Gestão de Riscos - 8ª Aula

Alessandro Almeida | www.alessandroalmeida.com

Trabalho Final

Douglas | Patricia | Simone

4

Plano para Gestão de Riscos

Autorizador de Compras Mobile

5


� RESUMOEm projetos de desenvolvimento de software de

grande porte, é de extrema importância o gerenciamento de risco ao qual o projeto está exposto.

Neste estudo de caso apresentamos o gerenciamento de riscos no projeto de desenvolvimento de software, o processo, fases, maneiras de identificação, análise, planejamento, monitoramento e controle de riscos, através do PMBOK.

6


� OBJETIVO

O objetivo do Plano de Gerenciamento de Riscos da empresa DPS Consulting (um banco virtual) é documentar, identificar e priorizar os riscos encontrados no projeto “Autorizador de Compras Mobile”.

Para o gerenciamento dos riscos do projeto será utilizado o PMBOK.

7


� HISTÓRIA EMPRESAA DPS Consulting é uma consultoria que presta serviço

customizado de TI há 20 anos, possibilitando aos clientes aplicações seguras e inteligentes.

A empresa conta com mais de 100 colaboradores, todos treinados e capacitados a oferecer um alto padrão de qualidade à empresa contratante, tendo como foco sempre a missão e a visão da empresa.

Missão: Fornecer serviços e soluções tecnológicas seguras e integradas.

Visão: Ser reconhecida como uma ótima empresa de referência em TI.

8


� RESUMO DO PROJETO:

O projeto “Autorizador de Compras Mobile” tem

por objetivo facilitar as compras feitas através

de cartão de crédito e disponibilizar ao portador

segurança e agilidade no pagamento.

Este projeto tem como público alvo os clientes que

desejam fazer compras com o cartão de credito

e que após um cadastro, utilizar o celular como

autorizador de pagamento.

9


Ao lado o

modelo

adotado para

gerenciamento

de riscos deste

projeto.Processos de Gerenciamento de Riscos (Fonte: PMI, 2004)

10


EAP (Estrutura Analítica do Projeto)

Autorizador de

ComprasMobile

1 Requisitos do Projeto

2 Definir Projeto

3 Desenvolvi-

mento

1.1 Software

1.2 Hardware

2.1 Definir

Desenvolvi-mento

2.2 Detalha-mento Técnico

3.1Definir site

3.2 Definir Sistema

paraEstabeci-

mento

3.3Integrar sistemas

3.4 Cadastro

3.5 Definir Sistema

para cliente

Autorizador de

ComprasMobile

1 Requisitos do Projeto

2 Definir Projeto

3 Desenvolvi-

mento

1.1 Software

1.2 Hardware

2.1 Definir

Desenvolvi-mento

2.2 Detalha-mento Técnico

3.1Definir site

3.2 Definir Sistema

paraEstabeci-

mento

3.3Integrar sistemas

3.4 Cadastro

3.5 Definir Sistema

para cliente

11


Após montarmos

a EAP (estrutura

analítica do

projeto) com as

atividades deste

projeto, listamos

os riscos

conforme mostra

o quadro ao lado

de forma clara e

objetiva.

12


Através da matriz

de combinação

ao lado, podemos

classificar os riscos por prioridade.

Podemos

perceber que a

falha na comunicação sistêmica tem o

valor mais alto

0,24

13


RISCOS:

Riscos Técnicos� Falha na comunicação sistêmica;

� Banco de Dados com baixo desempenho

Riscos de Gerenciamento de Projetos� Atraso na documentação;

Riscos Organizacionais� Falta de recurso financeiro;

� Pessoal Rotativo;

� Mudanças de regras e diretrizes.

Riscos Externos� Indisponibilidade de Hardware

� Mudança na Tecnologia;

� Adaptação dos clientes;

� Concorrência.

14

Diagrama de Tornado

0

Riscos Técnicos

Riscos Organizacional

Riscos Projeto

Riscos Externo

- 3.800 - 3.300 - 2.800 2.800 3.300 3.800

Orçamento do Projeto para Contingência e Melhorias

0

Riscos Técnicos


Riscos Projeto

Riscos Externo

- 3.800 - 3.300 - 2.800 2.800 3.300 3.8000

Riscos Técnicos


Riscos Projeto

Riscos Externo

00

Riscos Técnicos


Riscos Projeto

Riscos Externo

- 3.800 - 3.300 - 2.800 2.800 3.300 3.800

Orçamento do Projeto para Contingência e Melhorias

15


� PLANO DE RISCOS:Riscos secundários deverão ser avaliados

precisamente junto aos riscos primário. Tendo análise, tratamento e monitoramento diferenciado dos riscos ativos de baixo impacto.

Riscos residuais serão tratados pela equipe de monitoramento. Tudo documentado através do FR e entregue ao gerente do projeto, para alteração do status do risco.

16


Ao lado uma

simulação

de um risco

e sua

resposta

(FR) -Formulários de Riscos

17


� FRAMEWORKS E PRÁTICAS CONSIDERADOS:

Categorias de Riscos, segundo o PMBOK (PMI, 2004):

As categorias de riscos representam uma forma de identificar sistemicamente os riscos e servem de base para sua compreensão. As categorias de riscos visam a classificação dos riscos por áreas, de acordo com o perfil de cada risco (HELDMAN, 2002).

18


� ESTUDO DE CASOEste tópico apresenta um estudo de caso de gerenciamento de riscos de

um projeto de software, realizado em uma empresa fictícia que atua no ramo de consultora em TI.

- A Organização referenciada no Estudo de Caso

A organização desenvolvedora de software (DPS Consulting) referenciada no estudo de caso é virtual e simula uma consultoria de TI, que desenvolve softwares em diversas plataformas. Neste estudo de caso que simula o desenvolvimento do software citado na Descrição Preliminar do Produto, a empresa não foi somente contratada para o desenvolvimento, como também para gerenciamento dos riscos.

A empresa contratante se passa por um Banco de grande potencial que pretende lançar no mercado um produto inovador, com tecnologia de fácil acesso. Permitindo comodidade e segurança ao seu cliente em compras no cartão de crédito.

19


� ALGUMAS BIBLIOGRAFIAS:

[1] PROJECT MANAGEMENT INSTITUTE –PMI. Um Guia do Conjunto de Conhecimentos em Gerenciamentos de Projeto – Guia PMBOK.USA 2004.

[2] ALENCAR, A.; SCHMITIZ, E. Análise de riscos em gerencia de projetos. Rio de Janeiro: Brasport, 2005

20


FIM

Obrigado!

Adriana | Luciano | Matheus | Priscila

21

Gestão de Riscos

UNIFIEO

MBA em Gestão da Qualidade de Sistemas da Informação

2011

Adriana de Brito Miranda Luciano Hervencio da Silva

Matheus de Camargo Priscila Ferreira da Silva

� Informações sobre a Empresa e Proposta:

�A empresa FourNet foi contratada para

desenvolver um sistema para gestão de uma

grande rede de um mercado internacional que

começará suas atividades no Brasil nos

próximos meses.

Gestão de Riscos

� Desafio:

�Entregar um produto, dentro do prazo e

orçamento, que seja compatível com os

padrões adotados pela Matriz e que seja capaz

de comunicar com sistemas já existentes.

Gestão de Riscos

� Framework:

� ISO31000:2009

Gestão de Riscos

Gestão de Riscos

� Concepção da Estrutura para Gerenciar os

Riscos (ISO31000:2009):

� Formulários para identificação dos riscos;

� Formulários para registro dos riscos;

� Técnicas para levantamento dos riscos;

Gestão de Riscos

� Concepção da Estrutura para Gerenciar os

Riscos (ISO31000:2009):

� Definir como a probabilidade e o impacto serão

mensurados;

� Freqüência e formulários sobre o monitoramento

dos riscos.

Gestão de Riscos

� Formulários para identificação dos riscos:

Gestão de Riscos

� Formulários para registro dos riscos:

Gestão de Riscos

� Técnicas para levantamento dos riscos:

� Brainstorming;

� Pesquisas sobre o assunto.

Gestão de Riscos

� Definições de probabilidade de risco e impacto

de riscos:

� As probabilidades e os impactos serão classificados em:

� 1 – Muito Baixo

� 2 - Baixo

� 3 - Médio

� 4 - Alto

� 5 - Muito alto

Gestão de Riscos

Gestão de Riscos

Plano de A ç ão:

Mitig ar(M),

Elim inar (E),

T rans fe rir (T ),

A c e itar (A ).

10

Requis ito

não

identific ado

Qualidade

Uma

func ionalidade ou

pec uliaridade não

foi perc ebida

anteriormente

4 5 20 M

Mobiliz ar equipe

para entendimento e

c las s ific aç ão do

requis ito. Gerar

alteraç ão no es c opo

c as o haja

nec es s idade

4

A c es s o a

dados

s igilos os

Téc nic o

A mão de obra

c ontratada não

atende aos

requis itos téc nic os

ex igidos pelo

projeto

4 4 16 M

A utentic aç ão

requerida,

Cons c ientiz aç ão de

us uários e Rev is ão

de Perfil de A c es s o

3

Requis itos

não

atendidos

Qualidade

Requis itos

des c ritos não

faz em mais

s entido ou não s ão

tangíveis

3 5 15 M

Requer

c ons entimento do

c liente e alteraç ão

do es c opo

11A tras o nas

entregas

Gerenc iamento

de projeto

A tras o na entrega

de um determinado

pac ote de trabalho

3 5 15 M

A umentar as horas

de trabalho por dia

(hora extra) e s e

nec es s ário

c ontratar mão-de-

obra.

2

Mão de

obra

des qualific a

da

Qualidade

Carac terís tic as do

projeto s ão

des c onhec idas

pela mão-de-obra

ou s ão pec uliares

aos proc edimentos

do c liente

3 5 15 MFornec er

treinamento

Id Ris c os C ate g oria Fonte P robabilidade Im pac to C r itic idade A ç ão

Os 5 riscos com maior criticidades do Projeto

Gestão de Riscos

Monitoração e Análise crítica (ISO31000:2009)

Esse processo deve ser contínuo durante toda a execução do projeto. Os

objetivos principais desse processo são:

· Acompanhar riscos;

· Monitorar as condições que possam fazer o risco aparecer;

· Identificar riscos residuais;

· Verificar se as respostas aos riscos ainda fazem sentido;

Verificar se as respostas aos riscos estão sendo executados.

Gestão de Riscos

Relatórios de

acompanhamento

O relatório de acompanhamento tem o objetivo de informar as

partes interessadas sobre como os riscos estão sendo

gerenciados. Planos de ação, riscos eminentes e resíduos de

riscos fazem parte desse relatório que deve ser enviado com

freqüência pré-definida.

Gestão de Riscos

Id Riscos Descrição Responsável Status

1 Falta de energiaConcessionária parou de fornecer energia

elétricaGer. Projetos Plano aplicado

2Mão de obra

desqualificada

Características do projeto são

desconhecidas pela mão-de-obra ou são

peculiares aos procedimentos do cliente

Ger. ProjetosTreinamento agendado para

15/05/2011

8 Falta de clareza do escopo Gerenciamento de projetoEscopo definido não reflete as

necessidades do cliente

Reunião agendada para

11/04/2011 às 14:30

Relatório de Riscos (acompanhamento)

Gestão de Riscos

Obrigado!!!

Igor | Luciana | Mariana | Silvio | Tomaz

Planejamento dos Riscos

Missão: Desenvolver e manter sistemas de gestão de

acesso contribuindo para o aumento da eficiência dos

processos e na competitividade de nossos clientes.

Visão: A MILTSystem quer ser reconhecida pela

competência na prestação de serviços e pela facilitação

na comprimento de segurança de nossos clientes,

através da melhoria continua.

Sobre a MILTSystemSobre a MILTSystemSobre a MILTSystemSobre a MILTSystem

Observando a vulnerabilidade na segurança organizacional

do mercado atual e na busca da correção e dos altos

valores do mercado, a MiltSystem apresenta soluções entre

os diversos segmentos empresariais alinhado a área de

sistemas de informação.

Contexto de MercadoContexto de MercadoContexto de MercadoContexto de Mercado

ISO 9000

Utilizamos para o desenvolvimento e aplicação na empresa

MILTSystem os elementos da ISSO 9001:2000, lembrando

sempre que alguns desses requisitos variam de acordo

com o tamanho e ramo de atividade da empresa.

Elaboração e analise efetuada visando garantir a

padronização, monitoramento e documentação do

processo que tenham influência no produto.

ProcessosProcessosProcessosProcessos

�Alinhamento de processos visando a integração e avaliaçãode desempenho.

�Padrões da gestão de riscos ajudaram a cumprir o projetocom êxito, utilizando os indicadores de riscos.

�Os riscos foram estimados, identificados, avaliados qualitativa e quantitativamente, monitorados e controlados.

�Efetuamos um plano estratégico de implantação(escopo, prazos, custos, riscos, qualidade, comunicação, recursos humanos).

�Definição clara de objetivos e metas de gerenciamento de riscos.

�Buscamos o envolvimento e comprometimento de todas as partes da empresa.

Planejamento dos RiscosPlanejamento dos RiscosPlanejamento dos RiscosPlanejamento dos Riscos

Disponibilidade:

Foram caracterizadas as operações dos sistemas e suarecuperação em caso de interrupções.

Acesso:

Assegurar acessos de usuários aos sistemas, evitarinterrupções nos serviços, quedas de energia.

Precisão:

Backup programados, conhecimento do sistema,identificação de falhas operacionais, atrasos nocronograma, Ineficiência e falhas operacionais.

Agilidade:

Privilégios, defeito físico nas catracas de acesso, nocomputador da recepção.

Classificação dos RiscosClassificação dos RiscosClassificação dos RiscosClassificação dos Riscos

Item Fonte de Risco Classificação Tipo (a) Probabilidade (b) Impacto (c) Indicador de Risco (d)

1Falha na segurança

da InformaçãoDisponibilidade Técnico 2 3 6

2 Cair o Sistema Disponibilidade Técnico 2 3 6

3Interrupção do abastecimento

de energia elétrica.Disponibilidade Organizacional 1 3 3

4Interrupção da comunicação

com o servidor de dados (Pane na rede)

Disponibilidade Técnico 1 3 3

5Pessoas não autorizadas

acessam o sistemaAcesso Técnico 1 3 3

6 Identificação Falsa Acesso Técnico 1 3 3

7 Novas Tecnologias Precisão Técnico 1 1 1

8Comprometimento

do fornecedorPrecisão

Gerenciamentode projeto

2 3 6

9 Backup do Sistema Precisão Técnico 1 3 3

10 Conhecimento do sistema Precisão Técnico 3 3 9

11Ineficiência e falhas

operacionaisPrecisão

Gerenciamentode projeto

1 3 3

12 Atrasos no cronograma PrecisãoGerenciamiento

de projeto1 3 3

13 Recursos Financeiros PrecisãoGerenciamento

de projeto1 1 1

14 Privilégios AgilidadeGerenciamento

de prometo1 2 2

15Defeito físico nas

catracas de acessoAgilidade Técnico 1 2 2

16

Defeito no computador da recepção (aquele em que a

recepcionista insere os dados dos visitantes)

Agilidade Técnico 1 1 1


Item Descrição

Identificação do Risco 1

Detalhe do Risco referente ao campo Fonte de Risco

Falta de comunicação e de atualização via infra-estrutura nasempresas clientes

Data Limite Em monitoramento após implantação

Classificação Disponibilidade

Criticidade Mitigar

Data da Eliminação Monitoramento constante

Plano de PrevençãoSistema não possui saída e entrada via WEB, somente nasdependências da empresa, pois o risco mapeado convémcomprometer o escopo.

Plano de ContingênciaLançamento de dados manualmente, assim como a inserção apósatualização de software.

Monitoração do RiscoQuando for necessária alguma atualização/correção do software, estaserá efetua da pelo profissional das empresas clientes comacompanhamento de um profissional nosso.


Item Descrição



Perda do controle de acesso e estatísticas

Data Limite Em monitoramento após implantação

Classificação Disponibilidade

Criticidade Aceitação

Data da Eliminação Monitoramento constante

Plano de Prevenção Aplicação de plano de contingência

Plano de ContingênciaRegistro das informações manualmente e liberação somente apósaprovação da área a ser visitada. As inserções de dados no sistemadevem ser efetuadas após sua normalização.

Monitoração do RiscoControle sobre o nível de usuários logados no BD, assim comoperformance e desempenho do mesmo.

Detalhamento dos RiscosDetalhamento dos RiscosDetalhamento dos RiscosDetalhamento dos Riscos

Item Descrição



Comprometimento com o planejamento de tempo do projeto

Data Limite Após inicialização do cronograma dos processos

Classificação Precisão

Criticidade Mitigar

Data da Eliminação Em monitoramento constante

Plano de PrevençãoEm caso de atrasos em envios, um segundo fornecedor deve sercontatado, conforme listagem elaborada pela equipe.

Plano de ContingênciaReuniões de status repor e contatos com fornecedores da mesma tecnologia.

Monitoração do Risco Monitorar juntamente com cada processoda EAP


Item Descrição



Utilização imprópria dos recursos oferecidos

Data Limite Após finalização do processo de criação de treinamento

Classificação Precisão

Criticidade Mitigar

Data da Eliminação Após implantação de software

Plano de Prevenção Aplicação de treinamento na implantação do SW

Plano de Contingência N/A

Monitoração do RiscoO analista estará disponível para monitorar o desempenho e, prestarsuporte sobre a funcionalidade do sistema.


CMMI for Development (CMMI – DEV) / Nível 2 de maturidade

�Gerenciamento de Requisitos - REQM (Requirements Management)

�Planejamento de Projeto - PP (Project Planning)

�Acompanhamento e Controle de Projeto - PMC (Project Monitoring and Control)

�Gerenciamento de Acordo com Fornecedor - SAM (Supplier Agreement Management)

�Medição e Análise - MA (Measurement and Analysis)

�Garantia da Qualidade de Processo e Produto - PPQA (Process and Product Quality Assurance)

�Gerência de Configuração - CM (Configuration Management)

Práticas e ProcessosPráticas e ProcessosPráticas e ProcessosPráticas e Processos

Dúvidas?

Igor Henrique Nascimento Lourenço Gil

Luciana Costa

Mariana Seifarth

Silvio Menegon Junior

Tomaz Rafael Firmiani

Obrigado

Andressa | Daniela | Felipe | Marcos | Sandro

Plano de Gestão de Riscos - Empresa Vastec

Nossa Empresa

“Despertar em nossos clientes um processo

contínuo de melhorias e mudanças.”


PLANO DE GESTÃO DE RISCOS

EMPRESA

VASTEC


Empresa VASTEC

Fundada em 1970.

Seguimento de

Equipamentos para Movimentação de Carga.

Com 250 funcionários.

Sua missão é comercializar, projetar e produzir soluções para

movimentação de cargas, que podem ser em galpões de

concreto ou estrutura metálica bem como a céu aberto.


Principais Clientes


Escopo

Elaborar o Plano de Gestão de Riscos daárea de Tecnologia da Informação daempresa Vastec.


Área de TI da Empresa

Arquitetura dos Sistemas

� ERP – Módulo Administrativo (Desenvolvimento Interno)� Módulo Contábil e Fiscal (Terceirizado� Linguagens de Programação (C, C++, C#, VB.NET, ASP.NET e PHP).


Riscos Identificados

�Atraso no desenvolvimento do projeto;

�Indisponibilidade dos sistemas;

�Danificação dos Backups e demais equipamentos;

�Roubo das mídias e demais formas de armazenamento de

dados;

�Expectativas da Área de Negócios não são atendidas pela área

de TI;


Riscos Identificados

�Sistemas da empresa sujeitos a invasão de Hackers e/ou

Crackers;

�Sistemas sujeitos a infecção de vírus através de Pen Drives e/ou

mídias infectadas;

�Sistemas sujeitos a infecção de Vírus por meio de arquivos

infectados por downloads, e-mails, etc...

�Não realização de vendas, produção, faturamento, controle de

estoque, compras, e cobranças.


Probabilidade x Impacto


Riscos Estratégicos


Atuação Inicial

Considerando que para a continuidade do negócio

da Vastec os serviços de ERP e E-mail deverão

estar disponíveis em período integral, focaremos

inicialmente o Plano de Gestão de Riscos nesses

itens.


Plano de Ação de Alicerce� Alteração de Perfil dos Usuários.

� Aquisição de aplicativos de antivírus corporativo.

� Aquisição de 2 links dedicados, para manter o serviço de e-mail

ativo em tempo integral.

� Atualização de versão do ERP com foco inicial do módulo de

vendas.

� Manutenção preventiva nos servidores de produção.

� Aquisição de novos equipamentos e unidade para backup

externo.


Plano de Ação de Alicerce

Investimento

Aquisição de Antivírus......: R$ 1.500,00 (para 20 estações)

Aluguel de Link..................: R$ 1.000,00 / mês

Manutenção Preventiva....: R$ 1.600,00 / Ano

Compra de Equipamentos..: R$ 11.000,00


Plano de Ação de ConsciênciaCriação de campanhas internas conscientizando os funcionários e

colaboradores a seguirem as boas práticas de segurança, tais como:

� Login e senhas de uso pessoal;

� Não deixar anotações de logins e senhas expostas;

� Bloquear sempre estação de trabalho na ausência;

� Não disponibilizar acesso à rede corporativa aos equipamentos de

terceiros;

� Dados confidenciais da empresa deverão ser mantidos em sigilo,

com divulgação somente pelas áreas competentes;


Plano de Ação de Processo

� Contratar responsável para atuar como Gerente de Projetos

dentro da área de TI para efetuar a Gestão de Projetos.

Visando a melhor a qualidade das entregas para com as áreas

solicitantes.

• O investimento estimado dessa contratação para a empresa é

de: R$ 8.000,00 /mês.


A Decisão em atuar inicialmente nos riscos compreendidos

dentro da Disciplina do Alicerce é com base nos fatos de que se

esses riscos vierem a ocorrer, são os que trarão maior impacto e

prejuízo à empresa.

Consideramos que os riscos relacionados ao ERP e Servidor

de E-mail prejudicarão diretamente a continuidade do negócio da

empresa, por este motivo a atenção a estas ameaças terá um maior

e mais cauteloso controle.

Foco do Plano de Ação


Com a contratação de responsável para atuar como Gerente

de Projetos dentro da área de TI para efetuar a Gestão de Projetos,

será atribuído a ele as responsabilidades de centralizar o plano de

Gestão dos Riscos relacionados a TI.

Seu papel será fazer com que os planos e ações sejam

cumpridos e sempre dentro das melhores práticas.

Manutenção do Plano de Ação


Com base nas práticas sugeridas no livro:

"O Risco de TI - Convertendo Ameaças aos Negócios em

Vantagem Competitiva“ definimos o Plano de Gestão de Riscos

aplicando o Framework 4A e as Três Disciplinas Centrais para a

Gestão do Risco de TI.

Framework Utilizado


Convertendo Ameaças Aos Negócios Em Vantagem Competitiva,

O RISCO DE TI

George Westerman; Richard Hunter

Editora: M. Books

Bibliografia


Responsáveis:Andressa

Daniela

Felipe

Marcos

Sandro

Fechamento da Matéria

� Discutir o risco não é administrá-lo.

� Durante as aulas percebemos que a gestão vai

muito além da identificação ou análise

� Comece pelo básico

� Não adianta adquirir ferramentas ou utilizar

técnicas sofisticadas se os conceitos básicos não

estiverem institucionalizados

� Os riscos de TI devem ser tratados como riscos comerciais� Sem esta percepção, é improvável que os

executivos invistam na iniciativa.

� Como a TI suporta os processos críticos da empresa?

� Os riscos sempre estarão lá, independente de você conhecê-los e gerenciá-los� Projetos, operação, processos ou organizações...

Tudo envolve riscos!

Hora da Vingança

� Apresentar o conceito de Gestão de Riscos,

incentivando a reflexão sobre o tema no dia-

a-dia.

� Compartilhar frameworks e boas práticas

aplicáveis à rotina da Gestão de Riscos em TI.

Ainda não acabou...

CMMICapability Maturity Model Integration

[email protected]

� [email protected]

Gestão de Riscos - 8ª Aula

Business

Transcript of Gestão de Riscos - 8ª Aula