GERENCIAMENTO DE RISCOS EM PROJETOS: UMA COMPARAO ENTRE O PMBOK E A ISO-31000

Maildo Barros da Silva1 e Fco.Rodrigo P. Cavalcanti2

Universidade de Fortaleza (UNIFOR), Fortaleza-CE, Brasil phone: +55(85) 96193248, email: maibarsilva@hotmail.com 2 Universidade Federal do Cear (UFC), Fortaleza-CE, Brasil phone: +55(85) 3666 9470, email: rodrigo@gtel.com.br
1

Resumo Este artigo tem o intuito de avaliar as similaridades e/ou diferenas na abordagem do Gerenciamento de Riscos dada pelo Guia do Conjunto de Conhecimentos em Gerenciamento de Projetos (PMBOK)[2] e a nova norma ISO31000 [1].Esta avaliao consiste, principalmente, em anlise e comparao entre ferramentas e tcnicas empregadas em cada fase do gerenciamento de riscos. O artigo no se prope a explicar detalhadamente os processos e procedimentos de gesto de riscos propriamente ditos, mas sim comparar a estrutura desse gerenciamento nestes dois documentos de boas prticas. 1. INTRODUO O gerenciamento de riscos em geral, aplicado a projetos em particular, um grupo de processos preconizado para as organizaes modernas como forma de aumentar a probabilidade de sucesso em seus objetivos estratgicos, encorajar um gerenciamento proativo, minimizar perdas, realizar a preveno de danos e acidentes, prover uma operao eciente ou denir sua estratgia de planejamento. O PMBOK[2] um guia de boas prticas para gerenciamento de projetos editado pelo PMI (Project Management Institute), cujo objetivo organizar os processos de gesto de um projeto de forma que sejam aplicados durante as fases de seu ciclo de vida (Iniciao, Planejamento, Execuo, Monitoramento e Controle e Encerramento). Para o gerente de projetos que segue o PMBOK, o gerenciamento de riscos uma das 9 reas de conhecimento que devem ser aplicadas para atingir o sucesso em um projeto. A denio do guia PMBOK[2] para o gerenciamento de riscos : O gerenciamento de riscos em projetos tem como objetivo denir processos para a identicao, anlise, respostas, monitoramento e controle e planejamento do gerenciamento de riscos em projetos. O objetivo de tal gerenciamento por sua vez denido como sendo "aumentar a probabilidade e o impacto dos eventos positivos e diminuir a probabilidade e o impacto dos eventos negativos ao projeto". Em cada rea de conhecimento, o PMBOK utiliza informaes de entrada, ferramentas e sadas como forma de implementar os seus processos. A norma ISO 31000[1] editada pela ISO (International Satndarts Organization) e difere de vrias outras normas ISO, no certicvel. Diferente do tratamento dado no PMBOK, a ISO 31000 estabelece princpios para o tratamento de riscos em geral, e no apenas no contexto de projetos. Ela vem de encontro ao entendimento de que todas as atividades em uma organizao possuem riscos, e que todos estes riscos devem

ser identicados, analisados e quanticados para poderem ser modicados, segundo o critrio de tratamento de riscos. A seguir abordaremos separadamente o gerenciamento de riscos do PMBOK e da ISO 31000. 2. O GERENCIAMENTO DE RISCOS PMBOK A abordagem adotada pelo PMBOK para gerenciamento de um projeto inicia-se e fundamenta-se principalmente na denio dada para projetos, que : Um projeto um esforo temporrio empreendido para criar um produto, servio ou resultado exclusivo. O PMBOK dene que o gerenciamento de riscos inclui os processos que tratam da realizao, anlise, resposta, monitoramento e controle e planejamento de riscos em um projeto, tendo como objetivo principal aumentar a probabilidade e o impacto dos eventos positivos e diminuir a probabilidade e impacto dos eventos negativos ao projeto. Um fator importante a ser considerado que todas as reas de conhecimento utilizadas pelo PMBOK para o gerenciamento de projetos so integradas, donde resulta que as necessidades e objetivos dos projetos cam mais claramente denidos, o que j auxilia o processo da identicao dos riscos do projeto. A Figura 1 mostra a viso geral do gerenciamento de riscos do projeto, segundo o PMBOK. 2.1 Os Processos do Gerenciamento de Riscos Planejar o gerenciamento de riscos - O processo de denio de como conduzir as atividades de gerenciamento de riscos de um projeto. Identicar os riscos - O processo de determinao dos riscos que podem afetar o projeto e de documentao de suas caractersticas. Realizar a anlise qualitativa dos riscos - O processo de priorizao dos riscos para anlise ou ao adicional atravs da avaliao e combinao da sua probabilidade de ocorrncia e impacto. Realizar anlise quantitativa dos riscos - O processo de analisar numericamente o efeito dos riscos identicados, nos objetivos gerais do projeto. Planejar as respostas aos riscos - O processo de desenvolvimento de opes e aes para aumentar as oportunidades e reduzir as ameaas aos objetivos do projeto. Monitorar e controlar os riscos - O processo de implementao de planos de respostas aos riscos, acompanhamento dos riscos identicados, monitoramento dos riscos residuais, identicao de novos riscos e avaliao da eccia dos processos de tratamento dos riscos durante todo projeto.

Figura 1: Viso geral do gerenciamento de riscos do projeto.

2.2 Entradas dos Processos As entradas mais comuns dos processos de gerenciamento de risco, conforme denominado pelo PMBOK, so: Fatores ambientais da empresa; Ativos de processos organizacionais; Declarao de escopo do projeto; Plano de gerenciamento de projetos. Por m, cada sada vai agregar como entrada do processo seguinte ou no mnimo servir para a atualizao dos documentos de entrada. 2.2.1 Ferramentas e tcnicas O PMBOK bem claro ao denir suas ferramentas e mais ainda em detalhar as tcnicas utilizadas durante todo o processo de gerenciamento de riscos, tais como: Anlise e reunies de planejamento; Revises da documentao; Tcnicas de coleta de informaes, tais como: Brainstorming; Tcnicas Delphi; Entrevistas; Identicao de causa-raiz; Anlise de SOWT; Anlise da lista de vericao; Anlise das premissas; Tcnicas com diagramas - Diagramas de causa e efeito;

Diagramas de sistemas ou uxograma; Diagramas de inuncia; Avaliao de probabilidade e impacto; Matriz de probabilidade e impacto; Categorizao dos riscos; Avaliao da urgncia; Tcnicas de representao e coleta de dados (Distribuio de probabilidades; Opinies de especialistas); Anlise quantitativa de riscos tais como: tcnicas de modelagem; Anlise de Valor monetrio esperado; Anlise da rvore de deciso e simulao Monte Carlo.

2.2.2 Sadas Os produtos destas entradas com aplicao das ferramentas e tcnicas citadas resultam principalmente nos principais produtos ou sadas dos processos que compem o gerenciamento de riscos PMBOK: Plano de Gerenciamento de Riscos; Registros dos Riscos; As atualizaes do plano de gerenciamento do projeto. 3. O GERENCIAMENTO DOS RISCOS NA ISO31000 A norma ISO31000 se prope a descrever a sistemtica e lgica no processo de gerenciamento de riscos, propondo que o

gerenciamento de riscos pode ser aplicado em todos os nveis de uma organizao, seja para atividades de rotina ou projetos. A ISO31000 cita como chave do processo o termo establishing the context, que na realidade entender os objetivos estratgicos da organizao, o ambiente proposto para estes objetivos e quais os critrios que sero adotados para os riscos. Nesse sentido, a ISO 31000 tem uma abrangncia e aplicabilidade potencialmente maior que o contedo equivalente proposto no PMBOK. A Figura 2 ilustra o arcabouo de gesto de risco proposto na ISO31000. A ISO31000 adota em sua abordagem para o gerenciamento de riscos a seguinte concepo: Princpios Estrutura para o Gerenciamento de Riscos Processos para o Gerenciamento de Riscos 3.1 Princpios para o Gerenciamento de Riscos Os princpios vo denir o contexto interno e externo que a organizao vai dar para o gerenciamento dos riscos. Os princpios descritos na ISO31000 so : criar valor para os objetivos da organizao; ser parte integrante de todo processo organizacional; fazer parte das decises; explicitar as incertezas; prover a sistemtica, estrutura e agilidade na abordagem do gerenciamento de riscos, contribuindo de forma eciente e consistente; basear-se nas melhores informaes; alinhar a organizao ao contexto externo e interno; fatores culturais e humanos so levados em conta; processos transparentes e que incluam todas as pessoas interessadas; respostas a mudanas acontecem de forma dinmica e interativa; prover a organizao com ferramentas apropriadas continuamente. 3.2 Estrutura do Gerenciamento de Risco Comunicao e Consulta Implantao do Comit: Nesta fase denida a poltica para gerenciamento dos riscos; deve-se alinhar a poltica com a cultura da organizao; determinar os indicadores; alinhar os objetivos e estratgias organizacionais; comunicar a todos os interessados os benefcios da gesto dos riscos. Desenho da Estrutura de Gerenciamento de Riscos: entender a organizao e o contexto em que ela est inserida; alm disso: integrar os processos organizacionais; realizar pesquisas; estabelecer os mecanismos de comunicao internos e externos. Implementao do Gerenciamento de Riscos: denir a estratgia e tempo para implantao da estrutura; aplicabilidade da poltica de gerenciamento de riscos e dos processos organizacionais; os cumprimentos legais e regulamentaes requeridas. Monitoramento e Reviso Medir: nessa etapa mede-se o desempenho do processo de gesto de riscos atravs de indicadores com periodicidade apropriada; alm disso: acompanha periodicamente os desvios no plano de gerenciamento de riscos; os riscos e o progresso do plano de

gerenciamento de riscos. Reviso Contnua: baseada nos resultados dos monitoramentos e nas revises; decises que devem ser tomadas para manter a poltica e o planejamento. Pode-se fazer um paralelo desta estrutura com o PDCA (plan/do/control/action)[2]. 3.3 Processos de Gerenciamento de Riscos Os processos de gerenciamento de riscos devem ser parte integrante da estrutura de gerenciamento da organizao e devem ser parte tambm da sua cultura e prticas. 3.3.1 Comunicao e Consulta Processo contnuo e interativo de uma organizao para fornecer, compartilhar ou obter informaes, com relao ao gerenciamento de riscos. O processo de comunicao e consulta eciente, tanto para contexto interno como externo, deve ser a base das decises do que deve ser feito, quais as razes e que aes devem ser tomadas. 3.3.2 Estabelecer o contexto Denir os parmetros externos e internos a serem levados em conta pelo gerenciamento de riscos, e estabelecimento de escopo e dos critrios de riscos a ser adotados para a poltica do sistema de gesto. 3.3.3 Avaliao do Risco No processo para avaliao do risco, esto presentes todos os processos para identicao, anlise e valorizao dos riscos. Identicao dos Riscos: A organizao deve identicar as fontes, o impacto e os eventos de gatilho dos riscos. Anlise: envolve o entendimento do risco, provendo aes para avaliar quantitativamente as decises; e ainda as denies de quais riscos devem ser tratados e sua prioridade, as estratgias e mtodos. Valorizao dos Riscos: consiste em comparar o nvel da gravidade dos riscos encontrados na fase de anlise com o critrio estabelecido no contexto considerado. Decises devem ser tomadas considerando a tolerncia a riscos admitida pela organizao. 3.3.4 Tratamento de Riscos Processo para modicar os riscos, atravs de aes que sero tomadas para aumentar a probabilidade e impacto dos riscos positivos e/ou aes que sero tomadas para minimizar a probabilidade e impacto dos riscos negativos. no tratamento que sero tomadas as aes para prevenir, transferir, mitigar os riscos negativos ou para os riscos positivos explorar, compartilhar e melhorar ou ainda at denir as aes para os riscos que sero aceitos. 3.3.5 Monitoramento e Controle neste processo que so feitas as vericaes, supervisionamento e observaes crticas ou a identicao de situao, executadas de forma contnua, para com isto identicar mudanas dentro dos parmetros de riscos assumidos e aplicar as aes de controles denidas para modicar a probabilidade e impacto associados com os riscos.

A) Criar valor para os objetivos organizacionais B) Ser parte integrante de todo o processo C) Fazer parte das descises D) Explicitar as incertezas E) Prover a sistemtica, estrutura e agilidade F) Basear-se nas melhores informaes G) Alinhar a organizao; H) Levar em conta os fatores humanos e culturais I) Transparncia J) Dinmica, interao e resposta a mudanas K) Prover a organizao com ferramentas apropriadas continuamente Princpios para o gerenciamento de riscos

Compromisso com o gerenciamento de riscos

Estabelecer contexto

Avaliao do riscos
Identificao dos riscos

Prover de melhoria continua a estrutura

Implementar o gerenciamento de riscos

Analises dos riscos

Valor rizao dos riscos Monitorar e revisar a estrutura

Estrutura para o gerenciamento de riscos

Tratamento dos riscos

Processos para gerenciamento de riscos

Figura 2: Relao entre o Princpio do Gerenciamento de Riscos,sua estrutura e processos.

4. AS FERRAMENTAS E TCNICAS UTILIZADAS NO GERENCIAMENTO DOS RISCOS Diferentemente do PMBOK a ISO31000 no dene no seu texto as ferramentas e tcnicas utilizadas para identicao dos riscos. Para especicar as ferramentas de tratamento de riscos, foi publicada a norma complementar ISO31010[4] que detalha as tcnicas que devem ser utilizadas. Nesta norma a ISO classica as ferramentas e tcnicas quanto sua aplicabilidade em cada fase, denindo tambm uma classicao destas ferramentas quanto a alguns atributos, tais como: grau de incerteza, complexidade e se a mesma pode prover uma sada quantitativa. De maneira similar, o PMI editou recentemente um padro complementar intitulado "Practice Standard for Project Risk Management"[3] que aprofunda a discusso sobre o captulo de gesto de riscos do PMBOK, com uma nfase particular no detalhamento e classicao das ferramentas de anlise de riscos. Na prxima seo feita uma discusso mais detida sobre esse tpico com uma apresentao de uma tabela comparativa. 5. DIFERENAS E SIMILARIDADES Ao ler os dois documentos citados, observa-se mais similaridades do que diferenas. A principal similaridade se d no objetivo que comum, ou seja, prover a organizao da capacidade de agir de forma a se beneciar dos riscos positivos e se proteger de riscos negativos de forma a minimizar impactos. Como grande diferena, temos a proposta de aplicao dos dois documentos: o PMBOK entende sua aplicao para projetos, enquanto que a ISO31000 prega a aplicao do gerenciamento de riscos tanto em atividades de rotina como em projetos. Este fato entendido na forma que o PMBOK utiliza o gerenciamento de risco como conhecimento a ser aplicado em um projeto, e a ISO entende o gerenciamento como losoa a ser aplicada na estrutura organizacional. Na estruturao dos processos, a diferena est nos agrupamentos, j que a ISO trata 5(cinco) grupos de processos e o PMBOK utiliza 6(seis) grupos, mas o que se observa que se trata somente de um agrupamento diferente e os processos das duas abordagens so essencialmente os mesmos. Este agrupamento se d principalmente no Processo de Anlises

de Risco na ISO31000 que trata as anlises qualitativa, semiqualitativa e quantitativa como fazendo parte de um nico processo. Os dois documentos utilizam o ciclo do PDCA(Plan/Do/Control/Action) para estabelecer a relao entre os componentes da estrutura do gerenciamento de riscos e manter o processo em constante evoluo. Um fator de relevncia nesta anlise que o gerenciamento de risco em projeto faz parte de um grupo de processos, e por isto beneciado pela integrao dos vrios processos, e esta integrao serve de suporte para o gerenciamento do risco. esta integrao entre os objetivos de escopo, tempo, qualidade e custo que auxilia ao gerente de projeto na anlise e identicao dos riscos. Outra diferena que pode ser notada que o PMBOK apresenta ferramentas que diferem da norma ISO em alguns casos. A Tabela 1 comparativa a seguir mostra que as ferramentas que so indicadas pelo PMBOK, na sua grande maioria, tambm so consideradas pela ISO como de forte aplicabilidade, mas o reverso nem sempre verdadeiro. 6. CONCLUSES A ISO 31000 vem conrmar que metodologias adotadas pelo PMBOK so reconhecidamente boas prticas para o gerenciamento de risco. A aplicao do gerenciamento de riscos utilizada pelos Gerentes de Projetos pode ser tambm considerada como dentro dos padres ISO, j que os processos e estruturas do gerenciamento dos riscos so em grande parte semelhantes. A semelhana entre as duas normas capacita as organizaes, que j utilizam em seus projetos as orientaes do PMBOK, a obter uma maior facilidade no caso de utilizar a ISO 31000 como metodologia de gerenciamento de riscos em suas outras atividades, pelo fato da transmisso das experincias das pessoas e nos documentos existentes sobre gerenciamento de riscos j implantados. Assim, o uso de uma das metodologias para gerenciamento dos riscos apresentadas, seja PMBOK ou ISO 31000, deve ser suciente para o atendimento dos objetivos estratgicos das empresas, quanto ao tratamento de riscos na gesto de seus projetos. Se o objetivo ampliar a gesto de riscos para operaes e produo, a norma ISO31000 e sua norma complementar so-

Reviso e Monitoramento

Comunicao e consulta

Desenho da estrutura para o gerenciamento de riscos

Tabela 1: Ferramentas e Tcnicas e suas aplicabilidades nas fases do Processo de Gerenciamento de Riscos.

COMPARATIVO DAS FERRAMENTAS E TCNICAS PARA O GERENCIAMENTO DOS RISCOS ENTRE A NORMA PRTICA PARA GERENCIAMENTO DOS RISCOS PMBOK E A ISO31010
Tcnicas ISO Identificao do Risco Identificao PMBOK PMBOK/ISO PMBOK PMBOK/ISO PMBOK PMBOK/ISO Anlises de Riscos Anlise Qualitativo Avaliao do Risco Anlise Quantitativo Tratamento do Risco Planejamento de Resposta Reviso e Monitoramento Monitoramento e Controle Tcnicas PMBOK Planejamento Anlise e reunies de Planejamento PMBOK Anlises das Premissas Anlises da modo de Falha (FMEA) Anlises das Foras Anlise da Arvore de Deciso Anlise da Identificao Causa-Raiz Anlise de SWOT Anlise do Cenrio Anlise das Reservas Anlises das Variaes Anlises das Tendncias Anlise da Gravata Borboleta(Bow Tie Analysis) Anlises de Markov rvore de Evento Brainstorming Bayes Net Curvas FN Check List Conhecimento da Indstria (Benchmarketing) Corrente Critica Diagrama de Causa e Efeito(Ishikawa) Diagrama de Influncia Diagrama de Sistemas ou Fluxogramas Estimativa da Reserva de Contingncia Entrevistas Estrutura What - if?(Swift) Estrutura Analtica de Risco(EAR) Grupo Tcnico HACCP Anlises e Pontos de controle crtico HAZOP - Anlise de Riscos e Perigo HRA(Human realiability assessment) Layer protection Analysis(LOPA) Lies Aprendidas Lista de Verificao Matriz de Probabilidade e Impacto Plano de Contingncia Processo Analtico Hierrquico Questionrio Reviso de Documentos Reviso da EAR Re Anlise dos Riscos(PDCA) Reunies de Andamento Sneak Circuit Analysis Simulao de Monte Carlo Tcnica de Seleo de Multi Critrios Tcnicas de estimativas Tcnica de Delphi Valor Monetrio Esperado (EMV)

PMBOK/ISO PMBOK/ISO PMBOK PMBOK PMBOK PMBOK PMBOK PMBOK PMBOK ISO ISO ISO PMBOK ISO ISO PMBOK PMBOK PMBOK ISO ISO ISO ISO

ISO PMBOK/ISO ISO PMBOK/ISO PMBOK/ISO PMBOK/ISO PMBOK PMBOK PMBOK/ISO ISO PMBOK PMBOK ISO ISO ISO PMBOK PMBOK ISO

ISO

ISO

PMBOK

ISO PMBOK PMBOK PMBOK ISO PMBOK ISO ISO ISO PMBOK PMBOK/ISO PMBOK PMBOK/ISO

ISO

ISO

ISO PMBOK

ISO PMBOK

PMBOK PMBOK/ISO PMBOK PMBOK PMBOK ISO PMBOK/ISO PMBOK PMBOK/ISO PMBOK/ISO PMBOK/ISO PMBOK

bre ferramentas de anlise, a ISO31010, nos parecem mais recomendadas. REFERNCIAS [1] International Stardard, Risk ad Management - Principles e Guidelines, ISO31000, Novembro. 2009. [2] Project Management Institute,Inc, Guia do Conjunto de Conhecimentos em gerenciamento de Proje-

tos PMBOK, in Quarta Edio , For Campus Boulevard,Newton Saquare,PA 19073-3299, 2004. [3] Project Management Institute,Inc, PRACTICE STANDARD FOR PROJECT RISK MANAGEMENT, in Quarta Edio , For Campus Boulevard,Newton Saquare,PA 19073-3299, 2004. [4] International Stardard, Risk assessment techniques, ISO31010, Novembro. 2009.