Gestão de Riscos em Projetos.

Falar em projetos é falar de execução coordenada de atividades com objetivos definidos.  O gerenciamento de projetos (GP) é a aplicação de conhecimentos, habilidades, ferramentas e técnicas às atividades do projeto a fim de atender aos seus requisitos (PMBOK 4ª Edição).

Uma das principais ações do GP é a busca do equilíbrio entre as restrições conflitantes do projeto. Essas restrições incluem: Escopo; Qualidade; Cronograma; Orçamento; Recursos e; Riscos. É fácil entender que esses fatores se relacionam de tal forma que se algum deles mudar, pelo menos um outro também será afetado.

Essa é uma visão mais complexa do GP, que antes trabalhava de modo geral com apenas três restrições: tempo, custo e qualidade. Era o chamado triângulo das restrições.

Agora podemos pensar em uma estrela de seis pontas:

Os riscos em um projeto decorrem da falta de informações relacionadas a eventos que impactam os propósitos do projeto. Essa incerteza sobre o que vai acontecer deve ser tratada de forma a estimular os riscos positivos e minimizar os riscos negativos ou seus impactos.

Então, os Riscos devem ser gerenciados de perto para garantir o sucesso do projeto. Esse gerenciamento dos riscos inclui os processos de planejamento, identificação, análise, monitoramento e resposta aos riscos (PMBOK 4ª Edição).

A gestão de riscos em projetos ganhou uma visibilidade e importância maior nos últimos anos. Um indicador dessa importância é a adoção por vários organismos internacionais (PMI, ISACA, IRM, etc.) de uma certificação profissional exclusiva para a gestão de riscos.

No caso do PMI – Project Management Institute – foi criada a certificação Risk Management Professional (PMI-RMP). Mais informações sobre essa certificação podem ser obtidas no site do PMI.

Por fim, prá não dizer que não falei das flores, e depois de ler o filósofo Jorge Vasconcellos, eu digo que o risco é inerente ao caminho e criar é em larga medida uma ação de enfrentamento aos riscos. Esse enfrentamento feito de forma intencional e organizada é o gerenciamento de riscos, que tanto falamos.

Até a próxima...

Segurança da Informação é Gestão de Riscos !

Hoje, muito se fala que vivemos na sociedade do conhecimento, ou sociedade da informação.  Nessa sociedade, a informação, como meio para geração de conhecimento para o indivíduo ou organização, desempenha papel fundamental para a produção e acumulação de riquezas.

No contexto desse blog, informação é qualquer conjunto de dados, imagens, textos e outras formas de representação, dotado de significado dentro de um contexto para uma pessoa ou organização. Ou, dito de outra forma, Informações são "estruturas significantes com a competência de gerar conhecimento no indivíduo, em seu grupo, ou à sociedade" *.

Atualmente, as informações são vistas e tratadas como objetos de valor. Essa percepção e atribuição de valor às informações deram origem a um novo campo de conhecimento e trabalho, chamado de segurança da informação.  A segurança da informação busca a preservação e agregação de valor de uma informação, protegendo-a de vários tipos de ameaças.


A gestão da segurança da informação visa assegurar a seleção e implementação de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas (ABNT ISO/IEC 27001).

O relacionamento entre os elementos motivadores da gestão da segurança da informação pode ser representado como na figura abaixo:



A segurança de uma informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca, por pessoas cujo objetivo seja furtar, destruir ou modificar tal informação, ou ainda por ameaças físicas ou naturais (enchentes, terremotos, etc.).

Pelo exposto, vê-se que a identificação e tratamento dos riscos são o cerne de todo processo de gestão da segurança da informação.

Nesse contexto, a gestão dos riscos na segurança das informações torna-se uma área relevante, pois:

"Aqueles que detêm o poder sobre os estoques institucionais de informação detêm também o poder sobre a sua distribuição e, conseqüentemente, sobre o conhecimento gerado nesta sociedade e o seu potencial de desenvolvimento (...) 

O produtor de informação, detentor dos estoques, decide sobre quais os itens de informação devem ser armazenados e quais as estratégias para a sua distribuição à sociedade. Decide, ainda, sobre o "empacotamento" tecnológico para a sua distribuição (...)

O detentor do poder sobre estes estoques (oferta) possui condições políticas de manipular a disponibilidade e o acesso à informação." (BARRETO,1996). *

Então, aprimorar a gestão de riscos é uma ação de interesse de todo os tipos de organizações e especialmente para aqueles envolvidos nos processos de Segurança da Informação.


Até a próxima...

* - veja http://revista.ibict.br/index.php/ciinf/article/download/466/425

Vocabulário para Gestão de Riscos.

Acredito que um bom tema para começo de conversa seja estabelecer o vocabulário comum para conversarmos sobre Gestão de Riscos (GR).

É bom estar em mente que quando estamos falando de gestão de riscos, estamos falando de gestão de ameaças à realização de seus objetivos (riscos negativos com conseqüências indesejáveis) e também de gestão de oportunidades potenciais (riscos positivos). Devemos estar atentos ao fato de que, no contexto da GR, as ameaças e oportunidades (riscos negativos e positivos) estão tanto no ambiente externo como no ambiente interno das organizações.

A Associação Brasileira de Normas Técnicas disponibiliza o documento ABNT ISO GUIA 73:2009 Gestão de Ricos - Vocabulário, onde ela fornece o vocabulário básico dos termos e conceitos da Gestão de Riscos. Esse documento é usado como referencia nas normas ABNT NBR ISO 31000 Gestão de Riscos – Princípios e diretrizes (norma genérica para a gestão de riscos) e a ABNT NBR ISO/IEC 27005 Gestão de riscos de segurança da informação.  A FERMA – Federation of European Risk Management Associations, formalmente declara utilizar a terminologia para risco definida na ISO/IEC Guide 73. O PMI, no  PMBOK Quarta Edição, não traz uma declaração formal de compatibilidade de conceitos ao ISO/IEC Guide 73 (vale a pena um estudo comparativo, quem se propõe ?).

Pelo exposto, é uma boa medida tomar as definições do Guia 73 da ABNT e complementar esse vocabulário para aplicações particulares. Esse Guia define 50 termos de Gestão de Riscos, agrupados em três seguintes categorias: 1) Termos relativos ao risco; 2) Termos relativos à Gestão de Riscos; 3) Termos relativos ao processo de Gestão de Riscos (contexto, identificação, análise, avaliação, tratamento e comunicação).

O objetivo desse Guia foi fazer com que profissionais de diversas áreas possam falar a mesma linguagem e se entenderem, quando o assunto for Gestão de Riscos.

Bom, espero ter sensibilizado o leitor a dar uma lida no Guia 73 (http://www.abntcatalogo.com.br/norma.aspx?ID=57312).

Se você quer já ter uma noção preliminar desses termos, então eu sugiro dar uma olhada na página  http://www.transportabrasil.com.br/2009/10/nbr-iso-31000-gestao-de-riscos-principios-e-diretrizes onde o articulista Teanes Silva relaciona termos e definições da Gestão de Riscos.

Até a próxima...

Já pensou se essa turma não usasse o mesmo vocabulário?