Avaliação dos Modelos de Gestão de Riscos

Diante dos modelos estudados, pode-se perceber que os processos envolvidos no geren- ciamento dos riscos como identificação, análise, avaliação, tratamento e monitoramento são inerentes à maioria das metodologias de gestão de riscos, o que Aris et. al. (2008) chamaram de "princípios para o gerenciamento de riscos". Para os autores, no processo de gestão de riscos, as etapas de identificação, análise, avaliação e tratamento dos riscos são consideradas essenciais e básicas para toda metodologia de gestão de riscos [4]. Com base na revisão de literatura foi elaborado um quadro comparativo dos modelos que estão relacionados ao contexto deste trabalho, de acordo com o Quadro 2.2:

Quadro 2.2: Comparativo dos Modelos de Gestão de Riscos. (Fonte: Adaptado de [27] ) Característica Institute Risk Ma-

nagement (2002) Chapman e Ward (2003) The Orange Book (2004) ISO31000 (2009) COBIT5 (2012) PMBOK (2013) Considera oportunidades além de riscos

Sim Sim Sim Sim Sim Sim

Necessidade de instituir Po- lítica de Gestão de riscos

Sim Sim Sim Sim Sim Sim

Declara que o processo de gestão de riscos é customi- zável

Sim Sim Sim Sim Sim Sim

Encoraja buscar a melhoria contínua da gestão de riscos

Sim Sim Sim Sim Sim Sim

Apresenta que a gestão de riscos deve estar na rotina dos processos e na cultura organizacional

Sim Sim Sim Sim Sim Sim

Associação de riscos com objetivos

Sim Sim Sim Sim Sim Sim

Alerta sobre necessidade de considerar o custo de trata- mento de riscos

Sim Sim Sim Sim Parcialmente Sim

Orienta para a necessidade de documentar as ativida- des de gestão de riscos

Parcialmente Sim Sim Sim Sim Sim

Apesar dos itens “Alerta sobre necessidade de considerar o custo de tratamento de riscos” e “Orienta para a necessidade de documentar as atividades de gestão de riscos” terem os modelos COBIT5 e IRM respectivamente como características parciais, as pro- postas apresentam tais atributos, mas de maneira indireta, não descritas de forma clara no modelo.

Além das características analisadas, os modelos também recomendam a definição dos critérios pelos quais serão avaliados os riscos, estimulam a embutir a gestão de riscos na rotina dos processos de trabalho e na cultura organizacional, recomendam a criar um banco de informações com os riscos registrados, declaram que os riscos devem ter proprietários responsáveis pela evolução do risco e indicam que a implementação da gestão de riscos não é garantia de total sucesso.

Todas essas ações demonstram que o gerenciamento de riscos deve ser explorado jun- tamente com outras boas práticas, como as de gerenciamento de projetos, para que as chances de insucesso nos projetos sejam reduzidas e os objetivos sejam alcançados [79]. O Quadro 2.3 indica a análise dos pontos positivos e pontos negativos de cada modelo estudado:

Quadro 2.3: Avaliação dos Modelos de Gestão de Riscos. (Fonte: Elaboração própria)

Modelo Pontos Positivos Pontos Negativos

Institute Risk Ma- nagement (2002)

Modelo bem documentado que serviu de base para metodologias mais modernas. Apresenta uma lista de técnicas e métodos que podem ser utilizados junto às eta- pas da metodologia.

Mais antigo dos métodos estuda- dos. Falta de descrição detalhada das atividades a serem realizadas em cada etapa do modelo.

Chapman e Ward (2003)

Modelo completo com etapas bem definidas e apresentadas de ma- neira detalhada. Para cada pro- cesso apresenta uma lista de en- tradas, saídas, limitações e técni- cas que podem ser utilizadas.

Pode ser considerado complexo para pequenos projetos. Extensa documentação que pode desmoti- var os interessados em iniciar a gestão de riscos em seus projetos.

Quadro 2.3. Avaliação dos Modelos de Gestão de Riscos. (Fonte: Elaboração própria) (Continuação)

Modelo Pontos Positivos Pontos Negativos

The Orange Book

(2004)

Entende que a gestão de riscos é essencial para as organizações cumprirem seus objetivos. Apli- cável às organizações públicas em diversos níveis, desde a organiza- ção como um todo, até projetos ou operações.

Modelo criado para instituições públicas, o que pode tornar o mo- delo não recomendado para ou- tras esferas.

ISO31000 (2009) Modelo iterativo de gestão de ris- cos que pode ser aplicado na es- trutura organizacional em todos os níveis da organização, dentro de qualquer escopo e contexto.

Abordagem genérica para o trata- mento de riscos. Para a aplicação de técnicas nos processos, devem ser utilizadas normas complemen- tares.

COBIT5 (2012) Reforça a necessidade de existi- rem critérios orientadores da ges- tão de riscos e monitoração da alta direção sobre os resultados alcançados, preferencialmente no escopo de um processo de gestão institucional. Fortemente relaci- onada à governança de TI e aos valores estratégicos.

Modelo complexo com muitas es- pecializações e difícil aplicação prática.

PMBOK (2013) Documentação completa e adap- tável a todos modelos e tama- nhos de organizações e projetos. Apresenta modelos qualitativos e quantitativos para análise dos ris- cos. Propõe entradas, saídas e técnicas para as atividades do projeto.

Aplicação do modelo pode ser de difícil adesão por sua complexi- dade.

Diante de cada modelo de gestão de riscos, verificam-se características comuns entre todos. Para os modelos, a fase de identificação de riscos é a mais crítica pois encontra os problemas estratégicos e cuja ausência tem um grande impacto sobre os resultados do projeto [67]. A fase de análise dos modelos, avalia o estado de cada fator de risco identificado, e explora as relações entre os fatores de risco e a avaliação com base no impacto e razões de probabilidade [51].

Na etapa de avaliação do risco, as metodologias propõem critérios para se obter um valor quantitativo ou qualitativo dos riscos priorizando-os de acordo com sua gravidade e maior quantidade de exposição [73]. Após a avaliação e análise dos riscos, os modelos descrevem que o gerenciamento dos riscos deve estabelecer planos de ação com base nas recomendações para cada nível de risco, e priorizar as ações mais importantes que permiti- riam aumentar a probabilidade de sucesso do projeto ou processo [63]. Deve-se coordenar os planos individuais para cada risco propondo implementação de ações [51]. Todo trata- mento selecionado, deve ser documentado, monitorado, e analisado criticamente, e quando apropriado será dado tratamento adicional [22].

Os modelos elencados são considerados como referência e foram utilizados como base para a proposição da metodologia, objeto desse estudo, subsidiando assim a definição da estratégia de desenvolvimento da metodologia.