Baseados na discussão levantada até o momento, pode-se considerar que implementações de ERP devem ser tratadas como projetos e, como tal, carregam consigo riscos intrínsecos. Desse modo, este estudo deverá também abordar de maneira mais aprofundada o conceito de risco, os tipos de risco, o conceito de gerenciamento de risco, sua aplicação a projetos em geral e especialmente em projetos de ERP, além de abordar a forma como o framework a ser estudado (PMBOK) trata o gerenciamento de risco.
2.3.1 Definição de Risco e sua Aplicação a Projetos
Podemos definir risco como sendo “a volatilidade de resultados inesperados, geralmente ligados a ativos ou passivos de interesse” (JORION, 1997, p.3). Tessari (2000, p.39) acrescenta que “a base para a vida moderna nas áreas de engenharia, finanças, seguros, medicina e ciência é o mistério de se viver com riscos”. Gray e Larson (2009, p. 197) comentam que "risco é uma condição incerta que, se ocorrer, terá um efeito positivo ou negativo nos objetivos propostos”. Tatsiopoulos et al. (2003, p.22) afirmam que “riscos são incertezas, obrigações e vulnerabilidades que podem causar desvios de um plano definido”. Por serem incertos, riscos se baseiam na teoria da probabilidade, a qual segundo Tessari (2000, p.39) “é o coração matemático do risco”. O nível ao qual determinado risco pode expor uma iniciativa qualquer ao fracasso é, portanto, dado pela sua probabilidade de ocorrência e pelo seu impacto. Quanto maior o produto desses dois fatores, maior atenção deverá ser dada ao risco.
Jorion (1997) explana que o risco pode ser dividido em três tipos, os quais estão relacionados abaixo:
• Os riscos de negócio são aqueles que a organização assume para criar vantagem competitiva e valor para os acionistas. Estão relacionados ao mercado no qual a empresa opera e incluem inovações tecnológicas, design de produtos e marketing; • Os riscos estratégicos resultam de mudanças fundamentais no ambiente político ou econômico. Podem incluir mudanças de governo no próprio país onde a empresa está ou em outros países, reduções no nível de atividade econômica em função de crises recessivas, expropriação e nacionalização de entidades privadas, entre outros;
• Os riscos financeiros estão relacionados a possíveis perdas em mercados financeiros. Podem advir de mudanças inesperadas em taxas de juros, câmbio, preços de commodities e preços de ações, as quais podem afetar de modo significativo os produtos financeiros atrelados a eles.
O autor inclui riscos operacionais como sendo parte da categoria de risco de negócios, porém, outros autores tais como Moscadeli (2005, p.40) afirmam que os riscos operacionais estão definidos, de acordo com o Grupo de Gerenciamento de Risco (RMG) do comitê da Basileia, como sendo “o risco de perda resultante de inadequados ou falhos processos internos, pessoas e sistemas ou devido a eventos externos”. Assim, se os riscos de negócio surgem quando a empresa se propõe a dar um passo adiante para se colocar em vantagem, os riscos operacionais podem surgir a qualquer momento, pois advêm do fato de que a empresa simplesmente existe e está em operação. Bhatia (2002) relaciona cinco grupos de eventos que podem levar a riscos operacionais: erros de tecnologia, fraudes e roubos, desalinhamento legal e regulatório, eventos de segurança e riscos de transação. A partir daí, pode-se citar como riscos operacionais falhas de controles internos, de processos de auditoria, contratos mal elaborados, erros humanos, acessos não autorizados a sistemas, fraudes, ataques de hackers a sistemas, violência urbana, terrorismo, entre outros.
Uma vez que o risco de uma atividade pode ser potencialmente danoso ao alcance dos objetivos de uma empresa, torna-se consenso que o mesmo deve ser gerenciado. Nesse contexto, o gerenciamento de risco pode ser definido como “algo que provê ferramentas adequadas para balancear os conflitos inerentes em se explorar as oportunidades por um lado
e evitar perdas, acidentes e desastres, por outro” (AVEN, 2011, p.719). Interpolando esse conceito para projetos, Gray e Larson (2009, p.197) especificam que:
“Com o gerenciamento de riscos tenta-se reconhecer e gerenciar os problemas potenciais e inesperados que podem ocorrer quando o projeto é implementado. O gerenciamento de risco identifica o maior número de elementos de risco possível (o que pode sair errado), minimiza esses impactos (o que pode ser feito sobre o evento antes de o projeto iniciar), gerencia respostas a esses eventos que se materializam (planos de contingência) e fornece fundos de contingência para cobrir eventos de risco quando esses de fato acontecem”.
Riscos também são aspectos muito importantes quando se trata de projetos de ERPs. “Uma razão frequentemente citada em qualquer falha em projetos de implementação de softwares é que seus gerentes não avaliam e não gerenciam apropriadamente os riscos envolvidos nesses projetos” (ALOINI, DULMIN, MININNO, 2007, p.548). Por isso, há uma extensa literatura que trata especificamente do gerenciamento de risco neste tipo de projeto. Abordagens como as definidas em Bandyopadhyay, Mykytyn e Mykytyn (1999, p. 437) identificam como os passos mais importantes para o gerenciamento de risco: “identificação do risco, análise do risco, medidas de redução do risco e monitoramento do risco”. O framework de gerenciamento de risco (ERM) do COSO (COSO, 2004, p.23) inclui itens como “preparação do ambiente interno, definição de objetivos em relação ao risco e informação e comunicação do risco”.
Com relação aos fatores de risco, a revisão de literatura feita por Aloini, Dulmin e Mininno (2007, p.552-555) levanta, como principais causadores de falhas em projetos envolvendo ERPs, os seguintes itens:
• Seleção inadequada do ERP;
• Habilidades e conhecimentos fracos dos membros da equipe de projeto; • Pouco envolvimento da alta administração;
• Ineficiência do sistema de comunicação; • Pouco envolvimento dos usuários-chave; • Treinamento e instrução inadequados;
• Arquitetura de TI complexa e número excessivo de módulos implantados; • Reengenharia de processos mal conduzida;
• Má-conduta gerencial;
• Técnicas de gerenciamento de projetos não eficazes; • Gerenciamento de mudança inadequado;
• Gerenciamento dos sistemas legados inadequado; • Serviços de consultoria não efetivos;
• Liderança fraca;
• Capacidade técnica do ERP mal avaliada; • Difícil manutenção do sistema;
• Suporte inadequado após a implementação;
• Planejamento estratégico relacionado ao ERP não efetivo; • Planejamento financeiro do projeto mal avaliado.
Frameworks como o PMBOK, com seu ferramental desenvolvido com base nas melhores práticas em gerenciamento de projetos, podem auxiliar uma empresa que se encontra em um projeto deste tipo a mitigar os riscos acima listados. Deste modo, o mesmo será utilizado como modelo de referência para este estudo.