Governança de Riscos
Gerenciamento de Riscos é um dos assuntos mais quentes do momento. Não apenas por causa da crise econômico-financeira mundial que vem se estendendo desde 2008, mas também do ponto de vista do gerenciamento de projetos, programas e portfólio.
Podemos separar os riscos de um projeto, simplificadamente, em duas categorias:
- Execução: riscos relacionados ao gerenciamento do projeto durante o seu ciclo de vida.
- Resultado: riscos relacionados ao resultado do projeto.
Os riscos de gerenciamento do projeto são nossos velhos conhecidos: atraso, qualidade, gastos, comunicação e outros. Embora conhecidos, não são tratados adequadamente. Pesquisas apontam que 90% dos GPs subestimam o tamanho ou a complexidade dos projetos que gerenciam [Robbins-Gioia, 1999]. Consequentemente, a capacidade gerencial e de execução precisa ser analisada:
- O planejamento é adequado?
- As estimativas são confiáveis?
- Os riscos associados aos pacotes de trabalho, tarefas, recursos e outros aspectos do projeto foram identificados e analisados?
- Somos capazes de executar o projeto? (Competência Técnica)
Não bastando os riscos de (ou falta de) gerenciamento do projeto, existem ainda os riscos inerentes ao resultado exclusivo, produto ou serviço. Todo projeto e seu resultado devem ter seus riscos analisados do ponto de vista do negócio. Ou seja, deve-se responder às seguintes perguntas:
- Se o projeto ou produto falharem, minha empresa (negócio) será prejudicado? Em caso positivo, qual o impacto?
- Se o projeto ou produto falharem, é possível corrigir?
- Minha empresa sobreviverá? Qual o tempo necessário para reverter?
Portanto, não basta apenas identificar, analisar e responder aos riscos técnico-gerenciais internos ao projeto. Essa abordagem míope leva ao chamado ótimo-local, isto é, o ponto ótimo do ponto de vista interno do projeto. É isso que os gerentes de projeto comumente buscam. Porém, o ótimo-local pode não ser, e na maioria das vezes não é, o ponto ótimo-global.
Sem entrar nas minúcias matemáticas, a soma de ótimos-locais não resulta em um ótimo-global. Desta forma, quando os gerentes de projetos procuram maximizar os resultados de seus projetos, podem estar destruindo, não adicionando, valor ao negócio. Ou seja, algumas abordagens de gerenciamento dos riscos criam mais riscos [Matts & Maassen, 2011].
A solução para o referido problema é a governança. Em nossa discussão sobre gerenciamento de riscos, precisamos de uma governança de riscos. Embora o PMI estabeleça o termo governança de riscos em The Practice Standard for Risk Management, não se trata de um padrão completo. Existem outros padrões variados e alguns específicos para determinadas áreas, tais como ISO 31000 e COSO.
A governança corporativa de riscos compreende ainda:
- identificar padrões e políticas de gerenciamento de riscos;
- padronizar políticas e práticas de gerenciamento de riscos;
- criar métricas para medir a performance do gerenciamento de riscos;
- monitorar os resultados do gerenciamento de riscos; e,
- documentar lições aprendidas e realizar melhoria contínua dos processos.
Concluímos que os gerentes de projetos, bem como os gestores de programas, portfólio e PMO, devem analisar detalhadamente o risco para o negócio trazido pelo projeto. Este risco deve ser entendido do ponto de visto corporativo e do modelo de negócio. Devemos, então, avançar do gerenciamento de riscos interno aos projetos para uma abordagem corporativa.