Estruturação dos riscos na organização, processos e agentes envolvidosFerramenta externa

Prévia do material em texto

<p>GERENCIAMENTO</p><p>DE RISCOS</p><p>Simone Fraporti</p><p>Estruturação dos riscos na</p><p>organização, processos</p><p>e agentes envolvidos</p><p>Objetivos de aprendizagem</p><p>Ao final deste texto, você deve apresentar os seguintes aprendizados:</p><p>� Definir estruturação dos riscos.</p><p>� Identificar as atividades relevantes do processo de estruturação dos</p><p>riscos.</p><p>� Relacionar os agentes envolvidos no processo de gerenciamento</p><p>dos riscos.</p><p>Introdução</p><p>O sucesso do gerenciamento de riscos depende da implementação de</p><p>uma estrutura de riscos eficaz na organização, com a utilização de uma</p><p>abordagem que seja adequada e compatível com a natureza de suas</p><p>operações e complexidade de seus produtos. Os projetos surgem nas</p><p>organizações por demandas, exigências ou necessidades de melhorias.</p><p>Há expectativas, por parte de pessoas, organizações e entidades, ou</p><p>seja, as partes interessadas ou stakeholders, que necessitam ser aten-</p><p>didas ou que serão afetadas por uma decisão, atividade ou resultado</p><p>de um projeto.</p><p>Neste capítulo, você irá estudar a estruturação dos riscos, as atividades</p><p>relevantes do processo de estruturação dos riscos e os agentes envolvidos</p><p>no processo de gerenciamento dos riscos.</p><p>Estruturação dos riscos</p><p>O processo de gerenciar riscos em uma organização pode ser realizado por</p><p>uma variedade de técnicas e abordagens, dentre as principais destacam-se</p><p>as abordagens sugeridas pelo COSO (COMMITTEE OF SPONSORING</p><p>ORGANIZATIONS OF THE TREADWAY COMMISSION, 2007), pela</p><p>ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009)</p><p>e pelo PMI (PROJECT MANAGEMENT INSTITUTE, 2014), cada uma delas</p><p>enfatiza a importância do gerenciamento de riscos e recomenda que sejam</p><p>utilizados determinados componentes ou atividades.</p><p>O Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO, Committee</p><p>of Sponsoring Organizations of the Treadway Commission) é uma organização sem fins</p><p>lucrativos, constituída por conceituadas entidades profissionais da área contábil e de</p><p>auditoria norte-americanas, criada em 1985. Seu intuito é a melhoria contínua dos</p><p>relatórios financeiros, sempre pautados na ética, efetividade dos controles internos e</p><p>governança corporativa.</p><p>A Organização Internacional de Normalização ISO 31000 – norma brasileira publicada</p><p>em 2009, baseada na AS/ZNS, fornece princípios e diretrizes genéricas para auxiliar as</p><p>organizações na sua gestão de riscos.</p><p>O Project Management Institute (PMI), ou Instituto de Gerenciamento de Projetos, é</p><p>a maior associação sem fins lucrativos do mundo para profissionais de gerenciamento</p><p>de projetos.</p><p>Acesse a norma ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009)</p><p>no link a seguir:</p><p>https://goo.gl/e1yN7Y</p><p>Conheça também o PMI no site do Project Management Institute (c2018):</p><p>https://goo.gl/Ju6ZpG</p><p>Estruturação dos riscos na organização, processos e agentes envolvidos68</p><p>A estrutura do processo de gerenciamento de riscos proposto pelo COSO</p><p>(COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREA-</p><p>DWAY COMMISSION, 2007) é constituído de oito componentes que se</p><p>inter-relacionam entre si, pelos quais a administração gerencia a organização.</p><p>Eles estão integrados com o processo de gestão e possuem os componentes</p><p>detalhados a seguir.</p><p>Ambiente de interno: é a cultura de controle interno da entidade, na qual</p><p>o controle é efetivo quando as pessoas conhecem as suas responsabilidades,</p><p>os limites de autoridade e consciência e possuem a competência e o compro-</p><p>metimento de fazerem o que é certo e de maneira correta.</p><p>Fixação de objetivos: a administração deve dispor de um processo im-</p><p>plementado que lhe permita fixar os objetivos de forma alinhada à missão da</p><p>empresa, consistente com a propensão ao risco previamente definida.</p><p>Identificação dos eventos: eventos internos e externos que afetam o</p><p>cumprimento dos objetivos devem ser identificados e separados entre riscos</p><p>e oportunidades.</p><p>Avaliação de risco: os riscos devem ser avaliados com base na proba-</p><p>bilidade e no impacto, e os resultados dessa avaliação devem orientar o seu</p><p>gerenciamento.</p><p>Respostas ao risco: a gerência deve estabelecer as regras de gerenciamento,</p><p>aceitando, reduzindo, partilhando ou evitando os riscos e desenvolvendo</p><p>ações para alinhar o seu gerenciamento de acordo com a propensão de risco</p><p>previamente explicitada.</p><p>Atividades de controle: são os procedimentos de controle interno desti-</p><p>nados à redução ou administração dos riscos. Podem ser de caráter preventivo</p><p>ou de detecção.</p><p>Informação e comunicação: comunicação é o fluxo de informações dentro</p><p>de uma entidade, e a informação é o conhecimento que move as organizações</p><p>e a sociedade.</p><p>Monitoramento: é a avaliação dos controles internos ao longo do tempo, se</p><p>efetivos ou não. Podem ser contínuos ou pontuais, envolvendo autoavaliações,</p><p>revisões e auditoria.</p><p>A NBR ISO 31000/2009 (ASSOCIAÇÃO BRASILEIRA DE NORMAS</p><p>TÉCNICAS, 2009) fornece princípios e orientações gerais para o gerenciamento</p><p>de riscos. Como não é específica para nenhum ramo de atividade ou porte, pode</p><p>ser utilizada por qualquer tipo de organização e ser aplicada a qualquer tipo ou</p><p>natureza de risco. Não é uma norma que exige certificação, e foi estabelecida</p><p>com o objetivo de harmonizar os processos de gestão de riscos e auxiliar a</p><p>organização a integrar a gestão de riscos em seu sistema de gestão global. Para</p><p>69Estruturação dos riscos na organização, processos e agentes envolvidos</p><p>tanto, a norma recomenda que as organizações adaptem os componentes de</p><p>estrutura a suas necessidades específicas, por meio das seguintes indicações</p><p>(ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009):</p><p>Comunicação e consulta: informação às partes interessadas, internas e</p><p>externas, deve ocorrer durante todas as fases do processo de gestão de riscos</p><p>e desenvolve planos.</p><p>Estabelecimento do contexto: define objetivos, parâmetros internos e ex-</p><p>ternos e estabelece o escopo e os critérios de riscos para o restante do processo.</p><p>Avaliação de riscos: processo global de identificação, análise e avaliação</p><p>de riscos.</p><p>Tratamento de riscos: consiste na seleção de uma ou mais opções para</p><p>modificar os riscos e a implementação dessas opções.</p><p>Monitoramento e análise crítica: convém que sejam planejados como</p><p>parte do processo de gestão de riscos e envolvam a checagem ou vigilância</p><p>regulares.</p><p>Para o PMI, o gerenciamento de riscos é parte integrante do gerenciamento</p><p>de projetos. Segundo o Guia PMBOK® (PROJECT MANAGEMENT INS-</p><p>TITUTE, 2014), o gerenciamento dos riscos do projeto inclui os processos de</p><p>planejamento, identificação, análise, planejamento de respostas, monitoramento</p><p>e controle de riscos de um projeto. Seu objetivo é maximizar a exposição aos</p><p>eventos positivos e minimizar a exposição aos eventos negativos.</p><p>Planejar o gerenciamento de riscos: decidir como abordar, planejar e</p><p>executar as atividades de gerenciamento de riscos de um projeto.</p><p>Identificar os riscos: determinar os riscos que podem afetar o projeto e</p><p>documentar suas características.</p><p>Realizar análise (qualitativa e quantitativa) de riscos: priorizar os</p><p>riscos para análise ou ação adicional subsequente por meio de avaliação e</p><p>combinação da probabilidade de ocorrência e impacto e medir o efeito dos</p><p>riscos identificados nos objetivos gerais do projeto.</p><p>Planejar as respostas aos riscos: desenvolver opções e ações para aumentar</p><p>as oportunidades e reduzir as ameaças aos objetivos do projeto.</p><p>Controlar os riscos: acompanhar os riscos identificados, monitorar os</p><p>riscos residuais, identificar novos riscos, executar planos de respostas aos</p><p>riscos e avaliar a sua eficácia durante todo o ciclo de vida do projeto.</p><p>Diferenças a parte, você pode perceber que alguns desses componentes</p><p>são comuns a todas as abordagens e, analisando a descrição das atividades</p><p>executadas nessas diferentes etapas, é possível considerar que as atividades, de</p><p>uma forma geral, estão contempladas, algumas de forma implícita nas demais.</p><p>Estruturação dos riscos na organização, processos e agentes envolvidos70</p><p>Planejar gerenciamento de riscos: esta etapa tem</p><p>como objetivo definir</p><p>a estratégia a ser utilizada para o gerenciamento de riscos durante todo o</p><p>projeto, e está implícita nas etapas de estabelecimento do contexto na ISO</p><p>31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009) e</p><p>na fixação de objetivos na abordagem do COSO (COMMITTEE OF SPON-</p><p>SORING ORGANIZATIONS OF THE TREADWAY COMMISSION, 2007).</p><p>Identificar riscos: o objetivo dessa atividade é o levantamento de todas</p><p>as possibilidades de riscos existentes. Todas as abordagens contemplam a</p><p>identificação de riscos.</p><p>Preparar análise qualitativa e análise quantitativa dos riscos: essa</p><p>etapa tem como objetivo a priorização dos riscos e sua análise numérica. As</p><p>atividades de análises qualitativa e quantitativa constam como atividades</p><p>distintas apenas no PMBOK (PROJECT MANAGEMENT INSTITUTE,</p><p>2014). Na abordagem do COSO (COMMITTEE OF SPONSORING ORGA-</p><p>NIZATIONS OF THE TREADWAY COMMISSION, 2007) consta de forma</p><p>geral (conjunta), em que são realizadas análises qualitativas, como definição</p><p>de probabilidade e impacto dos riscos, e análises quantitativas. Na NBR ISO</p><p>31.000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009)</p><p>essa análise é informada de uma forma geral, não apresentando opções ou</p><p>como realizar.</p><p>Planejar respostas aos riscos: tem como objetivo principal a realização do</p><p>plano de ação para os riscos identificados. Realizada em todas as abordagens.</p><p>Monitorar e controlar riscos: tem como objetivo principal avaliar a</p><p>efetividade dos planos de ação executados e avaliar os desvios ocorridos</p><p>em função do que foi planejado. Na abordagem COSO (COMMITTEE OF</p><p>SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION,</p><p>2007) está descrita como monitoramento, na ISO 31000 (ASSOCIAÇÃO</p><p>BRASILEIRA DE NORMAS TÉCNICAS, 2009) como monitoramento e</p><p>análise crítica e no PMBOK (PROJECT MANAGEMENT INSTITUTE,</p><p>2014) como controle de riscos.</p><p>Comunicar riscos: essa etapa tem como objetivo principal o estabeleci-</p><p>mento da comunicação entre os principais interessados no projeto (stakehol-</p><p>ders). Consta na abordagem COSO (COMMITTEE OF SPONSORING OR-</p><p>GANIZATIONS OF THE TREADWAY COMMISSION, 2007) e na ISO</p><p>31.000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009).</p><p>Entretanto, apesar de não constar como etapas das abordagens do PMBOK</p><p>(PROJECT MANAGEMENT INSTITUTE, 2014), pode estar implícita na</p><p>etapa de “Controlar riscos”.</p><p>71Estruturação dos riscos na organização, processos e agentes envolvidos</p><p>Ambiente de controle: consta especificamente na abordagem do</p><p>COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE</p><p>TREADWAY COMMISSION, 2007) e é a cultura de controle interno da</p><p>entidade e envolve competência técnica e compromisso ético, em que a</p><p>postura da alta administração, pelo exemplo, é fator determinante para</p><p>criação desse valor.</p><p>Desse modo, em relação às abordagens de gerenciamento de riscos apresen-</p><p>tadas, você pode observar que elas são muito semelhantes no contexto geral,</p><p>algumas detalhando um pouco mais as suas descrições de algumas atividades,</p><p>e outras ficando subentendidas nas demais. Como resultado, a estruturação</p><p>dos riscos em qualquer que seja a abordagem escolhida, tende a observar e</p><p>cobrir os mesmos aspectos globais.</p><p>Cabe ressaltar que os profissionais envolvidos no gerenciamento de riscos</p><p>devem ser qualificados, e os sistemas computacionais e bancos de dados</p><p>utilizados precisam ser confiáveis. Além disso, o gerenciamento de riscos</p><p>precisa ser compreendido como uma filosofia, fazer parte da cultura e estar</p><p>integrado à gestão e à operação da organização como um todo. Portanto, é</p><p>possível o maior compromisso e responsabilidade dos gestores, resultando</p><p>em uma organização melhor gerenciada em todos os aspectos, inclusive</p><p>nos riscos.</p><p>Atividades relevantes do processo de estruturação de</p><p>riscos</p><p>Para a adequada estruturação dos riscos por parte da organização, é essencial</p><p>que a estrutura por ela definida para o gerenciamento de riscos seja adequada</p><p>e compatível com a natureza de suas operações e com a complexidade dos</p><p>seus produtos. O intuito disso é um gerenciamento mais efetivo dos vários</p><p>aspectos envolvidos (recursos, eventos, produtos e riscos), permitindo uma</p><p>visão mais clara dos objetivos e dos resultados do negócio e correspondendo a</p><p>benefícios decorrentes da identificação sistemática das possíveis deficiências</p><p>organizacionais.</p><p>Em um processo de gestão de riscos, podem existir várias atividades de</p><p>acordo com a abordagem a ser seguida, cada uma utilizando uma nomenclatura</p><p>própria para cada etapa. Porém, algumas atividades, em virtude da sua rele-</p><p>vância, são comuns a todas as abordagens que tratam sobre o gerenciamento</p><p>de riscos. Desse modo, podem ser consideradas como etapas ou atividades</p><p>básicas (essenciais) e, portanto, cabe promover o seu destaque. Assim, você</p><p>Estruturação dos riscos na organização, processos e agentes envolvidos72</p><p>pode considerar as seguintes atividades relevantes do processo de estruturação</p><p>dos riscos:</p><p>� Identificação: em que o ponto de partida é descobrir os riscos e defini-</p><p>-los com algum detalhamento e em um formato estruturado.</p><p>� Avaliação: os riscos são avaliados quanto à probabilidade e ao impacto</p><p>de sua ocorrência.</p><p>� Tratamento: uma abordagem para o tratamento de cada risco deve ser</p><p>definida, mas, em alguns casos, não se pode fazer nada. Isso requer</p><p>uma análise da aceitabilidade do risco, podendo requerer um plano de</p><p>ação para prevenir, reduzir ou transferir o risco.</p><p>Identificação dos riscos</p><p>Se os riscos são eventos que podem de alguma forma impactar os objetivos da</p><p>organização, e é fundamental para sua sobrevivência que os objetivos sejam</p><p>atingidos, então é extremamente necessário que se adotem medidas para se</p><p>lidar com riscos.</p><p>Porém, não se pode lidar com o que não é conhecido, ou seja, os riscos</p><p>devem ser identificados. Saber identificar e tratar os riscos é essencial</p><p>para o bom desempenho de uma organização, pois identificando e tratando</p><p>corretamente os riscos, ela aumenta as chances de sucesso de seus projetos,</p><p>melhora a gestão de departamentos e preserva sua imagem, entre tantos</p><p>outros benefícios.</p><p>Mas, afinal, como identificar riscos? A identificação de riscos, de acordo</p><p>com Wolmer (2013) requer a identificação de eventos indesejados, as suas</p><p>causas e consequências (consequências no sentido de impacto que o risco</p><p>poderá causar no objetivo).</p><p>Causa de risco é a condição que poderá dar origem a um evento, também</p><p>chamadas de fatores de risco. Sua origem pode ser tanto no ambiente interno</p><p>como no externo da organização, e a consequência do risco é o resultado de</p><p>um evento sobre os objetivos, ou seja, o impacto que um evento poderá causar</p><p>se o risco se materializar. Então, quando a fonte de risco encontra alguma</p><p>vulnerabilidade na organização, surge a causa do risco, observe o Quadro 1.</p><p>73Estruturação dos riscos na organização, processos e agentes envolvidos</p><p>Fonte: Adaptado de Wolmer (2013).</p><p>Fonte de risco Vulnerabilidade</p><p>Pessoas</p><p>� Número insuficiente</p><p>� Sem capacitação adequada</p><p>� Perfil inadequado para o cargo</p><p>� Desmotivadas</p><p>� Ardilosas</p><p>Processos</p><p>� Processos mal concebidos (fluxo, desenho)</p><p>� Sem manuais ou procedimentos formalizados</p><p>� Ausência de segregação de funções</p><p>Tecnologia</p><p>da informação</p><p>� Sistemas obsoletos</p><p>� Sem integração</p><p>� Sem manuais de operação</p><p>� Sem backups</p><p>Estrutura</p><p>organizacional</p><p>� Falta de clareza quanto às funções e/ou às</p><p>responsabilidades</p><p>� Deficiência nos fluxos de informação e comunicação</p><p>� Centralização de responsabilidades</p><p>� Delegações exorbitantes</p><p>Infraestrutura física</p><p>� Localização inadequada</p><p>� Instalações ou layout inadequados</p><p>� Inexistência de controles de acessos</p><p>Tecnologia</p><p>de produto</p><p>� Técnica de produção ultrapassada</p><p>� Produto obsoleto</p><p>� Inexistência de investimento em pesquisa e</p><p>desenvolvimento</p><p>� Tecnologia sem proteção de patentes</p><p>� Processo produtivo sem proteção contraespionagem</p><p>Quadro 1. Fontes de risco vs. vulnerabilidades.</p><p>Identificar os riscos é um processo contínuo, porque novos riscos podem</p><p>surgir ou se tornar</p><p>conhecidos durante o ciclo de vida do projeto. A frequência</p><p>da iteração e os participantes de cada ciclo variam de acordo com a situação.</p><p>Processo de análise e avaliação dos riscos</p><p>Para se definir qual tratamento será dado a determinado risco, o primeiro</p><p>passo consiste em determinar o seu efeito potencial, ou seja, o grau de</p><p>Estruturação dos riscos na organização, processos e agentes envolvidos74</p><p>exposição da organização àquele risco e a capacidade e o preparo para</p><p>administrá-lo.</p><p>Esse grau considera pelo menos três aspectos, a probabilidade de ocorrência,</p><p>a vulnerabilidade e o seu impacto, e os eventos podem ser independentes ou,</p><p>ainda, pode haver interdependência entre os riscos. Nesse caso, o grau de</p><p>exposição irá depender do impacto financeiro consolidado, da probabilidade,</p><p>da velocidade ou da vulnerabilidade conjunta de todos os eventos, devendo ser</p><p>medido quantitativamente e de acordo com a metodologia de cada empresa.</p><p>A maneira mais usual de se documentar o impacto, a probabilidade ou a</p><p>vulnerabilidade em relação aos riscos identificados é por meio do mapa ou</p><p>matriz de riscos (ver Figura 1). Em uma qualificação simplificada dos riscos,</p><p>podemos trabalhar com três níveis de probabilidade (baixa, média e alta) e</p><p>impacto (baixo, médio e alto), em que o cruzamento dessas duas dimensões</p><p>geram nove combinações. A partir dessas combinações é possível definir</p><p>prioridades e estabelecer o tratamento mais adequado a cada risco.</p><p>Conheça melhor a matriz de risco no artigo de Bertolucci (2016), disponível no link</p><p>a seguir</p><p>https://goo.gl/RA32Lu</p><p>Figura 1. Matriz de riscos.</p><p>Fonte: Zyngier (2012).</p><p>Matriz de</p><p>riscos</p><p>Probabilidade</p><p>Baixo Médio Alto</p><p>Baixo</p><p>Médio</p><p>Alto</p><p>Im</p><p>pa</p><p>ct</p><p>o</p><p>Muito baixo</p><p>Baixo</p><p>Médio</p><p>Baixo</p><p>Médio</p><p>Alto</p><p>Médio</p><p>Alto</p><p>Muito alto</p><p>75Estruturação dos riscos na organização, processos e agentes envolvidos</p><p>Considerando o resultado apresentado na matriz de riscos, temos a demons-</p><p>tração de que nem todos os riscos precisam ou devam ser controlados, pois</p><p>quando a probabilidade de um risco e o impacto nos objetivos da organização</p><p>são baixos, a empresa pode decidir por aceitar o risco, em vez de investir</p><p>recursos em seu gerenciamento e controle.</p><p>Os riscos influenciam os objetivos, alguns mais outros menos, portanto,</p><p>é a partir da classificação do risco no mapa de riscos (tipo de risco negativo</p><p>ou positivo), que a organização define a estratégia que irá adotar (ZYNGIER,</p><p>2012).</p><p>Tratamento dos riscos</p><p>Para o tratamento de riscos que promovem impactos negativos nos objetivos</p><p>do projeto ou empresa, são sugeridas quatro ações por Zyngier (2012), que são:</p><p>Prevenir ou evitar: a prevenção de riscos envolve mudanças no plano</p><p>de gerenciamento do projeto, o esclarecimento dos requisitos, a obtenção de</p><p>informações, a melhoria da comunicação ou a aquisição de especialização</p><p>podem prevenir alguns riscos que surgem no início do projeto.</p><p>Transferir: a ação e transferir riscos exige a passagem do impacto negativo</p><p>de uma ameaça para terceiros, nesse caso, essa transferência de riscos não</p><p>elimina os riscos, ela simplesmente delega a uma outra parte a responsabili-</p><p>dade por seu gerenciamento. A transferência de riscos quase sempre envolve</p><p>o pagamento de um prêmio de risco à parte que assume o risco, por exemplo,</p><p>os seguros, garantias, etc.</p><p>Mitigar: mitigar um risco é a ação de reduzir a probabilidade e/ou</p><p>impacto de um evento de risco adverso, até um limite aceitável que a organi-</p><p>zação considere aceitável. A realização de ações para reduzir a probabilidade</p><p>e/ou o impacto de um risco que está ocorrendo no projeto é normalmente</p><p>mais eficaz do que a tentativa de reparar os danos após a ocorrência do</p><p>risco. A adoção de processos menos complexos, realizando mais testes, ou</p><p>a escolha de um fornecedor mais estável constituem exemplos de ações de</p><p>mitigação.</p><p>Aceitar ativamente: refere-se à decisão de não alterar o risco devido à</p><p>baixa probabilidade de acontecimentos ou impacto reduzido, porém o risco</p><p>deverá ser monitorado e uma atividade de contingência ser preparada.</p><p>Aceitar passivamente: quando a equipe resolve que a ocorrência do risco</p><p>trará insignificante impacto ao projeto, a ponto de sequer valer a pena monitorá-</p><p>-lo e, caso aconteça, alguma correção será então preparada.</p><p>Estruturação dos riscos na organização, processos e agentes envolvidos76</p><p>Os riscos negativos geram prejuízos para a organização e são sempre</p><p>lembrados, ao passo que os riscos positivos têm características de gerar oportu-</p><p>nidades, possibilitando redução de custos ou aumento de lucros ao produto do</p><p>projeto. Os riscos são classificados pela matriz de riscos, já as oportunidades</p><p>são classificadas pela matriz de oportunidades.</p><p>Em um contexto corporativo, geralmente as oportunidades costumam</p><p>integram um cenário incerto, juntamente das ameaças, ou seja, para que</p><p>uma organização consiga tirar proveito de uma oportunidade, ela também</p><p>precisa identificar e saber lidar com as suas ameaças. Neste contexto, uma</p><p>ferramenta muito utilizada para o mapeamento de oportunidades é a matriz</p><p>SWOT ou FOFA.</p><p>A matriz SWOT se trata de uma ferramenta estrutural da administração</p><p>que possui como principal finalidade avaliar os ambientes internos e exter-</p><p>nos, formulando estratégias de negócios para a empresa, com a finalidade de</p><p>otimizar seu desempenho de mercado.</p><p>Leia mais sobre a matriz SWOT no artigo de Bastos</p><p>(2014), disponível no link a seguir:</p><p>https://goo.gl/d1gxqT</p><p>Diante da possibilidade de redução de custos ou aumento de lucros do</p><p>projeto ou da empresa, os riscos com impactos potencialmente positivos me-</p><p>recem especial atenção. Para tratamento dos riscos positivos, Zyngier (2012)</p><p>sugere as seguintes ações:</p><p>Explorar ou provocar: essa estratégia tenta eliminar a incerteza as-</p><p>sociada a um risco positivo específico, fazendo a oportunidade definiti-</p><p>vamente acontecer. Quando a organização deseja que a oportunidade seja</p><p>concretizada, a exploração inclui a designação de recursos mais capacitados</p><p>para o projeto, a fim de reduzir o tempo para término ou fornecer uma</p><p>qualidade maior.</p><p>77Estruturação dos riscos na organização, processos e agentes envolvidos</p><p>Compartilhar: envolve a atribuição da propriedade a terceiros que possam</p><p>capturar melhor a oportunidade em benefício do projeto, como a formação de</p><p>parcerias, equipes, empresas de propósito específico com o objetivo expresso</p><p>de gerenciar oportunidades.</p><p>Melhorar ou alavancar: tem o objetivo de modificar o “tamanho” de</p><p>uma oportunidade por meio do aumento da probabilidade e/ou dos impactos</p><p>positivos e pela identificação dos principais acionadores desses riscos de</p><p>impacto positivo.</p><p>Enfim, é muito importante que os responsáveis pela gestão (de projetos, de</p><p>riscos e da organização como um todo) também vislumbrem os riscos, tanto</p><p>os negativos como os positivos, assim como as oportunidades criadas pelas</p><p>ameaças identificadas, pois podem trazer belos resultados para os projetos</p><p>da organização.</p><p>Agentes envolvidos no processo de</p><p>gerenciamento dos riscos</p><p>O PMI (PROJECT MANAGEMENT INSTITUTE, 2014) destaca que o ge-</p><p>renciamento de projeto é composto pelas seguintes áreas de conhecimento:</p><p>integração, escopo, tempo, custo, qualidade, recursos humanos, comunicação,</p><p>aquisição e riscos. Nesse sentido, sendo a área de gerenciamento de riscos parte</p><p>integrante do gerenciamento de projetos, muitas definições sobre gerenciamento</p><p>de projetos são aplicáveis ao gerenciamento de riscos. Também, a conotação</p><p>de “projeto” pode ser associada à “empresa” de forma geral.</p><p>O PMBOK diz que essa área inclui os processos necessários para identifi-</p><p>car as pessoas, os grupos ou as organizações que, de alguma forma, possam</p><p>afetar ou ser afetados pelo projeto, sendo necessário analisar as expectati-</p><p>vas das partes interessadas e seu impacto sobre o projeto para viabilizar o</p><p>desenvolvimento de estratégias de gerenciamento adequadas e engajar as</p><p>partes interessadas nas decisões e na execução do projeto PMI (PROJECT</p><p>MANAGEMENT INSTITUTE, 2014). Observe</p><p>o esquema apresentado na</p><p>Figura 3.</p><p>Estruturação dos riscos na organização, processos e agentes envolvidos78</p><p>Figura 2. Análise das partes interessadas.</p><p>Fonte: adaptada de Project Management Institute (2014).</p><p>Expectativas</p><p>In�uênciaInteresse</p><p>Relacionamento</p><p>com o projeto</p><p>Valle et al. (2014) definem parte interessada, ou stakeholders, como o</p><p>público estratégico, que pode ser uma pessoa, um grupo ou uma organiza-</p><p>ção. Engloba todas as pessoas que de alguma forma podem influenciar ou</p><p>ser afetados por uma decisão, atividade ou resultado de um projeto. Assim,</p><p>considera-se parte interessada o patrocinador, os fornecedores, os membros</p><p>da equipe de projeto, os membros da diretoria da empresa e o público externo</p><p>(usuários e vizinhos) que sejam afetados pelo projeto. Cada projeto terá o seu</p><p>grupo de parte interessada que são, naturalmente, as partes envolvidas com</p><p>os riscos, a questão será identificar todas as partes.</p><p>As partes interessadas em um projeto (que pode ser entendido também</p><p>como a organização de forma geral) são todas as partes que estão envolvidas</p><p>com os seus riscos. Entre essas partes interessadas, podemos destacar:</p><p>Patrocinadores: acionistas, investidores, financiadores, parceiros e su-</p><p>pervisores de alta gerência.</p><p>Internos: equipe, executivos, colaboradores e departamentos.</p><p>Externos: órgãos governamentais, sindicados, ambientalistas, comunidade</p><p>e mídia.</p><p>Mercado: clientes, concorrentes e atacadistas.</p><p>Fornecedores: matéria prima, serviços e tecnologia.</p><p>79Estruturação dos riscos na organização, processos e agentes envolvidos</p><p>Esse processo, segundo o PMBOK (PROJECT MANAGEMENT INSTI-</p><p>TUTE, 2014) é composto por quatro fases.</p><p>Identificar as partes interessadas: é o processo de identificação das</p><p>pessoas, grupos ou organizações que possam afetar ou serem afetados por</p><p>uma decisão, atividade, ou resultado do projeto; e analisar e documentar</p><p>as informações relevantes relacionadas aos seus interesses, envolvimento,</p><p>interdependência, influência e impacto potencial no sucesso do projeto,</p><p>envolvem:</p><p>� identificar todas as partes interessadas e as informações relevantes</p><p>sobre elas;</p><p>� coletar seus interesses e expectativas com o projeto;</p><p>� determinar qual seu nível de influência;</p><p>� determinar o impacto que cada parte interessada pode gerar.</p><p>Planejar o gerenciamento: é o processo de desenvolvimento das estratégias</p><p>de gerenciamento adequadas para envolver efetivamente as partes interessadas</p><p>durante todo o ciclo do projeto, com base na análise de suas necessidades,</p><p>interesses e potencial impacto sobre o sucesso do projeto.</p><p>Gerenciar o engajamento: é o processo de comunicação e interação</p><p>com as partes interessadas para atender as suas necessidades/expectativas;</p><p>solucionar questões, à medida que ocorrem; e promover o engajamento das</p><p>partes interessadas nas atividades do projeto. A intenção é aumentar as</p><p>chances de aceitação, evitar que certas questões fiquem pendentes, ajudar as</p><p>partes interessadas a entender os benefícios e riscos do projeto e encorajar</p><p>as partes interessadas a participar ativamente no projeto. Com relação ao</p><p>seu nível de engajamento no projeto, a parte interessada pode receber a</p><p>seguinte classificação:</p><p>� inconsciente (ou desinformado), que não tem conhecimento do projeto</p><p>e seus impactos;</p><p>� resistente, que tem conhecimento do projeto e seus impactos, mas é</p><p>resistente e não apoiador;</p><p>� neutro, que tem conhecimento do projeto, mas não é resistente e nem</p><p>apoiador;</p><p>� apoiador, que tem conhecimento do projeto e seus impactos e fornecerá</p><p>apoio às mudanças;</p><p>� entusiasta (lidera), que tem conhecimento do projeto e seus impactos e</p><p>estará ativamente engajado para dar suporte ao projeto.</p><p>Estruturação dos riscos na organização, processos e agentes envolvidos80</p><p>Controlar o engajamento: é o processo que deve monitorar, periodica-</p><p>mente, as relações das partes interessadas no projeto e ajustar as estratégias</p><p>e planos para envolvê-las no processo.</p><p>Para entender o interesse de uma parte no projeto, o importante é ter as</p><p>informações corretas sobre cada participante e refletir sobre seus interesses</p><p>e objetivos com o projeto. É fundamental que as partes interessadas sejam</p><p>identificadas, pois seus interesses, que possuem graus diferentes de impor-</p><p>tância, influenciam na gestão de projetos a ser colocada em prática, além de</p><p>ajudar na avaliação dos riscos que será feita.</p><p>As partes interessadas mais importantes de um projeto são aquelas que</p><p>sofrem interferência direta ou que apresentam um alto grau de influência sobre</p><p>o projeto, podendo ser tanto internas como externas. Brainstorming, pesquisas</p><p>de mercado e conversas estão entre as formas de se fazer levantamento do</p><p>público envolvido.</p><p>Depois de listar e identificar as partes interessadas, o gestor deve buscar</p><p>entender quais são os reais interesses e o nível de influência de cada um no</p><p>projeto e, com isso, desenvolver planos de ação para cada uma das partes inte-</p><p>ressadas, definindo quais serão as formas de interagir, o tipo de comunicação</p><p>que será empregada, a maneira de obter apoio, que tipo de riscos cada um</p><p>pode trazer ao projeto e as respectivas estratégias para mitigá-los. Quanto mais</p><p>complexo for o projeto, mais agentes estarão envolvidos e maiores deverão</p><p>ser os esforços para identificá-los e classificá-los.</p><p>81Estruturação dos riscos na organização, processos e agentes envolvidos</p><p>Estruturação dos riscos na organização, processos e agentes envolvidos82</p><p>ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO 31000:2009: gestão de riscos:</p><p>princípios e diretrizes. Rio de Janeiro: ABNT, 2009.</p><p>BASTOS, M. Análise SWOT (matriz): conceito e aplicação. [S.l.]: Portal Administração,</p><p>2014. Disponível em: <http://www.portal-administracao.com/2014/01/analise-swot-</p><p>-conceito-e-aplicacao.html>. Acesso em: 01 fev. 2018.</p><p>BERTOLUCCI, R. Matriz de risco: uma ferramenta para avaliação de riscos. Curitiba:</p><p>Auditoria Operacional, 2016. Disponível em: <https://auditoriaoperacional.com.br/</p><p>matriz-de-risco-uma-ferramenta-para-avaliacao-de-riscos/>. Acesso em: 09 jan. 2018.</p><p>CASAROTTO, C. Análise SWOT ou Matriz F.O.F.A.: entenda o conceito e como colocá-lo</p><p>em prática. Belo Horizonte: Marketing de Conteúdo, 2016. Disponível em: <https://</p><p>marketingdeconteudo.com/como-fazer-uma-analise-swot/>. Acesso em: 09 jan. 2018.</p><p>COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION.</p><p>Gerenciamento de riscos corporativos: estrutura integrada: sumário executivo: estrutura.</p><p>[S.l.]: PwC, 2007.</p><p>PROJECT MANAGEMENT INSTITUTE. Sobre o PMI. Newtown Square: PMI, c2018. Dis-</p><p>ponível em: <https://brasil.pmi.org/brazil/AboutUS.aspx>. Acesso em: 30 jan. 2018.</p><p>PROJECT MANAGEMENT INSTITUTE. Um guia do conhecimento em gerenciamento de</p><p>projetos: guia Pmbok. 5. ed. São Paulo: Saraiva, 2014.</p><p>VALLE, J. Â. S. et al. Gerenciamento de stakeholders em projetos. Rio de Janeiro: FGV, 2014.</p><p>WOLMER, L. G. S. Diálogo público para melhoria da governança pública. São Paulo:</p><p>TCU, 2013.</p><p>ZYNGIER, C. D. Riscos: o lado bom. [S.l.]: Projeto Gerenciado, 2012. Disponível em:</p><p><http://projetogerenciado.com.br/riscos-o-lado-bom/>. Acesso em: 10 jan. 2017.</p><p>Leitura recomendada</p><p>INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Gerenciamento de riscos</p><p>corporativos: evolução em governança e estratégia. São Paulo: IBGC, 2017. (Série</p><p>Cadernos de Governança Corporativa, 19).</p>