Anda di halaman 1dari 42

MBA em Gesto de Projetos

Plano de Riscos

Gerenciamento de Riscos

Gerenciamento de Riscos Histrico


A origem da gerncia de risco teve seu incio efetivo nos Estados Unidos e em alguns pases da Europa, logo aps a segunda Guerra Mundial, tendo os responsveis pela segurana das grandes empresas, bem como os responsveis pelos seguros, comeado a examinar a possibilidade de reduzir os gastos com prmios de seguro e aumentar a proteo da empresa, frente aos perigos reais e potenciais. S seria possvel atingir tais objetivos, reduo dos custos, com uma profunda anlise das situaes de risco.

Gerenciamento de Riscos Histrico

Alm da avaliao das probabilidades de perda, tornou-se necessrio identificar quais riscos poderiam ser considerados inevitveis e quais que poderiam ter a chance diminudas, de concretizao, de forma direta. Em cima deste estudo detalhado, levantou-se a relao custo x benefcio das medidas de segurana a serem implantadas, bem como a situao financeira da empresa, para escolha adequada do nvel de segurana a ser atingida.

Gerenciamento de Riscos Histrico


Gerncia de Risco: "O processo para conservar o poder de ganho e o patrimnio da empresa (ou pessoa) pela minimizao do efeito financeiro de perdas acidentais" (Jaime Cristy).

Classificao dos Riscos


Risco de Overload Este pode ser definido como o risco de perdas por sobrecargas nos sistemas eltrico, telefnico, de processamento de dados, etc. Exemplos: 1) Sistemas no operacionais em agncias bancrias por acmulo de informao nos canais de comunicao com a central de atendimento; 2) Linhas telefnicas constantemente ocupadas.

Classificao dos Riscos


Risco de Obsolescncia Este pode ser definido como o risco de perdas pela no substituio freqente dos equipamentos e softwares antigos. Exemplos: 1) Verses atualizadas de softwares no compatveis com hardware antigo; 2) Impossibilidade de integrar sistemas computacionais desenvolvidos em verses de software diferentes.

Classificao dos Riscos


Risco de Presteza e Confiabilidade Este pode ser definido como o risco de perdas pelo fato de informaes no poderem ser recebidas, processadas, armazenadas e transmitidas em tempo hbil e de forma confivel. Exemplos: 1) Situaes onde informaes consolidadas sobre exposio de um banco no podem ser obtidas em tempo hbil para anlise; 2) Impossibilidade de prestar informaes precisas em determinados horrios devido atualizao de bancos de dados ocorrer por processamento em batch.

Classificao dos Riscos


Risco de Equipamento Este pode ser definido como o risco de perdas por falhas nos equipamentos eltricos, de processamento e transmisso de dados, telefnicos, de segurana, etc. Exemplos: 1) Redes de micros contaminados por vrus; 2) Discos rgidos danificados; 3) Telefonia no operacional por falta de reparos.

Classificao dos Riscos


Risco de Erro No Intencional Este pode ser definido como o risco de perdas em decorrncia de equvoco, omisso, distrao ou negligncia de funcionrios. Exemplos: 1) Mal atendimento de correntistas (m vontade, falta de informao, etc.); 2) Customizao equivocada de softwares ou hardwares, por falta de conhecimento.

Classificao dos Riscos


Risco de Fraudes Este pode ser definido como o risco de perdas em decorrncia de comportamentos fraudulentos (adulterao de controles, descumprimento intencional de normas da empresa, desvio de valores, divulgao de informaes erradas, etc.). Exemplos: 1) Desvio de dinheiro de agncia bancria; 2) Ataques de hackers e/ou crackers contra as redes computacionais.

Classificao dos Riscos


Risco de Qualificao Este pode ser definido como o risco de perdas pelo fato de funcionrios desempenharem tarefas sem qualificao profissional apropriada funo. Exemplos: 1) Equipe de desenvolvimento de software sem conhecimento das tcnicas segurana no desenvolvimento; 2) Profissionais de redes sem conhecimento especfico das tcnicas de gerenciamento.

Classificao dos Riscos


Risco de Regulamentao Este pode ser definido como o risco de perdas em decorrncia de alteraes, impropriedades ou inexistncia de normas para controles internos ou externos. Exemplos: 1) Disseminao de informaes confidenciais pela ausncia de classificao da informao; 2) Problemas ocorridos pela falta de polticas de segurana adequadas.

Classificao dos Riscos


Risco de Modelagem Este pode ser definido como o risco de perdas pelo desenvolvimento, utilizao ou interpretao incorreta dos resultados fornecidos por modelos, incluindo a utilizao de dados incorretos. Exemplos: 1) Utilizar software comprado de terceiros sem conhecimento de suas limitaes; 2) Utilizar modelos matemticos sem conhecimento de suas hipteses simplificadoras.

Classificao dos Riscos


Risco de Imagem Este pode ser definido como o risco de perdas em decorrncia de alteraes da reputao junto a clientes, concorrentes, rgos governamentais, etc. Exemplo: 1) Adulterao ou indisponibilidade da pgina inicial do site ou portal corporativo.

Classificao dos Riscos


Risco de Catstrofe Este pode ser definido como o risco de perdas devido a catstrofes (naturais ou no). Exemplos: 1) Desastres naturais (enchentes) que dificultem a operao diria da instituio ou de reas crticas como centros de processamento, de telecomunicaes, etc. 2) Destruio do patrimnio da instituio por desastres que abalem a estrutura civil de prdios (coliso de avies, caminhes, etc.), incndios, etc.

Classificao dos Riscos


Risco de Legislao Este pode ser definido como o risco de perdas decorrentes de sanes por reguladores e indenizaes por danos a terceiros por violao da legislao vigente. Exemplos: 1) Multas por no cumprimento de exigibilidades; 2) Indenizaes pagas a clientes por no cumprimento da legislao.

Classificao dos Riscos


Risco de Contrato Este pode ser definido como o risco de perdas decorrentes de julgamentos desfavorveis por contratos omissos, mal redigidos ou sem o devido amparo legal. Exemplos: 1) Pessoa sem poder para assinar contratos representando a instituio; 2) No execuo pronta de garantias, requerendo o acionamento do jurdico; 3) Responsabilidades cobertas nos contratos de terceirizao colocadas de forma pouco objetiva.

Atividade 1
Tomando por base a atividade realizada na lio 1, faa uma anlise sobre os tipos de riscos que envolvem os processos identificados e associe-os aos processos. Leve em considerao os tipos de riscos citados nesta lio.

Postar a atividade no ambiente at o dia: 26 de maro de 2006.

Anlise de Riscos

Anlise de Riscos
Introduo

Conceitualmente, a anlise de risco pode ser definida como um processo sistemtico de avaliao em nvel de sistema, cujo objetivo responder as seguintes questes quanto aos perigos em potencial: a)O que pode acontecer? b)Quo provvel o evento acontecer? c)Se o evento acontecer, quais as conseqncias?

Anlise de Riscos
Introduo
Nestas condies, criada uma lista de resultados (possveis cenrios) como apresentada abaixo:
Cenrio s1 s2 ... Probabilidade p1 p2 ...
pn

Conseqncia c1 c2 ...

sn

cn

onde:
s1: identificao ou descrio do cenrio (acidente). p1: probabilidade de ocorrncia do cenrio em considerao.

c1: conseqncia ou medida de avaliao do cenrio considerado (medida do dano).

Anlise de Riscos
Identificao de Riscos
Consiste em descobrir os riscos existentes. o primeiro passo para o entendimento acerca do quanto a organizao est exposta incerteza. Para isso, preciso que se tenha um amplo conhecimento da empresa, do mercado em que esta atua, alm do ambiente social, cultural, poltico e legal no qual est inserida. Tambm preciso conhecer os objetivos estratgicos, pois os mesmos no devero ser prejudicados. importante que esta tarefa seja feita de maneira organizada, para que se tenha o mximo de certeza de que as atividades da empresa foram bem analisadas e que boa parte dos riscos significantes, seno todos, foram identificados.

Anlise de Riscos
Descrio de Riscos Significa prover uma maneira organizada e estruturada de apresentao dos riscos, o que vem a facilitar o processo de gerenciamento dos mesmos. Em geral se usa uma tabela, a qual contm as informaes mais relevantes sobre cada risco, tais como: nome, escopo, natureza (estratgico, operacional, financeiro...), expectativas dos stakeholders, probabilidade de ocorrncia, significncia, nvel de tolerncia, aes a serem tomadas, etc.

Anlise Riscos
Criao de Estimativas para os Riscos Processo usado para atribuir valores s probabilidades de um risco ocorrer e s conseqncias que pode gerar. Podem ser estimativas quantitativas ou qualitativas. Ao se dizer que a probabilidade de uma situao acontecer de 70%, est se usando uma estimativa quantitativa. J dizer que uma dada conseqncia grave, no sentido de que impacta diretamente nos objetivos estratgicos do projeto, denota uma estimativa qualitativa.

Elementos da Anlise de Risco


A ameaa: Levantamento de tudo aquilo que pode gerar riscos, buscando identificar todas as ameaas para o projeto;
A probabilidade: Possibilidade de ocorrncia de alguma ameaa. Deve-se mensurar a probabilidade das ameaas mesmo que no se chegue a um valor exato. Busca-se uma estimativa com valor mais real possvel;

Elementos da Anlise de Risco


O impacto: Deve ser analisado o impacto sofrido pela empresa caso um risco se concretize. Lembrando que, quanto maior o impacto e a probabilidade, maior o risco. No caso em questo, qual seria o impacto para a projeto se houvesse pessoas no capacitadas na equipe? Qual o prejuzo que seria causado?

Elementos da Anlise de Risco


A incerteza: Pode ter inmeras origens, tais como: falta ou excesso de informaes, informaes de veracidade duvidosa, fontes sem credibilidade, dados contraditrios, excesso ou falta de racionalidade, excesso ou falta de influncia emocional, entre outros fatores. difcil determinar o peso de uma ameaa em termos de impacto e probabilidade se no se tm dados suficientes para analisar.

Elementos da Anlise de Risco


A ao alternativa: Ao que deve ser tomada para eliminar/minimizar o risco. Muitas vezes, o custo para implementar uma ao neste sentido maior do que o prejuzo que o risco pode causar caso ocorra.

Estimativa/Avaliao do Risco

Estimativa/Avaliao de Risco
Avaliaes quantitativas e qualitativas

A avaliao quantitativa fornece a medida especfica da magnitude dos impactos, que poder ser utilizada para realizar a anlise de custo-benefcio para implementao de controles de segurana. Sua desvantagem que, dependendo de como esta medida for expressa, o resultado da anlise poder no ser preciso.

Estimativa/Avaliao de Risco
Avaliaes quantitativas e qualitativas

A avaliao qualitativa prioriza os riscos e identifica reas para melhorias imediatas. Sua desvantagem no fornecer medidas especficas da magnitude dos impactos.

Estimativa/Avaliao de Risco
Matriz do nvel de risco

A determinao do risco pode ser obtida pela multiplicao da classificao da probabilidade de ocorrncia versus o impacto para o projeto. Na tabela a seguir temos um exemplo de como as avaliaes de riscos poderiam ser determinadas, de acordo com o conceito citado anteriormente.

Estimativa/Avaliao de Risco
Matriz do nvel de risco
Probabilidade Impacto Baixo (10)
Baixo 10 x 1,0 = 10 Baixo 10 x 0,5 = 5 Baixo 10 x 0,1 = 1

Mdio (50)
Mdio 50 x 1,0 = 50 Mdio 50 x 0,5 = 25 Baixo 50 x 0,1 = 5

Alto (100)
Alto 100 x 1,0 = 100 Mdio 100 x 0,5 = 50 Baixo 100 x 0,1 = 10

Alto (1,0)

Mdio (0,5)

Baixo (0,1)

Estimativa/Avaliao de Risco
Matriz do nvel de risco

Escala de risco:
-

Alto
Mdio Baixo

pontuao entre 50 e 100


pontuao entre 10 e 50 pontuao entre 1 e 10

Estimativa/Avaliao de Risco
Matriz do nvel de risco

Para diminuir a exposio aos riscos mais relevantes, deve-se adotar a estratgia de identificao do impacto que os riscos podem oferecer ao projeto, assim como sua probabilidade de ocorrncia, mediante a seguinte anlise:

Estimativa/Avaliao de Risco
Matriz do nvel de risco
Compreender os Objetivos Compreender os Riscos Administrar os Riscos Exposio Aceitvel

Impacto para o projeto

Exposio Inaceitvel

Ateno

Exposio aceitvel
Probabilidade de ocorrncia

Estimativa/Avaliao de Risco
Definio do nvel de risco

Aps a determinao da matriz do nvel de riscos, deve ser especificada a descrio do nvel de risco (Alto, Mdio e Baixo), bem como as aes necessrias para diminu-lo.

Estimativa/Avaliao de Risco
Uma viso complementar
Requer muita competncia, conhecimento e mtodos. A gerncia deve ser previdente, gil e flexvel. Se possvel este risco deve ser evitado

Probabilidade

Deve ser dada nfase na reduo da probabilidade

Pode ser ignorado, em funo da situao

Deve ser dada nfase em planos de contingncia e a monitorao deve ser minuciosa

Impacto

Estimativa/Avaliao de Risco
Uma viso complementar

Na gerncia de riscos, o objetivo no identificar todos os riscos possveis, mas sim aqueles provveis de acontecer. aconselhvel que os membros da equipe com alta capacidade analtica se envolvam neste processo, uma vez que eles normalmente agem como advogados do diabo, questionando quase tudo.

Estimativa/Avaliao de Risco
Uma viso complementar

comum que riscos sejam parte de uma cadeia de eventos, onde os riscos esto interligados, como foi o caso da exploso do nibus espacial Challenger, por exemplo, onde o rompimento de um anel de vedao causou a exploso de um tanque que, por sua vez, provocou a queda da aeronave.

Bibliografia desta Lio


BRASILIANO, Antonio Celso Ribeiro. Riscos corporativos novo enfoque na competitividade nas empresas. So Paulo: Brasiliano e Associados. Disponvel em <www.brasiliano.com.br> acessado em 09 de maro de 2006. LIMA Adriano; ISIDRO, Cheyenne; DANTAS, Vinicius; AGUIAR, Yuska. Anlise de riscos envolvendo tecnologia da informao. Campina Grande, PB. Disponvel em <www.dsc.ufcg.edu.br> acessado em 09 de maro de 2006. MARTINS, Jos Carlos Cordeiro. Gesto de projetos de segurana da informao. Rio de Janeiro: Brasport, 2003. OGATA, Paulo Hideshi. Avaliao do perigo de coliso entre aeronaves em operao de aproximao em pistas de aterrissagem paralelas. So Paulo, SP: dissertao de mestrado em engenharia USP, 2003. SMAKA, Emir Mansur. Informao, segurana e vulnerabilidades:um estudo dos sistemas de informao da secretaria estadual de sade de Mato Grosso do Sul. Campinas, SP: dissertao apresentada para obteno do grau de mestre em cincia da informao PUCCAMP, 2004. STONEBURNER, Gary; GOGUEN, Alice & FERINGA, Alexis. Special publication 800-30: Risk management guide for information technology system. Washington: NIST, 2001.