AULA_02_ENTENDENDO_MATRIZ_RISCOS

Prévia do material em texto

MATRIZ DE RISCOS EM T.I.
Prof. Altemar Galvão
Vamos entender um pouco mais do
funcionamento da matriz de riscos e
de como ela pode te ajudar
principalmente com as etapas de
análise dos riscos.
A matriz de riscos, como o próprio nome já diz, é uma
matriz que vai servir para avaliar melhor os riscos
envolvidos em seus projetos (ou mesmo no dia a dia da
sua empresa). Ela é formada por dois eixos principais, o de
probabilidade de ocorrência do risco (na imagem abaixo, o
eixo vertical) e o de impacto do risco no projeto (eixo
horizontal). Veja na imagem:
Como funciona a matriz de riscos
Como funciona a matriz de riscos
No nosso exemplo usei uma matriz 5×5, mas você pode encontrar exemplos de matrizes 3×3 e até
mesmo outros casos, apesar desses 2 serem os mais comuns. Agora vamos entender um pouco mais
de como funcionam as respostas desses dois eixos:
● Quase certo: é praticamente impossível evitar que o risco aconteça,
por isso vale a pena pensar em ações de mitigação do impacto do risco
depois dele ocorrer.
● Alta: a chance do risco ocorrer é grande e frequentemente ele ocorre
de fato.
● Média: probabilidade ocasional de acontecimento do risco. Ainda vale a
pena planejar desdobramentos, mas não com tanta preocupação como
nos casos anteriores.
● Baixa: pouca chance de acontecer algum problema advindo desse
risco.
● Rara: é bastante improvável que o risco aconteça, só vale a pena se
preocupar em casos de impacto grave ou gravíssimo para seu projeto.
Eixo da Probabilidade
● Gravíssimo: pode fazer com que o projeto seja cancelado ou que o
dano ocasionado por ele seja irreversível
● Grave: compromete de forma acentuada o resultado do projeto,
ocasionando atraso ou insatisfação do cliente
● Médio: perda momentânea ao longo do projeto que pode ser
corrigida, mas com impacto no escopo ou prazo
● Leve: desvio quase imperceptível dos objetivos do projeto que pode
ser facilmente corrigido
● Sem Impacto: não gera nenhum tipo de problema perceptível para o
projeto, por isso pode ser ignorado em 99% dos casos. Só dê
atenção se esse risco ocorrer quase com certeza e com alta
frequência.
Eixo do Impacto
Basicamente, para cada risco analisado você vai dar uma
pontuação que varia de quase certo de acontecer até raro (em
relação a probabilidade de ocorrência) e de sem impacto até
gravíssimo (em relação ao impacto que pode ser ocasionado).
Essa pontuação gera uma interseção, que classifica o risco em:
● Risco Extremo
● Risco Elevado
● Risco Moderado
● Risco Baixo
Eixo do Impacto
Vamos ver um exemplo do risco de perda de informações essenciais de
um projeto. Supondo que a gente classificasse a probabilidade desse
risco ocorrer em média e o impacto grave, teríamos o resultado de risco
extremo:
Exemplo de análise risco
Agora, para vermos na prática como a matriz de riscos
funcionaria no gerenciamento de riscos de um projeto, vamos
imaginar um projeto de implementação de um novo software
em uma empresa.
No nosso caso, todos os dados de clientes, fornecedores,
bem como de pedidos e vendas estão armazenados no
sistema antigo (sem backup na nuvem) que vai ser 100%
alterado. Vamos ver como seria o passo a passo:
Usando a matriz de riscos em um projeto
● Perda de informações essenciais (por erro de um programador)
● Sistema de acompanhamento das novas implementações falho
(impossibilitando registros)
● Falta de compatibilidade entre dados antigos e sistema novo (gerando falhas)
● Falta de qualidade do serviço prestado pela empresa contratada (atrasos,
programação ruim, etc)
● Reclamações de usuários por bugs (durante a mudança)
● Aviso tardio aos usuários sobre mudanças (gerando confusão)
● Sistema fora do ar (durante a mudança)
● Ajustes não realizados dentro do prazo (prolongando reclamações e
experiência ruim de clientes)
● Quebra de contrato com nova empresa (ocasionando uma perda de tempo e
dinheiro)
Passo 1 – Liste os principais riscos identificados
Ao fazer a matriz de riscos para cada um dos itens elencados, você vai gerar um
nível de risco para cada um deles e pode gerar uma pontuação também de
acordo com os pesos que você define para cada nota. Eu costumo adotar uma
pontuação de 1 a 5 para cada um dos eixos:
Passo 2 – Faça a matriz de riscos de cada risco
Um cuidado importante é não gastar tempo com riscos muito pouco relevantes
para o seu projeto. Por isso, depois de utilizar a matriz de riscos, faço a seleção
dos riscos mais importantes para utilizar uma planilha de gerenciamento de
projetos. Veja que separei apenas 5 dos 10 que havia listado em um primeiro
momento:
Passo 3 – Analise os riscos mais relevantes em 
um ranking
Você pode mostrar a qual etapa cada risco está atrelado, bem como listar
uma série de soluções que podem ser realizadas para minimizar a chance do
risco acontecer ou para que diminua seu impacto.
Para o risco de falta de compatibilidade entre dados antigos e o sistema novo,
uma solução simples são reuniões de alinhamento entre as empresas para
que todos os pontos mais importantes sejam contemplados na migração.
Ao final de cada etapa do projeto, você pode verificar se concluiu 100%
aquela parte do projeto e como anda a quantidade de riscos que ela possui.
Passo 4 – Trace medidas para evitar que os 
riscos se concretizem
O último passo do gerenciamento de riscos é o acompanhamento constante.
Dependendo do tamanho do projeto ele pode ser realizado a cada etapa
entregue, mensalmente ou de acordo com o cronograma do mesmo. O mais
importante é ter a certeza de que não esqueceu de todos os riscos que
podem impactar negativamente o seu projeto.
Passo 5 – Realize novas medições
periodicamente
5 ERROS COMUNS SOBRE 
GERENCIAMENTO DE RISCOS QUE 
VOCÊ QUER EVITAR 
01 - Falta de identificação abrangente de
riscos: Muitas vezes, as organizações não
dedicam tempo suficiente para identificar todos
os possíveis riscos em seus sistemas de T.I.
Isso pode levar à falta de preparação para
ameaças e vulnerabilidades não consideradas.
5 erros mais comuns em análise de risco
02 - Avaliação inadequada de impacto e
probabilidade: A avaliação incorreta do impacto
(gravidade) e da probabilidade de ocorrência de um
risco pode levar a uma priorização inadequada. Se a
análise não refletir adequadamente a realidade, os
recursos podem ser direcionados para mitigar riscos
menos relevantes, enquanto riscos significativos são
negligenciados.
5 erros mais comuns em análise de risco
03 - Falta de monitoramento contínuo de riscos: O
gerenciamento de riscos não é um processo estático;
deve ser contínuo. Muitas organizações cometem o
erro de realizar a análise inicial de riscos e, em
seguida, não monitorar ativamente as mudanças no
ambiente de T.I. Isso resulta na perda de
oportunidades para antecipar e responder a novos
riscos.
5 erros mais comuns em análise de risco
04 - Ausência de planos de contingência eficazes: O
planejamento de contingência é essencial para lidar
com eventos adversos. No entanto, é comum
encontrar organizações que não desenvolvem ou
atualizam adequadamente planos de contingência
para mitigar os riscos identificados. Isso pode resultar
em uma resposta ineficaz em situações de crise.
5 erros mais comuns em análise de risco
05 - Falta de comunicação e conscientização sobre
riscos: A falta de comunicação eficaz sobre os riscos
de T.I. pode levar à falta de conscientização e
compreensão por parte das partes interessadas
relevantes. É importante envolver os funcionários,
parceiros e fornecedores em iniciativas de
gerenciamento de riscos, garantindo que todos
estejam cientes das ameaças e das ações
necessárias para mitigá-las.
5 erros mais comuns em análise de risco
Atividades propostas via classroom.