DIRETRIZES PARA A GESTÃO DE RISCOS DE PROJETOS FUNBIO PO-09/2013 Unidade Responsável: PMO Ponto Focal OBJETIVO: Este documento apresenta as diretrizes para o processo de avaliação de riscos e alocação em projetos ESCOPO ORGANIZACIONAL: Esta política aplica-se a projetos apoiados pelo GEF.
VALIDAÇÃO Versão atual Ações Data Aprovação 06 Dez 2013 1 Início da validade 06 Dez 2013 Próxima revisão Nov 2015 CONTROLE DE VERSÃO Versão Data Responsável Situação 0.1 04 Dez 2013 Mônica Ferreira Minuta 1 06 Dez 2013 Rosa Lemos Aprovado DOCUMENTOS RELACIONADOS: P-21 Análise (appraisal) e Seleção de Projetos; P-22 Política de Avaliação de Projetos e Programas. Privacidade: Este documento é público e está disponível no website do Funbio. Não deve ser editado ou alterado sem consentimento prévio.
SUMÁRIO I. INTRODUÇÃO... 7 II. GESTÃO DE RISCOS... 7 III. IDENTIFICAÇÃO DE RISCOS... 9 III.1 OBJETIVOS DA IDENTIFICAÇÃO DE RISCOS... 9 III.2 PROCESSO DE IDENTIFICAÇÃO DE RISCOS... 9 III.3 Ferramentas e técnicas de identificação de riscos... 10 III.4 Checklist de identificação de riscos... 11 IV. Avaliação de Risco... 13 IV.1 Objetivos da avaliação de risco... 13 IV.2 Processos de Avaliação de Risco... 13 IV.2.1 Risco de quem... 14 IV.2.2 Fontes de riscos... 14 IV.2.3 Bases de risco... 14 Mapeamento de risco: Gravidade de Risco e Frequência... 15 V. Análise de riscos... 15 V.1 Objetivos da análise de riscos... 15 V.2 métodos de análise de riscos... 16 V.2.1 métodos tradicionais... 16 V.2.2 métodos analíticos... 16 V.2.3 Modelos de Simulação... 17 V.2.4 Probabilidade ou árvores de decisão e diagramas de influência... 17 VI. Planejamento de respostas aos riscos... 18 VI.1 Objetivos do planejamento de respostas aos riscos... 18 VI.2 Opções de respostas aos risco... 18 VI.3 Planejamento de Riscos... 19 VI.4 Documentação do planejamento de riscos... 19 VI.4.1 Lista de red flags... 19 VI.4.2 Mapa de riscos... 20 5
VI.4.3 Plano formal de Gerenciamento de riscos... 21 VII. Monitoramento e controle de riscos... 21 VII.1 Objetivos do monitoramento e controle... 21 VII.2 Relatórios... 22 VII.3 Métricas de Gestão de Riscos (Indicadores)... 23 VII.4 Gerenciamento de Contingências e resolução de Contingências... 23 VIII. Referências... 24 6
I. INTRODUÇÃO 1. O sucesso de um programa depende da aplicação de uma ampla gama de ferramentas de gestão em projetos e programas. Escopo, custo, qualidade e cronograma são considerados essenciais para qualquer projeto importante. Fundos Ambientais e seus parceiros são bem versados em qualidade e técnicas de estimativa de custos, que geralmente são aplicadas várias vezes a cada projeto. O tratamento do risco é bem menos entendido e uniforme na comunidade ambientalista. Os processos de gestão de riscos e suas ferramentas, documentação e comunicação são menos padronizados que qualquer outra dimensão da gestão de projetos ambientais. 2. Riscos de projetos devem ser identificados, gerenciados e endereçados ao longo do projeto para que este seja bem-sucedido. A gestão de risco é crucial para manter a estabilidade e eficiência do projeto durante o seu ciclo de vida. 3. O objetivo deste documento é oferecer um manual conciso em relação aos processos de avaliação de riscos no projeto. II. GESTÃO DE RISCOS 4. Os principais passos da gestão de risco em projetos são: Planejamento do gerenciamento de riscos: decidir como conduzir e planejar as atividades de gestão de risco para o projeto. Identificação de riscos: determinar quais riscos são mais suscetíveis a afetar um projeto e documentar as características de cada um deles. Avaliação de riscos (ou Análise Qualitativa dos riscos): priorizar riscos baseado na sua probabilidade e impacto de ocorrência. Avaliação de riscos (ou Análise Quantitativa dos Riscos): estimativa numérica dos efeitos dos riscos para os objetivos de programas. Planejamento de respostas aos riscos: tomar medidas que ampliem as oportunidades e reduzam as ameaças ao cumprimento dos objetivos do projeto. Monitoramento e controle de riscos: monitorar riscos identificados e residuais, identificar novos riscos, conduzir planos de respostas aos riscos e avaliar a efetividade das estratégias de risco ao longo da vida do projeto. 5. Um conceito básico dessa abordagem é que todo o processo é repetitivo e cíclico (conforme figura abaixo). Conforme o projeto evolui, alguns riscos serão eliminados ou mitigados, 7
enquanto outros podem surgir, e assim serão adicionados à lista de riscos do projeto. Esses passos são continuamente aplicados ao longo do período de implementação do projeto. Monitoramento de risco - Identificar gatilhos de risco -Determinar se pressupostos ainda são válidos - Medidas corretivas Risco Identificado -Escopo definido -SWOT - Lista de verificação/ferramentas - Experiência - Entrevistas Risco Priorizado -Impacto - Probabilidade Resposta de risco -Mitigar: Aumentar oportunidades e diminuir ameaças - Iniciar/planejar ações e alternativas Análise de risco e resposta - Qualitativa - Quantitativa - Árvore de decisão -Contingência de tempo e custos Risco agrupado por categorias - Financeiro - Cronograma -Qualidade -Escopo 8
III. IDENTIFICAÇÃO DE RISCOS III.1 OBJETIVOS DA IDENTIFICAÇÃO DE RISCOS 6. Os objetivos da identificação de riscos são (1) identificar e categorizar os riscos que podem afetar o projeto e (2) documentar esses riscos. O resultado da identificação de riscos é a Lista de Riscos. O que será feito com a Lista de Riscos depende da natureza dos riscos e do projeto. Em projetos menos complexos, de baixo custo e pouca incerteza (poucos riscos), os riscos devem ser gerenciados simplesmente como numa lista de itens com bandeira vermelha. Em projetos complexos, de alto custo, cuja natureza envolve grandes incertezas, os riscos podem alimentar um rigoroso processo de avaliação, análise, planejamento e mitigação, alocação, monitoramento e atualização. 7. O processo de identificação de riscos deve parar ou ser breve na avaliação ou análise de riscos para que não se iniba a identificação de riscos "menores". O processo deve promover ideias criativas e aproveitar as experiências e conhecimentos da equipe. Ná prática, no entanto, a identificação de riscos e a avaliação de riscos são geralmente realizados em um único passo, num processo que pode ser chamado de avaliação de riscos. Por exemplo, se um risco é identificado no processo de entrevista a um especialista, seria lógico já buscar informações sobre a probabilidade de ocorrência, suas conseqüências e impactos, o tempo associado ao risco (ex.: quando poderia ocorrer) e as possíveis formas de lidar com a situação. As últimas ações já fazem parte da avaliação de riscos, mas geralmente começam no processo de identificação de riscos. III.2 PROCESSO DE IDENTIFICAÇÃO DE RISCOS 8. O processo de identificação de riscos começa com a compilação dos riscos do projeto pela equipe responsável. Esse processo varia dependendo da natureza do projeto e das habilidades dos membros da equipe de gestão de risco, mas a maioria dos processos de identificação começam com um exame das questões e preocupações trazidas pela equipe de desenvolvimento do projeto. O risco do projeto pode ser identificado de várias maneiras, e no mínimo a equipe deve começar pelo exame de documentação específica do projeto e dos documentos programáticos. Várias técnicas estão disponíveis para facilitar a identificação de risco após a revisão destes documentos: brainstorming, planejamento de cenários, e entrevistas com especialistas são ferramentas comumente usadas nas tarefas rotineiras de gerenciamento de projetos. O método de grupo nominal, outra ferramenta muito usada, permite que cada membro da equipe crie sua lista individual. O método Delphi é um processo em que cada membro da equipe enumera, de forma individual e anônima, riscos potenciais e seus insumos. O método Crawford Slip permite que a equipe liste individualmente até 10 riscos, que depois são divididos pela equipe em várias categorias e 9
registrados por categoria. Grupo nominal, Delphi, Crawford Slip, e diagramas de influência também servem como boas ferramentas de avaliação de riscos, que geralmente se confundem com a identificação de riscos. 9. A chave para o sucesso de qualquer ferramenta ou técnica de identificação de riscos é apoiar os especialistas na identificação dos mesmos. Equipe e cultura de risco da organização são as chaves para a continuidade da identificação e gestão de riscos. Os documentos e técnicas devem dar suporte às pessoas no processo de avaliação de riscos e nunca deve inibir, ou substituir, o julgamento gerencial necessário para um processo de avaliação de risco completo. III.3 FERRAMENTAS E TÉCNICAS DE IDENTIFICAÇÃO DE RISCOS 10. Documentos específicos do projeto: Descrição do projeto EAP (Estrutura Analítica de Projetos) - WBS (Work breakdown structure) Estimativa de custos Cronogramas de desenho e implantação Plano de aquisições Listagem das questões e preocupações da equipe do projeto 11. Documentos Programáticos: Dados históricos Checklists Relatórios finais de projetos Planos de respostas aos riscos Documentos com as Lições Aprendidas Bases de conhecimento Estudos acadêmicos Técnicas Brainstorming Planejamento de cenários Entrevista com especialistas 10
Método de grupos nominais Método Delphi Método Crawford slip Diagramas de causa-e-efeito ou de influência III.4 CHECKLIST DE IDENTIFICAÇÃO DE RISCOS 12. Checklist de Gestão de riscos Os relatórios variam de acordo com o tamanho, natureza e fase do projeto. Seguem exemplos de documentos de gestão de riscos e relatórios que podem ser úteis: Plano de gestão de riscos Formulário de informação de riscos Relatório de avaliação de riscos Plano de ação de manejo de riscos Lista de riscos agregados Documentação de monitoramento de riscos 13. Exemplo de Lista de Riscos: Riscos técnicos Desenho de projeto incompleto Premissas falsas ou imprecisas sobre questões técnicas na fase de planejamento Levantamentos com atraso e/ou com erros Inconsistências de custo, prazo, escopo e objetivos qualitativos. Falta de equipe especializada (biologia, antropologia, arqueologia, etc) 14. Riscos Financeiros: Quantidade insuficiente de recursos para o atingimento dos objetivos do projeto Estimativas inapropriadas para insumos do projeto Premissas falsas ou imprecisas sobre questões financeiras na fase de planejamento Inconsistências de custo, prazo, escopo e objetivos qualitativos. Capacidade financeira da organização proponente Variações da taxa de câmbio 11
15. Riscos de gestão de projetos: Objetivos e necessidades insuficientemente definidas Escopo, cronograma, objetivos, custos e entregas (produtos) do projeto insuficientemente definidos ou entendidos Falta de controle sobre as prioridades da equipe Gestão de muitos projetos simultâneos Atrasos nas entregas das consultorias ou de obras Erros de estimativa e/ou programação Trabalho não planejado que precisa ser incorporado ao projeto Problemas de comunicação com a equipe do projeto. Falta de coordenação/comunicação Falta de suporte da alta Gerência Trocas de pessoas-chave da equie durante o projeto Força de trabalho inexperiente/ equipe inadequada/ indisponibilidade de recursos 16. Riscos organizacionais : Falta de experiência da equipe alocada Perda de equipe importante em um ponto crítico do projeto Carga de trabalho não prevista pelo gestor do projeto Atrasos nas aprovações e decisões decorrentes de burocracia interna Unidades funcionais não disponíveis ou sobrecarregadas Falta de entendimento de procedimentos de financiamento complexos Falta de tempo para planejamento Mudança de prioridades no programa existente 17. Riscos externos Mudança de prioridades em projetos existentes Objeções das comunidades locais Previsão de impactos negativos na comunidade Mudanças de financiamento para o ano fiscal 12
Mudanças de fatores políticos Alterações de última hora demandadas pelos stakeholders Surgimento de novos stakeholders e novas demanda de trabalho Licenças ou ações dos parceiros demorando mais tempo do que o previsto Ameaça de processos jurídicos IV. AVALIAÇÃO DE RISCO IV.1 OBJETIVOS DA AVALIAÇÃO DE RISCO 18. Avaliação de riscos é o processo de quantificação dos eventos de riscos documentados na fase anterior de identificação. A avaliação de riscos tem dois aspectos. O primeiro determina a probabilidade de ocorrência do risco (frequência do risco); que são classificados continuamente, desde muito pouco provável até muito provável. O segundo julga o impacto do risco, caso este ocorra (gravidade da consequência). Riscos afetam os resultados do projeto de diversas formas. Efeitos de risco são geralmente aparentes nos resultados diretos do projeto, aumentando os custos ou o cronograma. Alguns riscos influenciam o projeto por afetar o público, a percepção pública ou questões envolvendo segurança e saúde. O risco também pode afetar projetos de formas indiretas, exigindo maior planejamento, mais revisões e atividade de supervisão da gerência. IV.2 PROCESSOS DE AVALIAÇÃO DE RISCO 19. Avaliação de riscos é fundamentalmente uma atividade de gestão apoiada por pessoas familiarizadas com as atividades de gestão de riscos. Os gerentes e analistas abordam os riscos usando diferentes pontos de vista, porém sempre complementares. Gerentes tendem à avaliação qualitativa dos riscos. Eles avaliam sobre seus efeitos nos piores casos e sua probabilidade relativa de ocorrência. Os gerentes também tendem a se concentrar em estratégias e táticas para evitar riscos ou reduzir os impactos negativos destes. Os analistas, por outro lado, tendem a avaliação quantitativa dos riscos. Eles avaliam os impactos de risco em termos de uma série de resultados tangíveis, e avaliam o risco de ocorrência em termos de probabilidades. O foco do analista é sobre o efeito tangível, combinado, de todos os riscos sobre o escopo do projeto, custo e cronograma. 20. A avaliação global dos riscos combina avaliações qualitativas e quantitativas. A avaliação qualitativa é útil para a seleção e priorização de riscos, bem como para o desenvolvimento de estratégias adequadas de redução de risco e alocação de estratégias. A avaliação 13
quantitativa é a melhor forma para estimar a natureza numérica e estatística da exposição ao risco do projeto. IV.2.1 RISCO DE QUEM 21. Um conceito fundamental para qualquer avaliação de risco é "risco de quem", ou de quem o risco está sendo avaliado e medido. Um projeto pode ter muitos participantes, a maioria dos quais carregam alguma parte do risco. Alguns riscos são carregados pelo proponente, outros pela agência ou seus consultores, outros são distribuídos entre as partes por contrato. No entanto, tudo deve estar em seu escopo, porque pode afetar os resultados do projeto. IV.2.2 FONTES DE RISCOS 22. Embora os riscos do projeto sejam interrelacionados e interdependentes, a maioria dos riscos vem de uma origem definida. Muitas listas de verificação de risco (ver 3.4) foram desenvolvidas para classificar diferentes tipos de riscos de acordo com a sua origem. IV.2.3 BASES DE RISCO 23. É útil considerar a fonte do risco quando da realização de uma avaliação de riscos. Os riscos podem ser classificados como internos ou externos. Riscos internos são aqueles que surgem no âmbito e sob o controle da equipe do projeto. A maioria dos riscos internos podem ser referenciados a um documento específico do projeto, tais como uma estimativa de custo ou um cronograma. Os riscos internos geralmente se referem a itens que são inerentemente variáveis (ou seja, qual é o custo de um insumo?). Os riscos externos são itens que geralmente são impostos ao projeto por instituições além dos limites do projeto. As interações com grupos de cidadãos ou reguladores, por exemplo, são riscos externos típicos. Limitações de financiamento e restrições são outros riscos externos comuns. Os riscos externos tendem a referir-se a itens que são inerentemente imprevisíveis, mas geralmente podem ser antecipados. O Project Management Institute (PMI) utiliza a classificação de risco apresentada no esquema abaixo. Externo Imprevisível Regulatório Perigos Naturais Eventos Postulados Externo Previsível Riscos Mercado Operacional Impactos Ambientais Social Inflação de Identificação de Risco Interno Não-Técnico Gerenciamento Cronograma Custos Fluxo de caixa Técnico Mudança em tecnologia Desempenho Risco específico à tecnologia Design Legal Licenças Contratual Processo por terceiro Motivo de Força Maior 14
MAPEAMENTO DE RISCO: GRAVIDADE DE RISCO E FREQUÊNCIA 24. Após as fases da identificação e da avaliação qualitativa de riscos, tem-se desenvolvido um conjunto de riscos caracterizados pela sua frequência de ocorrência e a gravidade de suas consequências. Frequência e gravidade são as duas principais características utilizadas para avaliar riscos e separá-los em riscos menores, que não requerem maior atenção da gerência, e riscos significativos, que requerem atenção e, possivelmente, uma análise quantitativa. Vários métodos foram desenvolvidos para ajudar a classificar os riscos de acordo com a sua gravidade. Um método comum é desenvolver uma matriz bidimensional que classifica os riscos em categorias com base nos efeitos combinados de sua frequência e gravidade. A figura abaixo apresenta os riscos classificados em cinco faixas de probabilidade (de alta a baixa) e em cinco faixas de impacto (de residual a crítico). Estas avaliações produzem uma matriz cinco por cinco, que classifica o risco como "extremo" (vermelho), "alto" ( laranja), "moderado" (amarelo), ou baixo" (verde). Probabilidades Residual Problema menor, facilmente manipulado pelos processos normais do dia-a-dia Mínimo Alguma perturbação possível, ou seja perjuízos iguais a $ Impacto Moderado Significativos tempo/recursos necessários, ou seja perjuízos iguais a $ Acentuado Operações severamente prejudicadas, ou seja perjuízos iguais a $ Crítico Sustentabilidade do negócio está em risco com perjuízos iguais a $ Alta (chances > 90%) Moderado Alto Alto Extremo Extremo Média Alta (>50% e <=90%) Moderado Moderado Alto Alto Extremo Média (>15% e <=50%) Baixo Moderado Moderado Alto Extremo Média Baixa (>5% e <=15%) Baixo Baixo Moderado Alto Extremo Baixa (chances <=5%) Baixo Baixo Moderado Moderado Alto V. ANÁLISE DE RISCOS V.1 OBJETIVOS DA ANÁLISE DE RISCOS 25. Normalmente, a avaliação de riscos qualitativa de um projeto irá reconhecer alguns riscos cuja ocorrência é tão provável, ou cujo impacto é tão grave, que será preciso uma análise quantitativa mais aprofundada do risco em questão. Uma das principais finalidades da análise de risco quantitativa é combinar os efeitos dos vários eventos de risco identificados em uma estimativa global de risco do projeto. Esta avaliação global pode ser usada pelo gerente do projeto para tomar decisões go/ no-go sobre um projeto (continuar ou parar o projeto). Isso pode ajudar as agências a visualizar os projetos na perspectiva do contratante por meio de uma melhor compreensão dos riscos do contratante. Mais comumente, a 15
avaliação global de risco é utilizada para determinar os valores de contingência de custo e cronograma, bem como quantificar os impactos individuais de eventos de nível de risco de alta probabilidade e impacto crítico. O objetivo final da análise quantitativa, no entanto, não é apenas calcular os valores numéricos de risco, mas também prover uma base para avaliar a eficácia das estratégias de gestão ou de alocação de riscos. V.2 MÉTODOS DE ANÁLISE DE RISCOS 26. A escolha de um método de análise de risco requer uma análise das medidas de entrada de risco disponíveis e quais tipos de medidas de saída de risco são desejados. Os parágrafos seguintes descrevem alguns dos métodos de análise quantitativa de riscos mais frequentemente utilizados, e vão desde métodos simples e empíricos, até métodos computacionais complexos, com base estatística. V.2.1 MÉTODOS TRADICIONAIS 27. Os métodos tradicionais de análise de risco são métodos desenvolvidos empiricamente, e se concentram principalmente no desenvolvimento de contingências de custos para os projetos. O método atribui um fator de risco para vários elementos do projeto com base no conhecimento histórico do risco relativo de vários elementos do projeto. A contingência do projeto é determinada multiplicando o custo estimado de cada elemento por seus respectivos fatores de risco. Este método lucra com sua simplicidade e produz uma estimativa de custo de contingência. No entanto, o conhecimento da equipe do projeto é apenas implicitamente incorporado nos diversos fatores de risco. Devido à natureza histórica ou empírica das avaliações de risco, os métodos tradicionais não promovem a comunicação das consequências de riscos específicos do projeto. Da mesma forma, esta técnica não ajuda a definir fatores de risco específicos do projeto. Estes métodos não são adequados para avaliar o risco do cronograma do projeto. V.2.2 MÉTODOS ANALÍTICOS 28. Métodos analíticos, também chamados métodos de segundo momento, contam com o cálculo de probabilidades para determinar a média e o desvio-padrão do produto (isto é, o custo do projeto). Estes métodos usam fórmulas que relacionam o valor médio de cada variável de entrada com o valor médio das variáveis de saída. Da mesma forma, existem fórmulas que relacionam a variância (desvio padrão ao quadrado) com a variância das variáveis de saída. Estes métodos são mais apropriados quando a saída é uma soma simples ou o produto de vários valores de entrada. 29. Métodos analíticos são relativamente simples de entender. Eles exigem apenas uma estimativa da média e do desvio padrão de cada variável. Eles não exigem um conhecimento preciso da forma de distribuição de uma variável, e permitem o 16
conhecimento específico do risco a ser incorporado nos valores de desvio padrão. Além disso, fornecem uma estimativa prática de contingência de custos. Os métodos de análise não são úteis particularmente para riscos de comunicação; pois eles são difíceis de aplicar e raramente são adequados para a análise de risco do cronograma. V.2.3 MODELOS DE SIMULAÇÃO 30. Modelos de simulação, também chamados de método de Monte Carlo, consiste basicamente em gerar diversas amostras sucessivas em termos de custo ou tempo (variável aleatória) que serão então testadas contra um modelo estatístico, que vem a ser na verdade uma distribuição de probabilidade para um determinado risco do projeto. O objetivo da simulação é encontrar o efeito de múltiplas incertezas sobre um valor ou quantidade desejada (como o custo total ou a duração do projeto). O método de Monte Carlo tem muitas vantagens, podendo determinar os efeitos dos riscos nos custos e no cronograma que são demasiado complexos para métodos analíticos comuns. Ele pode incorporar explicitamente o conhecimento de riscos da equipe do projeto para eventos de risco, tanto de custo quanto de prazo. Ele tem ainda a capacidade de revelar, por meio de análise de sensibilidade, o impacto de eventos de risco específicos sobre o custo do projeto e o cronograma. 31. Entretanto, o método de Monte Carlo requer conhecimento e treinamento para a sua implementação bem sucedida. A utilização do método de Monte Carlo também exige que o usuário conheça e especifique a informação exata de distribuição de probabilidade, média, desvio padrão e forma de distribuição. No entanto, o método de Monte Carlo é o mais comum para a análise de risco do projeto porque ele fornece informações detalhadas sobre os impactos de risco sobre o custo e o cronograma do projeto. V.2.4 PROBABILIDADE OU ÁRVORES DE DECISÃO E DIAGRAMAS DE INFLUÊNCIA 32. Árvores de probabilidade são simples diagramas que mostram o efeito de uma sequência de vários eventos. Estas também podem ser usadas para avaliar cursos de ação específicos (ou seja, decisões), caso em que são conhecidas como árvores de decisão. Árvores de probabilidade são especialmente úteis na modelagem das interrelações entre variáveis correlacionadas, mostrando explicitamente as condições das probabilidades condicionais entre as variáveis do projeto. Historicamente, as árvores de probabilidade têm sido utilizadas em estudos de confiabilidade e avaliações de risco de desempenho técnico. No entanto, elas podem ser adaptadas com bastante facilidade para a análise dos riscos em custos e cronograma. As árvores de probabilidade apresentam requisitos rigorosos para os dados de entrada. Elas são um poderoso método que permite o exame tanto de dados (aleatório), quanto de modelo (epistêmico) de riscos. A sua aplicação requer uma 17
quantidade significativa de conhecimentos, sendo utilizados, portanto, apenas nos projetos mais difíceis e complexos. VI. PLANEJAMENTO DE RESPOSTAS AOS RISCOS VI.1 OBJETIVOS DO PLANEJAMENTO DE RESPOSTAS AOS RISCOS 33. Os objetivos são explorar estratégias de resposta para riscos de nível alto/crítico identificados na análise de risco qualitativa e quantitativa. O processo identifica e atribui as partes que devem assumir a responsabilidade por cada resposta ao risco, garantindo que cada risco que requeira uma resposta tenha um responsável. 34. Esforços de mitigação e de planejamento de risco podem exigir que as organizações definam políticas, procedimentos, metas e padrões de responsabilidade. Formalizar a mitigação e o planejamento de risco em toda a organização ajuda a estabelecer uma cultura de risco, resultando em uma melhor gestão de custos desde o planejamento até o encerramento do projeto, e numa melhor alocação de riscos do projeto alinhando as equipes com as metas de desempenho orientadas para o projeto. 35. Uma vez que gerentes, equipe e parceiros tenham analisado exaustivamente o conjunto crítico de riscos, eles estarão mais aptos para determinar o melhor curso de ação para mitigá-los. VI.2 OPÇÕES DE RESPOSTAS AOS RISCO 36. Exercícios de identificação, avaliação e análise de riscos formam a base para uma resposta aos riscos sólida. Uma série de ações de resposta aos riscos pode ajudar as organizações a evitar ou mitigar os riscos identificados. Riscos podem ser classificados como: Risco Evitado: eliminando uma ameaça ou risco específico, normalmente, eliminando as suas causas. Risco Aceito: nenhuma ação é tomada; e aceita-se os impactos caso o risco ocorra Risco Mitigado: reduzindo o impacto de um evento de risco, reduzindo a probabilidade de sua ocorrência, ou por meio de uma abordagem alternativa. Risco Transferido: transferindo os impactos para terceiros por meio de contrato ou de seguro, caso o risco ocorra. 37. A categorização acima ajuda a formalizar o planejamento de gerenciamento de risco. A equipe de desenvolvimento do projeto deve identificar qual estratégia é melhor para cada risco e, em seguida, projetar ações específicas para implementar essa estratégia 18
VI.3 PLANEJAMENTO DE RISCOS 38. O planejamento de riscos é iterativo e inclui a descrição e programação das atividades e processos de avaliação (identificação e análise), de mitigação, monitoramento e documentação dos riscos associados ao projeto. Para grandes projetos ou projetos com um alto grau de incerteza, o resultado deve ser um plano formal de gerenciamento de riscos. VI.4 DOCUMENTAÇÃO DO PLANEJAMENTO DE RISCOS 39. Cada planejamento de risco deve ser documentado, mas o nível de detalhe irá variar de acordo com os atributos de cada projeto. Grandes projetos ou projetos com altos níveis de incerteza requerem planos detalhados e formais, que registrem todos os aspectos de identificação, avaliação, análise, planejamento, alocação e sistemas de informação de riscos, documentação e relatórios de riscos. Projetos menores ou cujo grau de incertezas seja pequeno podem exigir apenas a documentação de uma lista de red flags (sinais de alerta) que pode ser atualizada nos marcos críticos do projeto ao longo do desenvolvimento e implementação do projeto. VI.4.1 LISTA DE RED FLAGS 40. A lista red flags é criada nas primeiras fases de desenvolvimento do projeto e mantida como uma lista de verificação durante o desenvolvimento do projeto. É talvez a forma mais simples de identificação e gestão de riscos. Nem todos os projetos vão exigir um processo abrangente e quantitativo de gestão de risco, e os red flags podem ser utilizados em um processo de gestão de risco qualitativo simplificado. 41. A lista de red flags é uma técnica para identificar riscos e focar a atenção nos itens críticos que podem impactar os custos e o cronograma do projeto. Questões ou itens que podem potencialmente afetar os custos ou o cronograma do projeto de forma significativa são identificados em uma lista (com sinal de alerta ou red flagged ), e a mesma é mantida atualizado no decorrer do desenvolvimento e implementação do projeto. Ao listar itens que podem potencialmente afetar os custos ou o cronograma do projeto e mantendo esta lista atualizada, a equipe do projeto tem uma melhor perspectiva para definir contingências apropriadas e controlar o risco. Ocasionalmente, itens considerados de risco são mencionados no planejamento, mas são logo esquecidos. A lista de red flags facilita a comunicação entre os planejadores, gerentes e equipes de projeto sobre esses itens. Ao manter uma lista atualizada, esses itens não são desconsiderados, podendo causar problemas mais tarde 19
VI.4.2 MAPA DE RISCOS 42. Um Mapa de Riscos é um documento que contém os resultados da análise de risco qualitativa ou quantitativa. É semelhante a uma lista de red flags mas normalmente contém informações mais detalhadas sobre o impacto potencial dos riscos e o plano de mitigação. O Mapa de Riscos contém uma lista dos riscos identificados, incluindo descrição, categoria e causa. Pode conter medidas de grandeza, tais como a probabilidade de ocorrência e impacto, e pode incluir propostas de respostas, responsáveis do risco e status atual. Este método pode ser mais eficaz do que simplesmente listar potenciais áreas problemáticas através de sinalização de risco (red flag), porque ele se integra com os processos de monitoramento e controle de riscos. 43. Um Mapa de Riscos é usado como uma ferramenta de gestão para identificar, comunicar, monitorar e controlar os riscos. Ele apoia a definição de contingências apropriadas e a alocação equitativa de riscos. Como parte de um plano global de gestão de riscos, o Mapa de Riscos pode ajudar a controlar o aumento de custos. É apropriado para projetos grandes ou complexos que tenham um grau de incerteza significativo. 44. O Mapa organiza os riscos que podem afetar as estimativas de custos e prazos de entrega do projeto. É tipicamente baseado numa avaliação qualitativa ou quantitativa de riscos, ao invés de um julgamento gerencial simples. Os riscos identificados são listados com informações relevantes para sua quantificação, monitoramento e controle. O Mapa de riscos pode incluir informações relevantes, tais como: Descrição do risco Probabilidade de ocorrência Impacto Classificação do risco Data da identificação Fase do projeto Gatilho do risco Ações de resposta Responsabilidade Quando será feito/periodicidade Data da conclusão 45. Um exemplo de Mapa de Risco está no anexo 1. 20
VI.4.3 PLANO FORMAL DE GERENCIAMENTO DE RISCOS 46. O Plano formal deve ser desenvolvido durante o processo de planejamento e definição do escopo, e atualizado nas fases subsequentes do desenvolvimento do projeto. 47. O Plano de gerenciamento de riscos é o roteiro que comunica à equipe do projeto como sair de onde o projeto está hoje para onde o projeto deve estar no futuro. Atuando como um mapa, pode ser específico em algumas áreas, tais como a atribuição de responsabilidades para as partes interessadas (stakeholders) e definições, e geral em outras áreas, para permitir que os usuários escolham o caminho mais eficiente para seguir. Abaixo um exemplo de esboço de um Plano de Gerenciamento de Riscos: Introdução Sumário Definições Organização Estratégia de gerenciamento de risco e abordagem Identificação de Riscos Avaliação e análise de Riscos Planejamento de riscos Alocação de riscos Mapa de Riscos e Monitoramento Sistema de informação de gestão de riscos, documentação e relatórios 48. Um exemplo de Plano de Gerenciamento de riscos está no Anexo 2. 49. Cada Plano de riscos deve ser documentado, mas o nível de detalhe irá variar de acordo com os atributos de cada projeto. Listas de red flags, Mapas de Riscos e Planos Formais de Gerenciamento de Riscos proporcionam flexibilidade na documentação de gerenciamento de riscos. VII. MONITORAMENTO E CONTROLE DE RISCOS VII.1 OBJETIVOS DO MONITORAMENTO E CONTROLE 50. Os objetivos do monitoramento e controle de riscos são: acompanhar sistematicamente os riscos identificados 21
identificar eventuais novos riscos gerenciar efetivamente a reserva de contingência documentar as lições aprendidas para futuras avaliações de risco e alocação de recursos 51. O processo de monitoramento e controle ocorre após o processo de avaliação dos riscos, e deve continuar no decorrer do ciclo de vida do projeto, já que os riscos são dinâmicos. A lista de riscos e estratégias de gestão de riscos associadas provavelmente irá mudar à medida que o projeto amadurece, e que novos riscos podem se desenvolver enquanto riscos previstos podem desaparecer. 52. Revisões periódicas dos riscos do projeto repetem as tarefas de identificação, avaliação, análise, mitigação e planejamento. Regularmente programadas, revisões dos riscos do projeto podem ser usadas para garantir que os riscos sejam um item da pauta de todas as reuniões de gerenciamento de desenvolvimento e implementação do projeto. Se riscos imprevistos surgem ou o impacto de um risco é maior do que o esperado, a resposta planejada ou alocação de risco programada, pode não ser adequada. Neste momento, a equipe do projeto deve realizar o planejamento de resposta adicional para controlar o risco. 53. Tarefas de monitoramento e controle podem variar de acordo com os objetivos do projeto, porém três tarefas devem ser integradas no desenho e construção dos planos de gerenciamento: Desenvolver procedimentos de comunicação consistentes e abrangentes. Monitorar os riscos e a resolução de contingência. Fornecer feedback de análise e mitigação para futuras avaliações e alocações de riscos. VII.2 RELATÓRIOS 54. Relatórios de riscos envolve o registro, manutenção e elaboração de relatórios de avaliações de riscos. O monitoramento dos resultados e a avaliação da adequação dos planos existentes são críticos. Documentar formalmente o processo de gerenciamento de riscos, em andamento, é importante pelas seguintes razões: Fornece a base para as avaliações de programas e atualizações no decorrer do projeto. A documentação formal tende a garantir uma avaliação mais abrangente de risco do que os esforços não documentados. Fornece uma base para o monitoramento das ações de mitigação e alocação, e de verificação dos resultados. Serve como material de apoio (conhecimento) para novos funcionários. 22