fbpx
MENU
O guia definitivo de gestão de riscos para TI
Artigos

O guia definitivo de gestão de riscos para TI

Toda estratégia empresarial está sujeita a sofrer impactos de fatores internos e externos que podem desvirtuar os planos e alargar a distância entre onde se está e onde se deseja chegar. Por isso a gestão de riscos é tão importante, uma vez que evita desperdício de recursos e aumenta a efetividade nas decisões e implementação de ações preventivas e corretivas para garantir que tudo esteja sempre dentro do caminho desejado.

Identificar algo que pode vir a se tornar um problema é fundamental porque riscos não medidos podem gerar prejuízos financeiros, atrasos em entregas, defeitos na produção, falhas de comunicação com o cliente e consequências negativas para a imagem da empresa.

E não para por aí. Quando se tem práticas positivas de gestão de riscos, não só são cercadas ameaças como também podem ser identificadas oportunidades de melhoria contínua nos processos, nas estruturas organizacionais, nas metodologias e ferramentas corporativas.

Quando o assunto é o gerenciamento de projetos de TI, independente da metodologia adotada, se tradicional ou mais aberta à TI Bimodal, administrar riscos é uma função indispensável, que deve permear todo o ciclo de vida das iniciativas para desenvolvimento, implementação e gestão de soluções tecnológicas.

E para que riscos possam ser previstos, não há bola de cristal ou intuição. É indispensável contar com modelos metodológicos e soluções de automação para integração de processos e análise de dados para que os resultados sejam profissionais, confiáveis e possam servir de subsídio estratégico para a tomada de decisão.

Siga a leitura deste post e perceba a importância da gestão de riscos em todas as iniciativas empresariais!

Guia Rapido DevOps

Entenda a importância da gestão de riscos para um projeto

Estratégias empresariais se concretizam por meio de projetos, que são ações coordenadas que envolvem planejamento, participação de diversas áreas, definição de responsáveis, prazos, controles e entregáveis esperados.

Então se são os projetos que aproximam a empresa do seu objetivo, fica claro que os riscos de impacto sobre as iniciativas previstas precisam ser controlados, evitados e interrompidos, sempre que não tiver sido possível antecipar sua ocorrência.

Como o ambiente empresarial se tornou mais complexo com os adventos que o transformaram, nos últimos anos, a necessidade de localização antecipada de potenciais instabilidades deve estar presente na gestão de todo negócio.

Desde riscos de mercado até os operacionais precisam ser mapeados e agrupados para que recebam o tratamento mais adequado. O importante é que as ações que compõem os projetos encontrem as condições mais favoráveis possível para que sejam implementadas a contento.

Quando se trata de riscos operacionais, os projetos podem ser impactados com atrasos nos prazos acordados, com gargalos nos processos, com dificuldades nas passagens de bastão, com a sobrecarga do orçamento e, pior, com a entrega de um produto ou serviço defeituoso, insuficiente ou desalinhado com a necessidade do cliente.

Quando se fala em cliente, no âmbito de projetos, estão contemplados os internos e os externos. Se os clientes internos não estiverem sendo atendidos adequadamente, a trajetória de um produto ou serviço não vai ser cumprida e o ponto de chegada não será alcançado, ou seja, o cliente externo também ficará insatisfeito.

Por isso, estabelecer controles para assegurar que todas as peças da cadeia de valor de um negócio trabalhem em sinergia, de forma colaborativa e com divisão de responsabilidades é questão de boa governança.

Nesse contexto, controles identificam os pontos de atenção e atuam ali, checando se há chances de algo errado ocorrer ou se repetir. Essa energia despendida nesse acompanhamento se reverte, ao longo do ciclo, em resultados favoráveis nas entregas — tanto nas de cada “caixinha” da estrutura quanto nas globais.

Gerenciar riscos é algo tão valoroso para uma empresa, que oferece não só proteção a vulnerabilidades como ainda apresenta oportunidade de melhorias. Na verdade, um gerenciamento proativo consegue aumentar a probabilidade e potencializar os impactos de eventos positivos. Ou seja, não só reduz consequências de eventos negativos como também traz elementos para otimização dos modelos vigentes.

Saiba como identificar riscos em projetos

A importância do gerenciamento de riscos em projetos já foi absorvida pelo mercado e algumas das provas são as metodologias que já se consolidaram no mercado.

A mais conhecida certamente é a proposta pelo PMBoK (Project Management Body of Knowledge ou Guia do Conjunto de Conhecimentos em Gerenciamento de Projetos), que prevê disciplinas como gerenciamento de custos, de aquisições, de prazo, de qualidade, de recursos humanos, de comunicação, de escopo e, claro, o gerenciamento de riscos.

As incertezas de um projeto geralmente estão relacionadas a requisitos, restrições, premissas ou condições adversas que podem criar efeitos negativos no planejamento e na implementação das ações. Então, o fato de saber identificar riscos está diretamente relacionado com a expertise de conseguir enxergar onde podem ser os possíveis focos de problemas.

Essa fonte de dificuldades pode ser interna ou externa. Internamente, processos mal estruturados, monitoramento ineficiente e falta de patrocínio ou compromisso das partes envolvidas são fatores que podem representar um risco. Externamente, mercado, política financeira e realidade econômica são os principais influenciadores.

Assim, desde a declaração de abertura do projeto é preciso manifestar, pelo menos em alto nível, os pontos mais críticos. Isso ajudará a direcionar as ações específicas da disciplina que faz a gestão dos riscos.

Essa identificação inicial, na verdade, não é diretamente dos riscos principais, mas sim dos eventos de maior impacto e de maior probabilidade em todo o escopo do projeto.

Análises mais objetivas dão um ganho de escala na identificação dos grupos de riscos que poderão assolar o projeto. Em geral, elas focam: recursos compartilhados, prazos para grandes entregas, orçamentos enxutos demais e escopo pouco delimitado.

Para esse agrupamento, também chamado de qualificação de riscos, duas avaliações são possíveis. Uma qualitativa, que aborda os riscos com maior probabilidade de ocorrência ou que podem impactar significativamente o andamento do projeto; e uma outra quantitativa, que fornece números e projeções estatísticas sobre dias, horas, valores e outros resultados diretos de riscos.

O objetivo da visão qualitativa é priorizar os riscos, para que seja dado um tratamento especial, um acompanhamento mais próximo àqueles mais significativos. O da quantitativa é demonstrar o impacto dos riscos em termos de custos e de tempo para execução das atividades.

Na prática, para identificar riscos de um projeto, é importante:

Conhecer o histórico

Todo projeto gera ensinamentos. Dentro da metodologia do PMBoK, inclusive, ao final de todo o cronograma existe a documentação das lições aprendidas.

Rever essa lista de problemas ocorridos em situações anteriores, mesmo com escopos diferentes do atual, é enriquecedor porque sugere possíveis fragilidades que podem ocorrer mais uma vez ou que tenham facilidade de se instalar naquele ambiente empresarial.

Rever a documentação de abertura do projeto

É padrão no gerenciamento de projetos declarar escopo e estrutura de cada novo projeto que está sendo aberto.

Revisar essa formalização das tarefas que devem ser executadas para que os objetivos sejam alcançados pode trazer insights e chamar a atenção para algum ponto que já nasce com fragilidades.

Analisar causas e efeitos

Quando se olha para as causas dos problemas e se mensura o impacto produzido, tem-se um caminho para identificar riscos e também oportunidades para mitigá-lo.

E esse é um bom caminho para identificar eventos de risco para subsidiar as análises de agrupamentos e estabelecer ações para prevenir e corrigir as ocorrências indesejadas.

Ouvir os interessados

Na linguagem de gestão de projetos existe o termo “stakeholders”, que significa todos os envolvidos e interessados no projeto. De certa forma, todos eles atuam como fornecedores de insumos ou consumidores dos resultados que o projeto produzirá.

Por serem parte integrante do projeto, certamente terão contribuições sobre possibilidades de riscos e saberão onde o calo aperta. Ampliar a discussão e considerar todas as impressões é produtivo e oportuno.

Gerenciar colaborativamente

Embora as metodologias de gerenciamento de projetos preguem responsabilidades segregadas entre as disciplinas que, juntas, conduzem e materializam o projeto, abrir espaço para quem executa as atividades diárias é fundamental.

As equipes alocadas conhecem a realidade do negócio, têm impressões sobre o modelo de gestão e sobre a estrutura, lidam diretamente com os recursos disponibilizados. Por isso podem sinalizar insuficiências, problemas de todas as naturezas e soluções para as dificuldades mais comuns.

Aprenda como fazer gestão de riscos

A gestão de riscos é um processo já consolidado no meio empresarial, legitimado pela ISO 31000:2009, e contempla alguns sub processos. Estruturar uma esteira para encadear essas etapas é o principal caminho para um gerenciamento eficiente de riscos. Acompanhe!

Estabelecimento de contexto

Nessa fase inicial, classificam-se os riscos quanto à sua origem, se interno ou externo. Como ambiente interno tem-se: governança, estrutura hierárquica, atores e responsabilidades, estratégias corporativas, recursos, sistemas e dados do negócio, processos, cultura organizacional e conhecimento instalado. O ambiente externo contempla os contextos social, cultural, político, legal, tecnológico, mercadológico e econômico.

Ainda nessa etapa, objetivos, metas, atividades, responsabilidades e metodologias são definidos.

Identificação de riscos

Essa etapa, que já foi detalhada no tópico anterior, produz uma lista de riscos e ameaças relacionados aos eventos indesejáveis no projeto.

Então, após essa identificação será possível visualizar fatores que reduzem, aumentam, atrasam ou agilizam a realização dos objetivos.

Análise dos riscos

É o estudo das causas dos riscos e de suas consequências sobre o projeto. Além disso, avaliam-se as chances de reincidência e os efeitos produzidos, em caso de novas ocorrências.

Avaliação dos riscos

É a segregação dos riscos conforme o nível do impacto produzido, podendo ser alto, médio ou baixo. Outras formas de classificação consideram os seguintes níveis: extremo, elevado ou moderado.

Com isso, pode-se priorizar os riscos que precisam ser acompanhados de perto, com frequência e com medidas corretivas certeiras e tempestivas.

Outro caminho para realizar a análise é segmentar por tipo de evento, pela probabilidade e pelo impacto. Quando combinados esses métodos, pode-se produzir uma matriz de avaliação de probabilidade e de impacto de riscos.

Tratamento dos riscos

É chegada a hora de colocar os planejamentos em prática. Tratar riscos nada mais é do que modificar a situação atual para que o cenário empresarial não fique mais propício ao problema identificado.

E isso é feito por um plano de ação para mitigar riscos negativos (eliminá-los ou reduzir suas chances de ocorrência) e maximizar os positivos (aumentando sua probabilidade para captura crescente de valor).

Disseminação da gestão de riscos

A metodologia PMBoK de projetos contempla a disciplina relacionada à comunicação. Suas premissas também devem ser aplicadas ao contexto da gestão de riscos. Assim, deverá haver transparência nas informações e diálogo aberto entre as partes interessadas.

Monitoramento permanente

Analisar criticamente o que está sendo feito na gestão de riscos é premissa para o sucesso desse trabalho. Dessa forma, deve-se verificar, observar, supervisionar e identificar oportunidades de melhoria, sem descanso. Essa fase perdura do início ao final do ciclo de vida do projeto.

Essa espécie de receita de bolo é uma sintetização dos métodos mais usuais no mercado para o gerenciamento de riscos de projeto. Vale a pena adaptar alguns pontos para que a aplicação das premissas seja natural. Ainda assim, é possível cometer erros e esse será o tema do próximo tópico.

Evite 9 erros na gestão de riscos do projeto

Muito embora gerenciar projetos faça parte do cotidiano de toda empresa, cada novo desafio requer o aprendizado acumulado em experiências anteriores e outras novas habilidades da equipe gestora e de executantes.

E até nas organizações onde o volume de projetos é alto, na maioria das vezes com várias iniciativas correndo em paralelo, ainda há armadilhas, más interpretações e despreparo. Esses são fatores que prejudicam a gestão das ações necessárias para a realização do objetivo proposto.

Acompanhe a lista dos erros mais comuns e prepare-se para não repeti-los!

1. Ignorar lições aprendidas

A gestão de riscos é uma disciplina já estabelecida nas melhores práticas de gestão de projetos e não há porque não beber dessa fonte.

Pensar que será possível desenvolver um modelo exclusivo para cada projeto ou cada empresa é desconsiderar todos os avanços que as metodologias de mercado já alcançaram e é também desvalorizar o know-how acumulado internamente com iniciativas anteriores.

Melhores práticas existem para serem reutilizadas, replicadas. Não faz sentido querer reinventar a roda e desperdiçar todos os esforços já empenhados em outras ocasiões.

2. Prender-se às lições aprendidas

Não é porque o passado ensina que a gestão deve ficar presa a ele. A realidade do mercado é dinâmica e isso se reflete internamente nas empresas: os processos evoluem, novas ferramentas são adotadas, a cultura organizacional se adapta aos novos contextos.

Por isso é importante olhar cuidadosamente para a atual realidade, para o projeto em planejamento ou andamento, compreender suas características e aproveitar a bagagem acumulada para implementar as melhores saídas para os desafios do momento.

3. Confundir gestão de riscos com auditoria

A expressão “cada qual em seu quadrado” cabe muito bem aqui. Muitas empresas e gestores espelham os processos de auditoria nos de gerenciamento de riscos, mesmo tendo funções diferentes e trazendo resultados específicos, embora complementares.

Medir e mitigar riscos não é questão de compliance, é um caso de estabelecer políticas para garantir o máximo de patrocínio e de investimento em controles, em segurança e em otimização de todos os processos que atuarão para cercar riscos. Além disso, o foco é preparar a empresa para lidar com o indesejado, de forma que a ocorrência do risco gere o menor impacto negativo possível.

4. Escolher métodos inadequados

Existem diversas metodologias e referências de melhores práticas no mercado. Para escolher a que mais se aplica à empresa é fundamental entender o negócio a fundo, suas necessidades, suas fragilidades e forças.

Somente a partir daí será possível estabelecer qual será o modelo de gestão de riscos, suas premissas, as áreas envolvidas, os resultados esperados e o plano de ação que deverá ser adotado.

5. Considerar tudo como risco

Quando se há um excesso de escopo do que deve ser monitorado quanto a riscos, tem-se a chance de engessar o controle e até mesmo o próprio projeto. Isso porque se muitas variáveis forem dadas como potenciais eventos de risco, ficará pesada a trajetória das atividades na cadeia de processos da empresa.

O ideal é delimitar o universo de riscos que deverão ser controlados para que seja possível realizar verificações mais robustas e apenas do que mais interessa. Essa é uma forma de racionalizar a gestão de riscos, tornando-a mais fluida e menos onerosa para a organização.

6. Considerar projetos de TI como diferentes dos projetos empresariais

As metodologias de gerenciamento de projetos abarcam todo tipo de iniciativa que caracteriza um projeto. Claro que quando o campo de atuação é TI, novos frameworks ou novas boas práticas podem ser agregados.

Especialmente hoje, referências como métodos ágeis (Scrum e DevOps, por exemplo) tomam conta do mundo da TI. Mas nada disso compete com a gestão de riscos e esta deve ser tão levada a sério nos projetos desse âmbito quanto é em projetos mais voltados para os processos empresariais mais “genéricos”.

7. Atuar apenas na fase de planejamento

Gerir riscos não é apenas identificá-los, classificá-los e documentá-los. Trata-se de um processo vivo, que corre nas veias da organização e de todos os projetos em andamento.

Assim, é importante manter os fluxos de verificação dos riscos ao longo das iniciativas empresariais, até porque riscos não previstos podem surgir e exigir replanejamento e proposta de novas soluções para mitigá-los.

8. Limitar a gestão de riscos a determinados atores

É comum que sejam delegadas funções de identificação de riscos, planejamento de ações e formulação de políticas de gestão a determinados cargos ou setores. Até aí tudo bem, mas a materialização do que se estabelece como diretriz de gerenciamento de riscos precisa estar presente em todos os departamentos e precisa ser entendido por todos os colaboradores.

Gerenciar riscos só funciona efetivamente se a ação estiver incutida na cultura organizacional, se todo o corpo funcional for capacitado para identificar os menores sinais de riscos e se houver uma abertura para proposição de correções por todos os envolvidos, cada qual dentro de sua área de domínio.

9. Deixar a gestão de riscos alheia à dinâmica corporativa

Gerir qualquer coisa não se trata de planejar, documentar e engavetar. Manter políticas descoladas da realidade da organização não resolve problemas, não aponta alternativas, não alerta sobre ameaças e não aproveita as oportunidades.

A gestão de riscos é um encadeamento de processos que só ganha vida quando está muito próxima dos demais processos empresariais. Então, ela precisa ir muito além de cartilhas ou manuais e deve se materializar no dia a dia, ao longo de toda a trajetória dos processos e dos projetos.

Gestão de riscos é questão de sobrevivência para as empresas

Uma boa governança de riscos depende de mudanças na cultura organizacional para que a relevância da “caça a perigos” dentro da organização seja reconhecida.

Isso porque sanar falhas, prever ameaças e atacar vulnerabilidades acaba sendo um instrumento de proteção da eficiência que se espera em projetos.

Hoje o mercado é intolerante a falhas, o cliente é altamente exigente e as empresas precisam driblar prazos exíguos e escassez de recursos para alcançar bons níveis de eficiência operacional, fazendo mais com menos.

Nesse contexto, o gerenciamento de riscos aparece como poderoso instrumento de gestão, que identifica problemas antecipadamente e prepara a empresa para lidar com eles e também para responder aos imprevistos que ainda se apresentarão.

E não basta identificar riscos. É preciso dimensioná-los com precisão para prever a forma, a intensidade e a frequência que deverão ser empregadas na correção.

Lançar mão de metodologias e de ferramentas de mercado para conduzir esse tipo de trabalho é fundamental. Contar com a expertise de empresas de consultoria e com a tecnologia nessas horas faz toda diferença.

Em qualquer tipo de projeto, seja ele para reestruturações organizacionais, mudança de direção nos objetivos corporativos ou de TI, a gestão de riscos surge como remédio para as incertezas, produz maior segurança para gestores, subsidia o trabalho das equipes e dota as iniciativas empreendidas de qualidade.

As dicas deste post foram úteis para te ajudar a otimizar o gerenciamento de riscos e entender melhor outros assuntos que permeiam o cotidiano corporativo? Gostaria de contar alguma experiência que possa acrescentar à nossa discussão? Use o espaço para comentários e contribua com o seu conhecimento!


Contato

Posts relacionados

Monitoramento de TI é Essencial?
Implantação de projetos: 5 passos para uma gestão eficiente
Comunicação interna nas empresas: como garantir a segurança?

Comentários

  • Jorge Willian

    REPLY

    Ótimo conteúdo

    7 de junho de 2018

Deixe um comentário