endif; ? 'MENSAGEM ENVIADA COM SUCESSO' : ''; ?>

Como calcular o risco associado a um processo de negócio? - universobpm

Entenda através desse estudo a aplicar a Análise de Risco de forma assertiva nos seus processos.

 

Quando mapeamos um processo de negócio, nos preocupamos com a perspectiva outside-in (baseada no cliente), estamos sempre atentos com os pontos de contato entre o cliente e o produto /serviço ofertado, como resultado dos processos de negócio executados pela empresa, que podemos esquecer os riscos associados a estes processos de negócio.

Será que tudo será executado segundo um “caminho feliz”? Será que o workflow desenhado contém todas as possibilidades que devem ser atendidas pelos processos de negócio? Será que todos os requisitos e regras de negócio foram atendidos de modo a otimizar a percepção de utilidade e garantia por parte do cliente?

Dedicamos tempo necessário para saber como o ambiente organizacional interfere positivamente ou negativamente sobre os processos de negócio? Tomando por base o modelo de Eriksson Penker (extensão da UML) para emoldurar o processo de negócio (visão pelo lado de fora), será que todos os recursos mapeados estarão disponíveis? Será que esquecemos algum? Todas as fontes de entradas possíveis foram exploradas? Todos os eventos de negócio que disparam a execução do processo de negócio foram corretamente identificados? Todos os stakeholders relevantes foram identificados e corretamente analisados?

A resposta sempre será um imenso “NÃO”. Não temos uma bola de cristal. Não podemos prever tudo. Serão percebidos detalhes importantes após a implantação do processo. A vida é cruel, mas é a nossa vida. Cabe a nós transformarmos esta vida em uma vida melhor.

Aspectos não percebidos, decisões mal modeladas, gargalos não percebidos .... Tudo isso leva a uma só coisa: retrabalho. É inevitável! Uma boa prática para evitar este retrabalho é realizar uma análise de risco qualitativa sobre o processo mapeado. Não é uma “bala de prata” que vai evitar todos os problemas futuros, mas certamente vai nos dar uma visão melhor do contexto (visto neste caso como o domínio do negócio sendo estudado) onde estamos trabalhando. Em alguns casos, como as instituições financeiras, o risco operacional deve ser tão baixo, que exige uma análise de risco profunda a fim de serem atingidas metas impostas por dispositivos reguladores legais (redução de risco operacional, minimização de VAR – Value at Risk, por exemplo).

Ao final da análise de risco poderemos ter, adicionalmente, um direcionamento das melhorias a serem realizadas. Isto nos fará compor uma parte específica de uma estratégia de melhorias a serem realizadas nos processos de negócio. Melhorias sempre são orientadas a valor, mas, em alguns casos, a redução do risco operacional (pela execução dos processos de negócio) pode ser o valor que o cliente espera ser agregado ao produto/serviço oferecido.

 

 Para começar: O que é melhoria do processo de negócio?

Como calcular o risco associado a um processo de negócio?

 

Segundo Neto (1: 2012, p. 21), melhorar significa aumentar a qualidade ou reduzir alguma deficiência, sempre seguindo a orientação de agregação de valor para o cliente segundo a perspectiva outside in. Não significa corrigir. Pode ser vista como a migração de um estado atual (As Is) para um estado futuro (To Be). Um processo é considerado otimizado quando atende plenamente os requisitos de seus clientes. É uma melhoria orientada a valor.

Segundo as melhores práticas ITIL V3 2011 (©ITSMF), valor consiste em atingir os objetivos do negócio. É algo subjetivo que é determinado pela percepção do cliente, suas preferências e resultados do negócio. A Criação de Valor (que é a base para a diferenciação do produto ou serviço oferecidos no mercado) é formada pela união de dois fatores:

  1. Utilidade: é o que o cliente quer, para atender a sua necessidade (por isso a perspectiva outside in é importante). Desempenho do produto ou serviço contam muito neste fator;
  2. Garantia: é como o cliente quer receber (dentro de um padrão de disponibilidade, capacidade, continuidade e segurança – enquanto durar a sua necessidade).

Continuando a análise, Neto (1: 2012, p. 25), citando Slack et al. (2), cita como objetivos de desempenho (base para estabelecer o que deve ser otimizado): qualidade, rapidez (entrega rápida), confiabilidade (entrega confiável), flexibilidade (na operação interna para mudar) e custo (preço baixo). Estes objetivos correspondem a Fatores de Competitividade indicados (que impactam a diferenciação de mercado e, portanto, sobre a criação de valor).

Desta forma, pode-se descrever tipos de melhorias, segundo Neto (1: 2012, p.26):

  1. Otimização de fluxo de atividades – geralmente obtida pela modelagem das decisões envolvidas no processo de negócio;
  2. Redução de tempo de ciclo de processo – otimização de performance;
  3. Identificação e solução de lacunas não resolvidas no mapeamento (requisitos de negócio, requisitos funcionais ou, até mesmo, regras de negócio não percebidos, que indicam que os requisitos da solução indicada – que o processo de negócio mapeado descreve – está incompleta);
  4. Aumento da qualidade do produto final;
  5. Desempenho de pessoas (treinamento, motivação, capacitação);
  6. Na infraestrutura que atende o processo, por seus serviços de infraestrutura gerados;
  7. Atendimento à legislação vigente;
  8. Alinhamento às políticas, diretrizes, e modelos de gestão em vigor, para ajustar o processo de negócio a novos cenários não considerados;
  9. Definição de Matriz RACI.

Tudo isto pode ser obtido com a utilização de diversas técnicas, inclusive o controle estatístico de execução de processos, entre outras técnicas.

Mesmo assim, melhorias devem ter sua necessidade indicada e compor um plano de qualidade orientado ao PDCA (Plan, Do, Control, Act). Esta necessidade é apontada de forma sintomática (por evidência clara de problema), ou assintomática (por comparação – benchmarking, características regulatórias etc.).

Dependendo do tipo de melhoria a ser implementada, uma série de modelos e ferramentas de gestão podem ser utilizadas para que se possa obter o modelo de processo To Be. Entre as ferramentas de gestão, podemos citar: brainstorming, diagrama de causa e efeito, diagrama de espinha de peixe, 5W2H, diagrama de Pareto, matriz SWOT, matriz GUT, simulações sobre custo de execução e sobre tempo de ciclo de processo utilizando simulações de Monte Carlo etc.

 

 E onde entra o risco?

Como calcular o risco associado a um processo de negócio?

Estas mudanças sempre incluem ou suprimem riscos associados aos processos de negócio. Podem ser riscos internos (associados ao Fatores de Competividade descritos), podem ser riscos de pessoal (também descritos acima), riscos de sistema (associados aos sistemas de informação que suportam os processos de negócio) ou riscos de eventos externos (3). Lembre-se de que: todos os tipos de melhoria utilizados estão associados a riscos. Mas, como minimizar estes riscos, quando a melhoria tiver que ser concebida segundo uma determinada diretriz? Como efetuar uma melhoria tendo em vista um ou vários dos fatores descritos e uma redução do risco associado ao processo de negócio? Como avaliar o risco de um processo de negócio?

 

 Processos de negócio e a Organização

Como calcular o risco associado a um processo de negócio?

Processo são a base da organização de empresas e, portanto, seus riscos estão fortemente associados ao Risco Corporativo (análise e gestão). Há a necessidade de se examinar a empresa por dentro para verificar se está alinhada à perspectiva outside in do cliente. Se a empresa for orientada a obter um Risco Corporativo mínimo aceitável, então seus controles internos (suas atividades de auditoria) devem traduzir esta orientação, para assegurar que este objetivo de negócio será atingido. Portanto, deveremos aplicar os princípios das melhores práticas do COSO (COSO – Committee of Sponsoring Organizations of Treadway Commission, National Commission on Fraudulent Financial Reporting) para garantir o cumprimento de tais metas. Mesmo que os processos de negócio sejam processos de infraestrutura de TI de uma grande empresa (que deverá ser compatível com as melhores práticas do ITIL V3 2011), ou mesmo que, para obter a Governança de TI utilize os processos COBIT 5 (COBIT - Control Objectives for Information and related Technology), isto é, mesmo que não haja uma aplicação direta de melhoria na performance operacional nos processos de negócio da empresa.

Mesmo se não há tal orientação (ao Risco), pode-se avaliar se a melhoria a ser implantada eleva ou atenua o nível de risco associado ao processo negócio (outra diretriz importante é a maturidade: será que a empresa possui o grau de maturidade adequado para suportar a melhoria? Caso negativo, como fazer a maturidade da empresa evoluir ao nível adequado?). Também deve ser verificado se esta variação no risco calculado é aceitável pelas políticas vigentes na empresa. Em suma: será que vale a pena?

Este é o objetivo deste artigo: determinar como se pode avaliar o risco associado a um processo de negócio, de forma a validar uma melhoria aplicada.

Sugestão de método a seguir: Método Brasiliano (4: 2012), fortemente baseado na ABNT BR ISO 31000 (30/12/2009), possui como desafio integrar os diferentes conceitos da Gestão de Riscos Corporativos, integrando diversas metodologias e terminologias, construindo uma estrutura de procedimentos que visam a identificação, a análise e a avaliação de riscos. Assim, pode-se determinar o que fazer (definição de estratégia de resposta aos riscos) a fim de lidar com a variação do resultado da análise considerando-se os riscos e estabelecer se a melhoria é viável e compatível com as políticas da empresa (a melhoria deve ser: adequadaexequível e aceitável).

 

Como fazer?

Como calcular o risco associado a um processo de negócio?

 

I - Estabelecimento de contexto:

Deve-se realizar o entendimento da empresa (domínio do problema associado ao processo de negócio, em questão): entendimento de seus objetivos e cultura. Além disso, deve-se estudar a solução empregada (que norteou a modelagem do processo As Is). É o estabelecimento do domínio do negócio. O domínio é definido por um conjunto de características que descrevem uma família de problemas para os quais uma determinada solução é buscada (Craig Larman). O objetivo é definir o escopo da área do negócio envolvido com a solicitação. Neste momento recomenda-se o uso de diversos frameworks:

  • VPD (Value Proposition Design – Design da proposta de valor): estabelecimento da forma que garantia e utilidade compõem a criação de valor para o cliente (sempre na perspectiva outside in). Resultados obtidos: “dores”, “remédios”, ambiente, determinação de fronteiras, domínio do problema, contexto da solução;
  • Jornada do cliente (baseada em técnicas de Design Thinking, utilizando a experiência do usuário – no caso, utilizando-se sempre a perspectiva de valor do cliente – não existe cliente interno): estabelecimento das dificuldades da construção do valor para o cliente, durante a execução do processo. Como o processo de negócio está sendo executado “dentro” da organização, às vezes podemos nos confundir e pensar que a perspectiva do cliente poderá ser confundida com a perspectiva dos colaboradores desta organização. Isto deve ser evitado. Em Relação aos colaboradores da organização, a pergunta correta é: “Na execução de uma instância do processo, estão agregando valor ao cliente (fornecendo utilidade e garantia), na execução de cada tarefa?” Esta é a postura correta;
  • BABoK (Business Analysis Body of Knowledge) e BPM CBoK (Business Process Management Common Body of Knowledge): estabelecimento dos requisitos da solução, requisitos das partes interessadas e regras de negócio. Produtos a serem obtidos: problemas, necessidades (orientadores da solução), preocupações das partes interessadas (atores que podem influenciar requisitos), requisitos de negócio, regras de negócio, requisitos das partes interessadas, histórias de usuário, requisitos da solução (requisitos funcionais e de qualidade).

 

II – Análise SWOT preliminar:

É feita uma análise preliminar utilizando uma Matriz SWOT. Os riscos identificados são categorizados em: forças, fraquezas, oportunidades e ameaças. Cada risco é ponderado em termos de magnitude e importância, de acordo com a sua categoria:

  • Magnitude: significa o tamanho ou grandeza que a variável ou evento possui perante a organização. Caso aconteça, positivamente ou negativamente, o quanto ela vai influenciar no contexto como um todo. A magnitude é ranqueada, utilizando-se uma pontuação, que varia de -3 a +3, dentro do seguinte parâmetro: +3 (alto), +2 (médio), +1 (baixo), para cada elemento positivo (força ou oportunidade) e -1 (baixo), -2 (médio) e -3 (alto) para cada variável negativa (fraqueza e ameaça);
  • Importância: significa a prioridade que a variável deve possuir perante a conjuntura da organização. É uma nota subjetiva com base na experiência. Utiliza-se sempre três níveis de pontuação: +3 (alto), +2 (médio), +1 (baixo). Neste caso, não há contagem negativa, pois, o critério importância sempre é positivo.

O balanço das quatro categorias da Matriz SWOT informará quanto os aspectos positivos (força e oportunidade) superam ou são superados pelos aspectos negativos (fraquezas e ameaças).

Podemos continuar.

 

III – Identificação de Fatores de Risco:

Os riscos elencados na Matriz SWOT são categorizados segundo alguns frameworks sugeridos por Brasiliano (5) (6), podendo-se utilizar como categorização de fatores de risco (entre outras categorizações possíveis):

  1. Processos: Lógica de controle, recursos humanos, tecnologia da informação, infraestrutura, ambiente externo, processos;
  2. COSO: Infraestrutura, pessoal, processo, tecnologia, ambiente externo.

A utilização de Modelo de Espinha de Peixe é recomendada nesta fase.

 

IV – Elaboração dos Impactos Cruzados:

Nesta fase é determinada a influência de um fator sobre todos os outros. São estabelecidos os níveis de dependência (intensidade da dependência entre os riscos elencados) e motricidade (associada ao número de dependências que este risco está associado). A influência entre riscos é ponderada entre valores (alta = 3, média = 2, baixa = 1 e não interfere = 0). O resultado obtido é uma matriz Dependência x Motricidade. Cada risco possuirá um valor total de Dependência e de Motricidade (somatório obtido pela soma dos valores de cada coluna e de cada linha da matriz). Esta matriz é o resultado dos estudos de Michael Godet, aplicando o Teorema de Bayes em relação a eventos futuros utilizados na construção de cenários prospectivos.

Para obter esta matriz, todos os riscos são listados nas colunas e nas linhas. A diagonal não é utilizada. Começa-se por um risco de determinada coluna e atribui-se um peso relativo à influência que exerce nos riscos listados em cada linha, individualmente, de cima para baixo.

Depois obtém-se o somatório de cada linha e de cada coluna. O somatório de cada linha informará o valor de Dependência para o risco considerado. O somatório de cada coluna, o valor de Motricidade para cada risco. Também se calcula os valores médios de Dependência e Motricidade.

Exemplo:

Como calcular o risco associado a um processo de negócio?

 

V – Gráfico de Interpretação dos Fatores de Risco (FR):

É a plotagem dos riscos em função das variáveis de Dependência e Motricidade. O objetivo é elencar os riscos com Dependência superior ao valor mediano, independentemente do valor de Motricidade. Estes serão os riscos que devem ser tratados (para os quais deveremos estipular uma estratégia de resposta). Os riscos positivos também são identificados nesta faixa e também são objeto de tratamento específico.

 

A Matriz apresenta 4 (quatro) regiões:

I – Ligação;

II – Motriz;

III – Dependente;

IV – Independente.

 

Os riscos a serem tratados, pertencem às regiões I e II.

 

Este gráfico permite identificar os Fatores de Risco que devem ser tratados prioritariamente:

  1. São aqueles que apresentam maiores valores de Dependência; e
  2. Não importa os valores calculados de Mobilidade, para os fatores que se enquadram no critério anterior.

 

Portanto, os Fatores de Risco a serem tratados prioritariamente estão situados nos quadrantes:

I – Ligação; e

II – Motriz.

 

Neste momento deve-se levar em consideração os riscos positivos: Possuem a característica invertida aos riscos comumente enfrentados. Geralmente reforçam ou auxiliam a organização. São altamente desejáveis e quanto maior for a sua dependência e mobilidade, mais benefícios trarão à organização. Costumam contrabalançar os efeitos dos riscos usuais (negativos). São tratados de forma diferenciada.

 

Pode-se adotar, como estratégia de análise, considerar sempre a exposição destes riscos como máxima (o que indicaria uma excelência permanente nas características de meio ambiente organizacional, valores etc.) e assim prosseguir com o cálculo. Esta estratégia de análise indicaria o menor valor para o risco associado ao processo de negócio que se poderia obter. No entanto, sabe-se que estas características organizacionais ou não são obtidas ou são obtidas em um período curto de tempo.

Como calcular o risco associado a um processo de negócio? 

 

VI – Critério do Fator de Risco (FR):

Considerando os Fatores de Risco identificados e agrupados em categorias, calcula-se a influência de cada fator sobre cada categoria. Isto é obtido somando-se os valores de dependência associados ao fator considerado, para cada categoria. Finalmente, obtém-se a pontuação do fator de risco pela média aritmética dos valores encontrados.

 

VII – Critério da Exposição (E):

Para cada Fator de Risco é atribuído um valor de Exposição, de acordo com o critério definido.

Como calcular o risco associado a um processo de negócio?

 

VIII – Grau de Probabilidade (GP):

A seguir, calcula-se o Grau de Probabilidade para cada Fator de Risco, multiplicando-se o valor obtido para o Fator de Risco (FR) e Exposição (GP = FR x E).

Com este valor, calcula-se a Probabilidade de o Risco ocorrer onde ele é classificado de acordo com o critério:

Como calcular o risco associado a um processo de negócio?

IX – Determinação do Nível de Impacto (NI):

Aos Fatores de Impacto (consequências que os perigos causam) são atribuídos pesos específicos em função da especificidade do negócio ou do processo de negócio sendo analisado.

Exemplo:

  1. Imagem (I): peso 4;
  2. Financeiro (F): peso 3;
  3. Legislação (L): peso 2;
  4. Operacional (O): peso 2.

 

Além dos pesos assinalados, uma escala de valoração é atribuída para cada Fator de Impacto:

Como calcular o risco associado a um processo de negócio?

Para cada Fator de Risco, atribui-se um valor para Fator de Impacto considerado. A seguir, é calculada a média de impacto para cada Fator de Risco. Uma classificação é atribuída de acordo com o critério estabelecido:

 Como calcular o risco associado a um processo de negócio?

 

Exemplo de resultados obtidos:

  • Probabilidade:

Como calcular o risco associado a um processo de negócio?

Memória de cálculo:

  1. Valores obtidos para RH: somatório dos valores de Dependência para o fator de risco apontado em “item”, dentro da sua categoria de risco (Recursos Humanos);
  2. Valores obtidos para MET, MAO, PRN, ITI e MON: mesma forma descrita no item “a)”;
  3. FR = média aritmética dos valores obtidos para RH, MET, MAO, PRN, ITI e MON;
  4. E (Exposição): valores atribuídos para cada fator de risco, de acordo com a tabela de Exposição;
  5. GP = FR x E;
  6. Probabilidade de ocorrer = GP x 4 / 100;
  7. Classificação: valor obtido da tabela de Classificação.

 

  • Impacto:

Como calcular o risco associado a um processo de negócio?

 

X – Análise de Risco:

Nesta etapa é construída a Matriz de Risco, com os Fatores de Risco já selecionados (Regiões I e II) da Matriz de Impactos Cruzados.

 

Resultados obtidos:

Como calcular o risco associado a um processo de negócio?

 

XI – Resposta ao Risco:

Foram utilizados os critérios:

 Como calcular o risco associado a um processo de negócio?

 

 Resultados obtidos:

 Como calcular o risco associado a um processo de negócio?

 

XII – Nível de Risco:

Neste momento se calcula a média dos níveis de Exposição e Impacto para os riscos em análise. Estes dois valores multiplicados fornecem o nível de risco. Utiliza-se a tabela de critério:

 Como calcular o risco associado a um processo de negócio?

 Resultados obtidos:

  1. Média para Exposição: 1,82;
  2. Média para Impacto: 3,24;
  3. Nível de Risco: 5,91;
  4. Categoria: 2.

 

Este é o nível de risco associado ao macroprocesso estudado.

 

 

José Ricardo Rodrigues Teixeira Alves é Doutor em Política e Estratégia pela Escola de Guerra Naval, Business Designer (XPER Mentor - BT Game) e Arquiteto de Processos Sr, CBPP Blue Seal pela ABPMP, Gestor de Mudanças (HCMBoK 3G Practitioner e HCMP 3G Expert Professional) pelo HUCMI . CEO da JRA processos & Sistemas. Já prestou serviços para Fast Training (Hapvida), CTIS (BNB), INDRA (TCM-CE), ONS, OEI (FNDE), K2IT (Cartão BRB), PNUD (Ministério do Esporte e Secretaria de Estado de Educação do Paraná) e na Marinha do Brasil.

 

Perfil no Linkedin:

https://www.linkedin.com/in/josé-ricardo-r-t-alves-cbpp-blue-seal-xper-mentor-hcmp-3g-6b0b9720

 

 

 

 

Referências:

[1] NETO, M. A. A., Barbará, S.(organizador) Descobrindo os processos potenciais de melhoria. Análise e melhoria de processos de negócio. São Paulo: Atlas, 2012. 1ª Ed.

[2] SLACK, H., CHAMBERS, S., HARLAND, C., HARRISSON, A., JOHNSTON , R. Administração da produção. São Paulo: Atlas, 1997.

[3] _______________________. Análise e gerenciamento de riscos: Os 4 riscos principais. Disponível em http://www.venki.com.br/blog/analise-e-gerenciamento-de-riscos/ . Acesso em 02/11/2016.

[4] BRASILIANO, A.C.R. Gestão e análise de riscos corporativos: método brasiliano avançado. São Paulo: Sicurezza, 2010.

[5] BRASILIANO, A.C.R. O Emprego da Matriz de Impactos Cruzados (Interconectividade entre riscos) no Processo de Avaliação de Riscos para sua Priorização e Redução. III Congresso da Sociedade de Análise de Riscos Latino-americana SRA-LA. São Paulo: 12/05/2015. Disponível em: http://abge.org.br/uploads/arquivos/apresentacaoantoniobrasiliano201605311642464724.pdf

Acesso em 02/11/2016.

[6] BRASILIANO, A.C.R. Risk Vision 2.0 – ferramenta para análise de riscos. Disponível em: http://www.brasiliano.com.br/wp/wp-content/uploads/2015/07/Apresenta%C3%A7%C3%A3o-Risk-Vision-3.0-Site-070720151.pdf.

Acesso em: 02/11/2016.

 

  • Compartilhe esse post
  • Compartilhar no Facebook
  • Compartilhar no LinkedIn
  • Compartilhar no Whatsapp

MAIS DA CATEGORIA Artigos de Colaboradores

Artigos de Colaboradores

Texto escrito por José Ricardo, especialista em BPM e Planejamento Estratégico.

Artigos de Colaboradores

Entenda a importância desse assunto presente no dia a dia das organizações.

Artigos de Colaboradores

Esse é um artigo traduzido de Pablo Robledo (Madrid/Espanha).


{TITLE}

{CONTENT}

{TITLE}

{CONTENT}
Precisa de ajuda? Entre em contato!
0%
Aguarde, enviando solicitação!

Aguarde, enviando solicitação!