Primeiros passos do ciclo do processo de gerenciamento de riscos: o planejamento do gerenciamento e a identificação e registro dos dos riscos
1 – Introdução
Nos primeiros trabalhos desse ensaio, discorremos sobre os aspectos gerais que envolvem a Gestão de Riscos; sua importância, seu papel institucional e seu papel instrumental para a garantia da boa governança e gestão dos recursos públicos. Vimos que os processos de contratação em uma organização pública são, em sua grande parte, de penetração estratégica em relação às políticas públicas e ações governamentais a serem tomadas, mas que também é necessário estabelecer quais processos sofrerão o processo de gerenciamento de riscos por prioridades. A priorização de processos é determinante para viabilizar a implementação da cultura de gestão de riscos em uma organização, mormente considerando a resistência natural do corpo de colaboradores aos novos processos trabalhos a que se obrigarão a executar.
Chega a hora de irmos adiante: botar em prática o processo de gerenciamento de riscos.
Neste trabalho, vamos abordar os movimentos iniciais do processo de trabalho de gerenciamento de risco, que vai desde a identificação dos objetivos do projeto[1] em que se debruçará os resposáveis e a distribuição de responsabilidades a cada ator envolvido, passa pela identificação e qualificação de riscos e termina com o monitoramento dos riscos e implementação das respectivas respostas até que o projeto esteja concluído.
Todo o procedimento terá por base as disposições da Instrução Normativa no. 05/2017/MPDG, com os necessários ajustes, que prevê a fase de gerenciamento de riscos como etapa essencial na fase de planejamento da contratação.
2 – Riscos: conceito e classificação
O risco, do ponto de vista do gerenciamento de projetos, é um evento ou uma condição incerta que, caso ocorra, acarreta efeito negativo em pelo menos um objetivo do projeto.[2] Um risco é caracterizado pela sua probabilidade de ocorrência e pelo seu impacto sobre os objetivos do projeto. Antes de avançar para o processo, cumpre conceituar as espécies de risco, bem como seus componentes, de maneira que a equipe, ao identificá-lo já tenha condições de melhor classificá-lo.Os Riscos podem ser classificados, quanto à sua origem e quanto à sua natureza.
2.1 – Classificação quanto à origem
2.1.1 – Primários
São riscos claramente identificáveis quando da análise do projeto. São os primeiros riscos visualizados pela equipe e, em princípio, admitem tratamento inclusive com medidas preventivas. Todos os riscos devem ser anotados e depois priorizados pela equipe.
2.1.2 – Secundários
São aqueles gerados a partir implementação das respostas. É o efeito colateral da resposta. Em outro dizer, são os riscos que somente existiram caso a resposta seja implementada. Muitas vezes, pretendendo afastar um risco, a equipe pensa em uma resposta que atrai um outro risco, que também deve ser tratado. Caso o risco secundário, após avaliação, se mostra insuportável, significa que a resposta imaginada não é adequada e assim a equipe deve retomar a etapa de planejamento da resposta em relação a este risco.
Se um Tribunal, por exemplo, quanto à distribuição de material de expediente nas cidades do interior do Estado, tem dificuldades logísticas por não possuir caminhões em número suficiente. Diante desse quadro, pode-se afirmar que há um risco (estratégico) de paralisação das atividades judiciárias nesses locais pelo desabastecimento dos cartórios. Se a resposta pensada para esse risco for a contratação da Empresa de Correios para suprir logisticamente as comarcas do interior, a resposta, em termos de efetividade tem tudo para ser eficaz visto ser bastante capilarizada e regular a malha de distribuição da estatal nacional de postagem. Todavia, a implementação dessa resposta atrai um novo risco (risco secundário), que é o roubo e furto de carga, que, em uma análise com base nas notícias que veiculam na imprensa, constitui um risco bastante considerável em termos de probabilidade, pois, como se sabe, os Correios são o principal alvo nos centros urbanos desse tipo de delito. Assim, como a resposta — contratação dos Correios para distribuição do material no interior — gera um risco de proporções inaceitáveis, a equipe deverá pensar em outra resposta, abandonando esta primeira.
Conforme se viu, o risco secundário deve receber o mesmo tratamento do risco primário. As respostas aos riscos primários somente devem ser implementadas na hipótese de as mesmas não gerarem um risco secundário ou, caso gerado, que seja este aceitável (apetite ao risco).
2.1.3 – Residuais Riscos que sobram mesmo após a implementação das respostas, mas que aditem monitoramento ao longo da execução do projeto (contrato). Tornam-se riscos aceitáveis.
Muitas vezes, um risco ao projeto identificado pela equipe, não possuirá solução que o afaste por completo, ou seja, as soluções são de, no máximo, mitigação ou da probabilidade e/ou do impacto. Nestes casos, mesmo aplicando as respostas e por mais que as mesmas sejam eficazes, ainda sobra algum risco, mas que, caso venha a se tornar realidade (transformando-se em problema), o dano não chegará a causar um prejuízo significante ao projeto.
Nas aquisições, um risco sempre presente é o atraso na entrega do material. Este é um risco que, qualquer que seja a resposta e por mais rigoroso que seja o monitoramento, sempre vai existir. Mas as possíveis respostas (de mitigação) tendem a diminuir a sua probabilidade e o seu impacto, como por exemplo, a criação de cláusula no contrato de multa por dia de atraso, com base no art. 86 da Le. 8.666/1993, fixando prazo máximo suportável de atraso (resposta preventiva). Esta cláusula penal tem o poder de aumentar o nível de atenção no fornecedor, pois caso ele venha a atrasar a entrega, sabe que terá de arcar com o prejuízo da multa. Mas, ainda assim o fornecedor poderá atrasar a entrega, tendo apenas reduzida a probabilidade da ocorrência.
Para o risco residual, sempre será necessário planejar uma resposta de contingência, ou seja, um plano de ação para o caso de o risco vir a ocorrer. Afinal, uma das finalidades do gerenciamento de riscos é justamente permitir que a administração tenha soluções de contingência prontas e planejadas para entrar em operação tão logo o problema ocorra. No gerenciamento de crise (busca de solução para problema para o qual não havia gestão de risco) além do maior tempo gasto na busca da solução, que acarreta elevação do dano, as respostas encontradas sob o calor da crise tendem a não ser tão eficazes quanto àquelas imaginas no gerenciamento de riscos.
Para o exemplo acima, a solução de contingência seria a rescisão do imediatamente após o fornecedor ultrapassar o prazo máximo suportável de atraso e convocação do próximo fornecedor na ordem de classificação, para que as propostas apresentadas na licitação ainda estejam dentro do prazo de 60 dias de eficácia.
Ainda no exemplo acima, a resposta preventiva não eliminou, mas diminuiu a probabilidade da ocorrência; a de contingência, reduziu-lhe o impacto, pela maior rapidez na resposta. E se ainda pensássemos no risco secundário a essa resposta, que seria a não aceitação por parte do segundo colocado na licitação, o risco seria perfeitamente aceitável, pois a solução, em casos como esses, seria a aquisição emergencial, fulcrada no art. 24, IV da Lei de Regência.
2.2 – Riscos: classificação quanto à sua natureza Uma vez que se tenha identificado e avaliado o risco, os mesmo apresentarão caracteres que orientarão as respostas que a equipe deverá planejar. Assim, os riscos podem ser classificados, quanto à sua natureza em:
2.2.1 — Inaceitáveis São os que possuem grau de probabilidade e impacto tão elevados que inviabiliza o projeto, caso se torne um problema. Exige medidas que o eliminem por completo, ou, se possível, que o torne aceitável. Também podem, caso admitam, ser transferidos a terceiros.
2.2.2 — Transferíveis São os que podem ser transferidos a terceiros para controle e monitoramento, como fornecedores e prestadores de serviço. A transferência do risco para terceiros constitui uma resposta ao risco, na maioria dos casos, os inaceitáveis; mas também pode surgir como solução de preventiva para as demais espécies de risco
Há, porém, riscos que, pela sua natureza, não comportam transferência a terceiros, como por exemplo, os riscos à imagem ou à marca da organização. Se uma empresa terceirizada contratada pelo órgão ou entidade deixa de recolher encargos sociais e atrasa o pagamento dos salários dos empregados terceirizados, mesmo que o órgão contratante tenha pago regularmente a fatura, a imagem que imediatamente fica arranhada é a desta, não da terceirizada.
2.2. 3 — Evitáveis São aqueles que admitem respostas que o eliminem ou reduzam seus efeitos negativos a níveis aceitáveis. Também admitem ser transferidos, mas, de regra, devem permanecer com a organização para melhor monitoramento. Como já antecipamos acima, os riscos residuais são sempre aceitáveis.
2.2.4 — Aceitáveis Riscos que podem ser suportados pelo projeto, dado o baixo grau de impacto. É o apetite a risco da organização.
Identificar o risco aceitável passa, primeiro, pela observância do número de vezes que esse risco se tornou “problema”. Esse histórico é de fundamental importância em qualquer avaliação de risco, porque a maior parte de suas falhas futuras já estão contabilizadas no acervo do seu passado, permitindo que se tome decisões que viabilize evitar o modo de falha no futuro, ou reduzir seu impacto sobre o projeto. Diante desse quadro, pode-se afirmar que não há a “falha zero”; no tempo infinito todas as falhas irão ocorrer, mas podemos obter níveis de falhas muito baixos e aceitos pela organização.
Por isso, considera-se aceitável o evento incerto que, dada a baixa probabilidade e/ou impacto se mostra muito pouco nocivo; ou ainda, em outro dizer, o projeto permanece benéfico, mesmo ocorrendo os prejuízos potenciais.
Podemos ainda subdividir os riscos aceitáveis em duas sub espécies: os riscos tratáveis e os riscos monitoráveis. Essa divisão soa importante na medida em que a classificação do risco em aceitável pode conduzir ao equívoco de considerá-lo desprezível. E não é essa a idéia.
Ainda que seja aceitável, alguns riscos podem ser tratados, sem que isso cause algum tipo de ônus desproporcional; outros, porém, possuem relação de probabilidade e impacto tão pouco significante, que nenhuma espécie de tratamento compensa seu custo.
Assim, os riscos aceitáveis que dentro da matriz se colocarem como monitórável, não exigirão da equipe o planejamento de uma resposta de prevenção ou de mitigação, mas apenas o acompanhamento pelo monitoramento.
Mas, pode-se perguntar a razão de identificá-lo, uma vez que este risco não merecerá nenhum tipo de tratamento. A resposta é simples. É que o gerenciamento de riscos em um projeto exige revisão e monitoramento constante. Um risco identificado inicialmente como sendo aceitável/monitorável, em razão de alguma nova circunstância, que pode ser interna ou externa ao projeto, pode ver alterada a sua classificação. Por isso, a equipe precisará registrá-lo e acompanhá-lo. Caso a classificação desse risco se altere a ponto de passar a exigir algum tipo de tratamento, a equipe o fará imediatamente.
2.3 – Componentes do risco Conforme já bem espaçando nos trabalhos anteriores, risco é uma ameaça. É um eventos potencial, que ainda não ocorreu e que, caso ocorra, pode causar impacto negativo na consecução dos objetivos do projeto. O risco é composto de três elementos: a) causa; b) evento; e, c) dano. O processo de identificação dos riscos ao projeto deve levar em consideração os três elementos de modo que se possa adequadamente planejar as respostas ao risco, destacando que os eventos de riscos devem ser entendidos como parte de um contexto, e não de forma isolada.
As causas são as condições que dão origem à possibilidade de um evento ocorrer. Também podem ser chamados de fatores de risco e podem ter origem no ambiente interno e externo.
É extremamente importante que se identifique a causa do risco, uma vez que as respostas a esse risco devem atacar a origem do mesmo. Se uma resposta pensada não trata a causa, o risco permanece com o mesmo grau de potencialidade e, portanto, o tratamento planejado será ineficaz. E, nesse ponto, bom que se entenda que um mesmo risco pode ter várias causas; significa dizer que se as respostas não atacarem todas as causas, o risco tende a se manter com o mesmo nível de probabilidade e impacto.
O evento é o fato em si, ou seja, é o problema. É o fato concreto que se pretende evitar ou minimizar. É o que se revela em primeiro plano no momento da identificação dos riscos. O evento pode ser de efeito imediato ou de trato sucessivo.
De efeito imediato é o evento que, quando ocorre, provoca de uma só vez todo o seu estrago, não se agravando com o tempo. É o caso do risco da licitação fracassada. Uma vez que o evento se verifique (com a inabilitação de todos os licitantes ou a desclassificação de todas as propostas), seus efeitos (o dano) agridem o projeto de uma vez só. Já o evento de trato sucessivo é aquele que ocorre de forma contínua e que podem ir aumentando o dano na medida da sua ocorrência. No risco identificado como “atraso na entrega” o evento é o atraso em si, ou seja, a extrapolação, por parte do fornecedor, do prazo para cumprimento da obrigação (entrega do material, por exemplo). Mas esse evento tende a ir agravando o dano com o decurso do tempo, pois não ocorre de uma vez só. Desde o primeiro dia de atraso, pode-se afirmar que o evento ocorreu, isto é, o risco se tornou problema; mas quanto maior for o atraso do fornecedor, maior serão as consequências negativas.
Dano é o resultado decorrente do evento. Vem a ser o prejuízo causado ao projeto. A identificação correta do dano é primordial para que se avalie com maior exatidão a gravidade do impacto e, com isso, adequar a classificação do risco, o que, consequentemente, melhor orientará o planejamento das respostas.
3 – Gerenciando Riscos: visão geral do ciclo do processo de trabalho A gestão de riscos foi definida pela Organização Internacional de Padronização (International Organization for Standardization – ISO) como a identificação, a análise, a avaliação, o tratamento (controle), o monitoramento, a avaliação e a comunicação dos riscos.
O ciclo do processo de gerenciamento de riscos pode ser segmentado em seis etapas, sendo, o início, logo após a deflagração do projeto (ou o surgimento da demanda) e somente será encerrado juntamente com o encerramento do projeto em que vinha sendo aplicado. Veja-se o quadro sinótico abaixo, o qual apresenta as etapas e seus subprocessos de trabalho:
Figura 1: Fluxo de trabalho do gerenciamento de risco
O ciclo completo será documentado com os seguintes elementos: a) Tabela de Riscos Identificados; b) Matriz de probabilidade; c) Matriz de Escala de Impacto; e, d) Matriz de Risco. O primeiro será o registro de todos os riscos identificados pela equipe no 2º passo do fluxo. Nele também será apontados o resultado do exame de probabilidade e impacto relativo a cada risco identificado.
O segundo formulário — Matriz de Probabilidade, é a interface que a equipe utilizará para pontuar o grau de probabilidade da ocorrência do risco. Trata-se de um método para reduzir o grau de subjetivismo que decorre da inteuição. A partir da pontuação de dados coletados, a equipe chegará a um valor de probabilidade mais próximo da realidade. Leva-se em consideração, fundamentalmente, dois aspectos: o ambiente interno e o ambiente externo, calculando-se individualmente para, após, ober-se um valor médio sobre a probabilidade da ocorrência. Com isso, a valoração tende a se aproximar com maior exatidão sobre as chances reais de o risco identificado se tornar realidade.
O terceiro formulário — Matriz de Escala de Impacto, igualmente ao formulário anterior, é uma metodologia destinada a reduzir, a níveis aceitáveis, o grau de subjetivismo na pontuação da mensuração do dano. Consiste em subdividir a análise do impacto do risco a aspectos específicos do projeto, ao invém de se pontuar com base em seu escopo geral. Pode ser que um determinado cause um impacto financeiro pequeno, mas significativo em relação à imagem da organização. Ao se ponderar o impacto separadamente, se obterá um resultado mais equilibrado do que aquele que seria extraído levando-se em consideração todos os aspectos em conjunto.
Finalmente, a quarta interface — Matriz de Risco — detalhará, para cada risco, as respostas de prevenção e mitigação planejadas pela equipe, assim como a indentificação pelo agente responsável pela implementação das respostas e o prazo no qual a resposta deve ser implementada. Também poderá apontar o membro da equipe que ficará responsável pelo monitoramento do risco, bem como a periodicidade e o método a ser utilizado para esse monitoramento. Portanto, a Matriz de Risco será a interface que servirá de orientador de todos os atores que atuarem em sua gestão.
Segundo dispõe a Instrução Normativa 05/2017/MPDG, o primeiro passo do processo de contratação seria o preenchimento do documento de formalização da demanda (art. 21, I) que deve ficar a cargo do setor demandante, ou seja, aquele setor que prescinde do objeto a ser contratado. Dentre seus requisitos, está a indicação do representante do órgão demante para compor a equipe de planejamento (art. 21, I, d).
Bom que se diga, desde já, que o setor demandante pode não ser o especilista no objeto a ser contratado, mas apenas seu usuário. Se a bilbioteca do órgão necessita de um sistema informatizado de controle de acervo, o setor não é o especialista no objeto que atenderá a essa demanda, mas sim, o stor de Tcnologia da Informação.Não por outro motivo, a IN 05/2017/MPDG, institui a criação de uma equipe de planejamento:
Art. 22. Ao receber o documento de que trata o inciso I do art. 21, a autoridade competente do setor de licitações poderá, se necessário, indicar servidor ou servidores que atuam no setor para compor a equipe de Planejamento da Contratação.
§ 1º A equipe de Planejamento da Contratação é o conjunto de servidores, que reúnem as competências necessárias à completa execução das etapas de Planejamento da Contratação, o que inclui conhecimentos sobre aspectos técnicos e de uso do objeto, licitações e contratos, dentre outros.
Com a equipe de planejamento montada e formalmente designada, o processo de gerenciamento de riscos já pode ser iniciado, pois a mesma equipe que irá identificar a solução será a responsável pelo gerenciamento de risco..
A IN 05/2017/MPDG prevê, de forma equivocada, que o gerenciamento de risco se dará após o desemvolvimento dos estudos preliminares, a saber:
Art. 20. O Planejamento da Contratação, para cada serviço a ser contratado, consistirá nas seguintes etapas:
I – Estudos Preliminares;
II – Gerenciamento de Riscos; e
III – Termo de Referência ou Projeto Básico.
Todavia, esse encadeamento se apresenta deficiente, pois, se assim levado, poderá gerar retralho, o que envove demora no atendimento da demanda com perda desnecessária de tempo e recursos. Explicamos.
Nos termos do mesmo normativo, a etapa de estudos preliminares envolve a identificação das soluções técnicas existentes no mercado e a escolha daquela que melhor atente às necessidades do demandante; logo em seguida, a equipe de planejamento partirá para a atividae de pesquisa de preços.
Ocorre que se o gerenciamento de risco for realizado somente após o desenvolvimento destas atividades e este vier a identificar que os riscos envolvidos na solução alvitrada pela equipe forem de natureza insurportável, terá havido enorme perda de tempo, pois, invariavelmente, a solução para um risco insuportável é o abandono da solução.
Portanto, o correto é que tão logo instalada a equipe de planejamento, o gerenciamento de risco se inicie concomitantemente com a realização dos estudos preliminares.
4 – 1º Passo: planejamento do Gerenciamento de Riscos Como em qualquer processo de trabalho, um bom planejamento é essencial para o sucesso de seus resultados. No que se refere ao processo de gerenciamento de riscos, o planjemanto de seu desenvolvimento envolverá dois subprocessos, quas sejam: a) distribuição de responsabilidades, e b) identificação dos objetivos do projeto.
A definição de responsabilidades é crucial para o direcionamento da equipe. Ao contrário da gestão do contrato, em que se atribuiu ao Gestor a responsabilidade pela coordenação da equipe de acompanhamento do contrato (quando instalada), a IN 05/2017/MPDG não definiu a quem competiria a direção dos tabalhos da equipe de planejamanto, que, como dito alhures, será a responsável pelo Gerenciamento de Risco.
Certo, porém, que a despeito da lacuna normativa, uma equipe de trabalho, qualquer que seja o trabalho a ser executado, deve ser liderada por um indivíduo, sob pena de completa anarquia. Casos haverá, e serão inúmeros, que a equipe não chegará a um concenso e dependerá de alguém que lhe dê um norte. Caso a autoridade superior não indique o líder (que vamos chamar aqui de gerente de riscos), a equipe, logo na primeira reunião, deverá decidir internamente a quem competirá a direção dos trabalhos.
A identificação dos objetivos do projeo (no nosso caso, da contratação) é essencial, visto ser determinante para a fase de qualificação dos riscos, que determinará o grau de e impacto que cada risco apresentará. Nesse aspecto, o documento de formalização da demanda constituirá importante referencial para o mesmo, pois, dele, constarão os motivos ensejadores da contratação e a previsão do início da execução.
Sem que se tenha a exata noção do grau de comprometimento da organização a partir do projeto, a percepção sobre o impacto do risco, caso ele venha a se tornar um ploblema (risco que se transforma em fato) certamente ficar prejudicada. Para melhor compreensão do que queremos falar; um gerador, por exemplo, tem aspectos e importância distantas quando instalados em um Tribunal e em um Hospital. Um exemplo, como habitualmente, fazemos, bem ilustrará a tese.
Se em uma Empresa Pública o projeto é a contratação de capacitação para Gestores, visando atualização e aperfeiçoamento, caso venha a não ocorrer, o prejuízo para a organização seria muito menor caso essa mesma capacitação estivesse sendo contratada para atender ao que dispõe o art. 17, § 4º da Lei no. 13.303/2016.[3]Ainda com base no mesmo exemplo, a informação quanto à previsão de início de execução, considerando o disposto no art. 91, da mesma norma, que conferiu para de 24 meses para a adaptação das estatais à novel legislação, apontará o grau de impacto frente ao tempo restante que a organização ainda tem para promover a adaptação.
Interessante percepção nos apresenta Peter L. Bernstein[4], economista da Harvard Business School, ao discorrer que o risco não é sinônimo de perigo, mas sim a incerteza sobre o que o futuro reserva. Essa reflexão vem a ser o ponto nodal da gestão de risco para as organizações. O autor faz questão de determinar em sua aclamada obra sobre a história do risco, que “a melhor expectativa de gerenciamento de risco é que uma abordagem sistemática irá recompensá-lo com um conjunto de cenários e oportunidade de refletir sobre os possíveis resultados.” Acrescenta que o nível de implementação do processo de identificação e o tratamento do risco em uma organização, demonstra o nível de maturidade desta.
5 – 2º Passo: Identificação e Registro dos Riscos Uma vez que a equipe está formada, definidas as responsabilidades e bem compreendidos os objetivos do projeto, a equipe de planejamentoda contratação poderá partir para a próxima etapa do processo que é a identificação dos riscos, bem como o respectivo registro. Esta etapa tem por finalidade identificar e registrar os eventos de riscos que possam comprometer o alcance do objetivo do processo ou reduzir-lhe seus benefícios, assim como suas respectivas causas e consequências danosas de cada um deles.
Trata-se da definição do conjunto de eventos, externos ou internos, que podem impactar os objetivos do projeto, inclusive os relacionados aos ativos intangíveis (marca, imagem, prestígio da organização). É importante ressaltar que sempre existirão riscos desconhecidos pela organização, o que significa dizer que mesmo a mais acurada e dedicada equipe poderá deixar escapar algum risco e ele, no desenvolvimento do projeto, vir a se tornar realidade. Daí porque o processo de identificação e análise geral de riscos deve ser monitorado e continuamente aprimorado.
É sempre bom lembrar que nessa fase do processo também poderão ser identificadas oportunidades. Caso isso aconteça, também deverá sofrer o devido tratamento de modo a aumentar as suas chances de ocorrência.
5.1 – Estrutura Analítica de Riscos Todos os riscos devem ser levados em conta no processo de tomada de decisões. Para tanto, é essencial avaliar e incluir perspectivas diferentes. Deve-se analisar não somente uma área específica de forma isolada, mas o olhar a questão a partir do todo. Um bom método para organizar as ideias é a utilização da ferramenta EAR – Estrutura Analítica de Riscos, também conhecida como Risk Breakdown Structure (RBS). Trata-se de uma técnica que permite agrupar possíveis causas de riscos a partir da setorização do projeto por abordagens distintasA EAR fornece apoio à equipe do projeto na medida em que considera várias fontes a partir dos quais os riscos podem surgir no exercício de identificação de riscos. Segundo David Hillson[5]:
“Uma EAR permite identificar temas recorrentes e áreas de concentração de riscos, além de servir como um guia para o processo de gestão de riscos. A melhor maneira de lidar com uma grande quantidade de dados é estruturar a informação para facilitar a compreensão. A EAR facilita a comunicação, a comparação com outros projetos e também serve como um documento de lições apreendidas para futuros projetos.
A estrutura constitui um agrupamento orientado para designas as várias fontes de riscos, classificando-as e definindo-as. Nela cada nível representa uma definição mais detalhada dos fatores de riscos do projeto. A figura abaixo apresenta um exemplo de uma EAR.
Figura 2: Matriz de EAR
5. 2 – Fonte de coleta de dados Muito importante a equipe, antes de se reunir para definir os riscos do projeto, a partir do quadro de EAR, identificar as possíveis fontes idôneas de obtenção de informações sobre os riscos específicos. De um modo geral, se extrai tais informações a paritr das experiências anteriores em projetos análogos ao que se está um análise. Podemos listar, fundamentalmente as seguintes forntes: a) anotação de melhores práticas em contratos anteriores; b) contratos ou projetos anteriores de objetos idênticos ou assemelhados; c) resultado de licitações anteriores; e, d) repositório de sanções administrativas e outras respostas a fornecedores e prestadores de serviço.
Anotação de melhores práticas consiste em um relatório elaborado ao final de um contrato, como forma de encerramento do processo, após o recebimento definitivo do objeto ou de sua rescisão (amigável ou não). Nesse relatório, que, em geral, fica a cargo do Gestor do contrato, ficam anotadas todas as intercorrências surgidas e tratadas ao longo da execução, lembrando que um contrato pode durar até 72 meses (art. 57, II c/c § 3º, da Lei 8.666/1993), o volume de informações que as anotações pode fornecer torna tal documentação muito valiosa para os processos futuros.
O problema dessa fonte é que na maioria dos órgãos e entidades essa ainda não é uma prática costumeira. Em que pese tratar-se de uma medida de excelente alvitre em termos de gestão de negócios, somente agora, com o advento da Instrução Normativa no. 05/2017/MPDG, é que esta interface ganhou caráter normativo:
Art. 70. Os fiscais deverão elaborar relatório final acerca das ocorrências da fase de execução do contrato, após a conclusão da prestação do serviço, para ser utilizado como fonte de informações para as futuras contratações.
Os contratos ou projetos cujos objetos sejam idênticos ou assemelhados, assim como as licitações anteriores constituem excelente fonte de dados de cunsulta. Podem ser utilizados as experiências do próprio órgão ou de outras organizações. Para obtenção dessas informações, a equipe ou o agente poderá analisar processos e documentos, bem como entrevistar os fiscais e gestores desses contratos. Por assemelhados entendam-se contratos cujos objetos tenham elementos que os aproxime em termos de custo e logística. Por exemplo, se o projeto a ser submetido à gestão de riscos for um contrato que envolva mão de obra em regime de dedicação exclusiva, qualquer contrato do mesmo órgão que tenha essa mesma característica servirá de fonte de identificação de riscos, pois os problemas decorrentes desse tipo de contrato são muito parecidos.
Finalmente, o repositório de sanções administrativas e outras respostas a fornecedores e prestadores de serviço podem ser uma excelente fornte de identificação de riscos. Isso porque, se uma empresa respondeu processo apuratório por prática de ilícito contratual significa que foram anotadas circunstâncias que representaram incidentes que, no futuro, podem ser consideradas riscos a serem afastados ou mitigados.
5.3 – Métodos de identificação dos riscos O processo de identificação de riscos requer a participação de servidores com conhecimento do processo, visão holística dos negócios/serviços da unidade nos seus diferentes níveis. É importante também que tenham conhecimento da metodologia de gerenciamento de integridade, riscos e controles internos da gestão ou tenham recebido treinamento para aplicação da metodologia e uso das interfaces documentadoras.
Uma vez que a equipe organizou e dispôs as possíveis origens de riscos, segmentando por área, a próxima atividade é a identificação propriamente dita dos riscos. Para isso, pode-se usar várias técnicas que tanto podem ser efetivadas por equipe, como também por um único agente. Há um grande número de dinâmicas e ferramentas, mas aqui, vamos nos limitar a discorrer sobre aquelas que entendemos serem mais viáveis, considerando o ambiente de um órgão público e suas limitações em termos de mãos de obra qualificada e questões orçamentárias.
As técnicas mostradas a seguir são similares às técnicas utilizadas para levantamento de requisitos, mas algumas outras são adicionadas. Tem por objetivo auxiliar a equipe a identificar o maior número possível de riscos. Algumas perguntas guia podem ajudar no levantamento dessas informações, tais como: Quais eventos podem “atrasar” a conclusão do objeto? Existem possíveis eventos podem “evitar” o cumprimento do objeto? Qual evento ou situação poderia “prejudicar” o atingimento do objeto? Existe a possibilidade de um evento “impedir” os objetivos colimados?
Mais adiante, as mesmas técnicas poderão ser utilizadas na análise qualitativa (cálculo de probabilidade e impacto) e no planejamento das respostas preventivas e de contingência. Vamos a elas.
5.3.1 – Brainstorming Técnica de grupo na qual são realizados exercícios mentais com a finalidade de resolver problemas específicos. Implica que os indivíduos começam a enunciar várias propostas para resolver um problema até que se esgotem as ideias. A técnica procura explorar a criatividade de cada integrante, para aumentar a sua capacidade através de interações no seio do grupo.
Anota como vantagens o fato de estimular o trabalho em equipe, na medida em que os vários integrantes fazem livremente suas proposições e depois as debatem em conjunto. Como há esse estímulo, a tendência é que um número maior de riscos surja.
É necessário que haja liderança durante a sessão de brainstorming, pois a equipe pode perder o foco do problema. Além disso, alguém deve controlar o tempo, pois sem uma estratégia de tempo, as pessoas tendem a relaxar e o processo criativo se torna mais lento também.
Não é recomendado, ao utilizar-se dessa técnica, que o líder da equipe estipule segmentação das análises, como, por exemplo, determinar que primeiro se pense nos riscos da fase de planejamento da contratação, para somente após, iniciar a investigação sobre os riscos da fase de seleção do fornecedor. Como a técnica pressupõe uma “tempestade mental”, promover essa segmentação poderá limitar a profusão de ideias, emperrando o trabalho. Assim, sugere-se dar liberdade para os integrantes da equipe e, logo assim que o líder der por concluída essa atividade, verificar se foram pensados riscos para todas as fases do processo. Caso a equipe entenda necessário, pode-se fazer uma segunda sessão de brainstorming para apurar as arestas. O quadro de EAR (Figura 2) pode ser utilizado como um mapa mental, que pode auxiliar o indivíduo a extrair informações com maior facilidade e precisão.
5.3.2 – Técnica de Delphi Método por meio do qual é ouvido um grupo de especialistas externos ao projeto para identificação dos riscos.Baseia-seno princípio que as previsões por um grupo estruturado de especialistas são mais precisas se comparadas às provenientes de grupos não estruturados ou individuais. Como não atuam diretamente no projeto, oanonimato permite aos peritos expressarem as suas opiniões livremente, incentivando a abertura e as discussões em alto nível, e ao mesmo tempo que evita acusações e julgamentos, também evita a revisão de previsões de rodadas anteriores. É indicado para os casos em que haja certo conflito ou confronto interno, em que as discussões diretas não restariam úteis.
O processo se desenvolve com a entrevista aos especialistas, que pode ser presencial ou com envio de questionário. Os especialistas respondem ao questionário e este é distribuídos aos integrantes da equipe, que o criticam e tiram as suas próprias conclusões. Se o líder entender necessário, poderá promover tantas rodadas quantas necessárias até que se chegue ao resultado esperado.
Como desvantagem, é um processo mais demorado e muito mais trabalhoso do que o brainstorming, recomendando-se apenas quando efetivamente não for possível unir a equipe ou os setores envolvidos.
5.3.3 – Técnica de Entrevistas Técnica na qual o Gerente consulta técnicos participantes ou não do projeto, visando reunir o maior número de dados possíveis. Essa metodologia não é a mais recomendada porque não envolve os vários atores integrantes do processo de contratação. É adequada, entretanto, quando não é possível adotar nenhuma das técnicas anteriores. É bastante recomendada para situações que escapam ao conhecimento técnico da equipe.
Nesse método de trabalho, o gerente visita (por meio físico ou eletrônico) técnicos externos ou internos da organização, que entende poder dar boa contribuição em termos de conhecimento e experiência. Recebidos os formulários ou tendo realizado as entrevistas, o gerente realiza a compilação das informações e preenche a tabela de riscos identificados.
5.3.4 – Técnica de Grupo Nominal-NGT Trata-se de uma alternativa assemelhada ao brainstorming. Utiliza-se das mesmas premissãs daquela técnica, porém, é realizada de forma mista, ou seja, em grupo e individual.
O processo é dirigido da seguinte forma: o gerente realiza uma sessão de brainstorming com cada integrante do grupo, que anota, isoladamente, os riscos que identifica; ou seja, cada participante cria a sua lista de riscos. Posteriormente, o gerente realiza uma sessão conjunta de brainstorming, definindo tempo de desenvolvimento e seguem-se as discussões. Normalmente, os riscos em duplicidade ou assemelhados são ajustados. Tem a vantagem de diminuir o “caos” de uma sessão tradicional de brainstorming.
5. 4 – Organizando os dados coletados Conforme visto no Capítulo 2.3, o risco é composto de três elementos: a causa, o evento e o dano. No momento em que a equipe identifica o risco (evento), deve também identificar os outros dois componentes. A causa, direcionará as respostas; o dano permitirá a mensuração do impacto.
Uma proposta de organização das ideias é a adoção do conhecido Diagrama de Ishikawa, também conhecido comoDiagrama de Espinha de Peixe ou Diagrama de Causa e Efeito. Trata-se de uma ferramenta, muito utilizada no mapeamento de processos em Gestão da Qualidade, que auxilia a levantar as causas-raízes de um problema (no nosso caso, de um risco), analisando todos os fatores que envolvem a execução do processo. Criado na década de 60, por Kaoru Ishikawa, o diagrama considera todos os aspectos que podem levar ao risco e à ocorrência do problema. Com o uso dessa ferramenta as chances de que algum detalhe seja esquecido diminuem consideravelmente.
Na metodologia, todo problema tem causas específicas, e essas causas devem ser analisadas e testadas, uma a uma, a fim de comprovar qual delas realmente causa o efeito (risco) que se quer tratar. A figura abaixo mostra um exemplo da montagem do diagrama:
Figura 3: Método Ishikawa
O Diagrama de Ishikawa apresenta a relação existente entre o resultado indesejado de um processo (efeito) e os diversos fatores (causas) que podem contribuir para que esse risco subsista.
5.5 – Registrando os riscos identificados Ultrapassadas as atividades de organização da equipe, coleta de informações sobre riscos, realizadas as sessões de brainstorming ou outra técnica para identificação dos riscos ao projeto, a equipe passa a registrar os riscos identificados, apontando, para cada risco, as suas respectivas causas e os conseqüentes danos, caso o risco se torne problema. Para esse fim, indicamos o formulário abaixo:
Figura 4: Tabela de Riscos Identificados
A primeira coluna (Id) indicará o Risco por encadeamento numérico (R1, R2, R ‘n’). Na segunda coluna, apontados, na primeira linha o risco identificado e, nas linhas abaixo, as causas e o dano correspondente. Na terceira coluna, identificamos a fase do processo em que esse risco ocorre. As demais colunas não serão preenchidas nessa fase do ciclo do processo de gerenciamento de risco. Na coluna ‘P’ será indicada a probabilidade do risco ocorrer; na coluna ‘I’, o nível de impacto e, finalmente, na coluna ‘ação’ será identificada o nível de eficácia da resposta a ser planejada.
6 – Conclusão Como em qualquer processo de trabalho, quanto mais ajustado e coerente, melhor será o seu resultado. A recomendação que sempre se faz é que as etapas não sejam executadas com superposição de tarefas ou em ordem invertida, sob pena de resultar em inconsistências.
Agora que já foram abordadas as ferramentas para priorização de processos, e que foi apresentada a visão sistêmica do processo de gerenciamento de riscos; considerando que o planejamento do processo encontra-se bem delineado e que as equipes, utilizando as técnicas de identificação dos riscos, já os identificaram e os registraram, apontando suas causas e os correspondentes danos, o próximo passo será a análise dos riscos identificados, mensurando a sua probabilidade e impacto (análise qualitativa), bem como o cruzamento dessas variáveis para obtenção do nível de eficácia das respostas (análise quantitativa).
A análise qualitativa e quantitativa será o objeto do próximo texto desse ensaio.