A Disciplina de Gerenciamento de Riscos do MOF

Neste artigo iremos aprender uma parte muito importante na documentação do MOF que é a Disciplina de Gerenciamento de Riscos.

por Cleber Farias Marques

Neste artigo iremos aprender uma parte muito importante na documentação do MOF que é a Disciplina de Gerenciamento de Riscos. Para que nossos processos sejam executados com excelência durante todo o ciclo de vida nós devemos saber gerenciar os riscos em potencial constantemente e é sobre isso que iremos estudar neste artigo, ótima leitura para todos.

Introdução

Existem hoje no mercado alguns modelos para fazer um bom gerenciamento de riscos no dia-a-dia de um projeto de TI, logo a documentação do MOF não poderia deixar de oferecer um método completo para gerenciar os riscos durante seu ciclo de vida. Sendo assim a Disciplina de Gerenciamento de Riscos oferecida pelo MOF é um processo de seis passos que serve para identificar e gerenciar pró-ativamente os riscos em uma operação de TI.

Podemos definir riscos aqui como uma probabilidade, e não como uma certeza, de que algo aconteça e impacte no resultado de uma atividade, ou seja, um evento ou condição que gere a possibilidade de haver perda de algum serviço ou dado, por exemplo. Esta disciplina é uma parte muito importante no conjunto de documentos que formam o MOF, ela é uma resposta para a crescente dependência dos serviços de TI e o impacto potencial que a falha dos mesmos pode causar nos negócios de uma organização. A Disciplina de Gerenciamento de Riscos do MOF é baseada na Disciplina de Gerenciamento de Riscos do MSF, porém oferece alguns novos pontos que focam no gerenciamento de riscos para as operações de TI.

Gerenciamento de Riscos

Gerenciar riscos é o processo de identificar riscos e decidir o que fazer sobre eles. Como cada vez mais as organizações estão expostas à falhas e problemas com os serviços de TI e muitos desde riscos são por problemas internos no ambiente de TI a quantidade e a severidade destes riscos vem aumentando também porque as transações de negócio são cada vez mais dependentes de TI, o ambiente de TI se torna cada vez mais complexo e assim o número de pontos que podem falhar aumenta, o controle da infra-estrutura é baixo, se uma falha acontece o tempo entre ela e o impacto no negócio da empresa é cada vez mais curto e por ai não pára.

Resumindo, TI oferece cada vez mais suporte aos negócios de uma organização, mas ao mesmo tempo as falhas nos serviços de TI impactam diretamente os negócios (e também é claro a rentabilidade) da empresa. Por esta análise se deve o aumento dos pontos de falha no ambiente de TI.

Todo e qualquer risco tratado seguindo a disciplina de Gerenciamento de Riscos do MOF apresenta características em comum como: Todo risco é Incerto, nunca se sabe quando um sistema irá apresentar uma falha, todo risco é uma probabilidade e não uma certeza e por fim um risco não é algo para se evitar e sim para se administrar, identificar pró-ativamente e gerenciar. Logo uma recomendação da disciplina é que o gerenciamento de riscos deve fazer parte das tomadas de decisões assim como tempo, dinheiro e trabalho já fazem parte.

O gerenciamento de riscos deve ser integrado às funções e aos grupos de funções, ele deve ser formal e levado a sério por todos para provar que se trata de uma atividade muito importante e crucial para a empresa, sendo assim deverá ser executado continuamente no decorrer de todo o ciclo em todas as tarefas do dia-a-dia. Esta disciplina oferece mais consistência no gerenciamento de riscos do que outros modelos existentes porque ela possui princípios fundamentais, terminologia padrão, estrutura e um processo repetitível de seis passos. Falando nisso vamos conhecer a seguir cada um dos nove princípios da disciplina.

Os Princípios da Disciplina de Gerenciamento de Riscos

Conforme estamos conversando, são nove os princípios seguidos por esta disciplina, cada um com seu objetivo e no fim das contas estes princípios podem ser resumidos em uma só palavra: Pró-atividade, uma equipe que pratica o Gerenciamento de Riscos pró-ativo sabe que ele faz parte das operações e em vez de ter medo, a equipe visualiza aí uma oportunidade de se proteger para o futuro. Acompanhe: Riscos são inerentes em operações
Isso quer dizer que, seja onde for se existir uma operação ela estará sujeita aos riscos do dia-a-dia. Nunca se sabe quando um recurso vai falhar, quando um link de internet vai cair ou até mesmo quando uma pessoa da equipe terá problemas no percurso e não poderá trabalhar em seu turno, nossa equipe deve estar sempre pronta para mudanças repentinas e saber lidar com os processos que visam minimizar estes riscos.

O gerenciamento pró-ativo de riscos é mais efetivo
Não devemos apenas reagir aos problemas encontrados, para alcançar à pró-atividade a equipe deverá trabalhar buscando identificar os riscos em potencial com antecedência e desenvolver planos de ação para tratá-los, seguindo uma estratégia com base em como resolver determinada falha antes mesmo que ela exista, com isso quando determinado problema ocorrer a equipe o resolverá em um tempo muito menor.

Trate a identificação de riscos como algo positivo
Pensando nesta tarefa como algo positivo levará as pessoas contribuírem cada vez mais com a identificação de riscos, caso contrário os usuários podem não fazer questão de relatar todo e qualquer potencial de risco e isso seria muito ruim para a disciplina. Gerentes e supervisores devem encorajar seus departamentos a relatarem os riscos percebidos, todos trabalhando junto com o intuito de elaborar uma base de riscos completa e que só trará benefícios à organização.

Avalie os riscos continuamente
No início de um projeto ou de uma alteração a avaliação de riscos e feita com todo o empenho, porém com o passar do tempo esta tarefa vai se tornando repetitiva e desestimulante para muitos e acaba caindo no esquecimento, isso é o que não pode acontecer, para toda nova alteração procure identificar novos riscos, avalie riscos já conhecidos, atualize os planos de ação e mantenha o processo continuo. Siga o processo de identificação de riscos que a disciplina tanto defende, pois a operação só tem a ganhar.

Integre o gerenciamento de riscos a todas as funções e grupos de funções
Isso significa que toda a equipe deve compartilhar de uma forma geral a responsabilidade de gerenciar riscos e todo processo deve ser executado com este gerenciamento em mente. Como todo processo tem um dono (proprietário), todo dono deverá identificar fontes potenciais de riscos, avaliar a probabilidade de o risco acontecer, desenvolver planos para minimizar esta probabilidade, entender o impacto que pode ser causado, desenvolver planos para minimizar este impacto, determinar indicadores para comprovar que o risco é iminente e desenvolver planos para se eventualmente o risco acontecer. Todo mundo deve ajudar a identificar um risco, porém apenas uma ou duas pessoas devem ser responsáveis por calcular sua probabilidade e desenvolver planos para minimizar a conseqüência de determinado risco.

Responsabilidades claras e compartilhadas
Toda equipe deve se responsabilizar por participar ativamente do processo de gerenciamento de riscos, deve-se nomear donos para processos-chave que terão a responsabilidade sobre o gerenciamento de riscos nos mesmos, executando tarefas do dia-a-dia e ainda cuidando da identificação de riscos dentro de suas área de especialidade e em seguida se estendendo na análise e planejamento para executar as tarefas relacionadas ao gerenciamento de riscos.

Utilize um cronograma baseado em riscos
Para minimizar a perda de esforços e permitir um maior tempo para reação e mitigação de riscos o ideal é fazer alterações seguindo uma seqüência pré-definida baseada em níveis de riscos onde as mudanças mais arriscadas devem ser feitas em primeiro lugar, seguindo uma agenda (cronograma) baseada em riscos, por exemplo.

Aprender com todas as experiências
Em busca de melhoria contínua o ideal será aprender com as experiências vividas para alcançar o sucesso cada vez mais rápido. Um problema já vivido é uma lição aprendida e isso levará a tomada de decisões mais confiantes e ágeis no futuro e é isso que o MOF oferece apresentando uma etapa de aprendizagem no processo de gerenciamento de riscos.

Mantenha a simplicidade
O processo de gerenciamento de riscos deve manter certo grau de equilíbrio, se ele for muito simples a equipe vai utilizar, mas ele não será muito efetivo, caso o processo seja muito robusto com certeza será bem eficiente, porém a equipe não vai se sentir à vontade e ele cairá no desuso, logo se deve manter a simplicidade no processo buscando mantê-lo claro, de fácil entendimento e efetivo ao mesmo tempo.

O Processo de Gerenciamento de Riscos

Até aqui falamos da disciplina como um todo, dos princípios por trás do gerenciamento de riscos. Agora vamos ter uma idéia dos seis passos necessários para executar o processo de Gerenciamento de Riscos, vale lembrar que ao se iniciar um ciclo do processo para gerenciar um risco cada passo será executado ao menos uma vez e o ciclo pode (e deve) se repetir quantas vezes forem necessárias, logo muitos ciclos estarão sendo executados para diferentes riscos ao mesmo tempo, o processo deve ser contínuo e paralelo se tratando de riscos diferentes, vamos entender um pouco mais estes passos. Passo 1: Identificar (Identify)
Identificar riscos de forma que a equipe de operações possa encontrar problemas em potencial, logo esta identificação deve ser feita o mais cedo possível e com um ritmo freqüente.

Passo 2: Analisar e Priorizar (Analyze and Prioritize)
Analisar o risco para que as estimativas e os dados sobre ele sejam vistas de uma forma que possam ser utilizadas para tomar decisões, priorizar este risco possibilita que a equipe utilize recursos para administrar os riscos mais importantes.

Passo 3: Planejar e Agendar (Plan and Schedule)
Neste passo o ato de planejar possibilita o desenvolvimento de planos, estratégias, ações e alterações para o risco analisado, logo estes planos devem ser agendados que no caso seria aprovar e incorporar eles nos processos do dia-a-dia.

Passo 4: Rastrear e Relatar (Track and Report)
Rastrear é a ação de monitorar o status do risco (como probabilidade, impacto, exposição entre outros) e dos planos de ação desenvolvidos para ele, já a ação de relatar assegura que os interessados (stakeholders), pessoal e etc, estão a par do status do risco de dos planos de ação.

Passo 5: Controle (Control)
Controle é a parte do processo onde os planos de ação serão executados, informando também o status do risco. Durante o processo temos também o controle dos pedidos de alterações no status do risco ou no plano de ação possam afetar a disponibilidade de um serviço ou SLA.

Passo 6: Aprender (Learn)
Aprender será a etapa em que a equipe deve coletar (reunir), categorizar e indexar o conhecimento de uma forma reutilizável e que pode ser compartilhada com outras pessoas da equipe, isso geralmente utilizando alguma ferramenta para formalizar as lições aprendidas.

Figura 1 - O Processo de Gerenciamento de Riscos.

Para todo este processo será necessário desenvolver listas de riscos, estas listas servirão para, entre outros, categorizarem os riscos. A organização destas listas vai depender de sua criatividade, podendo ser feitas desde planilhas em Excel até a utilização de um banco de dados, você deve escolher qual a melhor forma de guardar estas listas, porém os tipos de listas que podem ser geradas são sugeridos pelo MOF como: Master Risks List: Lista mestre que relaciona todos os riscos identificados provendo a causa de cada risco, as conseqüências e resultado, e o critério de ordenação dos riscos. Muito utilizada para dar prioridade para os riscos.

Risks by Services List: Uma lista que liga os riscos com os serviços eventualmente impactados, fornecendo uma visão estruturada de quais riscos afeta quais processos organizacionais (e-mail, folha de pagamento, CRM, etc.).

Top Risks List: Lista que contém os principais riscos, fornecendo a possibilidade de a equipe focar nos riscos mais importantes e que merecem atenção imediata.

Retired Risks List: Uma lista com os riscos que não são mais importantes para estarem em algumas das listas citadas acima, digamos que é uma lista dos riscos aposentados, que não oferecem mais ameaça para a organização. O objetivo desta lista é fornecer um histórico dos riscos já tratados até então pela operação e serve até como base para identificação de possíveis novos riscos.

Portanto, estes são os seis passos necessários para executar o processo de gerenciamento de riscos dentro desta disciplina, claro que os conhecemos aqui de forma bem simples, mas no futuro teremos um artigo inteiramente dedicado á execução deste processo com os detalhes de cada passo e também maiores informações sobre as listas de riscos, por ora o que precisamos saber até aqui é o que foi apresentado.

Resumo Geral: No MOF o ato de gerenciar riscos é definido pelo processo de identificar, analisar e tratar de forma pró-ativa os riscos. A meta da disciplina é deixar mais claros os impactos positivos (oportunidades) de uma atividade de operação enquanto minimiza os impactos negativos (perdas) associados com determinado risco.

Conclusão

Completamos 10 artigos em nossa série e finalmente fechamos o primeiro ciclo que foi citar cada um dos modelos e disciplinas envolvidos com o Microsoft Operations Framework, sendo assim de agora em diante teremos os prometidos artigos sobre as Service Management Functions e eu pretendo em cada um dos próximos artigos detalhar um pouco mais cada uma das 21 SMFs abordando seus objetivos, processos, atividades e responsabilidades. O caminho vai ser longo, mas o conhecimento adquirido por nós não vai ter preço, por isso conto com vocês nos próximos trabalhos e até lá aguardo críticas e sugestões, muito obrigado.