;
• processo que determina como o desempenho da gestão de riscos será medido;
42
• compromisso de rever e melhorar a política de gestão de riscos em resposta a um evento
ocorrido.
A política de gestão de risco deve ser comunicada de forma apropriada.
3.3.4.3.3 Responsabilidade
A organização deve assegurar que haja responsabilidades, autoridades e competências
adequadas para o gerenciamento de riscos, incluindo a implementação e manutenção do
processo de gestão de riscos. Deve ser assegurada a adequação, a eficácia e a eficiência dos
controles que medem o desempenho da gestão de riscos.
Isso pode ser facilitado pelas seguintes definições de responsabilidade:
• identificar os proprietários dos riscos, que terão a responsabilidade e a autoridade para
gerenciá-los;
• identificar quem é responsável pelo desenvolvimento, implementação e manutenção do
framework de gestão de risco;
• identificar as responsabilidades das pessoas em todos os níveis da organização que
estejam relacionadas aos projetos ou atividades do processo de gestão de riscos;
• responsáveis pela medição do desempenho e a emissão de relatórios.
3.3.4.3.4 Integração em processos organizacionais
A gestão de riscos deve ser incorporada em todas as práticas de organização e nos seus
processos de forma eficiente. O gerenciamento de riscos deve fazer parte dos processos
organizacionais, e não ser um processo separado dos demais.
Em particular, a gestão de riscos deve ser incorporada no planejamento estratégico e na
política dos negócios, principalmente nos processos de mudanças.
Deve haver um plano de gestão de risco em toda a organização para assegurar que a política
de gestão de riscos é implementada e que a gestão de riscos faz parte de todas as práticas
organizacionais e seus processos. O plano de gerenciamento de risco pode ser integrados em
outros planos organizacionais, tais como o planejamento estratégico.
43
3.3.4.3.5 Recursos
A organização deve alocar recursos adequados para a gestão de riscos, considerando os
seguintes pontos:
• pessoas, habilidades, experiência e competência que são necessárias para a efetiva
gestão de riscos;
• recursos necessários para cada etapa do processo de gestão de risco;
• processos, métodos e ferramentas a serem utilizadas para o gerenciamento de risco;
• processos e procedimentos organizacionais devem estar documentados;
• sistemas de informação e sistemas de gestão do conhecimento devem ser utilizados para
suportar a gestão de riscos;
• programas de treinamentos devem estar previstos.
3.3.4.3.6 Estabelecer a comunicação interna e os mecanismos de comunicação
A organização deve estabelecer a comunicação interna e os mecanismos que serão utilizados
para essa comunicação de forma a apoiar e incentivar o controle das responsabilidades e a
propriedade dos riscos.
Esses mecanismos devem assegurar que:
• a estrutura de gerenciamento de risco deve ser comunicada de forma adequada;
• relatórios internos adequados sobre a eficácia dos processos e os resultados obtidos no
gerenciamento dos riscos;
• informações relevantes derivadas da aplicação de gestão de riscos deve estar disponíveis
aos interessados nos momentos certos e em níveis apropriados;
• deve existir um processo de consulta com as partes internas, incluindo formas de
consolidar as informações sobre os riscos e sua sensibilidade.
44
3.3.4.3.7 Estabelecer a comunicação externa e os mecanismos de comunicação
A organização deve desenvolver e implementar um plano de como irá se comunicar com os
agentes externos.
Isto deve envolver:
• envolver as partes interessadas externas adequadas para troca de informações;
• relatórios externos para cumprir com os requisitos legais, regulatórios e de governança;
• fornecer feedback e informação sobre comunicações e consultas;
• usar a comunicação para construir a confiança na organização;
• comunicar as partes interessadas no caso de crise ou de emergência.
Estes mecanismos devem incluir processos para consolidar as informações de riscos, tendo
em conta a sua sensibilidade.
3.3.4.4 Implementar a gestão de riscos
3.3.4.4.1 Aplicação do framework para a gestão de risco
Ao aplicar o framework para o gerenciamento de riscos em uma organização, esta deve:
• definir o momento adequado e a estratégia de implementação do framework;
• aplicar a política de gestão de riscos nos processos organizacionais;
• cumprir os requisitos legais e regulamentares;
• garantir que a tomada de decisões pela alta administração esteja alinhada com os
resultados dos processos de gestão de riscos;
• realizar sessões de formação e capacitação do quadro funcional;
• comunicar e consultar as partes interessadas para garantir que a gestão de risco continua
a ser apropriada.
45
3.3.4.4.2 Aplicar o processo de gestão e riscos
A gestão de riscos deve ser feita de forma a assegurar que os processos sejam aplicados a
todos os níveis e funções da organização de acordo com um plano de gestão de risco.
3.3.4.5 Monitoramento e análise crítica do framework
Para assegurar que a gestão dos riscos seja eficaz no apoio do desempenho organizacional, a
organização deve:
• medir o desempenho da gestão de riscos em função dos indicadores definidos
anteriormente, os quais devem ser revistos periodicamente para adequação;
• periodicamente medir a adoção do plano de gestão de riscos;
• periodicamente verificar se a política de gestão de riscos e o plano ainda são adequados,
levando em consideração as mudanças no contexto externo ou interno da organização;
• relatórios sobre a adoção da política de gestão de riscos;
• avaliar a eficácia do framework de gerenciamento de riscos.
3.3.4.6 Melhoria contínua do framework
Com base nos resultados do acompanhamento e revisão do framework, os planos e as políticas
definidos anteriormente podem ser avaliados. Estas decisões devem fornecer melhorias na
gestão de riscos da organização e na sua cultura com relação ao processos de gerenciamento
dos riscos.
3.3.5 Processos
3.3.5.1 Introdução
O processo de gerenciamento de riscos descrito pela norma ISO 31000 deve ser:
• parte integrante da gestão;
• incorporado na cultura e nas práticas da organização;
• adaptado aos processos de negócio da organização.
46
A figura a seguir ilustrar os processos que fazem parte do gerenciamento de riscos a serem
adotados pela organização:
• processo de comunicação e consulta;
• processo estabelecimento do contexto;
• processo de avaliação dos riscos, que incorpora a identificação, a análise e a
avaliação dos riscos;
• processo de tratamento dos riscos;
• processo de monitoramento e análise críticas dos riscos.
Figura 5 Processos de gestão de risco
Fonte: (ISO31000, 2009)
O processo possui sete fases claramente identificadas, sendo um processo retroalimentativo.
Ou seja, segue os princípios do ciclo da qualidade, PDCA – Plan – Do – Check – Action.
3.3.5.2 Processo de comunicação e consulta
47
A fase de comunicação e consulta abrange tanto a comunicação interna quanto a externa,
assegurando que os responsáveis compreendam os fundamentos sobre os quais as decisões
são tomadas e as respectivas razões. As partes interessadas devem ser identificadas e seus
papéis e responsabilidades delimitados e documentados nesta fase. É importante desenvolver
um plano de comunicação que permita a cada uma das partes conhecerem o andamento do
processo e que eles forneçam subsídios para seu desenvolvimento.
A comunicação externa e interna deve assegurar que os responsáveis pela implementação do
processo de gestão de riscos compreendão as bases sobre às quais as decisões são tomadas e
as razões pelas quais algumas ações específicas são necessárias.
A abordagem da equipe deve ser:
• ajudar a estabelecer um contexto adequado;
• garantir que os interesses das partes serão compreendidos e considerados;
• assegurar que os riscos sejam devidamente identificados;
• trazer colaboradores de diferentes áreas de conhecimento para a análise de riscos em
conjunto;
• garantir que os diferentes pontos de vista sejam devidamente considerados durante a
definição dos critérios para a avaliação dos riscos;
• apoio e suporte para o plano de tratamento dos riscos;
• melhorar a gestão de mudanças;
• desenvolver uma comunicação adequada tanto para áreas externa, como áreas internas à
organização.
A comunicação e a consulta com as diversas partes interessadas é importante para que eles
façam seus considerações sobre os riscos com base em suas percepções e suas experiências.
Essas percepções podem variar devido às diferenças de valores, necessidades, conceitos e
preocupações das diversas partes interessadas. Como suas considerações podem ter um
impacto significativo sobre as decisões, as percepções destes stakeholders devem ser
identificadas e registadas para garantir a rastreabilidade durante um processo decisório.
48
3.3.5.3 Processo de estabelecimento do contexto
Nesta etapa, definem-se os parâmetros básicos, por meio dos quais serão identificados os
riscos que precisam ser geridos e qual será o escopo do restante do processo de gestão de
riscos. Também são definidos os critérios que serão utilizados na identificação, avaliação,
impacto e aceitação dos riscos.
A definição do contexto tem como entrada todas as informações relevantes sobre a
organização. O passo principal para se obter o contexto está na descrição dos objetivos do
projeto e dos ambientes nos quais eles estão contextualizados. Outro importante aspecto é a
definição dos critérios que serão usados na determinação dos riscos do projeto. Estes critérios
envolvem a determinação das conseqüências de segurança e os métodos usados para a análise
e avaliação dos riscos.
Portanto, a fase de estabelecimento do contexto preconiza entender os fatores e as variáveis
externas, incluindo as tendências e as relações com as partes interessadas externas e suas
percepções de valores. Já no contexto interno procura-se entender: objetivos estratégicos,
cultura, processos, estrutura e estratégia. O principal objetivo deste processo é estabelecer o
contexto da gestão de riscos, seus critérios e métodos que a organização deverá utilizar,
definindo-se as metas, objetivos, responsabilidades e o apetite ao risco que a organização
suporta.
3.3.5.4 Processo de avaliação de riscos
3.3.5.4.1 Introdução
O processo de avaliação dos riscos engloba a identificação e a análise e avaliação dos riscos.
Vale observar que a norma ISO/IEC 31010 fornece orientação sobre as técnicas de avaliação
de riscos, a qual pode ser utilizada como completo à norma 31000.
3.3.5.4.2 Identificação dos riscos
A identificação de riscos é uma das etapas mais críticas, pois os riscos não identificados não
serão analisados nem tratados, e uma vez concretizados poderão ocasionar o fracasso do
projeto. O objetivo dessa etapa é determinar os eventos que possam causar perdas potenciais e
49
deixar claro como, onde e porquê a perda pode ocorrer. A identificação deve conter tanto os
riscos que estão, como os que não estão sob o controle do projeto. Na prática, a identificação
de riscos é bem mais complexa, pois as informações são baseadas em experiências e critérios
subjetivos dos próprios responsáveis pelo projeto.
A identificação dos riscos envolve a identificação das ameaças, dos controles existentes, das
vulnerabilidades e das conseqüências. Dessa forma, a fase da identificação de riscos, no
processo de avaliação de riscos, é a listagem dos perigos que o processo, departamento e ou
empresa possui com as respectivas fontes de riscos. A identificação deve ser crítica, pois um
risco que não é identificado nesta fase não será incluído em análises posteriores. Essa é uma
fase estratégica, pois é nela que se entendem os fatores de riscos e os fatores facilitadores da
existência do risco na empresa.
A organização deve identificar as fontes de risco, áreas de impacto, suas causas e suas
possíveis conseqüências. O objetivo desta etapa é gerar uma lista abrangente de riscos com
base nos eventos que possam criar, melhorar, prevenir, diminuir, acelerar ou atrasar a
obtenção dos objetivos da organização. É importante identificar os riscos associados a não
realização de uma oportunidade que trará benefícios, e não somente os riscos que podem
trazer prejuízos. A identificação dos riscos deve considerar um vasto leque de conseqüências,
mesmo que a fonte de risco ou a causa não seja evidente. Para identificar o que pode
acontecer, é necessário considerar os possíveis cenários que demonstram as conseqüências
que podem ocorrer.
3.3.5.4.3 Análise dos riscos
A fase de análise de riscos desenvolve a compreensão dos riscos, produzindo dados que irão
auxiliar na decisão sobre quais riscos serão tratados e as formas de tratamento visando a
eficiência de custos. Isso envolve considerações sobre a origem dos riscos, suas
consequências e as probabilidades de ocorrência dos mesmos. As consequências e
probabilidades são combinadas para produzir o nível de cada risco. Com a compreensão dos
riscos, a empresa poderá tomar decisões a respeito de seu tratamento. A análise envolve a
apreciação das causas e as fontes de risco, suas consequências positivas ou negativas, e a
probabilidade de que essas consequências possam ocorrer.
Uma metodologia de estimativa pode ser qualitativa ou quantitativa ou uma combinação de
ambas, dependendo das circunstâncias. A estimativa qualitativa utiliza uma escala com
50
atributos qualificadores que descrevem a magnitude dos potenciais impactos e a probabilidade
de ocorrerem. A estimativa quantitativa adota uma escala de valores numéricos tanto para
conseqüências, quanto para a probabilidade.
A análise de riscos envolve o desenvolvimento de uma compreensão dos riscos. A maneira
como as consequências e as probabilidades são expressas e a forma como são combinadas
também é importante para considerar a interdependência dos diferentes riscos e suas fontes. A
confiança na determinação do nível de risco e sua sensibilidade devem ser consideradas na
análise, pois fatores como a divergência de opinião entre especialistas, incertezas, relevância
da informação ou limitações na modelagem devem ser destacadas durante o processo de
tomada de decisão.
De acordo com a norma ISO 31000, a análise dos riscos pode ser qualitativa, semi-
quantitativa ou quantitativa, ou ainda uma combinação desses, dependendo das circunstâncias.
Os impactos e suas probabilidades podem ser determinadas pela modelagem dos resultados de
um evento ou conjunto de eventos, ou por extrapolação a partir de estudos experimentais ou a
partir dos dados disponíveis, onde as conseqüências podem ser expressas em termos de
impactos tangíveis e intangíveis. Em alguns casos, mais de um valor numérico é necessário
para especificar as consequências e probabilidades de ocorrência em diferentes épocas,
lugares ou situações.
3.3.5.4.4 Avaliação dos riscos
A fase da avaliação de riscos visa auxiliar na tomada de decisões com base nos resultados da
análise de riscos. Este processo tem por objetivo definir quais riscos necessitam de
tratamento, bem como qual a prioridade para o tratamento de cada risco identificado.
Portanto, o objetivo da avaliação de riscos é tomar decisões, baseadas nos resultados da
análise de risco (preteridos pela identificação e estimativa de riscos), definindo-se as
prioridades e a real necessidade de tratamento dos riscos analisados. A avaliação envolve a
comparação dos níveis dos riscos encontrados, com os critérios estabelecidos quando o
contexto foi considerado.
Ao término da avaliação, pode ser verificado junto às partes interessadas se seu resultado é
satisfatório (utilizando o processo de Comunicar e Consultar). Caso não seja, uma nova
rodada da Análise/Avaliação dos riscos deve ser empreendida. A partir da revisão é possível
uma redefinição do contexto. Na avaliação de riscos, que envolve comparar o nível de risco
51
encontrado durante a análise de riscos, pode-se utilizar uma Matriz de Riscos como
ferramenta de gestão.
O objetivo da avaliação de riscos é auxiliar na tomada de decisões, com base nos resultados
da análise de risco. A avaliação do risco consiste em comparar o nível de risco encontrado
durante o processo de análise, com critérios de riscos estabelecidos durante a definição do
contexto. Com base nessa comparação, define-se a necessidade de tratamento do risco e sua
prioridade. As decisões devem ser feitas em conformidade com os requisitos legais,
regulamentares e outras. Em algumas circunstâncias, a avaliação de risco pode levar a uma
necessidade de proceder com uma análise mais aprofundada, ou ainda, pode levar a uma
decisão de não tratar o risco. Esta decisão será influenciada pela tolerância da organização e
os critérios que foram estabelecidos.
3.3.5.5 Processo de tratamento de riscos
O tratamento dos riscos envolve a identificação do tratamento aos riscos, avaliação destas
opções e a preparação para colocar em prática os tratamentos selecionados. O tratamento
inicia com uma lista de riscos ordenados por prioridade, conforme os critérios de avaliação
dos riscos descritos anteriormente, associados aos possíveis cenários de incidentes que os
provocam. Para cada um dos riscos são relacionadas opções de tratamento.
A fase de Tratamento de Riscos envolve um processo cíclico composto por:
• avaliação do tratamento já realizado;
• decisão se os níveis do risco residual são toleráveis;
• se não forem toleráveis, definição e execução de um novo tratamento;
• avaliação e eficácia desse tratamento.
As opções de tratamento são:
• ação de evitar o risco (remoção da fonte de riscos, se o risco for negativo) ou aumento
do risco (se o risco for positivo);
• mitigação (alteração da probabilidade ou alteração do impacto/conseqüência);
52
• transferência (compartilhamento) do risco;
• aceitação (retenção) do risco por uma decisão consistente e bem embasada.
Selecionar a opção de tratamento mais adequada aos riscos envolve equilibrar os custos e os
esforços de execução versus os benefícios esperados após o tratamento. Ao selecionar as
opções de tratamento dos riscos, a organização deve considerar as percepções das partes
interessadas e as formas mais adequadas de se comunicar, pois o tratamento pode impactar
outras partes da organização, e estes devem estar cientes das decisões tomadas. Alguns
tratamentos de riscos podem ser mais aceitáveis para alguns stakeholders que para outros.
O tratamento de riscos em si pode apresentar riscos. Um risco significativo pode ser a
ineficácia das medidas de tratamento. A monitorização deve ser parte integrante do plano de
tratamento de riscos para dar garantia de que as medidas permaneçam eficazes.
O tratamento de riscos também pode introduzir riscos secundários que precisem ser avaliados,
tratados, controlados e revisados. Estes riscos secundários devem ser incorporados no plano
de tratamento, da mesma forma como o risco original, e não tratado como um novo risco. A
ligação entre os dois riscos devem ser identificada e documentada.
Ao término do tratamento são identificados os riscos residuais. Se tais riscos não forem
aceitáveis, os tratamentos podem ser refeitos, ou ainda, todo o processo de gestão de riscos
pode ser revisto. A aceitação do risco é feita a partir da análise do risco residual e é
conveniente que a decisão de aceitar os riscos seja formalmente registrada, junto com à alta
direção da organização responsável pela decisão (novamente utilizando-se do processo de
Comunicar e Consultar). Infelizmente, nem sempre os riscos residuais estão de acordo com o
idealizado no início do processo, porém, fatores como o tempo para aplicar um tratamento ao
risco, baixa probabilidade de ocorrência e custos elevados para a resposta ao risco podem
justificar a aceitação dos riscos.
A documentação sobre os planos de tratamento deve incluir os seguintes itens, para garantir
uma gestão de riscos rastreável, com registros que forneçam base para a melhoria dos
métodos e das ferramentas utilizados no processo:
• as razões para a seleção do tratamento;
53
• quem são os responsáveis pela aprovação do plano e quem são os responsáveis pela
execução do plano;
• ações propostas;
• necessidades de recursos, incluindo contingências;
• medidas de desempenho e restrições;
• relatórios e requisitos de monitorização;
• cronograma e agenda do planejamento.
O plano de tratamento deve ser integrados com a gestão de processos da organização e
discutido com os tomadores de decisão, pois estes devem estar cientes da natureza e dimensão
do risco residual após o tratamento dos riscos.
3.3.5.6 Processo de monitorar e analisar criticamente
O Monitoramento e Análise Crítica dos Riscos são partes essenciais da gestão de riscos. Os
riscos não são estáticos e devem ser monitorados a fim de verificar a eficácia das estratégias
de implementação e mecanismos de gerenciamento utilizados no tratamento dos riscos.
Portanto, o processo de monitoramento deve ser contínuo e dinâmico. Além do
monitoramento contínuo, mudanças organizacionais ou externas podem alterar o contexto da
análise, levando a uma revisão completa da gestão de riscos. Revisões também podem ser
iniciadas periodicamente ou realizadas por terceiros, como forma de identificar novas
necessidades ou adaptação de algum parâmetro definido anteriormente. Cada estágio do
processo de gestão de riscos deve ser documentado de forma apropriada. Suposições,
métodos, origens de dados, análises, resultados e justificativas das decisões tomadas devem
ser registrados, pois facilitam uma revisão das estratégias definidas e a rastreabilidade de
quem participou dessas definições. O monitoramento e análise crítica podem ser realizados
de forma regular (periódicas) ou podem acontecer em resposta a um fato específico
(disparadas pela ocorrência de determinado evento, por exemplo, ocorrência de um risco que
não identificado anteriormente). A organização deve haver uma definição clara e direta das
responsabilidades de quem vai realizar o monitoramento e a análise crítica.
54
3.4. PMBOK
O Project Management Body of Knowledge, também conhecido como PMBOK é um conjunto
de práticas em gestão de projetos publicado pelo Project Management Institute (PMI) e
constitui a base do conhecimento em gerência de projetos do PMI. Estas práticas são reunidas
na forma de um guia, chamado de Guia do Conjunto de Conhecimentos em Gerenciamento de
Projetos, ou Guia PMBOK. O guia (PMBOK, 2004) é o guia que identifica um conjunto de
conhecimentos em gerenciamento de projetos amplamente reconhecido como boa prática,
sendo utilizado como base pelo PMI.
Uma boa prática não significa que o conhecimento e as práticas devem ser aplicadas
uniformemente a todos os projetos, sem considerar se são ou não apropriados, e sim que são
recomendações genéricas que podem ser adaptadas para os casos específicos de cada
organização. O Guia PMBOK também fornece e promove um vocabulário comum para se
discutir, escrever e aplicar o gerenciamento de projetos possibilitando o intercâmbio eficiente
de informações entre os profissionais de gerência de projetos. O guia é baseado em processos
e subprocessos para descrever de forma organizada o trabalho a ser realizado durante o
projeto. Os processos descritos se relacionam e interagem durante a condução do trabalho e a
descrição de cada um deles é feita em termos de entradas; ferramentas/técnicas e saídas.
O capítulo 11 do guia trata especificamente do gerenciamento dos riscos do projeto e inclui os
processos de planejamento, identificação, análise, planejamento de respostas aos riscos e,
monitoramento e controle de riscos de um projeto. Os objetivos do gerenciamento dos riscos
são aumentar a probabilidade e o impacto dos eventos positivos e reduzir a probabilidade e o
impacto dos eventos negativos no projeto. Portanto, de acordo com o PMBOK, a área de
conhecimento de gerenciamento dos riscos é composta por seis processos:
• Planejar o gerenciamento dos riscos: processo de definição de como conduzir as
atividades de gerenciamento dos riscos de um projeto.
• Identificar os riscos: processo de determinação dos riscos que podem afetar o projeto e
de documentação de suas características.
• Realizar a análise qualitativa dos riscos: processo de priorização dos riscos para análise
ou ação adicional através da avaliação e combinação de sua probabilidade de ocorrência
e impacto.
55
• Realizar a análise quantitativa dos riscos: processo de analisar numericamente o efeito
dos riscos identificados, nos objetivos gerais do projeto.
• Planejar as respostas aos riscos: processo de desenvolvimento de opções e ações para
aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto.
• Monitorar e controlar os riscos: processo de implementação de planos de respostas aos
riscos, acompanhamento dos riscos identificados, monitoramento dos riscos residuais,
identificação de novos riscos e avaliação da eficácia dos processos de tratamento dos
riscos durante todo o projeto.
Figura 6 Processos de gestão de risco
Fonte: (PMBOK, 2004)
3.4.1 Planejar o gerenciamento dos riscos
Planejar o gerenciamento dos riscos é o processo responsável pela definição de como serão as
atividades de gerenciamento dos riscos de um projeto. Um planejamento cuidadoso aumenta a
probabilidade de sucesso para os outros cinco processos de gerenciamento dos riscos. O
planejamento é importante para fornecer tempo e recursos suficientes para as atividades de
gerenciamento dos riscos e para estabelecer uma base para a avaliação dos riscos. Este
processo deve começar na concepção do projeto e ser concluído nas fases iniciais do
planejamento do projeto.
56
As equipes dos projetos fazem reuniões de planejamento para desenvolver o plano de
gerenciamento dos riscos. Os participantes dessas reuniões podem incluir o gerente de
projetos, membros selecionados da equipe do projeto e das partes interessadas, pessoas da
organização com responsabilidade de gerenciar o planejamento de riscos e outros, conforme
necessário.
Durante essas reuniões, as responsabilidades de gerenciamento dos riscos serão atribuídas. Os
modelos organizacionais para categorias de riscos e as definições dos níveis de risco e a
matriz de probabilidade e impacto serão adaptados ao projeto específico. A organização pode
usar uma estrutura de categorização previamente preparada, que pode ser organizada em uma
estrutura analítica dos riscos (EAR). A estrutura analítica dos riscos (EAR) é uma
representação, organizada hierarquicamente por categoria e subcategoria de risco, que
identifica as diversas áreas e causas de riscos potenciais. Se não existirem modelos para essas
outras etapas do processo, eles podem ser gerados nessas reuniões. Os resultados dessas
atividades serão resumidos no plano de gerenciamento dos riscos.
3.4.2 Identificar os riscos
Identificar os riscos é o processo realizado por toda a equipe do projeto na determinação dos
riscos que podem afetar o projeto e da documentação de suas características. Identificar os
riscos é um processo interativo, pois novos riscos podem surgir ou se tornar conhecidos
durante o ciclo de vida do projeto. A frequência da interação e os participantes de cada ciclo
variam de acordo com a situação. O processo deve envolver a equipe do projeto para
desenvolver e manter um sentido de propriedade e responsabilidade pelos riscos e pelas ações
associadas de resposta a riscos.
As principais partes interessadas, principalmente o cliente, devem ser entrevistadas ou
participar de alguma forma desse processo. As partes interessadas externas à equipe do
projeto também podem fornecer informações adicionais. Além disso, é possível fazer uma
revisão da documentação do projeto, incluindo planos, premissas, arquivos de projetos
anteriores, contratos e outras informações para auxiliar na identificação. A qualidade dos
planos, bem como a consistência entre esses planos e os requisitos e as premissas do projeto,
podem ser indicadores de riscos no projeto.
Exemplos de técnicas de coleta de informações a fim de identificar riscos incluem:
57
Brainstorming: As ideias sobre o risco do projeto são geradas sob a liderança de um
facilitador, seja em uma sessão tradicional de troca de ideias de forma livre (brainstorming)
ou estruturada (usando técnicas de entrevista em grupo). Os riscos são então identificados e
categorizados de acordo com o tipo e suas definições.
Técnica Delphi: O facilitador usa um questionário para solicitar ideias sobre riscos
importantes do projeto. As respostas são resumidas e redistribuídas aos especialistas para
comentários adicionais. O consenso pode ser alcançado após algumas rodadas desse processo.
Entrevistas. Entrevistar participantes experientes do projeto, partes interessadas e especialistas
no assunto pode identificar riscos.
Análise da causa-raiz. A análise da causa-raiz é uma técnica específica para identificar um
problema, descobrir as causas subjacentes que levaram a ele e desenvolver ações preventivas.
A principal saída do processo de Identificar os riscos é a lista dos riscos identificados. A
preparação do registro dos riscos começa no processo de Identificar e fica disponível para
outros processos de gerenciamento do projeto e de gerenciamento dos riscos do projeto.
3.4.3 Realizar a análise qualitativa dos riscos
Realizar a análise qualitativa de riscos é o processo de priorização dose riscos através da
combinação de sua probabilidade de ocorrência e impacto. As organizações podem aumentar
o desempenho do projeto se concentrando nos riscos de alta prioridade. A realização da
análise qualitativa de riscos normalmente é um meio rápido e econômico de estabelecer as
prioridades do processo de Planejar as respostas aos riscos e define a base para a realização da
análise quantitativa dos riscos, se necessária. Este processo deve ser revisto durante o ciclo de
vida do projeto, considerando as mudanças nos riscos do projeto, o qual pode resultar na
realização da análise quantitativa dos riscos ou ir diretamente para o processo de
planejamento de respostas a riscos.
A avaliação do impacto de riscos investiga o efeito potencial sobre um objetivo do projeto,
como cronograma, custo, qualidade ou desempenho, incluindo tanto os efeitos negativos das
ameaças como os efeitos positivos das oportunidades. A avaliação da probabilidade e do
impacto é feita para cada risco identificado. As probabilidades e os impactos dos riscos são
classificados de acordo com as definições fornecidas no plano de gerenciamento dos riscos.
58
Os riscos com baixas classificações de probabilidade e impacto serão incluídos em uma lista
de observação para monitoramento futuro.
A avaliação da importância de cada risco normalmente é conduzida usando uma matriz de
probabilidade e impacto. Essa matriz especifica as combinações de probabilidade e impacto
que resultam em uma classificação dos riscos como de prioridade baixa, moderada ou alta. A
organização pode classificar um risco separadamente para cada objetivo (por exemplo, custo,
tempo e escopo). O agrupamento dos riscos por causas-raiz comuns pode resultar no
desenvolvimento de respostas a riscos eficazes.
O registro dos riscos é iniciado durante o processo de Identificar os riscos. Depois o registro
dos riscos é atualizado com informações deste processo e é incluído nos documentos do
projeto.
3.4.4 Realizar a análise quantitativa dos riscos
Realizar a análise quantitativa de riscos é o processo de analisar numericamente o efeito dos
riscos identificados nos objetivos gerais do projeto. A análise quantitativa é realizada nos
riscos que foram priorizados pela análise qualitativa como tendo impacto potencial e
substancial nas demandas concorrentes do projeto. Esse processo é usado para atribuir uma
classificação numérica a esses riscos individualmente ou para avaliar o efeito agregado de
todos os riscos que afetam o projeto. Em alguns casos, realizar a análise quantitativa pode não
ser necessária para desenvolver respostas eficazes a riscos. O processo de Realizar a análise
quantitativa de riscos deve ser repetido depois de Planejar as respostas aos riscos e também
como parte do processo de Monitorar e controlar os riscos, para determinar se o risco geral do
projeto diminuiu satisfatoriamente. As tendências podem indicar a necessidade de mais ou
menos ações de gerenciamento dos riscos.
As técnicas mais usadas incluem:
• Análise de sensibilidade. A análise de sensibilidade ajuda a determinar quais riscos
têm mais impacto potencial no projeto.
• Análise do valor monetário esperado. A análise do valor monetário esperado (em
Inglês EMV) calculado com cenários que podem ocorrer ou não. O VME das
oportunidades geralmente será expresso em valores positivos, enquanto o dos riscos
terá valores negativos. O VME do projeto é calculado multiplicando o valor de cada
59
resultado possível pela sua probabilidade de ocorrência e somando esses produtos. Um
uso comum desse tipo de análise é a árvore de decisão.
• Modelagem e simulação. As simulações interativas em geral são executadas usando a
técnica de Monte Carlo, onde o modelo do projeto é calculado várias vezes com
valores de entrada selecionados aleatoriamente. O resultado de uma simulação ilustra
a probabilidade de atingir determinadas metas.
O registro dos riscos também é atualizado para incluir um relatório quantitativo dos riscos
detalhando as abordagens quantitativas e recomendações.
3.4.5 Planejar as respostas aos riscos
Planejar as respostas aos riscos é o processo de desenvolvimento de opções para aumentar as
oportunidades e reduzir as ameaças aos objetivos do projeto baseados nas prioridades. Esse
processo engloba a identificação e a designação de uma pessoa para assumir a
responsabilidade por cada resposta ao risco. Em geral é necessário selecionar a melhor
resposta ao risco entre as diversas opções possíveis.
Existem várias estratégias de respostas a riscos disponíveis. A estratégia ou a mescla de
estratégias com maior probabilidade de ser eficaz deve ser selecionada para cada risco. É
possível desenvolver um plano alternativo para implementação caso a estratégia selecionada
não seja totalmente eficaz ou se um risco aceito ocorrer.
As seguintes estratégias podem ser usadas para riscos negativos ou ameaças:
• Eliminar. A eliminação de riscos engloba a eliminação da fonte de risco para remover
totalmente a ameaça.
• Transferir. A transferência de riscos exige a mudança dos impactos negativos de uma
ameaça, juntamente com a responsabilidade da resposta, para um terceiro. Transferir o
risco simplesmente passa a responsabilidade pelo gerenciamento para outra parte, mas
não o elimina. A transferência de riscos quase sempre envolve o pagamento de um
prêmio à parte que está assumindo o risco.
• Mitigar. A mitigação de riscos implica na redução da probabilidade e/ou do impacto
de um evento para dentro de limites aceitáveis. Adotar uma ação antecipada para
60
reduzir a probabilidade e/ou o impacto de um risco ocorrer no projeto em geral é mais
eficaz do que tentar reparar o dano depois de o risco ter ocorrido.
• Aceitar. Essa estratégia é adotada porque raramente é possível eliminar todas as
ameaças de um projeto. Indica que a equipe do projeto decidiu não alterar o plano para
lidar com um risco. Pode ser passiva ou ativa. A aceitação passiva não requer
nenhuma ação exceto documentar a estratégia, deixando que a equipe do projeto trate
dos riscos quando eles ocorrerem. A estratégia de aceitação ativa mais comum é
estabelecer uma reserva para contingências, incluindo tempo, dinheiro ou recursos
para lidar com os riscos.
Por outro lado, as seguintes estratégias podem ser usadas para riscos positivos ou
oportunidades:
• Explorar. Essa estratégia pode ser selecionada para riscos com impactos positivos
quando a organização deseja garantir que a oportunidade seja concretizada. Procura
eliminar a incerteza associada com um determinado risco positivo, garantindo que a
oportunidade realmente aconteça.
• Compartilhar. Compartilhar um risco positivo envolve a alocação integral ou parcial
da propriedade da oportunidade a um terceiro que tenha mais capacidade de capturar a
oportunidade para benefício do projeto.
• Melhorar. Essa estratégia é usada para aumentar a probabilidade e/ou os impactos
positivos de uma oportunidade. Identificar e maximizar os principais impulsionadores
desses riscos de impacto positivo pode aumentar a probabilidade de ocorrência.
• Aceitar. Aceitar uma oportunidade é desejar aproveitá-la caso ela ocorra, mas não
persegui-la ativamente.
No processo de Planejar as respostas aos riscos, as respostas apropriadas são escolhidas,
acordadas e incluídas no registro dos riscos. O registro dos riscos deve ser gravado em um
nível de detalhamento que corresponda à classificação de prioridades e à resposta planejada.
Em geral, os riscos altos e moderados são abordados em detalhes. Os riscos considerados de
baixa prioridade são incluídos em uma “lista de observação” para monitoramento periódico.
3.4.6 Monitorar e controlar os riscos
61
Monitorar e controlar os riscos é o processo de ação dos planos de respostas a riscos,
acompanhamento dos riscos identificados, monitoramento dos riscos residuais, identificação
de novos riscos e avaliação da eficácia do processo de riscos durante o projeto. Esse processo
utiliza técnicas como análises de variações e tendências, que requerem o uso das informações
de desempenho geradas durante a execução do projeto.
As reavaliações dos riscos do projeto devem ser programadas com regularidade. Já as
auditorias de riscos examinam e documentam a eficácia das respostas para lidar com os riscos
identificados e suas causas-raiz, bem como a eficácia do processo de gerenciamento dos
riscos.
Durante a execução do projeto podem ocorrer alguns riscos, com impactos positivos ou
negativos nas reservas para contingências de orçamento ou cronograma. A análise das
reservas compara a quantidade restante de reservas para contingências com a quantidade de
risco restante a qualquer momento no projeto a fim de determinar se as reservas restantes são
adequadas.
Portanto, monitorar e controlar os riscos muitas vezes resulta na identificação de novos riscos,
na reavaliação dos riscos atuais e no encerramento dos riscos que estão desatualizados.
3.5. Mercado Financeiro
Falar de gerenciamento de risco no mercado financeiro já deixou de ser novidade há muito
tempo. No Brasil, as instituições financeiras tornaram-se referência mundial como
especialistas neste tema. A crise econômica mundial em 2009 deixou diversos negócios em
estado de alerta, muitos sentiram seus efeitos, exceto as grandes instituições no Brasil. Os
modelos de gerenciamento de risco adotados por estas instituições financeiras estão muito
maduros, tamanha maturidade requer revisões e adaptações periódicas e constantes em seus
modelos.
No âmbito internacional, (GARSIDE, 1 999, p. 1), há relatos que as expressivas perdas de
crédito ocorridas no final dos anos 80 e início dos anos 90 levaram as instituições a buscarem
técnicas mais modernas de gerenciamento de risco de crédito, visando avaliar não apenas o
risco relativo às exposições individuais, mas também o risco associado ao portfólio de crédito
como um todo.
62
No Brasil, (PRADO, 2 000, p. 2) registra que a estabilização da economia a partir da metade da
década de 90 conduziu o crédito a assumir um papel de crescente importância nas instituições
financeiras. Nesse ambiente, alguns bancos vêm procurando se alinhar às melhores práticas
internacionais de gestão de risco, desenvolvendo sofisticadas metodologias para medir o risco
dos seus portfólios de crédito.
O processo evolutivo de gestão de risco de crédito nas instituições financeiras tem sido
acompanhado por uma maior prioridade na utilização de modelos quantitativos como suporte
às decisões de crédito e à administração das carteiras. Uma das razões que motiva a adoção de
modelos quantitativos de risco de crédito é o interesse dos bancos em metodologias mais
maduros para determinar o montante de capital econômico que deve ser alocado para
contemplar os riscos assumidos em seus portfólios.
Deve-se destacar que um dos fatores determinantes para o desempenho de uma instituição
financeira é a alocação eficiente de capital. É uma balança com dois pesos: de um lado a
capitalização excessiva prejudica o retorno para os acionistas do banco, de outro a alocação de
um montante de capital insuficiente para suportar o risco gerado pelos ativos da instituição
pode comprometer a sua continuidade.
As técnicas de gestão de risco de crédito vêm sofrendo aprimoramentos pelo modelo
regulamentar sobre requerimento de capital estabelecido pelo Comitê da Basiléia sobre
Supervisão Bancária. As regras propostas pelo Acordo da Basiléia (BCBS, 1988) determinam
o requerimento de capital mínimo nas instituições financeiras com base em uma sistemática
de ponderação dos ativos pelo risco. Esta estrutura regulamentar foi objeto de severas críticas
por parte da indústria bancária, principalmente por não levar em consideração as diferenças na
qualidade de crédito dos tomadores e o efeito da diversificação da carteira.
Consequentemente, o Comitê da Basiléia empreendeu um processo de revisão normativo,
dando origem ao Novo Acordo de Capital (BCBS, 2004). Este entrou em vigor em 2006 e
proporcionou mais flexibilidade às instituições financeiras, possibilitando que as mesmas
criassem seus próprios modelos internos de avaliação de risco de crédito para o cálculo do
capital regulamentar, desde que eles fossem aprovados pelas autoridades de supervisão
bancária locais.
A busca pelo aprimoramento das técnicas de gestão de risco de crédito deu origem a uma
demanda por novas metodologias de avaliação de risco de carteiras.
63
Dentre os modelos difundidos na indústria bancaria internacional, destacam-se o
CreditMetrics, do banco J. P. Morgan (GUPTON , 1 997), o Credit Risk+, do Credit Suisse
First Boston (CSFB, 1997), o CreditPortfolioView, da McKinsey, e o KMV, da KMV
Corporation (KEALHOFER, 1 993).
Os modelos de risco de portfólio têm por objetivo principal estimar a função densidade de
probabilidade que define a distribuição de perdas em crédito de uma carteira. A partir da
distribuição de perdas, pode ser qualificado o risco de crédito do portfólio e calculado o
capital econômico a ser alocado pela instituição.
3.5.1 Crédito e Risco de Crédito
Crédito pode ser definido sob diversas perspectivas. De acordo com (SCHRICKEL, 2 000, p.
25), “Crédito é todo ato de vontade ou disposição de alguém de destacar ou ceder,
temporariamente, parte do seu patrimônio a um terceiro, com a expectativa de que esta
parcela volte à sua posse integralmente, após decorrido o tempo estipulado.”
Para instituição financeira, crédito é disponibilizar um valor de um tomador de recursos na
forma de um empréstimo ou financiamento, mediante compromisso de pagamento em uma
data futura. O crédito também pode referir-se a uma contingência, como operações de
prestação de garantias a terceiros, onde exige-se recursos se e somente se o tomador não
cumprir o acordo.
O conceito de crédito está relacionado à expectativa do recebimento de um valor em um
determinado período de tempo. Em conseqüência, (CAOUETTE, 1 999, p. 1) definem que
“[...] o risco de crédito é a chance de que esta expectativa não se cumpra.” De forma mais
específica, o risco de crédito é entendido como a possibilidade de o credor incorrer em perdas,
em razão de as obrigações assumidas pelo tomador não serem liquidadas nas condições
pactuadas. Essas perdas podem envolver total ou parcialmente o valor do capital emprestado,
além dos encargos financeiros incidentes sobre ele.
Segundo (BESSIS, 1 998, p. 81): “Risco de crédito é definido pelas perdas geradas pro um
evento de default do tomador ou pela deterioração da sua qualidade de crédito.” Há diversas
situações que podem caracterizar um evento de default ou evento de inadimplência de um
tomador de crédito. O autor cita como possíveis eventos de default o atraso no pagamento de
uma obrigação, o descumprimento de uma cláusula contratual restritiva (covenant), como, por
64
exemplo, um índice máximo de endividamento, o início de um procedimento legal como a
concordata e a falência ou, ainda, a inadimplência de natureza econômica, que ocorre quando
o valor econômico dos ativos da empresa se reduz a um nível inferior ao das suas dividas,
indicando que os fluxos de caixa esperados não serão suficientes para liquidar as obrigações
assumidas (BESSIS, 1 998, p. 82).
A deterioração da qualidade de crédito do tomador não resulta m uma perda imediata para a
instituição financeira, mas sim no incremento da probabilidade de que um evento de default
venha a ocorrer. Nos sistemas de classificação de risco, as alterações na qualidade de crédito
dos tomadores dão origem às chamadas migrações de risco.
Destaca-se que cada instituição financeira adota seu próprio conceito de evento de
inadimplência, estando geralmente relacionado ao atraso no pagamento de um compromisso
assumido pelo tomador por períodos como 60 ou 90 dias.
Em linha geral, risco se refere às situações em que podem ser determinados os possíveis
resultados ou valores das variáveis envolvidas no problema, bem como as respectivas
probabilidades de ocorrência. Assim, ao contrário da incerteza, o risco é definido por uma
situação em que a distribuição de probabilidade dos resultados possíveis é conhecida.
Na teoria de finanças, o conceito de risco esta associado à variabilidade dos resultados em
relação a um valor médio esperado. Quanto maior for o grau de dispersão de uma variável em
torno da média, maior será a probabilidade de que os seus resultados sejam diferentes do
valor esperado e, portanto, maior será o seu risco. Quando são tomadas decisões com base no
valor esperado de uma variável, a variabilidade dos seus resultados revela o risco envolvido
na decisão. Uma medida estatística tradicionalmente utilizada para mensurar a dispersão de
resultados é o desvio padrão.
O risco de crédito geralmente é avaliado a partir dos diversos fatores que compõem. De
acordo com ( BESSIS 1998, p. 81), o risco de crédito pode ser dividido em três partes: risco de
default, risco de exposição e risco de recuperação. O autor comenta que o risco de default está
associado probabilidade de ocorrer um evento de default com o tomador, o risco de exposição
decorre da incerteza em relação ao valor futuro da operação de crédito, enquanto que o risco
de recuperação se refere à incerteza quanto ao valor que pode ser recuperado pelo credor, no
caso de um default do tomador (BESSIS, 1 998, p. 82 - 85).
65
O risco de exposição é baixo nas operações onde há um cronograma de amortizações fixo,
entretanto pode ser significativo nas contingências e nas linhas de crédito rotativo, nas quais o
tomador pode sacar os recursos conforme suas necessidades, até um determinado limite
previamente estabelecido. O risco de recuperação, por sua vez, depende do tipo de evento de
default e das características da operação de crédito, como valor, praz o e garantias vinculadas.
O risco de default é também tratado por “risco cliente”, pois está vinculado às características
intrínsecas do tomador de crédito. Por outro lado, os riscos de exposição e de recuperação são
tratados por “risco operação”, uma vez que estão associados a fatores específicos de operação
de crédito.
O tipo de risco de crédito tratado neste estudo é o risco de default, já que é utilizado um
modelo estatístico para mensurar a probabilidade das empresas incorrerem em um evento de
default, cujo conceito adotado é o de concordata ou falência. Os riscos de exposição e de
recuperação não são tratados na pesquisa, devido ao fato de inexistirem informações públicas
detalhadas sobre carteiras de credito que permitam a inclusão dessas variáveis no trabalho.
Importante destacar que o risco de crédito não esta presente apenas nas operações tradicionais
de concessão de crédito, mas também em outras modalidades de instrumentos financeiros nos
quais existam obrigações a serem cumpridas por uma contraparte. Apesar do potencial de
riscos desses instrumentos, os empréstimos e financiamentos ainda são as principais fontes de
risco de crédito para a maioria das instituições.
3.5.2 Modelos de mensuração de risco
• CreditMetrics – Desenvolvido pelo JPMorgan Bank Inc. foi baseado na abordagem de
migração da qualidade do crédito concedido. Este modelo procura definir probabilidades
de mudanças da qualidade do crédito, inclusive para falência, dentro de um horizonte
temporal. A partir das probabilidades e do intervalo de tempo ele consegue estimar o
valor da perda potencial da carteira dado um determinado nível de confiança estatístico.
• KMV – Desenvolvido pela KMV Corporation está baseado na abordagem estrutural ou
avaliação de ativos com base na teoria de opção. Segundo (SAUNDERS, 2000) esta
abordagem consta da literatura desde a publicação do artigo de Robert Merton “On the
Pricing of Corporate Debt: The Risk Structure of Interest Rate” no Journal of Finance
de 06/1974. O modelo considera o processo de falência e relacionado à estrutura de
66
capital de firma. A falência acontece quando o valor dos ativos cai abaixo de um nível
critico.
• CreditRisk+ - Desenvolvido pela Credit Suisse Financial Products (CSFP) esta baseado
na abordagem atuarial. O modelo procura estabelecer medidas de perda esperada com
base no perfil de sua carteira de empréstimos ou títulos e no histórico de inadimplência.
• CreditPortfolioView – Desenvolvido pela Consultoria McKinsey esta baseado no
impacto de variáveis econômicas na inadimplência. Este modelo procura traçar cenários
multi-período onde a chance de falência esta condicionada a variáveis como
desemprego, patamar de taxas de juros, taxa de crescimento na economia, etc.
4. ANÁLISE COMPARATIVA ENTRE OS MÉTODOS
Após a dissertação das cinco metodologias de Gerenciamento de Risco (HAZOP, FMEA, ISO
31000, PMBOK e Mercado Financeiro) no capítulo anterior, vemos que há similaridades e
diferenças entre elas, o que pode ser melhor visualizado em uma tabela comparativa. A
escolha destas metodologias foi baseada na análise de seus respectivos favorecimentos da
análise de risco e suas correlações com prática de projetos. A familiaridade com as
metodologias, a consolidação em seus setores de origem e a necessidade de se compilar
comparações entre elas em um só trabalho também interferiram na escolha.
4.1. Relacionamentos entre processos
Considerando que as cinco metodologias abordam o mesmo assunto e estão relacionadas ao
gerenciamento de riscos, elas são similares em algumas fases que compõem a estrutura básica
de cada metodologia. As diferenças existentes entre as metodologias estão baseadas em
atividades e /ou produtos específicos gerados ou não pelos processos de cada metodologia.
A seguir, propõe-se uma tabela com as atividades de gerenciamento de riscos para cada
metodologia, visando demonstrar o relacionamento entre os diversos processos de
identificação dos riscos, natureza da análise (qualitativa e/ou quantitativa), estratégias de
respostas aos riscos, monitoramento e controle.
67
Processo de gerenciamento de riscos estruturado em 5 etapas
Tabela 8 Metodologia HAZOP
Metodologia HAZOP
Contexto Definição da linha de processo a ser estudada.
Identificação Com a utilização das palavras-guia identifica-se os possíveis desvios
(riscos) nos processo e nos equipamentos pertencentes à linha em estudo.
Avaliação Análise qualitativa dos desvios. O desvio realmente pode ocorrer?
Tratamento / Plano de respostas
Propõe-se soluções para tratamento dos desvios e é feita a análise de viabilidade para a implantação da solução proposta.
Revisão e Monitoração Registro e acompanhamento da implantação das soluções propostas e
suas revisões.
Tabela 9 Metodologia FMEA
Metodologia FMEA
Contexto Definição do ramo que o método será utilizado (ex. indústria química,
automotiva e alimentícia).
Identificação Identificação das falhas potenciais do produto ou processo.
Análise qualitativa das falhas de acordo com os índices de severidade, ocorrência e detecção.
Avaliação Análise quantitativa das falhas de acordo com os índices de severidade,
ocorrência e detecção. Tratamento / Plano de
respostas Tratamento com base no cálculo do RPN.
Revisão e Monitoração Revisão de planos de ação de maneira a assegurar que as mudanças
ocorridas durante a execução do projeto não interferiram na classificação numérica e priorização dos riscos identificados no planejamento.
Tabela 10 Metodologia ISO 31000
Metodologia ISO 31000
Comunicação e consulta Contexto
Estabelecimento do contexto
Identificação Identificação de riscos
Análise de riscos Avaliação
Avaliação de riscos
Tratamento / Plano de respostas
Tratamento de riscos
Revisão e Monitoração Monitoramento e análise crítica
68
Tabela 11 Metodologia PMBOK
Metodologia PMBOK
Contexto Planejamento do gerenciamento dos riscos
Identificação Identificação de riscos
Análise qualitativa dos riscos Avaliação
Análise quantitativa dos riscos
Tratamento / Plano de respostas
Planejamento de resposta aos riscos
Revisão e Monitoração Monitoramento e controle dos riscos
Tabela 12 Metodologia Mercado Financeiro
Metodologia Mercado Financeiro
Contexto Planejar riscos e eliminá-los no próprio negócio
Identificação Identificação (Basiléia e dados históricos)
Avaliação Análise quantitativa
Tratamento / Plano de respostas
Reações
Revisão e Monitoração Monitoramento e controle dos riscos
4.2. Matriz comparativa
A fim de possibilitar a comparação entre estas metodologias, as seguintes características
relevantes foram compiladas em uma matriz. São elas:
• Aplicabilidade de cada metodologia
• Vantagens
• Desvantagens
• Favorecimento da análise de riscos para projetos
• Correlação com prática de projetos
69
Comparação entre as características das metodologias
Tabela 13 Principais características da metodologia HAZOP
Metodologia HAZOP
Aplicabilidade Voltado para processos industriais, desenvolvido para indústria
Química/Petroquímica.
Vantagens Abrange todos os processos e seus desvios possíveis
Desvantagens O método prevê somente a análise qualitativa. É dependente do conhecimento do
grupo para obter as vantagens propostas.
Favorecimento da análise de riscos
para projetos
Identifica todos os possíveis desvios tanto nas linhas dos processos quanto nos equipamentos.
Correlação com práticas de
projetos
É voltado para processos, e não para projetos. Com adaptações, pode ser utilizado para processos de gestão de projeto.
Tabela 14 Principais características da metodologia FMEA
Metodologia FMEA
Aplicabilidade
Utilizada por indústrias de diferentes ramos (química, automotiva e alimentícia) para identificar todas as possíveis falhas, seja para produto ou processo, sistema ou
procedimento, produtos novos ou em operação, mudando apenas o objetivo de sua aplicação.
Vantagens
Evidencia qual é o ponto mais crítico do projeto, com vistas à tomada de ações preventivas para minimizar o impacto dos riscos em escopo, prazo, custo, recursos
humanos, além de possuir um enfoque genérico, o que lhe permite ser personalizado para cada situação, projeto ou empresa.
Desvantagens
Identifica as falhas potenciais no projeto, sistema ou processo, o que acaba excluindo seu uso como ferramenta para análise de riscos positivos. Apesar desta metodologia ser quantitativa, sua análise é subjetiva principalmente devido às discrepâncias na
definição dos índices de severidade, ocorrência e detecção.
Favorecimento da análise de riscos
para projetos
Identifica todas as possíveis falhas (seja para produto ou processo, sistema ou procedimento, produtos novos ou em operação) e suas causas para que sejam
analisadas e tomadas as ações preventivas necessárias (gerenciamento de riscos).
Correlação com práticas de
projetos
O FMEA pode ser aplicado para cada área de conhecimento do PMBOK, apesar do enfoque inicial ser qualidade. O formulário FMEA pode ser adequado considerando
atributos exclusivos de cada projeto.
Tabela 15 Principais características da metodologia ISO 31000
Metodologia ISO 31000
Aplicabilidade Abordagem genérica com princípios e diretrizes para gerenciar qualquer forma de risco de uma maneira sistemática, transparente e confiável, dentro de um escopo e
contexto definido pela organização, suportando tanto projetos como processos.
Vantagens Harmoniza padrões, regulamentações e frameworks já publicados, alinhada com a
visão integrada e, por se tratar de uma norma de alto nível, não há concorrência com as normas já existentes
Desvantagens Não define claramente as entradas, ferramentas e técnicas e saídas de cada processo, sendo necessária a utilização de outras normas para complementá-la, por exemplo, a
70
norma ISO 31010 que descreve as ferramentas e técnicas na avaliação dos riscos.
Favorecimento da análise de riscos
para projetos
A norma pode ser aplicada a qualquer tipo de risco, seja qual for a sua natureza, mesmo de consequências positivas ou negativas, onde a norma oferece uma
abordagem comum de apoio às normas existentes que tratam de riscos específicos para alguns setores, porém não para substituí-las, mas sim para suportá-las.
Correlação com práticas de
projetos
Estabelece uma filosofia para aplicar gerenciamento do risco organizacional em toda sua estrutura, incluindo as estratégias e decisões de operações, processos, funções,
projetos, produtos e serviços, bem como os projetos da organização e os processos de mudança organizacional.
Tabela 16 Principais características da metodologia PMBOK
Metodologia PMBOK
Aplicabilidade
Constitui uma base de conhecimento a ser aplicado no gerenciamento de projetos para os casos específicos de cada organização, fornecendo um vocabulário comum para se discutir, escrever e aplicar o gerenciamento de projetos possibilitando o intercâmbio
eficiente de informações entre os profissionais.
Vantagens
O guia é baseado em processos e subprocessos para descrever de forma organizada o trabalho a ser realizado durante o projeto. Os processos descritos se relacionam e
interagem durante a condução do trabalho e a descrição de cada um deles é feita em termos de entradas; ferramentas/técnicas e saídas.
Desvantagens Aborda somente o escopo de projeto, não tratando dos riscos de processos
operacionais que podem impactar o projeto e os objetivos do projeto.
Favorecimento da análise de riscos
para projetos
Os objetivos deste processo no PMBOK são aumentar a probabilidade e o impacto dos eventos positivos e reduzir a probabilidade e o impacto dos eventos negativos no
projeto.
Correlação com práticas de
projetos
O capítulo 11 do guia trata especificamente do gerenciamento dos riscos do projeto e inclui os processos de planejamento, identificação, análise, planejamento de respostas
aos riscos e, monitoramento e controle de riscos de um projeto.
Tabela 17 Principais características das metodologias CreditRisk+ e Credit Portifolio
View
Mercado Financeiro Metodologia
CreditRisk+ Credit Portifolio View
Aplicabilidade
Normalmente são utilizados pelas instituições financeiras, porém qualquer empresa com programas próprios de crédito podem utilizá-los. Quando não há certeza quanto aos valores dos fluxos de caixa futuros, sua aplicabilidade torna-se reduzida pela necessidade de geração dos
possíveis valores dos fluxos no vencimento. Para solução deste problema, é necessário o desenvolvimento de modelos integrados.
Vantagens
Simplicidade para sua implementação, pois a modelagem utiliza apenas a média e o desvio-padrao. Assim, a única variável relevante para
modelagem é a média histórica de inadimplência.
Não se restringe apenas aos valores de mercado associados aos cenários de
inadimplência e não inadimplência, apurando todos os valores que o título pode apresentar
em um período.
Desvantagens
O modelo utiliza apenas uma variável que é a média histórica de inadimplência, e essa
hipótese simplificadora faz com que a taxa de inadimplência impeça alterações em seu nível
geral,
Este modelo não considera a taxa de juros determinística, portanto, as mudanças nos
valores das carteiras decorrentes apenas das alterações nos spreads de crédito não serão
capturadas.
Favorecimento da análise de riscos
para projetos
Todas podem ser incorporadas às questões de cunho financeiro ou diretamente relacionado às finanças de um projeto.
71
Correlação com práticas de
projetos
Alta coesão com métodos de quantificação e simulações estatísticas, porém, requer cuidado ao identificar informações relevantes e fortemente relacionadas às causas do risco.
Tabela 18 Principais características das metodologias KMV e Credit Metrics
Mercado Financeiro Metodologia
KMV Credit Metrics
Aplicabilidade Idem a Tabela 17 Principais características das metodologias CreditRisk+ e Credit
Portifolio View
Vantagens
Baseado em dados do mercado acionário, ao invés de agências de classificação ou
áreas de avaliação de crédito das instituições financeiras, servindo também
para avaliação e precificação de operações de crédito.
Não se restringe apenas aos valores de mercado associados aos cenários de inadimplência e não inadimplência,
apurando todos os valores que o título pode apresentar em um período.
Desvantagens
Não captura o risco sistemático da carteira, e por isso, esse método não
funciona bem como modelo preditivo de risco de crédito associado a alterações na
volatilidade ou descontinuidade nos preços dos ativos.
Seus valores são incondicionais, ou seja, não são afetados pelas novas informações
incorporadas diariamente ao cenário econômico. A apuração da média é muito questionada porque o período de análise é bem longo, em torno de 20 anos, fazendo com que ele captura diferentes ambientes
econômicos.
Favorecimento da análise de riscos
para projetos
Idem a Tabela 17 Principais características das metodologias CreditRisk+ e Credit Portifolio View
Correlação com práticas de
projetos
Alta coesão com métodos de quantificação e simulações estatísticas, porém, requer cuidado ao identificar informações relevantes e fortemente relacionadas às causas do
risco.
72
5. CONCLUSÕES
5.1 André Pontes Sampaio
Na conclusão deste trabalho, enfatizo a abordagem dos seguintes objetivos pessoais
específicos: (1) demonstrar os principais desafios intrínsecos ao tema Gerenciamento de Risco
de TI na minha instituição de trabalho; (2) analisar com maior profundidade as vantagens de
cada metodologia estudada no intuito de aplicá-las no meu ambiente de trabalho,
considerando os desafios apontados; e, descrever as adaptações em um processo
organizacional de minha responsabilidade em minha instituição de trabalho a partir das
melhores práticas identificadas.
5.1.1 Principais desafios intrínsecos ao tema gerenciamento de risco de ti em minha
instituição de trabalho
Mesmo considerando que a aplicação das noções de Gerenciamento de Risco de TI se tornou
essencial, muitas organizações acreditam que esse processo está atrelado somente à adoção de
soluções tecnológicas eficazes, sejam estas de hardware ou software. Durante muito tempo
esta visão contribuiu para justificar o não estabelecimento de uma política integrada de
Gerenciamento de Riscos, visto que a cada ano os recursos financeiros destinados à área de
tecnologia se tornaram cada vez mais disputados, considerando a quantidade enorme de
projetos que deveriam ser desenvolvidos pelo Departamento de Tecnologia da Informação
(DTI). Na instituição em que trabalho não foi diferente. Muito se investiu nos projetos de
redundâncias físicas e/ou lógica dos sistemas informatizados, de forma a tentar minimizar
quaisquer indisponibilidades nos ativos organizacionais que afetassem os serviços
corporativos providos pelo DTI. Somente em 2009, iniciou-se um projeto amplo com objetivo
de definir um plano de continuidade de negócios, e uma das ações necessárias para suportar
esse plano foi criação de um centro de processamento de dados (CPD) em Campinas/SP, para
assumir e suportar a continuidade dos principais serviços críticos no caso de uma catástrofe
geral no centro de processamento de dados (CPD) em São Paulo/SP.
Dentro deste contexto, foram definidos os 05 (cinco) serviços mais críticos da instituição, os
quais deveriam ser suportados integralmente pelo CPD secundário em caso de falha no CPD
principal. Dessa forma, não é exagero afirmar que a responsabilidade pelo processo de
Gerenciamento de Riscos da organização recai, na grande maioria das vezes, nos gestores de
tecnologia da informação. Em geral, os gestores buscam balancear os riscos aos quais as
73
organizações estão suscetíveis e suas respectivas conseqüências, com os custos envolvidos na
minimização dos riscos.
Infelizmente, um problema que detectei durante esse processo é que os gestores normalmente
esquecem que a base de suporte para todo este arcabouço tecnológico são os processos e as
pessoas, os quais recebem pouco foco durante o desenvolvimento deste trabalho, embora eles
reconheçam a importância de se ter um adequado conhecimento e compreensão de todos os
riscos. De modo algum estou contradizendo a eficácia da construção do plano de continuidade
em andamento; ressalto apenas que a sua instauração deve ser feita de modo abrangente e
estruturado, incorporando o treinamento das pessoas e identificação dos riscos operacionais
nos processos para aumentar a maturidade do gerenciamento dos riscos na organização.
Portanto, nesta minha conclusão do trabalho, focarei na integração do processo
Gerenciamento de Mudanças de Infraestrutura de TI (definido na Transição de Serviços do
guia ITIL) para suportar o plano de continuidade de negócios e fazer com que as pessoas
envolvidas neste processo participem ativamente no gerenciamento de riscos, mesmo que
forma inconsciente. Estará neste escopo treinamento (workshop) relacionado ao processo de
mudanças com atividades de identificação, avaliação e plano de resposta aos riscos
operacionais envolvidos em cada mudança. Esse é o principal desafio identificado para a
melhoria dos processos de gerenciamento de riscos de TI em desenvolvimento na instituição
onde trabalho.
5.1.2 Análise das vantagens de cada metodologia para aplicação em meu ambiente de
trabalho
O objetivo do Gerenciamento de Risco de TI não é eliminar todos os riscos em sua plenitude,
mas sim reduzí-los a um nível aceitável, onde as falhas estão previstas e consideradas dentro
deste limite. As metodologias apresentadas nesse trabalho fornecem técnicas e abordagens
diferentes para o processo de gerenciamento de riscos. Identificarei em cada metodologia sua
principal vantagem para incorporação ao processo de Gerenciamento de Mudanças de
Infraestrutura de TI, visando melhorar o processo e conscientizar as pessoas envolvidas sobre
a importância e necessidade de focar em riscos e planejar respostas.
A metodologia HAZOP possui uma importante característica voltada à análise com o intuito
de examinar as linhas do processo, identificando perigos e prevenindo problemas. Nesta
metodologia, identificam-se perigos e previnem-se falhas nos processos e equipamentos
74
baseando-se em um procedimento que gera perguntas de maneira estruturada e sistemática
através do uso apropriado de um conjunto de palavras-chave aplicadas a pontos críticos do
sistema em estudo. Para a melhoria do Processo de Mudanças, verificou-se a possibilidade de
utilizar a técnica HAZOP durante a etapa do processo denominada Revisão Pós-
Implementação, como forma de registrar as falhas ocorridas no processo e corrigí-las.
Conforme estabelecido no capítulo 3, o método HAZOP é principalmente indicado quando da
implantação de novos processos na fase de projeto ou na modificação de processos já
existentes. Em suma, sempre que se desejar identificar e precaver-se de desvios em processos
já consolidados ou não, pode-se utilizar o HAZOP.
Para a execução do método HAZOP, deve-se formar um grupo de estudo multidisciplinar que
avaliará os possíveis desvios dos processos. Especificamente tratando do processo de
mudanças, esse grupo multidisciplinar envolverá o gerente do processo de mudanças (líder do
processo HAZOP), o gerente do processo de liberações (redator do processo HAZOP) e toda a
equipe técnica envolvida na mudança. A manutenção do líder e do redator em todos os grupos
auxilia na compatibilização das soluções dos diversos estudos e no monitoramento das
soluções propostas. Uma vez definido o grupo, este analisará a efetividade na mudança
durante a reunião de Revisão Pós-Implementação, identificando os possíveis desvios que
geraram algum tipo de incidente. A comparação entre os parâmetros planejados para ocorrer e
os parâmetros gerados pelos desvios identificados determina o impacto do desvio no processo.
Com a identificação das causas e das conseqüências, os desvios analisados poderão
determinar as ações a serem tomadas pelo grupo para a melhoria do processo de mudanças na
instituição.
Com relação à metodologia FMEA, seu principal objetivo é evitar que problemas cheguem
até o consumidor final do produto, sistema, processo ou serviço. Por isso, FMEA provê um
método sistemático para examinar todos os modos que uma falha pode ocorrer. Para a
melhoria do processo de mudanças, a metodologia FMEA será aplicada durante a atividade de
Homologação e Testes da Mudança, a qual passará a ser obrigatória o uso dessa metodologia
antes de promover a mudança para o ambiente de produção.
Como o FMEA é uma metodologia sistemática que deve ser aplicada por grupos
multidisciplinares para aumentar, com a agregação e sinergia dos conhecimentos das pessoas
envolvidas, o grau de percepção, de análise e de solução das falhas e defeitos, esta atividade
de homologação da mudança envolverá os desenvolvedores do sistema e os usuários que
75
utilizam o sistema, como forma de validar todo o plano de teste previsto. A equipe deverá
listar todas as possíveis falhas (do produto ou do processo) e suas causas para que sejam
analisadas e tomadas as ações preventivas necessárias. A maior vantagem da utilização do
FMEA é a de evidenciar qual é o ponto mais crítico dos testes, com vistas à tomada de ações
preventivas para minimizar o impacto dos riscos. A utilização da técnica FMEA deve
melhorar a qualidade dos sistemas e processos de promoção desses sistemas para a produção,
uma vez que envolve as diversas equipes para atuarem de forma integrada. O modo como as
falhas podem ocorrer são avaliados com base em 03 (três) quesitos: ocorrência, gravidade e
detecção. Após o início de sua aplicação, o FMEA deverá ser atualizado e revisto sempre que
necessário, pois novas falhas passam a ser conhecidas e previstas (devido às alterações de
critério de qualidade por parte dos clientes e planos de testes específicos para cada sistema).
Para a utilização dessa metodologia, um formulário FMEA será criado e personalizado para
suportar a atividade de homologação da mudança. Conforme define a metodologia, o
formulário será composto por tabela e índices de classificação sucintos e objetivos,
caracterizando-o como simples, eficiente, de fácil compreensão e implantação.
A ISO 31000 será utilizada neste processo de melhoria do Processo de Mudanças de
Infraestrutura de TI como o principal arcabouço para o sucesso nas mudanças propostas no
processo (Estabelecimento do Contexto) e suporte para sua efetividade através da construção
e aderência à uma política de riscos institucional de conhecimento de todo o corpo funcional
(Mandato e Comprometimento). A utilização da ISO 31000 justifica-se ainda pelo objetivo de
integrar as diversas metodologias propostas nesta conclusão, como forma de maximizar a
gestão de riscos para que a mesma não seja tratada de forma isolada.
Como a gestão de riscos na organização e o suporte à sua eficácia exigem forte
comprometimento da alta administração, bem como o planejamento estratégico e rigoroso
para atingir o empenho de todos os níveis organizacionais, fará parte deste trabalho auxiliar a
construção de uma política de gestão de riscos aprovada pela alta direção da corporação, uma
vez que, infelizmente, essa ainda não existe. Tenho o entendimento que esse é um importante
pilar para comprometimento das diversas equipes envolvidas para o sucesso da melhoria que
está sendo proposta.
Fará parte do treinamento (workshop) sobre o processo de mudança a lista dos 11 (onze)
princípios definidos pela ISO, para que sejam compreendidos e difundidos por toda a
organização, como forma de suportar um gerenciamento de risco eficaz na empresa. As
76
pessoas envolvidas devem ter o entendimento de que a gestão de riscos: cria e protege valor
(suporta o plano de continuidade de negócios que está em desenvolvimento no DTI); é parte
integrante de todos os processos organizacionais (por isso fará parte do processo de
mudança); é parte do processo decisório (aprovação ou não da mudança e o seu agendamento
futuro); aborda explicitamente a incerteza; é sistemática, estruturada e oportuna; é baseada na
melhor informação disponível (daí a necessidade do empenho dos envolvidos em identificar
os riscos operacionais); é alinhada com o perfil da empresa; leva os fatores humanos e
culturais em consideração (motivo pelo qual o workshop será feito para os diversos
departamentos); deve ser transparente e inclusiva (processo e templates estarão divulgado na
Intranet da instituição); é dinâmica, interativa e receptiva às mudanças; e facilita a melhoria
contínua da organização.
Com relação ao guia PMBoK que trata especificamente do gerenciamento dos riscos de
projetos, cada mudança passará a ser encarada como um projeto específico, uma vez que
atende a definição: “projeto é um esforço temporário empreendido para criar um produto,
serviço ou resultado exclusivo”. Dessa forma, para cada mudança, a equipe que submeterá a
Requisição de Mudança será responsável pelas atividades de: identificar os riscos
(determinação dos riscos que podem afetar a mudança); realizar a análise qualitativa dos
riscos (priorização dos riscos para análise ou ação adicional através da avaliação e
combinação de sua probabilidade de ocorrência e impacto); realizar a análise quantitativa dos
riscos (analisar numericamente o efeito dos riscos identificados, nos objetivos gerais da
mudança) e planejar as respostas aos riscos (desenvolvimento de opções e ações para
aumentar as oportunidades e reduzir as ameaças aos objetivos das mudanças). Estas
informações serão registradas em um formulário próprio criado para a submissão da
Requisição da Mudança.
Ficarão sob responsabilidade do gerente do processo de mudanças as atividades de planejar o
gerenciamento dos riscos (definição do processo, e sua publicação na Intranet, de como
conduzir as atividades de gerenciamento dos riscos de uma mudança) e monitorar e controlar
os riscos (acompanhamento dos riscos identificados, monitoramento dos riscos residuais,
identificação de novos riscos e avaliação da eficácia dos processos de tratamento dos riscos
durante a mudança).
Finalmente, a gestão de riscos baseada na metodologia do mercado financeiro será utilizada
para avaliar o risco geral do Planejamento Futuro das Mudanças, o qual engloba todas as
77
mudanças aprovadas para ocorrer em um determinado período. O conjunto de mudanças
futuras será considerado como a carteira (portfólio) a ser avaliada, onde cada mudança possui
seu risco específico e para maximizar o sucesso das mudanças, o risco de cada mudança deve
ser preferencialmente independente dos demais.
Assim, o risco geral da programação futura de mudanças considerará o impacto que uma
mudança pode ocasionar na execução de outra, uma vez que a aplicação de uma mudança
pode criar riscos não previstos anteriormente. Na teoria de finanças, o conceito de risco está
associado à variabilidade dos resultados em relação a um valor médio esperado. Portanto, a
meta do processo é criar uma carteira eficiente de mudanças futuras que minimize o nível de
risco de indisponibilidade dos ativos através da diversificação dessas mudanças. Quanto mais
negativa (ou menos positiva) for a correlação entre as diversas mudanças futuras, maiores
serão os benefícios de redução de riscos na diversificação. Essa diversificação deve suportar a
atividade de Agendamento das Mudanças Futuras.
Com isso, através das ações previstas de adoção do gerenciamento de riscos nos processos de
mudanças de infraestrutura, objetiva-se aumentar a probabilidade e o impacto dos eventos
positivos e reduzir a probabilidade e o impacto dos eventos negativos nas mudanças
executadas na empresa onde trabalho.
78
5.2 Aristides Souza Barcellos
Conforme descrito no inicio deste trabalho, quando pensamos na gestão de projetos pensamos
em diversas áreas de conhecimento, conforme exposto no PMBOK, inclusive gerenciamento
de risco. Para o gerenciamento de risco, atualmente, existem diversas metodologias
disponíveis e dentro deste rol de possibilidades foram detalhadas as metodologias que
favorecem estas análises e suas correlações com as práticas de gerenciamento de projetos. A
familiaridade com as metodologias e a consolidação em seus setores de origem também foram
levados em consideração para a escolha.
Na proposta de subsidiar as futuras turmas do MBA de Gerenciamento de Projeto destaco,
dentre as metodologias descritas anteriormente, metodologia HAZOP e a metodologia
proposta no PMBOK, juntas estas duas se complementam. A primeira trata da análise
qualitativa de processos operacionais que impactam diretamente os objetivos do projeto,
enquanto na segunda esta análise é tida como uma desvantagem, justamente por não avaliar
estes processos. Além disto, a análise de risco proposta pelo PMBOK destaca a necessidade
da análise quantitativa que não é avaliada pela HAZOP, o ponto falho dessa metodologia, e
possue uma estrutura baseada em processos e subprocessos que descrevem de forma
organizada o trabalho a ser realizado durante o projeto, esta estrutura é alinhada a estrutura
proposta pela HAZOP.
Como dito anteriormente, a metodologia HAZOP surgiu para ser empregada tanto em
processos novos como nos já existentes, independentemente do tamanho, e não como uma
ferramenta para ser aplicada na gestão de risco de projeto, nos moldes do PMBOK. Apesar de
não ter surgido como uma ferramenta de gestão de risco de projeto esta pode, com algumas
adaptações, ser empregada como uma ferramenta de gestão de risco de projeto em
consonância com o PMBOK.
Com base no exposto anteriormente e com o propósito de adaptar o HAZOP a gestão de risco
em projetos (HAZOP de projeto), alinhado às práticas preconizadas pelo PMI, será proposto
adaptações no desenvolvimento, nas formações dos grupos, nas palavras-chave, no
fluxograma de análise de desvio (risco) e no formulário de registro das ações definidas pelo
grupo de estudo de tal modo que seja possível realizar a identificação das etapas do “ HAZOP
de projeto” com as etapas descritas no capítulo 11 do PMBOK.
79
5.2.1 Formação do grupo de estudo
Como trata-se de um grupo de estudo voltado para a análise de riscos na gestão de um projeto
os membros serão os representantes das áreas de conhecimento definidas no PMBOK, apesar
de (Kletz, 2006) recomendar o número máximo de 8 integrantes, todos farão parte do grupo,
isto é, será um grupo com 10 membros. A Seguir, a formação do grupo e suas respectivas
responsabilidades.
• Gerente de Projeto
Responsável pela gestão do projeto e por contribuir com a visão dos “stakeholders” na
análise de risco.
• Representante da Qualidade
O gerente de qualidade ou o responsável pelo controle da qualidade do projeto,
responsável por avaliar o impacto dos desvios na qualidade do projeto, seja no produto
final ou nos processos.
• Representante do Gerenciamento do Escopo
O gerente de escopo ou o responsável pelo controle do escopo, responsável por avaliar o
impacto dos desvios no escopo do projeto.
• Representante do Planejamento (Tempo)
O gerente de planejamento ou o responsável pelo planejamento do projeto, responsável
por avaliar o impacto dos desvios no cronograma do projeto.
• Representante do Custo
O gerente de custo ou o representante pelo controle de custo do projeto, responsável por
avaliar o impacto quantitativo dos desvios no projeto e avaliar o custo da implantação
das soluções propostas pelo grupo.
• Representante da Integração das Áreas
O responsável pela integração das áreas de conhecimento e por auxiliar na avaliação dos
impactos nas diversas áreas.
80
• Representante de Comercial (Aquisição)
O responsável pela contratação e aquisição de materiais e serviços para o projeto, avalia
o impacto nos fornecimentos e auxilia no orçamento das soluções propostas para os
desvios.
• Representante dos Recursos Humanos
O responsável por avaliar o impacto nas pessoas envolvidas no projeto, tanto na
necessidade de contratação/demissão quanto na saúde e segurança do trabalho.
• Representante de Comunicação
O responsável por avaliar a necessidade de comunicação interna e externa e por
registrar as decisões tomadas pelo grupo para responder aos mais diversos desvios
identificados, isto é, o redator.
• Líder do Grupo
O Responsável por conduzir a reunião e, necessariamente, deve conhecer da
metodologia HAZOP e a metodologia proposta pelo PMBOK. Será o responsável por
monitorar a implantação das soluções propostas.
O Líder pode ser o responsável pelo gerenciamento do risco do projeto, caso seja necessário
pode solicitar a presença de especialistas para tratar soluções para desvios mais específicos,
caso no grupo de estudo não haja ninguém com o conhecimento necessário sobre o tema
tratado. Nota-se que esta formação será a mesma, independentemente, do tamanho do projeto.
Como sugerido por (Nolan, 1994), caso seja necessário, em decorrência da complexidade do
projeto, pode-se realizar vários grupos, porém, para a gestão de risco em projeto, é necessário
a permanência do Líder e do Redator, conforme exposto por (Kletz, 2006). Além destes 2,
recomendo a permanência dos representantes de custo, tempo, escopo e qualidade.
É necessária a permanência destes outros 4, pois todos os desvios impactará em ao menos 1
destes objetivos do projeto.
“O risco do projeto é um evento ou condição incerta que, se ocorrer, terá um efeito positivo ou
negativo sobre pelo menos um objetivo do projeto, como tempo, custo, escopo ou qualidade...”
81
(PMBOK, 2004)
5.2.2 Palavras-chave e respectivos desvios
Uma vez definido o grupo, este analisará as etapas do projeto em pequenos eventos e,
separadamente, os eventos externos que podem impactar os objetivos do projeto e comparará
as expectativas do projeto com os cenários possíveis criados pelo grupo, assim, pode-se
determina o impacto dos cenários criados nos objetivos do projeto (Custo, Tempo, Escopo,
Qualidade). Com a identificação das causas e das conseqüências para os possíveis cenários
analisados determinar-se-ão as ações a serem tomadas pelo grupo.
As palavras-chave utilizadas pelo grupo de estudo serão as apresentadas na tabela abaixo mais
aquelas que, devido à peculariedade de cada projeto, o grupo julgar pertinente
Tabela 19 Grupo de palavras-chave para análise de desvios do projeto e os respectivos
desvios gerados
GRUPO DE PALAVRAS-CHAVE PARA ANÁLISE DE RISCOS DO P ROJETO
Palavra-chave Significado
NÃO Negação completa da intenção do projeto
MAIS Aumento quantitativo
MENOS Diminuição quantitativa
PARTE Modificação qualitativa / redução
ALÉM Substituição completa
BEM COMO Modificação qualitativa / aumento
REVERSO Oposto lógico da intenção do projeto
PRECOCE Relativo ao tempo do relógio
TARDIO Relativo ao tempo do relógio
ANTES Relativo à ordem ou seqüência
DEPOIS Relativo à ordem ou seqüência
82
5.2.3 Análise qualitativa e quantitativa dos riscos identificados
O grupo deverá fazer a análise individual de cada risco identificado tanto qualitativamente
quanto quantitativamente e munidos destas informações proporão as ações de resposta.
A análise quantitativa é uma inovação à metodologia HAZOP que originalmente não prevê
este tipo de análise. Sendo que o impacto deverá ser avaliado nos 4 objetivos do projeto. Ao
final da análise quantitativa o grupo deverá ser capaz de responder as 4 perguntas a seguir:
• Qual o impacto financeiro no projeto? (Área de conhecimento CUSTO)
• Qual o impacto no prazo do projeto? (Área de conhecimento TEMPO)
• Qual o impacto no escopo do projeto? (Área de conhecimento ESCOPO)
• Qual o impacto na qualidade do projeto? (Área de conhecimento QUALIDADE);
Com as resposta das perguntas acima e com o estudo de viabilidade e exeqüibilidade proposto
por (Kletz, 2006) o grupo poderá sugerir respostas aos riscos de maneira que minimizem as
perdas e maximizem os ganhos.
5.2.4 Estudo de viabilidade e exeqüibilidade
O estudo de viabilidade e exeqüibilidade da resposta ao risco proposto por (Kletz, 2006) não
se adéqua de maneira satisfatória a esta proposta de adequação da metodologia HAZOP como
ferramenta de análise e gerenciamento de risco do projeto.
Como descrito anteriormente, a proposta original do estudo visa muito mais os processos na
indústria, não se adequando ao gerenciamento de risco em projeto. Porém, a idéia de se
realizar um estudo de viabilidade e exeqüibilidade como uma das etapas da metodologia é
fantástica, pois força a equipe a preparar este estudo, com isso, reduzindo a probabilidade de
tomada de decisão sem respaldo em informações técnicas.
5.2.5 Fluxograma HAZOP compatibilizado com o pmbok
O fluxograma originalmente proposto por (Kletz, 2006) para o estudo HAZOP é adequado
para o estudo de processos em plantas industriais. Para a adequação ao modelo de
gerenciamento de Risco proposto pelo PMI é necessário adequarmos algumas informações do
fluxograma, bem como, incluir novas caixas de atividades.
83
Para uma melhor identificação com o a estrutura proposta no PMBOK as atividades
relacionadas no fluxograma foram agrupadas de tal maneira que pudessem ser classificadas
nos processos de gerenciamento de risco proposto pelo PMI. Sendo os processos descritos
abaixo, conforme expostos no capítulo 11 do PMBOK 3ª Edição, 2004:
• Item 11.1 – Planejamento do gerenciamento de riscos – decisão de como abordar,
planejar e executar as atividades de gerenciamento de riscos de um projeto.
• Item 11.2 – Identificação de riscos – determinação dos riscos que podem afetar o
projeto e documentação de suas características.
• Item 11.3 – Análise qualitativa de riscos – priorização dos riscos para análise ou ação
adicional subseqüente através de avaliação e combinação de sua probabilidade de
ocorrência e impacto.
• Item 11.4 – Análise quantitativa de riscos – análise numérica do efeito dos riscos
identificados nos objetivos gerais do projeto.
• Item 11.5 – Planejamento de respostas a riscos – desenvolvimento de opções e ações
para aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto.
• Item 11.6 – Monitoramento e controle dos riscos – acompanhamento dos riscos
identificados, monitoramento dos riscos residuais, identificação dos novos riscos,
execução de planos de respostas a riscos e avaliação da sua eficácia durante todo o ciclo
de vida do projeto.
84
Figura 7 Fluxograma de análise de risco de projeto pela metodologia HAZOP
Fonte: Adaptado Figure 2.1 HAZOP and Hazan 4ª Edição, (Kletz, 2006).
O fluxograma deverá ser seguido para todos os riscos identificados e as ações de respostas
deverão ser anotadas no formulário adaptado do HAZOP para análise de risco de projeto.
5.2.6 Formulário de anotação e controle de respostas aos riscos identificados
O formulário de anotação e controle de respostas aos riscos identificados foi adaptado do
formulário apresentado por (Kletz, 2006) para a metodologia HAZOP. A adaptação se deve a
necessidade de registrar os objetivos do projeto impactados pelo risco identificado, os custos
que estes impactos gerariam no projeto, a área de conhecimento em estudo e o processo
estudado.
Nome do Projeto: N.º Projeto:
85
Elaborado por: Folha
Equipe de estudo: Data:
Área de Conhecimento:
Processo/Procedimento:
N.º de
referência
Desvio
(Palavra-
Chave)
Notas de
ações e
consultas
Objetivo
Impactado Descrição do Impacto Responsável
Acompanhament
o e Comentários
de Revisão
Figura 8 Formulário de registro da análise HAZOP para gerenciamento de risco em
projeto
. Fonte: Adaptado do formulário: HAZOP and Hazan 4ª Edição, (Kletz, 2006)
O campo “nome do projeto” é o local destinado ao título que identificará o projeto no qual o
HAZOP foi realizado.
O campo “n.º do projeto” é o local destinado ao código do projeto em estudo, utilizado pelas
equipes.
O campo “elaborador por” destina-se a inclusão do redator responsável pelo preenchimento
do formulário.
86
O campo “folha” destina-se a identificação da numeração da página do formulário da análise
do respectivo “processo/procedimento”.
O campo “equipe de estudo” destina-se a relacionar os participantes do grupo de estudos
HAZOP, inclusive com a identificação do cargo que ocupava no momento do estudo.
O campo “área de conhecimento” destina-se a identificar área de conhecimento proposto pelo
PMI que será estudada.
O campo “processo/procedimento” destina-se a detalhar o processo dentro da área de
conhecimento que será estudado.
O campo “data” é destinado a informação da data em que o estudo HAZOP foi realizado.
A coluna “n.º de referência” é a ordenação das análises, isto é, a numeração que identifica o
desvio estudado ou na seção ou no equipamento ou no componente.
A coluna “desvio” identifica o desvio analisado para aquela etapa.
A coluna “notas de ações e consultas” é o local onde se relaciona as ações definidas a serem
tomadas para tratar o desvio identificado para aquela etapa do processo (“n.º de referência”)
A coluna “objetivo impactado” é local indicado para informa quais/qual dos 4 objetivos do
projeto foram/foi impactado pelo desvio.
A coluna “descrição do impacto” é local indicado para detalhar o impacto nos objetivos do
projeto, inclusive o custo estimado do impacto.
A coluna “responsável” identifica o responsável por implementar as ações propostas na
coluna “notas de ações e consultas”.
A coluna “acompanhamento e comentários de revisão” é o local que se destina a anotações
sobre o status de implementação das ações e as revisões das ações propostas.
5.2.7 Aplicação da metodologia HAZOP de projeto
A aplicação desta adaptação do HAZOP de projeto para a gestão de riscos em projeto segue
basicamente a metodologia original desenvolvida pelo ICI e, posteriormente, detalhada por
87
Trevor Kletz. A diferença está na inclusão de algumas etapas de análises que agregarão
informações técnicas para a proposição das respostas aos riscos.
Com as adaptações propostas o estudo de desvios não se limitará as linhas de processos
internos, como na metodologia original, e, sim, abrangerá as mais diferentes alterações
possíveis na concepção original do projeto. Essas alterações serão pensadas e abordadas pelos
membros da equipe de estudo que, com suas habilidades e experiências passadas, poderão
imaginar e propor soluções para os mais variados cenários imaginados durante a aplicação da
metodologia.
88
5.3 Cristiane Nicoli Sansevero
Nessa dissertação foi apresentado o embasamento conceitual do processo de Gerenciamento
de Risco. Este gerenciamento proporciona a identificação dos riscos aos quais os projetos
estão suscetíveis, a elaboração de estratégias para mitigação de tais riscos e monitoração do
ambiente de forma a assegurar a eficácia dos controles empregados.
O propósito da presente dissertação foi analisar cinco metodologias distintas de
Gerenciamento de Risco: HAZOP, FMEA, ISO 31000, PMBOK e Mercado Financeiro. A
escolha das metodologias baseou-se na análise de seus respectivos favorecimentos da gerência
de risco de projetos e possíveis correlações com prática de projetos. Outros fatores a serem
considerados para a escolha são a familiaridade dos profissionais de gerenciamento de
projetos para com as metodologias e a necessidade de compilar comparações entre elas em
um só trabalho, visto que tal tema não é recorrente na literatura.
Para sistematizar o processo de análise, alguns requisitos foram selecionados por serem de
essencial importância para o desenvolvimento do tema: a aplicabilidade de cada metodologia,
as vantagens, as desvantagens, o favorecimento da análise de riscos para projetos, a
complexidade e a correlação com prática de projetos.
Segue-se uma breve análise de cada metodologia com o intuito de se aprofundar em pontos
que não foram explorados nas matrizes comparativas do capítulo 4.
Iniciaremos com o estudo de identificação de perigos e operabilidade conhecido como
HAZOP. Trata-se de uma técnica de análise qualitativa que identifica perigos e previne
problemas. Sua simplicidade e eficácia na identificação dos riscos permitem o seu uso em
diversos setores. Foi desenvolvida para examinar as linhas de processo, mas pode ser
adaptada para a aplicação em gerência de projetos nas áreas de conhecimento do PMBOK.
Solicita-se que a equipe envolvida seja multidisciplinar, para aumentar a eficiência de
avaliação dos possíveis desvios dos processos do projeto. O caráter multidisciplinar do
HAZOP permite compreensão dos problemas de diferentes áreas e possibilita aliar
experiência e competência individuais aos benefícios do trabalho em equipe. Dada a
característica heterogênea da equipe, a presença de um líder para balancear as discussões,
corrigindo as distorções é de extrema importância.
89
Em linhas gerais, o FMEA procura listar todas as possíveis falhas (de produto ou do processo)
e suas causas para que sejam analisadas e tomadas as ações preventivas necessárias. Permite
determinar o ponto mais crítico do projeto, com vistas à tomada de ações preventivas para
minimizar o impacto dos riscos para cada área de conhecimento do PMBOK.
Observa-se que a melhoria contínua não é colocada em prática nas empresas para se manter
um histórico atualizado das falhas de seus produtos e processos. Os FMEAs realizados
anteriormente constituem um histórico de possíveis falhas, o qual permite a incorporação de
falhas não previstas, bem como a reavaliação, com base em dados objetivos, das falhas já
previstas pelo grupo. Apesar de ser um método de baixa complexidade, baixo custo de
execução e boa confiabilidade, alguns ajustes são recomendados, tais como: a criação de um
banco de dados de falhas, o qual vigorará como fonte de conhecimento para futuras equipes.
Apesar desta metodologia ser quantitativa, sua análise é subjetiva principalmente devido às
discrepâncias na definição dos índices de severidade, ocorrência e detecção. Assim, o gerente
de projetos deverá ser capacitado para nortear objetivamente e coerentemente as discussões da
equipe.
Para a utilização de HAZOP e FMEA, a presença de um líder/gerente de projeto capacitado
para revisar e confrontar os riscos potenciais levantados pelo grupo, com as que realmente
ocorrem no dia-a-dia do processo e uso do produto, confere eficiência à metodologia. Os
gerentes de projeto devem promover treinamentos, padronização de linguagem para que o
histórico de falhas e perigos sejam de interesse e uso comum à equipe multidisciplinar.
Ambas as metodologias proporcionam ações de melhoria no projeto do produto/processo
devido: dados históricos e devida monitoração do plano de ações (melhoria contínua);
diminuição de custos por meio da mitigação dos riscos; benefícios da incorporação, dentro da
organização, da atitude de prevenção e mitigação de riscos; benefícios advindos do trabalho
em equipe e preocupação com a satisfação dos stakeholders.
Sobre a norma ISO 31000, ela estabelece uma abordagem genérica para qualquer forma de
risco de uma maneira sistemática, transparente e confiável, dentro de um escopo e contexto
definido pela organização, suportando tanto projetos como processos. A norma pode ser
aplicada aos vários tipos de riscos de diferentes setores da organização, tais como financeiro e
de projetos, saúde, entre outros, incluindo a visão moderna de que risco também é
90
oportunidade. Possibilita lidar com incertezas que podem afetar os seus objetivos, suas
iniciativas estratégicas, suas atividades operacionais, seus processos ou seus projetos.
Do mesmo modo que as metodologias anteriores, HAZOP e FMEA, a contribuição
multidisciplinar permite a cada uma das partes conhecerem o andamento do processo e
fornecerem subsídios para seu desenvolvimento. A consulta de diversas partes interessadas é
importante para que se façam considerações sobre os riscos com base em suas percepções e
suas experiências. Como as considerações podem ter um impacto significativo sobre as
decisões, estas percepções devem ser registadas para garantir a rastreabilidade durante um
processo decisório.
O monitoramento contínuo também deve ser realizado, pois mudanças organizacionais ou
externas podem alterar o contexto da análise, requerendo a revisão da gestão de riscos, como
forma de identificar novas necessidades ou adaptação de algum parâmetro definido
anteriormente.
O PMBOK reúne conhecimentos em gerenciamento de projetos, os quais são recomendações
genéricas que podem ser adaptadas para os casos específicos de cada organização. Os
objetivos do gerenciamento dos riscos desta metodologia consistem em aumentar a
probabilidade e o impacto dos eventos positivos e reduzir a probabilidade e o impacto dos
eventos negativos no projeto. Aborda somente o escopo de projeto, não tratando dos riscos de
processos operacionais que podem impactar o projeto e os objetivos do projeto.
A equipe do projeto, as partes interessadas, sejam elas interna ou externa, deverão participar
da identificação do risco – assim, verificamos o envolvimento multidisciplinar como essencial
para a eficiência no levantamento dos riscos. As reavaliações dos riscos do projeto devem ser
programadas com regularidade, o que resulta na identificação de novos riscos, na reavaliação
dos riscos atuais e no encerramento dos riscos que estão desatualizados.
Sobre a análise de risco do mercado financeiro, as metodologias avaliadas (Credit Risk+,
Credit PortifolioView, KMV, Credit Metrics) podem ser incorporadas às questões financeiras
ou diretamente relacionadas às finanças de um projeto, sendo que há uma melhor expectativa
de adequação quando esses riscos podem ser quantificados. Por possuir aplicabilidade a
projetos, entende-se que os critérios gerais de gerenciamento de risco possuem utilidade neste
nicho.
91
Verifica-se que as metodologias (HAZOP, FMEA, ISO 31000, PMBOK) descritas neste
trabalho, se apóiam nas atividades gerais do gerenciamento de risco, as quais devem ser
executadas de forma contínua e cíclica, conforme elucidado abaixo:
• identificação e documentação dos riscos;
• análise (qualitativa e/ou quantitativa) e estabelecimento de prioridades;
• elaboração de um plano de ações (plano de respostas aos riscos);
• monitoração e controle;
• revisões do plano de maneira a assegurar que as mudanças ocorridas durante a execução
do projeto sejam incorporadas.
A literatura consultada para a metodologia de risco do Mercado Financeiro não menciona
objetivamente as etapas descritas acima. Futuros trabalhos poderão ser realizados para
enquadramento desta metodologia nas etapas de gerenciamento do risco.
Após a análise das metodologias neste capítulo, alguns pontos comuns entre elas são
levantados e merecem uma discussão mais detalhada, são eles: a necessidade de equipe
multidisciplinar, a geração de uma base de dados histórica para identificação dos riscos e a
monitoração e controle dos riscos. O gerente de projetos, para efetividade do processo, deverá
estar atento a estes pontos.
No tocante às equipes multidisciplinares e ao histórico de falhas, há de se ressaltar a
necessidade da atividade de Comunicação, para que estes pontos sejam implementados e
interfaceados adequadamente. A comunicação entre os membros/stakeholders do projeto é um
dos fatores mais importantes para a execução da gerência de risco, sendo o Plano de
Comunicação perfeitamente ajustável, seja qual for a metodologia a ser empregada. Na
literatura, não houve menção do plano de comunicação durante o estudo das metodologias,
mas isto não dispensa a importância de seu uso.
Do mesmo modo, cabe discursar sobre as ações corretivas como forma de re-planejamento e
correção dos desvios encontrados ao longo do acompanhamento da execução do projeto
(monitoração e controle), promovendo a análise de riscos que durante os levantamentos
iniciais não tenham sido percebidos ou que tenham apresentado sinais de ocorrência quando o
92
projeto já tenha sido iniciado. Os riscos residuais devem ser aceitos prontamente com um
acompanhamento apropriado pelo uso dos planos de contingência e assim, deve-se retroagir e
incorporá-los ao planejamento.
Não menos importante, é a escolha de um gerente de projetos com as competências e
habilidades requeridas no projeto e que conheça a estratégia a qual o seu projeto está
alinhado, valorizando a interface entre as áreas e a melhoria contínua.
A atenção a esses pontos assegurará que o gerenciamento de riscos continuará a se
desenvolver. O gerenciamento de riscos deve ser dinâmico, figurando assim, como
indispensável ferramenta de gerenciamento e conferindo sua importante contribuição para o
sucesso do projeto e dos negócios.
Alguns autores mencionam que a identificação de risco deveria também abordar ameaças e
oportunidades, desde que se enquadrem na definição de risco. De maneira idêntica à
abordagem geral de gerenciamento de risco, as respostas às ameaças seriam: impedir,
transferir ou reduzir. Por sua vez, as respostas às oportunidades seriam: explorar, compartilhar
ou desenvolver. Embora, nem todas as metodologias estudadas sejam voltadas para a
identificação de riscos positivos (exemplos HAZOP e FMEA), uma análise estratégica
(exemplo SWOT) pode se conduzida paralelamente à gestão de riscos de maneira a identificar
as oportunidade e ameaças e respectivo alinhamento das ações.
Com a intenção de obter todos os benefícios da implantação do processo de risco para a
organização em geral, é importante que o gerenciamento de riscos torne-se completamente
integrado ao nível estratégico e ao operacional, independente da metodologia a ser utilizada.
Para que a prática de gerenciamento de risco se dê de forma contínua e cíclica, o senso
comum deve ser estruturado na organização de forma construtiva e não repreensiva,
conscientizando a todos de que é uma característica natural de todo projeto e não uma
atividade opcional ou adicional.
A escolha de uma boa metodologia de Gerenciamento de Risco, adaptada às necessidades da
organização, é um dos requisitos chaves para o sucesso deste processo. O gerente de projetos
deve conhecer a estratégia a qual o seu projeto está alinhado concentrando-se em agregar
valor à organização e a seus acionistas. As vantagens e desvantagens em se utilizar uma
93
metodologia em detrimento das outras são dadas principalmente em função da complexidade,
confiabilidade e razões de ordem financeira.
Analisando-se as metodologias HAZOP, FMEA e ISO 31000, vemos que elas estabelecem
processos de gerenciamento de risco que incluem desde o planejamento à monitoração e
controle. Constata-se também, a adaptabilidade destas metodologias ao padrão do PMBOK,
bem como sua contribuição para o contexto de gerenciamento de projetos nas organizações. A
interface entre estas metodologias e o padrão PMBOK é confirmada, uma vez que os produtos
de cada etapa possuem relação direta com as áreas de conhecimento em gerenciamento de
projetos, consolidando a conexão entre a metodologia e a minimização dos desvios nas etapas
subseqüentes do projeto.
Não foi possível estabelecer a mesma interface entre as metodologias de risco para o mercado
financeiro e o PMBOK. Sugere-se, como tópicos para continuação da pesquisa, um
entendimento da metodologia de risco do mercado financeiro e sua contribuição para o
gerenciamento de projetos, bem como a sua aplicação em projetos de outros segmentos.
O aperfeiçoamento das fases iniciais de um projeto e um planejamento estruturado acarreta
diminuição das incertezas do projeto e uma garantia de que os requisitos do mesmo foram
identificados e registrados. Do mesmo modo, deve-se ter em mente que o reconhecimento de
incertezas faz parte de todos os níveis da organização, por isso a importância de se estabelecer
equipes multidisciplinares, colocar em prática um plano de comunicação, reconhecer gerentes
de projetos com competência e habilidades adequadas para promover a melhoria contínua no
mapeamento de riscos e contemplação das estratégias de mitigação. A escolha de uma
metodologia de gerenciamento de riscos deve estar integrada com o projeto e alinhada à
organização. O resultado, certamente, culminará com a diminuição dos desvios quanto aos
prazos, custos, qualidade e, conseqüente, um aumento da competitividade da organização.
94
5.4 Eduardo Salvador Ramos
O objetivo deste trabalho foi reunir informações de algumas metodologias utilizadas
especificamente a questões que envolvam riscos, seja em projetos ou negócios,
independentemente de sua natureza, seja em empresas da área financeira, construção,
governamental, tecnologia ou outras quaisquer.
Iniciamos o trabalho procurando identificar os conceitos de cada método, visando o
desenvolvimento de uma narrativa contínua e assim então atingir uma abordagem
simplificada de tudo aquilo que foi difundido em diversas publicações, artigos, revistas e sites
da internet, possibilitando após essa narrativa uma comparação entre modelos que surgiram
nos mais diversos ambientes de negócio.
Sejam eles riscos considerados “riscos bons” ou “riscos ruins”, ao contrário do que é
comumente percebido pela grande maioria, onde risco está sempre associado a perdas e
prejuízos, o desafio foi elucidar como algumas metodologias lidam com essas incertezas, o
que pode ser considerado para tal análise e o que realmente devemos esperar para obter um
bom modelo de gerenciamento de risco. Não é muito difícil entender o porquê “risco” é
considerado sempre como algo ruim, está puramente associado à lógica: o resultado só vem
depois de uma operação/ação. Está implícito que primeiramente devemos realizar o esforço e
depois ver o que acontece, ou de maneira mais simplória, como diz o ditado popular: “pagar
para ver”.
Elaboramos uma introdução para contextualizar melhor este trabalho, explicando o que é
projeto, o que é gerenciamento de projetos, o que é risco, o que é gerenciamento de riscos, o
que é metodologia e qual a importância de se gerenciar riscos em um projeto. Pesquisamos
então alguns livros que se propuseram a elucidar tais conceitos que traduzem de modo geral
aquilo que ocorre no mundo real.
A partir desta contextualização, buscamos então informações para identificarmos quais
modelos e metodologias foram ou ainda são utilizadas pelas diversas organizações, as quais
propuseram a identificar e responder a uma incerteza, com atenção especial as incertezas que
podem oferecer riscos a um negócio ou a um projeto.
Essas metodologias não apresentam conceitos novos, ou seja, algo que ainda ninguém havia
percebido. O objetivo de uma metodologia de risco quaisquer é oferecer a uma empresa,
95
ferramentas que possibilitam identificar tudo aquilo que pode ser um ponto fraco no contexto
em que ela se insere e que podem trazer danos irrecuperáveis do ponto de vista financeiro,
embora este não seja único não menos importante, mas é um recurso escasso para a grande
maioria das organizações.
A maior parte das empresas se preocupa muito pouco ou sequer se preocupam ou até mesmo
não sabem lidar com a questão de gerenciamento de risco. As poucas que se preocupam
priorizam atenção quase visceral com um bom modelo. Elas sabem que não é possível
controlar tudo. Sabem também que cometem julgamentos errados e por conseqüência
decisões equivocadas, ninguém está isento de cometer falhas. Portanto, reconhecem que,
embora exista o fator “sorte”, muito pode ser feito para evitar que o pior os aconteça. Ao
priorizar o desenvolvimento de suas metodologias, adequá-las aos seus negócios, incumbindo
todos seus detalhes e peculiaridades, e assegurarem com cautela que todo planejamento vem
sendo realizado cuidadosamente, os efeitos e resultados são percebidos sem grandes
explicações.
A metodologia do HAZOP busca prover uma identificação e elaboração de um planejamento
de problemas que podem ocorrer com pessoas, equipamentos ou processos de produção.
Muito disseminada na indústria, principalmente química, já que dai ela se originou, é uma
metodologia de fácil implementação e pode ser utilizada em diversos segmentos, pois baseia-
se em uma análise de informações levantadas pelos envolvidos nos processos.
O sucesso desta metodologia refere-se essencialmente pela formação de um grupo
responsável pela identificação dos riscos. Este grupo enriquece o método pois exprime a
experiência dos executores na fase de identificação e torna-se conhecimento de todos, fazendo
com que grande parte das ameaças sejam identificadas com grande margem de precisão e
agregando os interesses de cada papel, cada função demandado pela organização. Passa-se
então a projetar resultados no campo estratégico da organização, tornando possível visualizar
com mais detalhes a “espinha dorsal” do negócio. Toda e qualquer decisão é registrada por
um redator, não apenas para apontar culpados, mas para viabilizar outro ponto fundamental,
em outra fase, em outro momento: lições aprendidas.
Embora pareça um mar de rosas, por ter como característica sua simplicidade, o HAZOP não
procura incorporar conceitos matemáticos ou estatísticos, que tornam o processo de
identificação mais fácil de ser compreendido (já pensando no processo de comunicação, como
96
garantir que os interlocutores entenderam exatamente a mesma coisa sobre a informação
passada), isso porque utiliza uma pequena tabela de palavras que procuram comprimir a
precisão que os números podem exprimir em termos que ilustram o estado de alerta. Alguns
autores defendem que esta simplicidade deve ser empregada sempre que possível, outros não
acreditam que esta seja a melhor alternativa e prefere pela precisão dos números (referindo-se
a análise quantitativa). Há ainda quem ache que o ideal é a combinação dos dois (qualitativo e
quantitativo). Tendo em vista que isso pode variar devido à natureza de um negócio e seus
valores, e até mesmo os valores das próprias empresas e se não bastasse os valores de seus
proprietários, não é possível optar pela adoção de um tipo. A natureza de um projeto pode
pender mais a variáveis quantitativas ou qualitativas. O impacto dos riscos pode decidir qual a
melhor abordagem.
Já a metodologia FMEA surgiu em um meio puramente físico e matemático, em um ambiente
extremamente hostil, NASA, onde um equipamento tripulado com vida, não teria como ser
reparados após seu lançamento. Através de um combinado de técnicas de comunicação, hoje
seu uso é requerido em uma série de normas no âmbito mundial, amplamente utilizado por
indústrias. Visa garantir que o produto final chegue ao seu destino sem falhas e defeitos, sem
deixar de lado o processo de produção. Sua grande vantagem é evidenciar qual/quais os
pontos mais críticos de um projeto, através de ações preventivas visando minimizar o risco em
cada processo. Aqui podemos notar uma semelhança muito próxima ao guia PMBOK e suas
áreas de conhecimento, que por sua vez propõe identificação dos riscos para cada uma dessas
áreas, favorecendo uma estrutura mais sólida para elaboração de um plano de gerenciamento
de riscos.
Podemos perceber sutilmente que o FMEA nos conduz a outra direção, levando-nos a
pensarmos em suas aplicabilidades no âmbito de projetos, porém, apontamos como uma de
suas desvantagens o fato de que como ele foi desenvolvido para potenciais problemas em
sistemas, processos ou projetos, ele não fornece ferramentas mais apuradas para análise de
riscos bons, aqueles que possibilitam visualizar oportunidades de ganhos.
O ISO 31000 surgiu no Japão, em um documento sucinto visando disponibilizar práticas de
gerenciamento de risco a qualquer tipo de empresa, independente do porte e setor. Um fato
muito interessante desta metodologia é que seu objetivo principal é harmonizar padrões de
outras metodologias advindas da necessidade das corporações em lidar com incertezas que
pudessem afetar seus objetivos, estratégias, processos e projetos. Por isso esta metodologia
97
pode ser aplicada aos vários tipos de riscos da organização. Outro fator relevante é que ela
incorpora a visão de que risco também é uma oportunidade. Além disso, os processos do
modelo proposto procura instaurar uma cultura na organização, de modo a não tratar o
gerenciamento de risco apenas quando surgir a necessidade de gerir risco, mas manter os
conceitos como uma rotina geral na organização. Este modelo incorpora análise tanto
qualitativa quanto quantitativa.
O ISO 31000 parece suprir a deficiências das demais metodologias, porém, o documento que
descreve os processos desta norma não esclarece as entradas, ferramentas e saídas de cada
processo. Além disso, faz-se necessário buscar outras normas que complementam essa
“deficiência”. Não chega a ser uma desvantagem tão expressiva, mas as demais metodologias
citadas neste trabalho não apresentam tal complemento. Por outro lado são mais simples de
serem implementadas e recomendadas para empresas que procuram amadurecer seus
processos antes de aproveitar melhor os conceitos de gestão de riscos.
A metodologia do PMBOK é o modelo pivô deste trabalho. O guia reúne conceitos de
práticas de forma coesa e que obtiveram sucesso em grandes projetos. Não se restringe apenas
ao método de gerenciamento de risco. Aqui destacamos o diferencial deste trabalho, onde a
idéia não é restringir apenas as comparações das metodologias de risco umas com as outras,
mas como a abordagem adotada pelas mesmas possibilita contemplar um espectro maior de
riscos que podem conduzir a outros riscos.
As práticas de gestão de risco do PMBOK elucidam “risco” com conceitos mais bem aceitos
dentre a maioria dos autores, de que a causa pode trazer efeitos negativos, mas também pode
trazer efeitos positivos. Mas não é exclusivo como pudemos verificar no ISO 31000.
Diferentemente do ISO 31000, o PMBOK descreve as técnicas e ferramentas para viabilizar
um bom plano de gerenciamento de risco. Assim como nas demais metodologias, é
caracterizada pelos processos de planejar, identificar, analisar qualitativamente, analisar
quantitativamente, pré-estabelecer respostas aos riscos, monitorar e controlar os riscos. Este é
o ponto comum em todas as metodologias. Todas elas abordam gerenciamento de risco como
identificação e elaboração de respostas (caso o risco ocorra) e medidas preventivas com todos
os envolvidos, sejam em processos ou projetos.
O PMBOK destaca que o processo de identificação requer um grande esforço e atenção para
que as causas sejam corretamente identificadas, através de especialistas e dados históricos.
98
Aqui, o guia sugere que os stakeholders participem desta fase de alguma forma para que
possam fornecer informações adicionais. O guia trata também que a qualidade das
informações colhidas e como são explicitadas nos planos podem ser indicadores de riscos no
projeto.
Outro ponto importante deste guia, é que ele expõe claramente termos técnicos para não gerar
ambigüidade de informação. Analogamente, as demais metodologias não apresentaram tais
esclarecimentos. Não significa que por isso é o melhor, mas apenas faz um esforço para
incentivar a experimentação.
O guia também sugere reavaliações dos riscos e com certa regularidade e freqüência. Já que
contempla em um de seus processos a necessidade de mensurar a eficácia das respostas para
lidar com os riscos e suas causas-raiz. Também esclarece que durante a execução de um
projeto, podem ocorrer riscos, que devem ser avaliados se seus impactos são positivos ou
negativos em reservas de contingência (referindo-se a tempo e custo). Podemos concluir então
que monitorar e controlar os riscos pode resultar na identificação de novos riscos e na
reavaliação dos identificados anteriormente, reiniciando o fluxo de identificação e verificando
se o risco em questão foi extinto, aumentou seu impacto ou tornou-se uma oportunidade de
ganhos.
Já no mercado financeiro, nota-se que o desafio é conseguir incorporar variáveis
microeconômicas e macroeconômicas em seus modelos. Seus conceitos podem ser utilizados
para explicar gerenciamento de riscos, porém, suas ferramentas não, já que se baseiam em
cenários muito específicos de negócio e não apenas de processo ou projeto, onde um negócio
existe a perspectiva de continuidade falando de execução, e projeto é um esforço temporário e
processo “como” será feito.
Este trabalho procurou apenas conceituar algumas metodologias utilizadas no mercado
financeiro, sem explorar com riqueza de detalhes, pois não era o escopo deste documento
esclarecer como são os processos de identificação e resposta aos riscos. Porém, pudemos
verificar uma forte coesão com fórmulas, probabilidades e estatísticas no modelo, ponderando
sempre questões micro e macroeconômicas com o perfil do solicitante de crédito, avaliando
qual a probabilidade dele quitar sua divida no prazo acordado com a instituição.
Os modelos de gerenciamento de risco no mercado financeiro assemelham-se muito aos
outros modelos, pois antes de equacionar as variáveis, procura identificar os riscos para o
99
projeto de negócio, no caso das metodologias citadas neste trabalho, o projeto produz um
produto que é a concessão de crédito. Após a identificação, definem-se respostas ao risco e
incorpora-se as respostas também as equações e estimativas. A partir desta equação, os
resultados obtidos de risco são praticamente extintos, tornando praticamente zero a
probabilidade de ele ocorrer, em função do volume de crédito concedido a um grande número
de clientes em carteira. Resta então atentar-se apenas a contingência, resumida a um bom
capital de giro caso ocorra alguma situação adversa em variáveis macroeconômicas. O próprio
modelo de negócio incumbe-se de responder ao risco de inadimplência caso ele ocorra e ainda
o transforma em oportunidade.
A partir destas pesquisas, vemos que os conceitos de gestão de riscos são muito sólidos e
podem ser seguramente implantados em empresas que pretendam monitorar e controlar riscos
de seus negócios, pois isso pode custar sua própria sobrevivência. Fica mais claro que os
modelos que contemplam de forma mais completa, podem exigir um esforço de entendimento
e adequação para se alcançar melhores resultados, mas também trazem benefícios sólidos e
duradouros para a saúde do negócio. Nenhum modelo abordado neste trabalho apresentou
conceitos contraditórios, apenas o mercado financeiro que abordou de modo muito específico
em função da natureza do seu negócio. Em outras palavras, não se encaixa como uma luva
para quem pretende começar do zero, mas possui uma base conceitual idêntica a todos os
demais modelos, onde risco representa a chance de dar certo e errado ao mesmo tempo, deve
ser identificado considerando opiniões especialistas e dados históricos sobre o objeto em
questão, avaliar a adequação das respostas aos riscos como lições aprendidas e monitorar e
controlar para identificar novos riscos ou mutações dos riscos já identificados.
100
6. POSSÍVEIS DESDOBRAMENTOS
Durante o desenvolvimento deste trabalho, identificamos diversas possibilidades de
aprofundamento em função da irrestrita capacidade de aplicação. Sugerem-se como possíveis
desdobramentos:
• Aprofundar os estudos da metodologia de risco do mercado financeiro e sua contribuição
para o gerenciamento de projetos, bem como a sua aplicação em projetos de diferentes
segmentos. Algumas metodologias de gestão de riscos no mercado financeiro derivam
outras metodologias que não foram citadas neste trabalho devido à restrição do tema e o
objetivo do trabalho.
• A avaliação de estudo de casos de empresas que tenham adotado as metodologias
analisadas, permitindo a obtenção de dados dos gestores de projetos sobre as dificuldades
encontradas e resultados obtidos.
• Faz-se necessário também um mapeamento mais preciso de outros requisitos relevantes a
serem utilizados na comparação das metodologias.
• Proposição de melhorias de maneira a minimizar os impactos das desvantagens de cada
metodologia.
101
7. REFERÊNCIAS BIBLIOGRÁFICAS
ACUSAFE. HAZARD ANALYSIS – HAZOP . Disponível em: http://www.acusafe.com/Hazard_Analysis/Hazard_Analysis-index.htm. Acesso em 21/02/2011
ALBERTON, A. Uma Metodologia Para Auxiliar No Gerenciamento De Riscos E Na Seleção De Alternativas De Investimentos Em Segurança. Disponível em: http://www.eps.ufsc.br/disserta96/anete/index/indx_ane.htm. Acesso em 21/02/2011;
ASSAF NETO, A. Mercado Financeiro. 8 ed. São Paulo: Atlas, 2008
BACEN, Banco Central do Brasil, 2011.
BARASUOL, Robson B. FMEA – Uma abordagem simplificada. Disponível em: http://200.169.53.89/download/CD%20congressos/2006/CRICTE%202006/trabalhos/576324-egp-18-08-111734.pdf. Acesso em 23 fev. 2011
BESSIS, J. Risk management in banking. Chichester: John Wiley & Sons, 2002.
BEST, P. Implementing Value-at-Risk. New York: John Wiley & Sons, 1998.
BM&FBOVESPA. Disponível em: http://www.bovespa.com.br. Acesso em: 03 mar.2011.
CAOUETTE, John B., ALTMAN, Edward. I. e NARAYANAN, Paul. Managing Credit Risk – The next Great Financial Challenge, New York: John Wiley & Son Inc., 1998.
DOMINGUES, Rafael M. Uso do FMEA como ferramenta para análise de riscos em projetos. Disponível em: http://projetos.inf.ufsc.br/arquivos_projetos/projeto_615/Uso_Do_FMEA_Analise_Riscos-RMD.pdf. Acesso em 29 set. 2010.
FACHIN, O. Fundamentos de metodologia. 4. ed. São Paulo: Saraiva, 2003.
GAIO, L. E.; SÁFADI, T. Memória longa na volatilidade do índice BOVESPA: uma análise utilizando modelos da classe ARCH. Revista de Economia e Administração, v. 7, n. 2, p. 228-243, 2008.
GARSIDE, Thomas et al. Credit portifolio management. Oliver, Wyman & Company, Dez 1999. Disponível em: http://www.erisk.com. Acesso em: 08/10/2010.
GITMAN, L. J. Princípios de administração financeira. 2. ed. Porto Alegre: Bookman, 2001.
GUPTON, Greg M. et al. CreditMetrics: Technical Report. New York: J.P. Morgan & Co. Incorporated, 1997.
HILLSON D. Gerenciamento de riscos: melhores práticas e desenvolvimentos futuros. Disponível em: http://www.risk-doctor.com/pdf-files/mundopmpaperoct05portuguese.pdf. Acesso em 23 fev 2011.
102
INSTITUTO DA QUALIDADE AUTOMOTIVA Análise dos Sistemas de Medição MSA: Manual de Referência. 3ª Edição. São Paulo: [s.n.], 2006.
ISO31000. ABNT NBR ISO 31000. Gestão de riscos - Princípios e diretrizes, 2009.
KEALHOFER, Stephen; BOHN, Jeffrey R. Portifolio management of default risk. São Francisco: KMV LLC, 1993.
KLETZ, T. HAZOP AND HAZAN . 4ª edição. Rugby: Institution of Chemical Engineers, 2006. 247p.MARTINS, G. A. ; THEÓPHILO, C. R. Metodologia da Investigação Científica para Ciências Sociais Aplicadas. São Paulo: Atlas, 2007.
NARAYANAGOUNDER S., GURUSAMI K. A. New Approach for Prioritization of Failure Modes in Design FMEA using ANOVA. World Academy of Science, Engineering and Technology número 49, 2009, páginas 524-531.
NOPSA – National Offshore Petroleum Safety Authority. Guidance Note N-04300-GN0107 Revision 2, July 2010. 32p.
Norma QS-9000.
PALADY, Paul. FMEA Análise dos Modos de Falha e Efeitos: Prevendo e Prevenindo Problemas Antes que Ocorram. 3ª Edição. São Paulo: Instituto IMAM, 2004.
PMBOK. PMBOK Guide: a guide to the project management body of knowledge. Newtown Square: Project Management Institute, 2004.
PRADO, Renata G.A., BASTOS, Norton T., DUARTE Jr., Antonio M., Gerenciamento de Riscos de Crédito em Bancos de Varejo no Brasil, São Paulo: IBMEC, 2002.
PROJECT MANAGEMENT INSTITUTE. Um Guia do Conjunto de Conhecimentos em Gerenciamento de Projetos. 3ª edição. Newtown Square: PMI, 2004. 405p.
RAMOS, Eliani F. A gestão de Riscos usando FMEA. Revista Mundo PM número 10, 2006. Páginas 71 a 74.RAMOS, Eliani F. Utilização da FMEA para Gestão de Riscos em Projetos de Desenvolvimento de Software. Disponível em: http://www.euax.com.br/artigos. Acesso em 29 set 2010.
REIS, K. HAZOP . Disponível em: http://www.qualidadebrasil.com.br/artigo/qualidade/HAZOP. Acesso 20/02/2011.
SALLES JR., C. A. C; SOLER, A. M; VALLE, J. A. S; RABECHINI JR., R. Gerenciamento de Riscos em Projetos. Rio de Janeiro: Editora FGV, 2006. 160p.
SAUNDERS, A. Financial institutions management: a modern perspective. Homewood, IL: Irwin,1996. 2nd ed.
SAUNDERS, Anthony. Medindo o Risco de Crédito – Novas Abordagens para Value at Risk e Outros Paradigmas. Rio de Janeiro: Qualitymark, 2000.
SCHRICKEL, Wolfgang K. Análise de crédito: concessão e gerência de empréstimos. 5. Ed. São Paulo: Atlas, 2000.
103
SECURATO, J. R. Decisões Financeiras em condições de risco. 2 ed. São Paulo: Saint Paul Editora, 2007.
SMITH, S.W. Three HAZOP Questions: "What could go wrong?"; "How would we know it?"; "What could we do about it?" . Disponível em: http://www.HAZOP.com Acesso em 21/02/2011
VIEIRA, Erlon C. S. Metodologia FMEA – análise de modo e efeitos de falha e orientações estratégicas. Disponível em: http://www.gepeq.dep.ufscar.br/arquivos/Erlon-Monografia%20FMEA%20-%20ufscar-Etapa.pdf. Acesso em 23 fev. 2011.
WIKIPEDIA. Hazard and operability study. Disponível em: http://en.wikipedia.org/wiki/Hazard_and_operability_study. Acesso 21/02/2011
104
8. GLOSSÁRIO
Ações Estratégicas - Iniciativas que indicam como deverão ser alcançados os objetivos
estratégicos.
Análise Qualitativa – Visa realizar uma análise subjetiva dos riscos do projeto, expressas por
palavras e não por números.
Análise Quantitativa - Visa realizar uma avaliação quantitativa dos riscos do projeto,
expressas por números e não por palavras.
Ameaças - Fenômenos ou condições atuais ou potenciais capazes de dificultar
substancialmente e por longo tempo o bom desempenho da Instituição (em termos do
cumprimento da sua Missão, Objetivos Estratégicos, desempenho competitivo etc.).
Análise do Ambiente Externo - Construção da visão das evoluções prováveis do ambiente
externo da Instituição, a médio e longo prazo, visando a antecipar oportunidades e ameaças
para o seu bom desempenho, face à missão e aos objetivos permanentes.
Análise do Ambiente Interno - Diagnóstico dos pontos fortes e fracos da Instituição.
Avaliação Estratégica - Exercício de mapeamento e interpretação das interações entre
oportunidades e ameaças, frente às forças e fraquezas mais relevantes, em cada cenário.
Árvore de Decisão - É um diagrama que descreve as principais interações entre decisões e
possibilidades. A árvore de decisão usa a noção do Valor Esperado para determinar o
conjunto de resultados. É um diagrama de todos os atos, eventos e resultados possíveis.
Auditoria - Atividade de verificação de cumprimento de diretrizes.
Cenários - Descrições sistêmicas de futuros qualitativamente distintos e das trajetórias que os
conectam a situação de origem. Constituem recurso útil, no processo de planejamento
estratégico participativo.
Gerência de Riscos - Processos necessários para planejar o gerenciamento, identificar,
analisar, responder, monitorar e controlar riscos em projetos (PMBOK 2004)
105
Indicadores de Desempenho - Medições de características dos produtos ou dos processos,
para monitoramento da conveniência de ações gerenciais.
Integração - Processo de harmonizar os sistemas, para se suplantar as incompatibilidades.
Maturidade - É o desenvolvimento de sistemas e processo que são por natureza repetitivos e
garantem uma alta probabilidade de que cada um deles seja um sucesso.
Melhoria Contínua - Processo para incriminação da qualidade em serviços ou Produtos
Monitoramento e Controle - Acompanhar como está se comportando aquilo que planejamos
com relação aos riscos do projeto.
Objetivos Estratégicos - Conjunto de resultados desejados que, obrigatoriamente, precisam
concretizar-se no horizonte temporal do plano estratégico. Deve conter indicadores de
resultados observáveis e analisáveis, o que realizar a gradação do que deve ser realizado, o
alvo ou objeto da realização e uma qualificação de como vamos realizar o pretendido (ênfases
e restrições).
Oportunidades - Situações, tendências ou fenômenos externos à Instituição, atuais ou
potenciais, que podem contribuir, em grau relevante e por longo tempo, para a realização da
missão ou o cumprimento dos objetivos permanentes. Seu aproveitamento depende das
condições do ambiente interno.
Planejamento Estratégico - Nível de planejamento estratégico que tem por objeto as
decisões que não podem ser descentralizadas sob pena de se correr o risco de graves erros de
subutilização.
Plano Estratégico - Modelo de decisões coerente, unificado e integrador, que: (a) determina e
revela o propósito institucional em termos de missão, objetivos permanentes, programas de
ação, prioridades de alocação de recursos; (b) delimita os domínios de atuação da Instituição;
(c) descreve as condições internas de respostas ao ambiente externo e a forma de modificá-las,
com vistas ao fortalecimento da Instituição; (d) engaja todos os níveis hierárquicos
(institucional, das áreas básicas de atuação e funcional), para a consecução dos fins maiores;
(e) define a natureza das contribuições econômicas e não-econômicas que a Instituição deve
fornecer a seus parceiros-chave.
106
PMBOK (Guide of Project Management Body of Knowledge) - Guia mestre de
gerenciamento de Projetos – Esforço temporário para efetuar um produto.
Processo - Conjunto de ações com intuito de monitorar a execução de um produto ou serviço
em projetos.
Respostas aos riscos - Elaboração de um plano de ações voltadas ao aproveitamento das
oportunidades, bem com para reduzir as ameaças aos objetivos do projeto.
Stakeholder - Todos os interessados ou afetados pelo desenvolvimento de um projeto