Gerenciamento de riscos ganhou atenção maior nos últimos anos devido a vários acontecimentos adversos inesperados nas mais diversas áreas. Os projetos, em particular, estão bastante sujeitos a riscos devido às características de unicidade e novidade nos resultados.

Alguns dizem que planejar e gerenciar riscos é ineficaz, acreditando que sempre existirão riscos não identificados, os unknowns unknowns (The Black Swan, Nassim Taleb). Outros acreditam que o gerenciamento de riscos resolve todos os problemas, sendo usado inclusive para “consertar” o mal planejamento do projeto. São duas abordagens extremas que devem ser evitadas.

Douglas Hubbard afirma que é possível quantificar quaisquer riscos e vai além, ele critica as análises qualitativas de riscos como sendo placebos. Em alguns de seus estudos, ele demonstra vieses psicológicos e as diferentes percepções dos avaliadores quando se tratam de análises qualitativas.

Controvérsias à parte, vamos aos processos de gerenciamento de riscos do Guia PMBOK 4^a ed.

O primeiro passo é planejar o gerenciamento de riscos. Neste processo, identificaremos as ferramentas e técnicas a serem utilizadas, tolerância a riscos, padrões utilizados e definiremos as atividades que iremos realizar nos processos seguintes.

O passo seguinte é identificar os riscos. Quando perguntamos para as pessoas, todos dizem que gerenciam riscos. O grande problema é que o passo de identificação é comumente realizado de forma rápida. Temos pressa em partir para as análises, tabela de probabilidade e impacto, simulações quantitativas etc. Rita Mulcahy afirma que, se você identificou menos de 300 riscos no seu projeto, então não está fazendo gerenciamento de riscos… Os riscos precisam ser específicos, objetivos e pontuais para que eu possa analisa-los e criar respostas. Dizer que o Governo ou a Economia são riscos para o projeto não é identificação de riscos. Identificação de riscos é:

• Pacote 1.2.2.5.8 – risco de atraso devido à licença ambiental que deve ser emitida pela regional ABC do IBAMA
• Pacote 4.4.5.6.8 – risco de aumento no custo devido à variação cambial
• Tarefa 4.4.4.4.4.6 – risco de aumento na duração devido à falta de capacitação da equipe
• Tarefa 3.3.4.6.3.7.8 – risco de atraso por causa das chuvas de Março

Ou seja, de acordo com a Rita, precisamos procurar riscos em todos os pacotes de trabalho da EAP, em todas as tarefas do cronograma e em todos os recursos do projeto. São ainda fontes de riscos os stakeholders, requisitos, restrições e premissas do projeto, entre outros.

Os riscos podem ser identificados utilizando brainstorms, revisão documental, padrões e referências, histórico e lições aprendidas, opinião especializada entre outras ferramentas e técnicas. Uma vez que temos a lista de riscos, que pode ser classificada em uma Estrutura Analítica de Riscos, podemos analisar os riscos.

Risk Breakdown Structure

Para todos os riscos do meu Registro de Riscos, apontaremos uma classificação de probabilidade de ocorrência e impacto das consequências. Na análise qualitativa de riscos, são definidas faixas subjetivas (alto, médio, baixo) e os riscos serão classificados em uma matriz de “temperatura”, indicando os riscos prioritários em vermelho, como na figura a seguir.

Observem que, embora as faixas sejam subjetivas, isto é, não quantificadas, não são arbitrárias. Existem parâmetros ou critérios para colocar um risco em uma faixa ou outro. Além disso, não saímos perguntando para as pessoas na rua o que elas acham da probabilidade e do impacto de um risco em nosso projeto de um novo avião. Na verdade, são especialistas, pessoas que vão trabalhar no projeto e compreendem seus riscos que irão avalia-los.

Para os riscos prioritários, em vermelho, podemos seguir um passo adiante e fazer análises quantitativas e simulações. Neste processo, a probabilidade e o impacto serão quantificada, por exemplo:

• Risco XIOO – probabilidade 30%, impacto R$20k
• Risco ASDI – probabilidade 40%, impacto R$100k

Podemos prover estimativas PERT e realizar simulações Monte Carlo tanto para o cronograma quanto para o orçamento, considerando a modelagem quantitativa dos riscos. Softwares como Palisade @Risk e Oracle Crystal Ball fazem isso. Essas análises quantitativas servirão de base para a alocação de reservas contingenciais e gerenciais para o projeto. Teremos ainda o intervalo de confiança para o orçamento e o cronograma do projeto.

Finalmente, planejaremos as respostas aos riscos, utilizando quatro abordagens:

• Aceitar – conheço o risco e não planejarei nenhuma resposta, seja porque não é possível responder ou porque não vale a pena
• Evitar – alterar o planejamento do projeto para evitar o risco completamente, ele não mais afetará o projeto
• Mitigar – planejar ações para reduzir a probabilidade de ocorrência ou o impacto do risco
• Transferir – utilizar seguros ou contratos para transferir o risco para uma outra organização

As respostas aos riscos devem considerar os custos/benefícios. O plano de respostas aos riscos devem contar o registro de riscos com suas descrições, os gatilhos dos riscos, os responsáveis pelos riscos e as ações de resposta a serem tomadas.

Bem, esse foi um primeiro artigo sobre riscos. Os processos foram apresentados de forma resumida para dar uma visão geral. Nos próximos, conversaremos sobre pontos específicos do gerenciamento de riscos. Até lá!