Esta é uma área essencial para aumentar as taxas de sucesso dos projetos, pois todos eles possuem riscos e precisam ser gerenciados, ou seja, saber o que pode causar um impacto no projeto e saber o que fazer com cada um deles.
O PMI afirma que esta área inclui os processos de planejamento, identificação, análise, planejamento de respostas, monitoramento e controle de riscos de um projeto.
A idéia é aumentar a probabilidade e o impacto dos eventos positivos (oportunidades) e reduzir a probabilidade e o impacto dos eventos negativos (ameaças) do projeto. É um gerenciamento proativo.
Riscos faz partes do balanceamento das restrições conflitantes:
- Riscos
- Escopo
- Cronograma
- Orçamento
- Recursos
- Qualidade
Existem 6processos como são demonstrados abaixo:
| Iniciação | Planejamento | Execução | Monitoramento e Controle | Encerramento |
| 11.1 Planejar o gerenciamento dos riscos | 11.6 Controlar os riscos | |||
| 11.2 Identificar os riscos | ||||
| 11.3 Realizar a análise qualitativa dos riscos | ||||
| 11.4 Realizar a análise quantitativa dos riscos | ||||
| 11.5 Planejar as respostas aos riscos |
Visão geral da área
11.1 Planejar o Gerenciamento dos Riscos — O processo de definição de como conduzir as atividades de gerenciamento dos riscos de um projeto.
11.2 Identificar os Riscos — O processo de determinação dos riscos que podem afetar o projeto e de documentação das suas características.
11.3 Realizar a Análise Qualitativa dos Riscos — O processo de priorização de riscos para análise ou ação posterior através da avaliação e combinação de sua probabilidade de ocorrência e impacto.
11.4 Realizar a Análise Quantitativa dos Riscos — O processo de analisar numericamente o efeito dos riscos identificados nos objetivos gerais do projeto.
11.5 Planejar as Respostas aos Riscos —O processo de desenvolvimento de opções e ações para aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto.
11.6 Controlar os Riscos — O processo de implementação de planos de respostas aos riscos, acompanhando os riscos identificados, monitorando riscos residuais, identificando novos riscos e avaliando a eficácia do processo de gerenciamento dos riscos durante todo o projeto.
Conceitos básicos
Antes, precisamos entender alguns conceitos básicos, como:
Riscos – É um evento ou uma condição incerta que, se ocorrer, tem um efeito em pelo menos um objetivo do projeto. Podem incluir escopo, cronograma, custo e qualidade. Ele pode ter várias causas, e se ocorrer, poderá ter um ou mais impactos. Ex.: ter uma autorização ambiental para o trabalho, ou limitações de pessoal designado para planejar o projeto, dólar baixo, chuvas, greves, etc. Existem os riscos negativos (ameaças) ou positivos (oportunidades).
Evento de risco – Determinada ocorrência ou situação que pode afetar o projeto para melhor ou pior. Há sempre incertezas associadas aos eventos de riscos.
Causa (fonte/origem) – Poder ser um requisito, uma premissa, uma restrição ou uma condição que crie a possibilidade de resultados negativos ou positivos.
Probabilidade – Chance de um evento de risco ocorrer (poder ser >0% e <100%).
Impacto – Efeito potencial sobre um objetivo do projeto (pode ser positivo ou negativo). Pode ser quantificado.
Gatilho (trigger) – Indica que o risco ocorreu ou está para ocorrer (também chamado de sintomas de risco ou sinais de advertência).
Resposta a risco – Ações ou decisões relacionadas aos passos para evitar, transferir, mitigar ou aceitar um risco.
Problema – É um risco materializado decorrente de um evento de risco. É neste período que se convoca o plano de contingência.
Riscos conhecidos – Podem ser identificados, analisados e tomadas as ações apropriadas para minimizar os impactos. Quanto mais você souber do risco, melhor.
Riscos desconhecidos – Não podem ser gerenciados proativamente, mas planos de contingência podem cobrir algumas situações inesperadas. Reservas no cronograma e no orçamento podem ser utilizadas para tratar estes riscos.
Tolerância a riscos – Refere-se à quantidade de riscos que uma organização (ou parte interessada) deseja absorver.
Apetite a risco – Grau de incerteza que uma entidade deseja aceitar em antecipação à recompensa.
Limite de risco – Refere-se a medir o nível de incerteza ou o nível de impacto no qual uma parte interessada tem um interesse específico. Abaixo deste limite, a organização irá aceitar o risco. Acima do limite do risco, a organização não irá tolerar o risco.
Risco residual – É a quantidade de risco restante após uma estratégia de resposta ter sido implementada.
Risco secundário – São os novos riscos que resultam da implementação de uma estratégia de resposta.
Soluções de contorno – São respostas não planejadas aos riscos e são realizadas quando não existe um plano de contingência. Criadas quando necessárias para lidar com um risco antecipado.
Processos
11.1 Planejar o gerenciamento dos riscos
É o processo de definição de como conduzir as atividades de gerenciamento de riscos de um projeto.
O processo irá se preocupar com a atribuição de responsabilidades, quais os limites e tolerâncias a riscos das partes interessadas, quais as definições para probabilidade e impacto, quais serão os recursos, tempo e orçamento serão alocados para o gerenciamento dos riscos, assim como documentar tudo isto.
Entradas
- Plano de gerenciamento do projeto
- Termo de abertura do projeto
- Registro das partes interessadas
- Fatores ambientais da empresa
- Ativos de processos organizacionais
Ferramentas & Técnicas
- Técnicas analíticas
- Opinião especializada
- Reuniões
Saídas
- Plano de gerenciamento dos riscos
Plano de gerenciamento dos riscos
Define como o gerenciamento dos riscos será tratado no projeto, o qual inclui:
- Metodologia;
- Papéis e responsabilidades;
- Orçamento;
- Prazos;
- Categorias de riscos;
- Definições de probabilidade e impacto dos riscos;
- Matriz de probabilidade e impacto;
- Tolerâncias revisadas das partes interessadas;
- Formatos dos relatórios;
- Acompanhamento;
11.2 Identificação dos riscos
É o processo de determinação dos riscos que podem afetar o projeto e de que documentação de suas características.
Este processo é iterativo e inicia-se logo no começo do projeto, pois alguns riscos são evidenciados durante a execução do projeto, algumas mudanças aprovadas introduzem novos riscos, mudanças fora do projeto introduzem fatores de risco e, estratégias selecionadas para responder aos riscos podem resultar em novos riscos (riscos secundários).
De acordo com que o projeto avança, seus riscos vão diminuindo e, inversamente a isto, os custos das mudanças vão crescendo conforme o projeto avança. Veja abaixo:
Entradas
- Plano de gerenciamento dos riscos
- Plano de gerenciamento dos custos
- Plano de gerenciamento da qualidade
- Plano de gerenciamento de recursos humanos
- Linha de base do escopo
- Estimativa de custos das atividades
- Estimativa de duração das atividades
- Registro das partes interessadas
Ferramentas & Técnicas
- Revisões de documentações
- Técnicas de coleta de informações
- Análise de listas de verificação
- Análise de premissas
- Técnicas de diagramas
- Análise de forças, fraquezas, oportunidades e ameaças (SWOT)
Saídas
- Registro dos riscos
Registro de riscos
Esta saída neste processo sofrerá atualizações durante os próximos processos do gerenciamento dos riscos. Aqui teremos uma lista de eventos de riscos identificados até o momento do projeto com o maior detalhamento possível, incluindo algumas informações como: gatilhos, causas, responsável, resposta ao risco e categoria de risco, por exemplo.
11.3 Realizar a análise qualitativa dos riscos
É o processo de priorização de riscos para análise ou ação adicional através da avaliação e combinação de sua probabilidade de ocorrência e impacto.
Aqui será feita uma análise subjetiva para determinar alguns itens sobre os riscos, como:
- informar qual a probabilidade e impacto dos riscos identificados;
- listar por ordem de prioridade os riscos;
- determinar os eventos de riscos que precisarão de uma resposta urgente;
- determinar os riscos que passarão pela análise quantitativa antes de irem para o planejamento de respostas.
Entradas
- Plano de gerenciamento dos riscos
- Linha de base do escopo
- Registro dos riscos
- Ativos de processos organizacionais
Ferramentas & Técnicas
- Avaliação de probabilidade e impactos dos riscos
- Matriz de probabilidade e impacto
- Avaliação de qualidade dos dados sobre riscos
- Categorização de riscos
- Avaliação da urgência dos riscos
- Opinião especializada
Saídas
- Atualizações do registro dos riscos
11.4 Realizar a análise quantitativa dos riscos
É o processo de analisar numericamente o efeito dos riscos identificados nos objetivos gerais do projeto.
Normalmente utiliza-se este processo nos riscos que foram identificados e posteriormente priorizados pela análise qualitativa, como tendo impacto potencial e substancial no projeto. Assim, será feita uma análise numérica, demonstrando os seus impactos de forma monetária.
Em projetos pequenos, pode não ser necessária essa etapa.
Entradas
- Plano de gerenciamento dos riscos
- Plano de gerenciamento dos custos
- Plano de gerenciamento do cronograma
- Registro dos riscos
- Ativos de processos organizacionais
Ferramentas & Técnicas
- Técnicas de coleta e apresentação de dados
- Técnicas de modelagem e análise quantitativa de riscos
- Opinião especializada
Saídas
- Atualizações do registro dos riscos
Comparativo entre as análises
| QUALITATIVA | QUANTITATIVA |
| Analisa individualmente cada risco | Capaz de predizer o efeito global do risco sobre os resultados do projeto |
| Determina a probabilidade e o impacto de forma subjetiva | Faz uma análise probabilística de cada risco |
| Prioriza os riscos (ranking inicial) | Usa distribuições de probabilidade |
| Fornece uma visão das áreas do projeto que estão sob riscos severos | Usa técnicas sofisticadas de modelagem e simulação |
| Determina se respostas de curto prazo são necessárias | Determina a probabilidade de atender aos objetivos de tempo e custo do projeto |
| Identifica riscos que precisam ser quantificados | Identifica de forma geral as ameaças em torno dos objetivos do projeto (principalmente em relação a prazo e custos) |
11.5 Planejar as respostas aos riscos
É o processo de desenvolvimento de opções e ações para aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto.
Aqui iremos ver as atribuições de responsabilidades para os riscos, fazer as adições de recursos ou atividades no plano de gerenciamento do projeto e, determinação de respostas apropriadas baseadas nas prioridades dos riscos.
Entradas
- Plano de gerenciamento dos riscos
- Registro dos riscos
Ferramentas & Técnicas
- Estratégias para riscos negativos ou ameaças
- Estratégias para riscos positivos ou oportunidades
- Estratégias de respostas de contingência
- Opinião especializada
Saída
- Atualizações do plano de gerenciamento do projeto
- Atualizações dos documentos do projeto
11.6 Controlar os riscos
É o processo de implementação dos planos de respostas aos riscos, acompanhamento dos riscos identificados, monitoramento dos riscos residuais, identificação de novos riscos e avaliação da eficácia do processo de riscos durante todo o projeto.
Aqui faremos:
- Avaliação das premissas para saber se elas ainda são pertinentes ao projeto;
- Implementar os planos de respostas aos riscos, planos de contingência e ações corretivas;
- Monitorar os riscos para ver se algo mudou, assim como os riscos residuais;
- Avaliar a efetividade das respostas implementadas aos riscos;
- Identificar novos riscos;
- Auditar os processos de riscos;
Entradas
- Plano de gerenciamento do projeto
- Registro dos riscos
- Dados sobre o desempenho do trabalho
- Relatórios de desempenho do trabalho
Ferramentas & Técnicas
- Reavaliação de riscos
- Auditorias de riscos
- Análises de variação e tendências
- Medição de desempenho técnico
- Análise de reservas
- Reuniões
Saídas
- Informações sobre o desempenho do trabalho
- Solicitações de mudanças
- Atualizações do plano de gerenciamento do projeto
- Atualizações de documentos do projeto
- Atualizações dos ativos de processos organizacionais
Diego Macêdo
Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.