Análise e gestão de risco

Abstract

Análise e gestão de risco é uma prática chave de gestão de projecto para assegurar que o menor número de surpresas ocorra enquanto o seu projecto estiver em curso. Embora nunca possamos prever o futuro com certeza, podemos aplicar um processo simples e racionalizado de gestão de risco para prever as incertezas nos projectos e minimizar a ocorrência ou impacto dessas incertezas. Isto melhora as hipóteses de conclusão bem sucedida do projecto e reduz as consequências desses riscos.

Este documento apresenta o processo estruturado de Gestão de Riscos seguido na Nokia Siemens Networks que ajuda a evitar situações de crise e incorpora a aprendizagem a partir de erros passados. Salienta que a identificação e gestão eficaz e precoce dos riscos assegura a realização dos objectivos do projecto, levando à redução dos custos de retrabalho.

Introdução

Os membros da equipa do projecto a vários níveis identificam e lidam com os riscos em diferentes sabores. No entanto, isto será ineficaz sem uma estrutura estruturada de gestão de riscos, uma vez que isto leva a:

• Avaliação incompleta do impacto, levando à perda de:
  • Conhecimento do impacto global sobre os objectivos do projecto, como âmbito, tempo, custo, e qualidade
  • Identificação de riscos secundários ou novos decorrentes dos riscos já identificados
• Falta de transparência e falta de comunicação dentro e fora da equipa

Assim, é muito importante para qualquer organização de projecto a criação de um quadro eficaz de gestão de riscos. A instituição de uma tal prática como uma cultura de equipa de projecto assegura:

• Identificação e gestão consciente e focalizada do risco
• Progresso do projecto conforme desejado, com a menor quantidade de desvios ou surpresa, e de acordo com os objectivos do projecto e da organização
• Comunicação precoce e eficaz dos problemas do projecto à organização e aos intervenientes do projecto
• Uma ferramenta eficaz de construção de equipas, uma vez que a adesão e aceitação da equipa é assegurada

Exposição 1 mostra que a gestão do risco é um processo iterativo e cada faceta da gestão do risco deve ser planeada e seguida durante cada fase do projecto.

O quadro de gestão do risco seguido na Nokia Siemens Networks fornece directrizes para:

• Identificação contínua do risco
• Avaliação do risco
• Mitigação do risco e definição da medida de contingência
• Monitorização e controlo do risco
• Medição da eficiência da identificação do risco

O quadro de gestão do risco também fornece modelos e ferramentas, tais como:

• Um registo de riscos para cada projecto para acompanhar os riscos e questões identificadas
• Uma lista de verificação de riscos, que é uma directriz para identificar riscos com base nas fases do ciclo de vida do projecto
• Um repositório de riscos, que são todos os riscos identificados nos projectos até agora

Quadro de Gestão do Risco

Plano de Gestão do Risco

O quadro de gestão do risco mandatado pela organização é revisto e adaptado para definir o plano de gestão do risco do projecto quando o projecto é iniciado. O plano de gestão de risco inclui estas definições e directrizes:

• Lista de possíveis fontes e categorias de risco
• Matriz de impacto e probabilidade
• Redução do risco e plano de acção
• Plano de contingência
• Limite de risco e métrica

Identificação do risco

Riscos devem ser identificados e tratados o mais cedo possível no projecto. A identificação do risco é feita durante todo o ciclo de vida do projecto, com especial ênfase durante os marcos-chave.

A identificação do risco é um dos tópicos-chave no estado regular do projecto e nas reuniões de relatório. Alguns riscos podem ser facilmente aparentes para a equipa do projecto – riscos conhecidos; outros serão mais rigorosos a descobrir, mas ainda são previsíveis.

O meio para registar todos os riscos identificados ao longo do projecto é o registo de riscos, que é armazenado no servidor central do projecto.

As seguintes ferramentas e directrizes são utilizadas para identificar riscos de uma forma estruturada e disciplinada, o que assegura que nenhum risco potencial significativo é ignorado.

1. Fontes do risco

2. Categoria do risco

Categoria do risco fornece uma lista de áreas que são propensas a eventos de risco. A organização recomenda categorias padrão de alto nível, que têm de ser alargadas com base no tipo de projecto.

Análise de risco

Análise de risco envolve examinar como os resultados e objectivos do projecto podem mudar devido ao impacto do evento de risco.

Após a identificação dos riscos, estes são analisados para identificar o impacto qualitativo e quantitativo do risco no projecto, de modo a que possam ser tomadas medidas apropriadas para os mitigar. As seguintes directrizes são utilizadas para analisar os riscos.

3. Probabilidade de Ocorrência de Risco

1. High probability – (80 % ≤ x ≤ 100%)
2. Medium-alta probabilidade – (60 % ≤ x < 80%)
3. Medio-Baixa probabilidade – (30 % ≤ x < 60%)
4. Baixa probabilidade (0 % < x < 30%)

4>4. Impacto do Risco

1. Alto – Catastrófico (Classificação A – 100)
2. Medio – Crítico (Classificação B – 50)
3. Low – Marginal (Classificação C – 10)

Como uma directriz para Classificação de Impacto é utilizada a seguinte matriz:

A pontuação representa limiares mínimos para a classificação dos riscos assumindo condições “normais”. É necessária uma actualização da pontuação para o nível seguinte ou mesmo para o nível seguinte + 1, se o risco for afectado por factores críticos, tais como:

• Quanta importância tem o cliente específico
• Se o projecto é crítico para o desenvolvimento futuro da relação com o cliente
• O risco já está no foco do cliente
• Sanções específicas para desvios dos objectivos do projecto são acordadas no contrato com o cliente

5. Exposição ao risco

Risco Exposição ou pontuação de risco é o valor determinado pela multiplicação da Classificação de Impacto com a Probabilidade de Risco, conforme demonstrado no Anexo 5.

As cores representam a urgência do planeamento da resposta ao risco e determinam os níveis de notificação.

6. Ocorrência de risco Prazo

O prazo em que este risco terá impacto é identificado. Este é classificado num dos seguintes:

Além de classificar os riscos de acordo com as directrizes acima referidas, é também necessário descrever o impacto no custo, calendário, âmbito e qualidade com o maior detalhe possível com base na natureza do risco.Exemplos de classificação de riscos

7. Exemplos de classificação de riscos

Planeamento da resposta ao risco

Pode não haver soluções rápidas para reduzir ou eliminar todos os riscos que um projecto enfrenta. Alguns riscos podem precisar de ser geridos e reduzidos estrategicamente por períodos mais longos. Por conseguinte, devem ser elaborados planos de acção para reduzir estes riscos. Estes planos de acção devem incluir:

• Descrição do risco com avaliação do risco
• Descrição da acção para reduzir o risco
• Proprietário do acção de risco
• Data de conclusão da acção de risco

Todos os planos de acção de risco devem ser atribuídos à pessoa identificada para levar a cabo o plano de acção.

1. Planos de resposta ao risco

Para cada risco, uma resposta ao risco deve ser documentada no registo de riscos de acordo com as partes interessadas. Isto deve ser assegurado pelo gestor do projecto.

Planos de resposta ao risco visam os seguintes objectivos:

1. Eliminar o risco
2. Diminuir a probabilidade de ocorrência de risco
3. Diminuir o impacto do risco nos objectivos do projecto

Planos de resposta ao risco têm geralmente impacto no tempo e nos custos. É portanto obrigatório que o tempo e o custo para o plano de resposta definido sejam calculados com a maior precisão possível. Isto também ajuda a seleccionar um plano de resposta a partir das alternativas, e a verificar se o plano de resposta é mais dispendioso ou tem mais impacto num dos objectivos do projecto do que o próprio risco.

Após a implementação bem sucedida de um conjunto de planos de resposta, a pontuação de um risco poderia ser reduzida em consulta com as partes interessadas.

Exemplos:

2. Gatilhos de risco

Para cada risco, um gatilho deve ser documentado no registo de riscos. O gatilho identifica os sintomas de risco ou os sinais de aviso. Indica que um risco ocorreu ou está prestes a ocorrer. O gatilho de risco também dá uma indicação de quando um determinado risco é esperado.

Exemplos:

3. Propriedade do Risco

A regra básica é que a responsabilidade pela gestão de todos os riscos no projecto cabe ao gestor do projecto.

Baseado nesta regra básica, um Proprietário do Risco (que não é necessariamente o gestor do projecto) deve ser determinado e nomeado no Registo de Riscos. O Proprietário do Risco é normalmente aquele que melhor pode controlar o gatilho do risco, mas também pode ser aquele que melhor pode conduzir as contramedidas definidas. O Proprietário do Risco é responsável por comunicar imediatamente quaisquer alterações no estado de desencadeamento do risco e por conduzir as contramedidas definidas.

Exemplos:

Monitorização e Controlo do Risco

Monitorização e Controlo do Risco inclui:

• Identificação de novos riscos e planeamento para eles
• Cuidado dos riscos existentes para verificar se:
  • É necessária uma reavaliação dos riscos
  • Todas as condições de risco foram desencadeadas
  • Monitorar quaisquer riscos que possam tornar-se mais críticos ao longo do tempo
  • Tocalizar os riscos restantes que exijam um maior…termo, abordagem planeada, e gerida com planos de acção de risco
• Reclassificação do risco

  Para os riscos que não podem ser encerrados, a criticidade tem de diminuir durante um período de tempo devido à implementação do plano de acção. Se este não for o caso, o plano de acção pode não ser eficaz e deve ser reexaminado.

• Relatribuição de riscos

  O registo de riscos é continuamente actualizado, desde a identificação do risco até à planificação da resposta ao risco e actualização do estado durante a monitorização e controlo do risco. Este registo de risco do projecto é a ferramenta principal de relatório de risco e está disponível no servidor central do projecto, que é acessível a todos os intervenientes.

A monitorização e controlo do risco ou revisão do risco é um processo iterativo que utiliza relatórios de estado de progresso e estado entregável para monitorizar e controlar os riscos. Isto é permitido por vários relatórios de estado, tais como relatórios de qualidade, relatórios de progresso, relatórios de acompanhamento, e assim por diante.

As revisões de risco são um item obrigatório de reuniões de marco e/ou reuniões regulares do projecto, mas também podem ser executadas durante reuniões de revisão de risco planeadas separadamente. Estas análises de risco devem ser realizadas regularmente. A frequência também pode ser determinada com base no nível de risco global de um projecto.

Limiar de risco

As prioridades de risco têm de ser definidas para focalizar directamente onde é mais crítico. Os riscos com a classificação de exposição mais elevada são a prioridade mais elevada.

Riscos com Exposição Baixa podem ser eliminados dos planos de mitigação, mas podem precisar de ser revistos mais tarde no projecto.

O mandato organizacional é que se os projectos tiverem pelo menos um risco “Muito Elevado” ou mais de 3 riscos “Elevados”, devem ser procuradas orientações da gerência e das partes interessadas, uma vez que o projecto pode estar em alto risco de fracasso. Este é o limiar de risco recomendado. Os projectos podem personalizar o limiar com base nas necessidades do projecto.

Medição da eficiência do risco

Métricas do risco

A eficiência da análise e gestão do risco é medida capturando as seguintes métricas durante o encerramento do projecto. Os resultados da análise são utilizados para decifrar lições aprendidas, que é actualizada na base de dados de lições aprendidas da organização.

• Número de riscos que ocorreram / Número de riscos que foram identificados
• O impacto dos riscos foi tão severo como se pensava inicialmente?
• Quantos riscos se repetiram?
• Como é que os problemas e questões reais enfrentados num projecto diferem dos riscos previstos?

Auditoria de Riscos

Esta é uma análise especializada independente de riscos, com recomendações para aumentar a maturidade ou eficácia da gestão de riscos na organização. Isto avalia:

• Quão boa é a identificação do risco?
• Exaustividade e granularidade dos riscos identificados
• Eficácia do plano de mitigação ou de contingência
• Ligação dos riscos do projecto aos riscos organizacionais

p> Esta não é uma auditoria de “aderência ao processo”, mas uma ajuda para melhorar a qualidade da identificação e análise do risco. Isto é também utilizado como um fórum para aferir e identificar boas práticas de gestão de risco entre vários projectos na organização.

A auditoria de risco é feita por um grupo de domínio independente ou por peritos técnicos através da análise de documentação e entrevistas. Os principais resultados desta auditoria de risco são:

• Lista de verificação personalizada para avaliar os riscos de um projecto
• Identificar áreas importantes para a análise de risco de um projecto (taxonomia de risco)
• Radar de risco – riscoáreas propensas do grupo de produtos
• Potenciais riscos adicionais identificados com base na revisão
• Top 10 riscos na organização a partir de projectos chave, que requer atenção de gestão

Conclusão

A gestão do risco está a tornar-se o aspecto mais desafiante da gestão de projectos de software. Embora nunca possamos prever o futuro com certeza, podemos aplicar um processo de gestão de risco simples e simplificado para prever as incertezas nos projectos e minimizar a ocorrência ou impacto dessas incertezas.

A gestão de risco não só ajuda a evitar situações de crise, mas também ajuda a lembrar e a aprender com os erros do passado. Isto melhora as hipóteses de conclusão bem sucedida do projecto e reduz as consequências desses riscos.

Este certamente não é o fim da viagem para nós na gestão eficaz dos riscos. É um processo de aprendizagem constante ser capaz de melhorar constantemente as nossas práticas para aumentar a eficiência do nosso processo.