Gestão de riscos da inovação
flexM4I > abordagens e práticas > Gestão de riscos da inovação (versão 2.5)
Autoria: Isabela Piccirillo (isapiccirillo@gmail.com), Daniel Capaldo Amaral (amaral@sc.usp.br) e Henrique Rozenfeld (roz@usp.br)
Conteúdo desta página
- 1 Definição de gestão de riscos
- 2 Benefícios
- 3 Por que empresas realizam a gestão de riscos?
- 4 Princípios da gestão de riscos
- 5 Tipos de riscos
- 6 Gestão de riscos e inovação
- 7 Níveis de gestão de risco
- 8 O risco em projetos exploratórios
- 9 Riscos nas fases de desenvolvimento de produtos e tecnologias
- 10 Framework / estrutura para gestão de riscos
- 11 Processo genérico de gestão de riscos
- 12 A relação entre gestão de riscos e valor da inovação
- 13 Ferramentas para gestão de riscos
- 14 Referências
Todo projeto de inovação ou de desenvolvimento de nova oferta (produto e/ou serviço) é naturalmente envolto em incertezas. O desafio é determinar até que ponto aceitá-las e como interferir no esforço para gerar valor às partes interessadas.
A gestão de riscos identifica, avalia e define ações para eliminar, mitigar ou controlar as fontes de risco.
Definição de gestão de riscos
Como os riscos são associados a incertezas, reconhecer a diferença entre risco e incerteza é fundamental para sucesso nos negócios. Segundo a norma ISO 31000:2018 sobre gestão de riscos …
risco é o efeito das incertezas sobre os objetivos (no nosso caso, objetivos da inovação)
Segundo o livro clássico sobre gestão de riscos (Knight, 2013) …
risco é uma incerteza mensurável
A figura a seguir ilustra a diferença entre incertezas e risco
Fonte: adaptado de Teece & Leih (2016)
A incerteza não pode ser quantificada já que as incógnitas são desconhecidas. Ou seja, não sabemos o que vai acontecer e desconhecemos a possível distribuição dos possíveis resultados (Teece & Leih, 2016).
O risco pode ser quantificado usando condições de probabilidades. Ou seja, não sabemos o que vai acontecer, mas conseguimos estabelecer uma distribuição dos resultados possíveis (Teece & Leih, 2016).
Somente após o estabelecimento de objetivos claros, o risco pode ser gerenciado.
Segundo a ISO 31000:2018
“a gestão de riscos corresponde a atividades coordenadas para dirigir e controlar uma organização em relação ao risco”.
Com a gestão de riscos é possível:
- mitigar impactos negativos que são capazes de impedir a criação de valor ou mesmo destruir o valor existente (COSO, 2017).
- para potencializar oportunidades no projeto, apoiando a criação ou a preservação de valor (COSO, 2017).
A gestão de riscos pode também controlar os riscos durante todo o ciclo de vida das inovações.
A gestão de riscos deve integrar todos os processos, projetos e tomadas de decisões durante todo o ciclo de vida de operação das inovações.
Segundo a ISO 31000:2018,
“o propósito da gestão de riscos é a criação e proteção de valor. Ela melhora o desempenho, encoraja a inovação e apoia o alcance de objetivos”
Nota: Devido à sua importância para a inovação, as incertezas da inovação são descritas em um capítulo à parte. |
Benefícios
Resultados recentes da literatura especializada (Willumsen et al., 2019) apontam que o gerenciamento de riscos de um projeto, se bem executado, pode agregar valor aos gestores, contribuindo para:
- Criar transparência sobre a exposição ao risco da equipe, identificando oportunidades e ameaças;
- Tornar ciente da necessidade de identificar e tratar o risco em toda a organização;
- Permitir que o valor gerado pelo projeto seja mais precisamente avaliado, aumentando a probabilidade de atingir objetivos;
- Estabelecer uma base confiável a todos envolvidos (stakeholders), permitindo que decisões sejam fundamentadas em fatos sobre os eventos e menos em sentimentos (achismos);
- Utilizar padrões e templates como os propostos na gestão de riscos, melhorando relatórios e cumprindo os requisitos legais e regulamentares relevantes e as normas internacionais;
- Melhorar a prevenção de perdas e o gerenciamento de incidentes, permitindo alocar de maneira efetiva e eficaz os recursos;
- Permitir acumular experiências e melhorar o aprendizado organizacional, para não repetir impactos negativos anteriores;
- Tornar a equipe de projeto mais proativa em relação aos riscos e incertezas da demanda e da tecnologia;
- Aumentar a eficácia e eficiência operacional bem como o desempenho de saúde, segurança e proteção ambiental;
- Melhorar a governança estratégica da empresa com o aperfeiçoamento dos relatórios obrigatórios e voluntários;
- Aumentar a resiliência organizacional.
Por que empresas realizam a gestão de riscos?
Apesar dos benefícios listados no tópico anterior, nem sempre as empresas praticam a gestão de riscos. Pelle et al. (2019) publicaram um artigo científico para tentar entender as razões pelas quais as pessoas praticam ou não praticam a gestão de riscos. O segundo autor deste artigo, Prof. Josef Oehmen, especialista em gestão de riscos, publicou um post no LinkedIn, no qual ele resumiu os principais resultados do artigo.
Eles concluíram que as razões para praticar ou não a gestão de riscos diferem conforme a pessoa e situação.
Trazemos aqui os principais pontos do post.
Realizamos gestão de riscos porque isso cria transparência. Conseguimos diferenciar e entender o que sabemos e o que não sabemos de forma compartilhada com os gestores.
Evitamos a gestão de riscos porque ela cria transparência: (contradiz a prática anterior) Em muitos casos, precisamos “improvisar” um projeto, sem que nossos chefes e clientes saibam. Se eles forem informados sobre as improvisações, devido à transparência, eles poderiam ter problemas.
Realizamos gestão de riscos porque ela cria canais de relatórios formalizados: Cria valor ao formalizar conversas sobre riscos críticos que enfrentamos. Registramos quais ações de mitigação estão à nossa disposição, quais ações foram realizadas e qual é o status dessas ações.
Realizamos gestão de riscos porque ela cria diálogo: Isso às vezes (mas nem sempre) está em desacordo com a afirmação anterior. Por exemplo, workshops de gestão de riscos são frequentemente vistos como criadores de valor ao facilitar conversas importantes, e esse valor não é necessariamente capturado pelo relatório formal que essas reuniões produzem.
Realizamos gestão de riscos porque ela apoia a padronização da execução de projetos: Um processo formal de gestão de riscos de projetos incentiva a padronização do processo, que facilita muitas atividades de gestão de riscos. A padronização da gestão de projetos é a base da melhoria contínua e, portanto, um elemento crítico de qualquer organização que busca excelência em projetos.
Realizamos gestão de riscos porque ela cria flexibilidade: (contradiz a prática anterior) A gestão de riscos cria um canal para escalar questões fora do processo formal de execução do projeto. Isso permite que gerentes de projetos (e outros membros da equipe de projeto) possam escalar os problemas para além dos limites hierárquicos e organizacionais, apoiando assim a rápida resolução de problemas.
Realizamos gestão de riscos para apoiar a tomada de decisões baseada em fatos: A gestão de riscos oferece vários métodos formalizados, reproduzíveis e quantitativos. Esses métodos nos permitem coletar e analisar os dados disponíveis, e representar os resultados em um formato padronizado para apoiar discussões racionais e tomadas de decisão.
Realizamos gestão de riscos para apoiar decisões baseadas em intuição: (contradiz a prática anterior) Alguns indivíduos gostam dos métodos de gestão de riscos, porque isso lhes dá a oportunidade de pós-racionalizar decisões baseadas em intuição. O método formal de gestão de riscos pode ser usado para desafiar e complementar essas intuições.
Realizamos gestão de riscos porque ela nos permite ser proativos: Permite prever os riscos mais prováveis e mais graves, para que possamos impedi-los antes mesmo que aconteçam. Podemos selecionar parceiros confiáveis, diversificar nossa cadeia de suprimentos ou eliminar componentes técnicos não comprovados de nossos projetos. Por outro lado, infelizmente é muito difícil reivindicar crédito por um desastre que não aconteceu.
Realizamos gestão de riscos porque ela permite ser reativos: Reagir rapidamente em uma crise quando um risco se materializa é complementar à gestão de riscos proativa. Isso também é uma estratégia de carreira muito mais eficaz, já que gerenciar uma crise é muito mais visível do que prevenir uma desde o início. Uma boa gestão de riscos permite que tenhamos as reservas financeiras e operacionais necessárias, além de nos sensibilizar para ficarmos atentos ao desenvolvimento de cenários críticos específicos.
Observem que somente alguns dos benefícios listados no tópico anterior (benefícios da gestão de riscos) são citados pelas pessoas que foram entrevistadas. |
No final do post, eles colocam a seguinte questão:
Por que você pratica a gestão de riscos na sua empresa?
Para responder a essa questão, eles sugerem que consideremos as seguintes questões:
- Quais são os riscos críticos que não podemos aceitar porque sua ocorrência pode ameaçar a sobrevivência do negócio (ou de sua carreira)? Como você sabe que está fazendo o suficiente para preveni-los?
- Como você deseja comunicar os pressupostos críticos no planejamento de projeto de inovação?
- Como você discute, analisa e resolve desafios críticos emergentes durante a execução do projeto? O que você precisa fazer para lidar com surpresas desagradáveis?
- Como você representa e lida com a incerteza em decisões críticas?
- Como você pode apoiar um processo de melhoria contínua dos seus processos de gestão de projetos e implementar no seu projeto atual lições aprendidas de projetos anteriores ?
Os autores ainda observaram, ao desenvolver essa pesquisa, que:
Todas essas questões estão relacionadas com a proposição de valor da adoção da gestão de riscos em projetos
Finalmente, eles afirmam que esses resultados mostram que:
Não é importante chamar de gestão de riscos, mas sim como você lida e aprende a partir dos riscos.
Princípios da gestão de riscos
Os seguintes princípios devem ser considerados quando se estabelecer a estrutura e os processos de gestão de riscos para poder gerenciar os efeitos das incertezas nos objetivos de uma empresa (ISO 31000:2018):
- a gestão de riscos deve ser considerada em todas as atividades
- uma abordagem estruturada e abrangente para a gestão de riscos contribui para resultados consistentes e comparáveis
- a estrutura e processo de gestão de riscos devem ser customizados de acordo com os fatores contextuais (internos e externos) e relacionados com os objetivos da organização
- a gestão de riscos deve ser inclusiva. O envolvimento dos stakeholders possibilita que os seus conhecimentos, pontos de vista e percepções sejam considerados. Assim, a gestão de riscos torna-se mais fundamentada e melhora sua conscientização entre todos os stakeholders
- a gestão de riscos é dinâmica, pois os riscos podem surgir, mudar e desaparecer de acordo com a evolução do contexto. Por isso, a gestão de riscos deve antecipar, detectar, reconhecer e responder às mudanças
- a gestão de riscos deve ser baseada em informações disponíveis e confiáveis, tanto históricas, atuais como expectativas futuras. Devem ser consideradas quaisquer limitações e incertezas associadas a essas informações
- o comportamento humano e a cultura organizacional influenciam a gestão de riscos
devemos praticar a melhoria contínua da gestão de riscos a partir do aprendizado e experiências
Tipos de riscos
Em inovação, fazer certo da primeira vez simplesmente não parece acontecer. As ideias precisam ser testadas e modificadas de tempos em tempos conforme aumenta o conhecimento da equipe sobre as necessidades dos usuários, comportamentos, concorrência e o funcionamento das novas tecnologias envolvidas.
É natural, portanto, que no início desses projetos haja altas doses de riscos, que precisam ser mitigados. Eles se originam de uma variedade de fontes de incertezas, como tecnológica, mercadológica, regulamentária e institucional, política e social, de aceitação e legitimidade, gerencial, temporal (timing) e das consequências (para mais informações, acesse o capítulo sobre esses tipos incertezas da inovação). É importante garantir que qualquer contratempo temporário não impeça o conceito de se tornar um produto que agrega valor aos clientes e à empresa. Além disso, pode ser possível identificar riscos positivos, ou seja, oportunidades que podem aumentar o valor do negócio.
Existem diferentes categorias de riscos, cada qual com diferentes critérios para avaliá-los. Alguns exemplos a seguir.
Nota: Essas listas de riscos podem ser encontradas em vários livros textos sobre gestão de projetos e nos manuais como o PMBoK. Esta lista é uma síntese livre deste material. O leitor pode consultar também o texto de Willumsen et al. 2019 e Risk Guide – Simplicable, que traz uma lista extensa de muitos tipos de riscos. |
Riscos do business: Riscos que afetam o desenvolvimento e implementação da estratégia de uma organização:
- Marca: Fatores relacionados com marketing,
- Compliance: Mudanças que delimitam a atuação ou os próprios regulamentos internos que impactam nos objetivos da empresa
- Aspectos legais: Questões ambientais, de regulação da mudança climática, política e regulação social podem interferir no desenvolvimento/comercialização
- Aquisição: Fusões e aquisições que se podem ser malsucedidas
- Segurança de dados: Riscos de vazamento ou compartilhamento de dados inadequados
Riscos operacionais: Os riscos operacionais envolvem desafios que são enfrentados pelas organizações resultantes de processos internos e sistemas.
- Processo: Deficiência de processos internos como indicadores de desempenho, controles, modelagens
- Materiais: Risco de falta de fornecimento de materiais para a produção
- Dependência de parceiros: necessidade de parceiros para desenvolver a tecnologia/produto (durante ou depois de finalizada), manutenção de maquinários
Riscos comerciais:Os riscos potenciais de comercialização das aplicações são:
- Market share: Participação e demanda de mercado existente
- Competitividade: Quão competitivo é o produto no mercado
- Público-alvo: Mudança nas necessidades ou expectativas dos clientes
Riscos técnicos: Os riscos potenciais no desenvolvimento tecnológico são:
- Disponibilidade de recursos: Recursos humanos envolvidos com know how na tecnologia
- Inovação da tecnologia: Grau de novidade/inovação da tecnologia comparado com concorrentes
- Propriedade intelectual: Exclusividade da empresa que desenvolve a tecnologia das tentativas de imitação dos concorrentes.
- Aplicabilidade da tecnologia: Nível de importância da tecnologia proposta. Se é crítica para o desenvolvimento do produto ou da indústria.
- Posição do ciclo de vida da tecnologia: Período do ciclo de vida em que a tecnologia se encontra (tempo que a tecnologia ainda poderá ser utilizada ou trazer mais benefícios).
Riscos financeiros: são os eventos que afetam a possibilidade de que as finanças de uma empresa se mostre inadequada para cumprir suas obrigações, são eles:
- Orçamento: Gastos que são necessários para trazer a tecnologia/produto ao mercado.
- Crédito: Risco da falha em pagar um empréstimo ou cumprir suas obrigações contratuais
- Receita: Risco relacionados aos valores esperados de volume de vendas
Potencial retorno de investimento: Tempo para que haja o retorno esperado
Gestão de riscos e inovação
A pressão para ter um sistema de gestão de risco sólido em torno da inovação se deu devido às tendências recentes para atingir as expectativas de mercado, competição global e volatilidade na mudança estrutural.
Segundo Nagji e Tuff (2012), as empresas que estão enfrentando com sucesso os riscos da inovação têm em comum três aspectos de sua estratégia de inovação. Elas:
- São capazes de definir claramente suas ambições de inovação.
- Alcançam o equilíbrio entre iniciativas que aprimoram as ofertas principais, as que expandem o negócio existente, e as descobertas ou criações de ofertas, negócios totalmente novos.
- Implementam ferramentas e recursos que gerenciam os riscos
Segundo a norma ISO 31000:2009, de gestão de riscos, um programa de gerenciamento de risco deve estar alinhado com a cultura, política, objetivos e estratégia da organização.
Os envolvidos devem analisar as conformidades legais, regulatórias e a quantidade de riscos que estão dispostos a aceitar para realizar seus objetivos.
Tudo isso contribui para que cada parceiro em um projeto de inovação tome a decisão de entrar ou não no projeto de forma mais consciente.
A partir daí, é possível comunicar de maneira clara a todas as partes interessadas (stakeholders) os prós e contras, atribuir responsabilidades, alocar recursos
Por exemplo, no caso de dirigir para Nova York na neve, você pode pensar: não posso controlar todos os riscos associados à viagem, mas posso escolher o tipo de carro que dirijo e a velocidade com que o dirijo. Um modelo mental simples para avaliar trade-offs, pode ser representado por um gráfico que trace a segurança em relação a velocidade de impacto. Claro, este modelo é uma simplificação. A relação entre segurança e velocidade dependerá de outras variáveis. Adaptado de Innovation Risk: How to Make Smarter Decisions (hbr.org)
Figura 537: gráfico de correlação entre a velocidade de impacto de um automóvel e o riso de morte
Fonte: Speed risk of death380x231.png (380×231) (victoriawalks.org.au)
Perceba, para fazer as escolhas certas, você precisa identificar e entender os principais riscos e suas variáveis. Obviamente, quanto mais fatores você incorpora, mais complicado se torna avaliar os riscos associados.
Por isso, é importante identificar os indicadores de desempenho que estejam alinhados com os objetivos da sua organização.
Para cada um dos riscos avaliados, uma abordagem de tratamento distinta pode ser definida. Existem quatro possibilidades: tolerar, transferir, tratar e alinhar. E, com exceção dos riscos que você irá tolerar, é necessário realizar um plano de ação para que seja possível prevenir, reduzir ou transferir o risco.
Um exemplo de gestão de riscos foi quando as empresas que tiveram que se adaptar rapidamente a um risco externo foi o coronavírus. A pandemia afetou a segurança dos funcionários, meios para fazer negócios, interação com os clientes. As empresas tiveram que fazer ajustes rápidos para reduzir as ameaças comerciais, técnicas, financeiras e de negócios, gerenciando e reavaliando as consequências positivas ou negativas no futuro.
Os planos de ação desenvolvidos bem como os riscos devem ser monitorados e reavaliados ao longo do tempo para garantir uma gestão de risco eficaz. Outros riscos e outras prioridades podem surgir. Por isso é importante:
- medir o desempenho da gestão de risco em relação aos indicadores, que são revisados periodicamente para adequação;
- medir periodicamente o progresso e o desvio do plano de gestão de risco;
- revisar periodicamente se a estrutura de gestão de risco, política e plano ainda são apropriados, dado o contexto externo e interno das organizações;
- relatar sobre o risco, o progresso com o plano de gestão de risco e quão bem a política de gestão de risco está sendo seguido; e
- revisar a eficácia da gestão de risco
fim do conteúdo de nível básico nesta seção – retornar para o mapa da sua trilha >
O conteúdo a seguir é para os níveis executivo, de treinamento e avançado.
Níveis de gestão de risco
Os riscos podem ocorrer em vários níveis na inovação, desde a definição da estratégia; definição das hipóteses de valor e de mercado na proposição de novas ideias; inovação do modelo de negócio (quando for o caso), gestão do portfólio, de projetos (e para cada tipo de projeto, as atividades de gestão de risco podem ser adaptadas ao objeto em desenvolvimento) etc (veja a ilustração a seguir).
Figura 538: níveis de gestão de risco
Você pode consultar no capítulo da lógica de inovação, que a partir de dores, problemas, necessidades, requisitos e oportunidades, podem ser definidos desafios e ideias de inovação.
Ideias inovadoras, alinhadas com as estratégias e objetivos, equivalem a hipóteses de valor e mercado, que são testadas. Neste momento, a avaliação dos riscos também é necessária, desde que seja simplificada.Portanto, deve-se ter o cuidado de não engessar o processo criativo, que está baseado na construção rápida de protótipos e validação.
Por exemplo, em uma comunidade de open design de produtos físicos, os desenvolvedores estão espalhados no mundo, mas no momento de prototipar e testar, eles se reúnem em um local para construir o protótipo. No seu trabalho de mestrado, Victor Macul, vivenciou e analisou a comunidade Open Source Ecology. No seu relato das experiências vivenciadas, ele observou um incidente muito severo, que foi a falha na construção de um protótipo físico, que colocou em risco a equipe envolvida na experimentação. Um planejamento de risco simples e não burocrático, neste momento, poderia evitar essas ocorrências (Macul, 2015).
Os riscos são difíceis de avaliar quanto mais incertezas estiverem presentes, que é o caso de inovações mais radicais ou disruptivas.
No próximo tópico mostramos como a gestão de riscos “formal” ocorre após a aprovação das hipóteses de valor e de mercado, no caso de projetos exploratórios.
O risco em projetos exploratórios
Na flexM4I, definimos três tipos de “projetos exploratórios” (confira no tópico correspondente dentro da lógica da inovação) para:
- criar a visão e definir as hipóteses de um projeto de inovação
- validar hipóteses e
- realizar uma prova de conceito
Os projetos para validar hipóteses de valor e de mercado estão associados a incertezas elevadas e risco. Por isso, a empresa deve executar esses projetos de acordo com a abordagem de ambidestria organizacional no contexto da exploration.
A ambidestria organizacional é a capabilidade de uma organização explorar o negócio existente (exploitation) e ao mesmo tempo explorar um novo negócio (explore).
Visite a seção sobre a abordagem da ambidestria organizacional, que explica em maiores detalhes a diferença entre exploration e exploitation. |
Do ponto de vista da gestão de riscos, as questões básicas que surgem neste contexto são:
- Quão disposta empresa está em arriscar?
- Melhor traçar caminhos com melhorias incrementais, mais seguros, com maior previsibilidade, menores riscos (exploration)?
- Ou melhor traçar caminhos disruptivos com alta incerteza (exploitation) e com testes de hipóteses?
No exploitation, o objetivo é manter as ofertas existentes, renovando e protegendo os produtos bem-sucedidos. Ou seja, as empresas querem garantir o crescimento dessas ofertas ou melhorar a excelência operacional (com a diminuição de custos) por meio de projetos incrementais com menores riscos. Neste caso, a gestão de riscos é realizada desde o início do planejamento, com riscos mapeados ao longo de todo o processo (March, 1991).
No exploration, o objetivo é desenvolver novos projetos de produtos e serviços, novos modelos de negócios e novas propostas de valor. Ou seja, as empresas estão dispostas a experimentar novas alternativas que levam a maiores incertezas e riscos (March, 1991). Com o passar do tempo, as hipóteses validadas vão sendo acumuladas, permitindo gerenciar melhor os riscos.
Como ilustra a figura abaixo, para os projetos para teste de hipóteses não se formaliza a gestão de riscos, pois eles devem ser realizados rapidamente até chegar em um protótipo / MVP e partir para os testes, para em seguida decidir se a ideia continua robusta e devemos persistir nela ou se devemos pivotar e tomar outra direção. Leia mais sobre isso no processo de desenvolvimento de clientes.
Figura 539: ilustração dos riscos iniciais, associados a incertezas, de acordo com as abordagens de exploration versus exploitation, dentro do contexto da ambidestria organizacional. A formalização da gestão de riscos ocorre após as hipóteses iniciais serem comprovadas e o desenvolvimento da inovação avançar.
Compare o início desenvolvimento de uma tecnologia disruptiva em um setor de fármacos (exploration) com uma melhoria incremental em fase de testes finais em um produto tradicional (exploitation). As informações envolvidas nos processos são distintas. Consequentemente, os riscos são maiores e difíceis de serem gerenciados nas fases iniciais do desenvolvimento de uma tecnologia disruptiva em fase de descobertas do que aquele produto ou tecnologia prestes a ser lançada no produto
fim do conteúdo de nível executivo nesta seção – retornar para o mapa da sua trilha >
O conteúdo a seguir é para os níveis de treinamento e avançado.
Riscos nas fases de desenvolvimento de produtos e tecnologias
Se o risco de uma inovação depende das escolhas que as pessoas fazem, segue-se que quanto mais informadas e conscientes forem suas escolhas, menor será o risco.
No caso de projetos de desenvolvimento de novos produtos e novas tecnologias, porém, ele pode ser associado diretamente ao seu fim principal. Ao se ter uma ideia de novo produto ou tecnologia, tem-se uma proposta que é incompleta e incerta por natureza.
Conforme são geradas especificações e testes, existe a eliminação de algumas incertezas, até a obtenção da oferta final. Assim, podemos pensar que as primeiras fases possuem um elevado nível de incertezas e riscos devido à falta de informações e conhecimentos.
À medida que as atividades de desenvolvimento são realizadas, as entregas são transformadas em novas informações que validam aspectos do projeto e/ou clarificam como a oferta (produto ou tecnologia) irá se materializar no mundo real. Isso significa que são menores os riscos e incertezas do projeto, aumentando o valor do produto/tecnologia, conforme exemplificado na figura a seguir.
Figura 540: representação da evolução do valor conforme o processo de criação de valor evolui e mais informações estão disponíveis
Framework / estrutura para gestão de riscos
A figura a seguir é da norma ISO 31000:2009, de gestão de riscos. É um framework para se incorporar a gestão de riscos nos processos, ou seja, o processo de implementação da gestão de riscos (que contém o processo de gestão de riscos que a sua empresa irá utilizar).
Figura 511: Framework para gestão de riscos
Fonte: adaptado da norma ISO 31000:2009, de gestão de riscos
As principais atividades desse framework são:
Introdução e comprometimento
- definir e endossar a política de gerenciamento de risco;
- garantir que a cultura da organização e a política de gerenciamento de riscos estejam alinhadas;
- determinar indicadores de desempenho de gestão de risco que se alinham com os indicadores e desempenho da empresa;
- alinhar os objetivos da gestão de riscos com os objetivos e estratégias da empresa;
- garantir conformidade legal e regulatória;
- atribuir responsabilidades nos níveis apropriados dentro da organização;
- garantir que os recursos necessários sejam alocados para a gestão de riscos;
- comunicar os benefícios da gestão de riscos a todas as partes interessadas (stakeholders); e
- assegurar que a estrutura de gestão de riscos continue a ser apropriada.
Desenvolvimento de um framework para gestão de riscos
- entender a empresa e seu contexto
- estabelecer uma política de gestão de riscos
- atribuir responsabilidades e controle
- integrar a gestão de riscos nos processos
- alocar os recursos necessários e apropriado
- estabelecer a comunicação interna / externa e mecanismos de reporte
Implementação da gestão de riscos
- implementar o framework para gestão de riscos (garante a governança da gestão de riscos para que ela ocorra de forma integrada aos outros processos da empresa)
- implementar o processo de gestão de riscos: Esta etapa utiliza o processo genérico, apresentado a seguir, para a empresa definir seu próprio processo de gestão de risco.
Monitoramento e revisão do framework
- medir o desempenho da gestão de risco em relação aos indicadores, que são revisados periodicamente para adequação;
- medir periodicamente o progresso e o desvio do plano de gestão de risco;
- revisar periodicamente se a estrutura de gestão de risco, política e plano ainda são apropriados, dado o contexto externo e interno das organizações;
- relatar sobre o risco, o progresso com o plano de gestão de risco e quão bem a política de gestão de risco está sendo seguido; e
- revisar a eficácia da gestão de risco
Melhoria contínua do framework
- avaliar os resultados do monitoramento e revisões
- decidir como melhorar o framework
- melhorar o framework e a cultura de gestão de riscos
Nota: atente à diferença entre framework e processo de gestão de risco. O framework é para se implementar a gestão de risco em toda organização, que inclui o processo, mas também está relacionada com as perspectivas estratégicas e organizacionais, tais como mentalidade e cultura. O processo de gestão de risco é o que operacionaliza essa abordagem e define atividades, responsabilidades, indicadores etc.
Mudança na norma de 2018
A nova versão da norma ISO 31000 não apresenta mais este framework, que foi substituído por uma nova estrutura de gestão de riscos.
Consideramos que o conteúdo de ambas é semelhante e que o framework da versão anterior é mais detalhado. Apresentamos a seguir a estrutura da gestão de riscos proposta pela nova versão da norma.
Figura 618: estrutura da gestão de riscos
Fonte: adaptado da norma ISO 31000:2018, de gestão de riscos
O ponto de destaque da nova versão é a ênfase na liderança e comprometimento.
Liderança e comprometimento
A alta direção da empresa e todos os seus órgãos de gerenciamento devem assegurar que a gestão de risco esteja integrada em todas as atividades da empresa demonstrando liderança e comprometimento por:
- personalizar e implementar todos os componentes da estrutura
- estabelecer uma política que seja utilizada para orientar a gestão de riscos
- assegurar que os recursos necessários estejam disponíveis para a gestão de risco
- atribuindo autoridades, responsabilidades em todos os níveis apropriados da organização
- alinhar a gestão de riscos um dos objetivos, estratégia e cultura
- comunicar o valor da gestão de risco para organização e os stakeholders
Em outras palavras, garantir que as demais atividades sejam realizadas.
Integração
- garantir que a gestão de risco seja parte não separada de todos os elementos organizacionais, tais como, governança, liderança, estratégia, objetivos e operações
- todos na organização têm a responsabilidade por gerenciar os riscos
Concepção (design)
- entender a organização e seu contexto
- articular o comprometimento com a gestão de risco atribuir papéis organizacionais e as autoridades, responsabilidades responsabilizações
- alocar recursos (pessoas, habilidades, experiência, competência, processos, métodos e ferramentas, sistemas de gestão da informação e conhecimento, necessidades de treinamento, etc.)
- estabelecer canais de comunicação e consulta
Implementação
- desenvolver um plano apropriado
- modificar os processos de tomadas de decisão
- garantir que a organização possa gerenciar os riscos
Avaliação
- mensurar periodicamente o desempenho da estrutura de gestão de risco em relação ao propósito, planos de implementação, indicadores e comportamento esperado
Melhoria
- melhorar continuamente a adequação, suficiência e eficácia da estrutura de gestão de riscos
- garantir que o processo de gestão de riscos esteja integrado com os demais processos da empresa
Na tabela abaixo mostramos uma relação entre os itens das duas versões da norma ISO 31000.
Tabela 619: comparação entre o framework da norma ISO 31000:2009 e a estrutura da norma ISO 31000:2018
Processo genérico de gestão de riscos
O processo genérico de gestão de riscos deve ser customizado para os processos de negócio da empresa. As etapas deste processo estão representadas na figura a seguir.
O processo de gestão de riscos deve:
- ser parte integral das práticas de gestão da empresa
- estar inserido na cultura organizacional
- ser adaptado aos processos de negócio da empresa.
Figura 512: processo genérico de gestão de riscos
Fonte: adaptado da norma ISO 31000:2018, de gestão de riscos
Escopo, contexto e critérios
Compreender o contexto externo é importante para garantir que os objetivos e preocupações dos stakeholders externos sejam considerados ao desenvolver os critérios de risco. Ele é baseado no contexto de toda a organização, mas com detalhes específicos de requisitos legais e regulatórios, percepções dos stakeholders e outros aspectos de riscos específicos ao escopo do processo de gerenciamento de riscos.
Contexto interno é qualquer coisa dentro da organização que pode influenciar a maneira pela qual uma organização gerenciará os riscos. O processo de gestão de riscos deve estar alinhado com a cultura, processos, estrutura e estratégia da organização.
Devem ser estabelecidos os objetivos, estratégias, escopo e parâmetros das atividades da organização, na qual a gestão de risco será aplicada. Os recursos necessários, responsabilidades e autoridades, e os registros a serem mantidos também devem ser especificados.
Devem ser definidos os critérios a serem usados para avaliar a significância do risco. Os critérios devem refletir os valores, objetivos e recursos da organização. Alguns critérios podem ser determinados a partir de requisitos legais e regulamentações. Os critérios de risco devem ser consistentes com a política de gestão de risco da empresa, definida no início de qualquer processo de gestão de risco e continuamente revisada.
Processo de avaliação de riscos
Observe na figura acima que este processo envolve a identificação, análise e avaliação de riscos. Veja que o processo possui uma subdivisão que usa o mesmo termo. Este é um problema da tradução dE termos em inglês:
- assessment – processo de avaliação de riscos
- evaluation – avaliação de riscos (associada à tomada de decisão)
A tradução de assessment e evaluation é avaliação.
Identificação dos riscos
As fontes de risco, áreas de impactos, eventos (incluindo mudanças nas circunstâncias) e suas causas e suas potenciais consequências devem ser identificados. O objetivo desta etapa é gerar uma lista abrangente de riscos com base nos eventos que possam criar, melhorar, prevenir, degradar, acelerar ou atrasar a realização dos objetivos. É importante identificar os riscos associados à não buscar uma oportunidade. A identificação abrangente é fundamental, porque um risco que não for identificado nesta fase não será incluído em análises posteriores.
Análise dos riscos
Envolve entender os riscos e serve de entrada para a avaliação de risco e para a tomada de decisão sobre se os riscos precisam ser tratados e sobre as estratégias e métodos de tratamento de risco mais apropriados. A análise de risco envolve a consideração das causas e fontes de risco, suas consequências positivas e negativas e a probabilidade de que essas consequências possam ocorrer. Os fatores que afetam as consequências e a probabilidade devem ser identificados.
Avaliação dos riscos
O objetivo da avaliação de risco é auxiliar na tomada de decisões, com base nos resultados da análise de risco, sobre quais riscos precisam de tratamento e a prioridade para implementação do tratamento. Envolve a comparação do nível de risco encontrado durante o processo de análise com os critérios estabelecidos. Com base nessa comparação, pode-se considerar a necessidade de tratamento ou não. A avaliação pode exigir uma análise mais aprofundada ou um aperfeiçoamento dos controles existentes para identificar e mitigar os riscos durante a operação. Pode concluir em manter os controles existentes ou até reconsiderar os objetivos iniciais, que levaram aos riscos.
Tratamento dos riscos
É quando se aplicam as ações definidas nas atividades anteriores. A seleção da ação de tratamento dos risco mais apropriada é um trade-off entre os custos e os esforços de implementação contra os benefícios derivados. Atente que as ações podem introduzir novos riscos secundários. Pode acontecer de surgir mais de uma opção para tratamento. Neste caso devem ser selecionadas as ações de tratamento, que podem envolver:
- evitar o risco ao decidir não iniciar ou continuar com a atividade que dá origem ao risco
- assumir o risco para perseguir uma oportunidade
- remover a causa do risco
- mudar a probabilidade de ocorrência do risco (caso tenha sido calculada de forma errada ou introduzindo mecanismos de controle do risco)
- mudar a severidade do risco, ou seja, das consequências (também devido a erros no cálculo ou introduzindo medidas que minimizem o impacto do risco)
- compartilhar o risco (por meio de contratação de um seguro ou entre parceiros)
Em seguida devemos implementar as ações determinadas para tratamento dos riscos.
Monitoramento e análise crítica
Como o próprio nome sugere, devemos monitorar e revisar as medidas adotadas para mitigar ou eliminar os riscos (ações e a efetividade dos controles). Inclui analisar os resultados e compartilhar as lições aprendidas. Deve-se monitorar também mudanças no contexto, que façam com que as medidas atuais não sejam mais efetivas, como por exemplo, mudanças de legislação.
Observação:
Repare que o monitoramento e análise crítica é diferente da etapa de monitoramento e revisão do framework de gestão de riscos, que na nova versão é nomeado a de avaliação, para que não exista mais a ambiguidade de utilização do termo monitoramento em ambos.
O monitoramento e análise crítica está relacionado com as ações de eliminação e/ou mitigação de riscos já tomadas em um caso específico.
O monitoramento e revisão do framework, na nova versão avaliação da gestão de riscos, avalia a estrutura, governança e o processo de gestão de riscos como um todo.
Registro e relato
É importante que todas as decisões que foram tomadas, assim como as ações e os resultados do processo de gestão de risco sejam documentados e relatados para toda a organização. Essa prática promove o compartilhamento de conhecimento e o registro das lições aprendidas para que as ações sejam reaproveitadas novamente no futuro, quando os mesmos riscos forem identificados.
Exemplo da gestão de portfólio
Este processo genérico pode ser adaptado replicado nos vários processos de negócio da empresa. Na próxima figura mostramos as atividades principais de gestão de portfólio, destacando (em vermelho) as atividades de gestão de risco desse processo. As atividades principais de gestão do portfólio estão descritas no tópico “gestão de portfólio e planejamento do portfólio” do capítulo “lógica da inovação”.
Figura 493: Atividades principais da gestão de portfólio
Fonte: adaptado de PMI (2016)
A relação entre gestão de riscos e valor da inovação
Quando um novo produto ou tecnologia é desenvolvido, existe uma decisão sobre risco e retorno. Neste caso, os riscos possuem um papel de maior destaque.
Eles são uma das variáveis que podem ser utilizadas para modelar matematicamente o Valor de uma inovação e podem apoiar a gestão de recursos envolvidos para alavancar o projeto, tirando as informações e especificações do papel, fazendo-as se materializar.
No entanto, definir um valor não é facilmente aceito por todas as partes interessadas. Isso ocorre porque existem muitas perspectivas de risco ao longo do processo de inovação tecnológica, nas diversas entidades que o compõem e sobre o que é analisado com diferentes atributos.
Além disso, a modificação recorrente no projeto se transforma em mudança constante no contexto, obrigando que os parceiros a mensurar continuamente as informações bem como os riscos envolvidos.
O conhecimento preciso dos riscos permite, portanto, valorações mais precisas, transparentes e mais confiáveis.
Retornos financeiros de uma inovação devem ser ponderados com os riscos
Um dos critérios para se priorizar e balancear componentes (no caso, projetos de inovação) é a maximização dos resultados financeiros. Em inovações incrementais e de sustentação, quando as incertezas são menores, os indicadores financeiros são calculados com base em um fluxo de caixa descontado. Para inovações mais radicais, não se consegue montar um fluxo de caixa e outros métodos de valuation são utilizados. No entanto, em ambos os casos a maximização dos resultados deve ser ponderada com o risco.
Como exemplo, trazemos o “eterno dilema do inovador”. Se o montante financeiro for limitado (e sempre é), qual projeto de inovação eu devo priorizar: um de elevado retorno e alto risco ou um de baixo retorno e baixo risco? Este dilema mostra como o risco está intrinsecamente associado à tomada de decisão.
Mesmo quando se consegue calcular um indicador financeiro baseado no fluxo de caixa, ou seja, quando existem menos incertezas, a maximização do valor deve “relativizar” o retorno considerando os riscos. Isso mostra que, apesar das incertezas serem menores, elas sempre estão presentes.
Por exemplo, imagine que sua empresa deseja comparar dois projetos de inovação, para os quais você foi capaz de calcular o valor presente líquido (VPL), com base em um fluxo de caixa descontado. Um projeto tem um grande VPL e um risco elevado, o outro tem um VPL menor, mas um risco menor. Como comparar?
Um método criado para comparação de projetos com base no VPL e nos riscos é o método do valor comercial esperado (do inglês ECV expected commercial value) da área de gestão de projetos e portfólio (existem métodos mais sofisticados na área financeira). Ele não calcula um valor real, pois se o projeto der certo, o retorno será o VPL. Ele pondera o VPL com os riscos de sucesso comercial e riscos de sucesso tecnológicos. Uma nova questão que surge é como calcular esses dois tipos de riscos. Neste white-paper (em inglês) sobre gestão de portfólio da empresa stage-gate existe uma explicação sobre ECV.
Ferramentas para gestão de riscos
A norma ISO/IEC 31010 traz técnicas (ferramentas) para o processo de gestão de riscos, que listamos a seguir. Depois da lista vamos mostrar alguns exemplos de ferramentas (que aos poucos vamos detalhar no bloco “a prática” da flexM4I).
Lista de ferramentas para apoiar a gestão de riscos
Repetimos a seguir a figura do processo de gestão de riscos para servir de referência à citação das ferramentas.
Figura 512: processo genérico de gestão de riscos
Fonte: adaptado da norma ISO 31000:2018, de gestão de riscos
Escopo, contexto e critérios
- brainstorming
- método delphi
- técnica de grupo nominal
- entrevistas
- surveys
Identificação de riscos
Métodos para identificação de riscos
- checklists
- análise do modo de falha e efeitos – FMEA (failure modes and effects analysis) e análise de do modo de falhas, efeitos e criticidade – FMECA (failure modes, and criticaity effects analysis
- Estudo de Perigos e Operabilidade – HAZOP (Hazard and operability)
- análise de cenário
- SWIFT (Structured What If Technique)
Métodos para determinar causas e drivers dos riscos
- abordagem de Cindynic
- método (diagrama) Ishikawa ou diagrama espinha de peixe
- análise de causa raiz
Análise de risco
Técnicas para analisar os controles
- bow tie analysis
- Análise de Perigos e Pontos Crítico de Controle (HACCP)
- Análise das Camadas (ou barreiras) de Proteção (LOPA – Layers of Protection Analysis)
Técnicas para entender as consequências e as probabilidades
- análise Bayesiana
- rede Bayesiana
- análise de impacto no negócio
- análise da árvore de evento
- análise de árvore de falhas (FTA – fault tree analysis)
- análise de causa-efeito
- análise de Markov
- simulação Monte Carlo
Técnicas para analisar dependências e interações
- mapa causal
- análise de impacto transversal
Técnicas para prover uma medida do risco
- avaliação toxicológica do risco
- análise do impacto da proteção de dados
- value at risk (VaR)
- Conditional value at risk (CVar)
Avaliação do risco
Técnicas para avaliar a significância do risco
- limite aceitável de risco – ALARP (as low as reasonably possible) / SFRAIRP (so far as is reasonably practicable)
- diagrama de frequência e número
- análise de Pareto
- manutenção centrada na confiabilidade
- indicadores de risco
Técnicas para selecionar entre opções
Registrar e relatar
- registro de risco
- matriz de consequência e probabilidade
- curva S
- bow tie analysis
Exemplos de ferramentas para apoiar a gestão de riscos
Neste tópico apresentamos alguns exemplos de ferramentas para apoiar a gestão de riscos.
Diagrama de blocos de confiabilidade (RBD) é uma ferramenta diagramática que foca em mostrar como um determinado componente contribui para o sucesso e nos fatores que variam ao longo do tempo. Ela é desenhada por meio de blocos que se conectam em configurações paralelas ou em séries. É possível calcular a taxa de falha do sistema (leia mais sobre isso na Diagrama de blocos de confiabilidade – Reliability block diagram – abcdef.wiki)
Figura 541: diagrama de blocos para cálculo da confiabilidade
Fonte: File:Reliability block diagram.png – Wikipedia
Análise de Árvore de Falhas (FTA) é uma ferramenta dedutiva com a finalidade de descobrir causas raízes. Geralmente inicia-se com um efeito específico (efeito indesejado) e se desdobra em em diferentes blocos que mostram as relações entre os eventos e falhas. É usado para entender como os sistemas podem falhar, identificando maneiras de reduzir o risco e as taxas de eventos de um acidente de segurança ou de um sistema fracassar (leia mais sobre isso na wikipédia em inglês).
Figura 542: árvore de análise de falhas (FTA)
Fonte: Fault tree analysis – Wikipedia
Conheça as definições de FTA no nosso glossário. O verbete da wikipedia em inglês sobre FTA é bem completo. |
FMEA (Failure Mode and Effect Analysis) é uma ferramenta usada para aumentar a confiabilidade de um produto, projeto ou processo. Possui uma estrutura matricial com classificação da gravidade, ocorrência, detecção e sua priorização para corrigir as falhas. Assim é desenvolvida uma lista por ordem de risco e as ações a serem tomadas para eliminá-las ou reduzi-las (leia mais sobre isso em Laurenti, R. (2010) e consulte esta página).
RBS (Risk Breakdown Structure) divide o projeto em categorias de riscos como: técnicos, gerenciais, organizacionais e outros. A RBS ajuda a compreender os riscos recorrentes e suas concentrações que podem afetar o projeto. (leia mais sobre isso em Use a risk breakdown structure (RBS) to understand your risks (pmi.org)
Figura 543: risk breakdown structure
Fonte: A Beginner’s Guide to the Risk Breakdown Structure | The Blueprint (fool.com)
Matriz de risco é usada durante a avaliação de risco para definir a probabilidade de um risco acontecer e o impacto que trará, identificando sua criticidade. A cor verde é usada para criticidade baixa, cor amarelo para média e vermelho para alta, conforme figura abaixo.
Figura 544: matriz de risco
Segundo Mitchell et al (2018), outra abordagem para priorizar os riscos, é simplesmente pedir aos participantes do processo de pontuação que selecionem pontuações extremas superior e inferior para cada fator: os valores plausivelmente melhores e piores, ou limites de confiança, em vez de um único valor.
Quando várias pessoas colaboram para pontuar projetos, elas devem comparar seus valores e usá-los de acordo com seus limites gerais de confiança para Oportunidade e Viabilidade. Isso retém informações importantes que, de outra maneira, seriam perdidas.
Forçar grupos a concordar com valores únicos (falaciosos) pode gerar conflito desnecessário. Os autores descobriram que as pessoas costumam achar mais fácil concordar com os limites de confiança do que com um único valor.
Referências
Chase, J. Measuring Value in Product Development, Lean Aerospace Initiative, Massachusetts Institute of Technology (2000).
ISO 31000:2009, Risk management – Principles and guidelines. International Organization for Standardization (ISO).
ISO 31000:2018, Risk management – Principles and guidelines. International Organization for Standardization (ISO).
ISO/IEC 31010:2019, Risk management – Risk assessment techniques. International Electrotechnical Commission (IEC) & International Organization for Standardization (ISO).
Laurenti, R. (2010). Sistematização de problemas e práticas da análise de falhas potenciais no processo de desenvolvimento de produtos. Dissertação de Mestrado, Escola de Engenharia de São Carlos, Universidade de São Paulo, São Carlos. doi:10.11606/D.18.2010.tde-15092010-093659. Recuperado em 2021-10-29, de www.teses.usp.br
Macul, V. C. (2015). Caracterização do processo de desenvolvimento de produtos em uma comunidade de open source design. Dissertação de Mestrado, Escola de Engenharia de São Carlos, Universidade de São Paulo, São Carlos. doi:10.11606/D.18.2015.tde-05112015-083941. Recuperado em 2022-02-19, de www.teses.usp.br
March, J. G. (1991). Exploration and exploitation in organizational learning. Organization science, 2(1), 71-87.
Pelle Willumsen, Josef Oehmen, Verena Stingl, Joana Geraldi. (2019). Value creation through project risk management, International Journal of Project Management, Volume 37, Issue 5. Pages 731-749, https://doi.org/10.1016/j.ijproman.2019.01.007
PMI (2006). The Standard for Portfolio Management. Pennsylvania: Project Management Institute, Inc.
Zhou, M., Park, T., Park, H. W., & Lee, J. (2013, July). The current state of valuating early stage technologies: Anecdotal evidences and a new conceptual model. In 2013 Suzhou-Silicon Valley-Beijing International Innovation Conference (pp. 19-24). IEEE.
Willumsen et al. Value creation through project risk management. International journal of project management, v37, p.731-749, 2019.