Lei de Murphy

"Se há 2 maneiras de fazer alguma coisa, e uma delas pode resultar em um desastre, 

então alguém irá fazê-la"

Esta é leitura original da Lei de Murphy, e que depois virou um dos princípios mais populares da gestão de riscos.

Em 1949, na Base da Força Aérea da Califórnia, oficiais engenheiros (entre eles Edward A. Murphy) conduziam testes para determinar a tolerância humana à aceleração/desaceleração.
Em um dos experimentos, a equipe usou um trenó foguete chamado "Gee Whiz" tripulado pelo  coronel John Paul Stapp e carregava em si um conjunto de 16 sensores presos às cintas que envolviam  o corpo do coronel.
 
Havia 2 maneiras de prender cada sensor às cintas, mas apenas uma delas era indicada para a perfeita leitura. Ao realizar o experimento, viu-se que a leitura era zero porque alguém, metodicamente, prendeu os 16 sensores  da forma errada. Murphy, ao analisar o motivo do experimento não ter dado certo, resmungou sobre o técnico que instalou os sensores: "se há duas formas de fazer alguma coisa e uma delas vai resultar em um desastre, é assim que ele vai fazer"

Essa história ficou registrada em uma coletiva de imprensa dada pelo coronel Stapp, conhecido por seu senso de humor, ao dizer que a segurança da equipe do trenó foguete deveu-se à Lei de Murphy. Ele disse à imprensa que a Lei significava que "Tudo que pode dar errado, dará errado"

A Lei de Murphy passou a ser utilizada pela indústria e publicações aeroespaciais e, logo depois, caiu na cultura popular, tendo inclusive sido transformada em livro nos anos 70.

Principled Performance and GRC

 

Open Principled Performance and GRC on NextSlide

Riscos do corte de custos

Corte de custos sempre foi uma necessidade na economia. Mas, deve ser feito com inteligência e de forma fundamentada, pois na prática implica que, além dos custos, outras coisas são cortadas no processo: 
O desempenho e a produtividade da equipe, a confiança e a moral do pessoal, o espírito de equipe que vc cuidadosamente nutriu... quando vc corta custos, sempre haverá o risco de cortar um desses benefícios juntos.

Forewarned is forearmed

A expressão Forewarned is forearmed" é muito utilizada na Gestão de Riscos e significa que aquele que é possui as informações com antecedência possui uma vantagem: a de ter tempo para se preparar para um problema. 

A origem é complicada pq esse dito navega por vários idiomas e o que se sabe é que pertence à antiguidade.

A sua forma latina 'praemonitus, praemunitus' foi bastante utilizada nos documentos militares romanos. Até porque "praemunitus" quer dizer também "se armar com antecedência".

Os 5 Lugares mais Seguros na Terra

Segurança é um componente crítico em Gerenciamento de Riscos. Se os funcionários e os ativos da empresa não estão em condições seguras e confortáveis, pouco mais importa.

Veja abaixo algumas instituições que consideram a qualificação de "seguro" ao extremo.

Aeroporto de Istambul
O aeroporto de Istambul à prova de terremotos serve como exemplo de redução de danos provocados por tremores. O novo terminal internacional Sabiha Gökçen Airport de Istambul é a maior construção do mundo isolada sísmicamente, e está agora finalizado e aberto para operações.
Em uma área de 2 mlhões de pés quadrados, o terminal não se assenta diretamente no solo, a não ser pelos mais de 300 isoladores, e pode se movimentar de lado de acordo com o tremor. Toda a  construção se move por inteiro como se fosse uma única unidade, e isso previne dos danos provenientes das forças irregulares que atuam nas estruturas.
Depois do tremor massivo de magnitude 7.4 na Turquia em 1999 que matou 17.000 pessoas e destruiu bilhões de dólares em propriedades, o aeroporto parece como um gde desenvolvimento na cidade já que os geólogos esperam mais um outro tremor maior ainda nas próximas décadas.

Datacenter no Subsolo de Bahnhof
O provedor de serviço de internet sueco Bahnhof montou um lugar seguro para seus dados. Para eles, um velho abrigo de bomba nuclear a 100 pés debaixo de uma montanha em Estocolmo pareceu seguro o suficiente.
O site infame Wikileaks também moveu parte de seus servidores para o bunker que foi construído em 1943 e revitalizado nos anos 70 para abrigar oficiais do governo.
Aparentemente, o pessoal de Bahnhof está muito feliz em abrigar o Wikileaks em seu ultra-seguro bunker, seguro de qualquer pressão política ou ataques físicos. Wikileaks tem sofrido ataques pelo governo americano pelas suas publicações, muitas delas secretas. Há pouco, o Wikileaks liberou 100.000 documentos militares internos da guerra do Afeganistão e outros ainda da guerra do Iraque. Tanto o Wikileaks quanto o seu fundador, Julian Assange, estão fazendo inimigos no Departamento de Defesa americano, mas eles podem descansar pq seus computadores estão seguros.

Veja o vídeo abaixo que ilustra um pocuo sobre o Datacenter (repare na sirene de alarme).

World Trade Center 7 - a prova de Terror
Junto com as torres gêmeas, o prédio próximo World Trade Center 7 foi destruído em 9/11. Diferente das estruturas maiores, este prédio foi reconstruído.
E está sendo considerado o prédio mais seguro do mundo. Com um núcleo de concreto, o prédio foi construído para ter uma forma de um "bunker" no céu. E está sendo o primeiro prédio que foi construído no local onde era o World Trade Center.
Toda essa arquitetura inovativa e a série de redundâncias de segurança - a maiorida delas desenhada com as liççoes aprendidas após o colapso das Torres Gêmeas -  oferecem um exemplo para os prédios de grande altura em um mundo pós- 9/11.

A estrutura em torno do núcleo de concreto pode cair ou pegar fogo, ter um problema biológico ou químico,  mas o núcleo estará protegido;
Muitos outros prédios estão sendo construído baseados no modelo do 7.

A Abóboda de Sementes do Juízo Final de Svalsgaard

No gelo remoto, no ártico de uma ilha norueguesa está a última esperança da humanidade de restaurar a produção agrícola se o pior cenário acontecer. Seja por causa de uma mudança de clima, ou esfriamento nuclear, pandemia global ou até um choque de meteoro, esse banco de sementes guarda o código genético de todas as plantações críticas que precisaríamos para refazer a civilização.

Fisicamente, é virtualemente impenetrável a desastres. Terremotos de magnitude 6.2 estremeceram as proximidades não danificam os andares de subsolo do bunker - consegue resisitir um choque na própria montanha. Dizem que a duração desse bunker pode rivalizar com a garnde pirãmide de Gizé.
Apesar de utilizar refrigeração mecânica para manter a temperatura a 0 grau. Se houver falha nos equipamentos, o profundidade no ártico ainda a manteria conservada durante por vários anos, mesmo com as previsões de aquecimento global.

Fort Knox

O Fort Knox é o nome coloquial para o U.S. Bullion Depository que é o local onde os Estados Unidos guarda a maior parte do seu ouro. Sabia que as 5.000 toneladas do precioso metalque total vale 137 bilhões de dólares está protegido somente uma porta de  22 toneladas?

Para abrir a porta é necessário uma combinação que deve ser digitada por 10 pessoas diferentes. Além dos tanques, guardas, cercados, paredes de granito, vigilância de vídeos, alarmes protegem as instalações. Não é de maravilhar que na época da 2ª GM, o Fort Knox guardava a Magna Carta, as jóias da família Inglesa, as reservas de ouro de muitas nações européias ocupadas, A Declaração da Independência, e a Constituição Americana. O discurso "The Gettysburg Address" e a Bíblia de Guttenberg também foram protegidas em Fort Knox.

Fonte:
http://www.riskmanagementmonitor.com/the-10-safest-places-on-earth/
por Jared Wade on November 17, 2010

Sobre o Debate da Definição de Riscos*

A norma ISO31000 “Risk management – Principles and guidelines” (publicada em novembro de 2009) definiu o conceito de RISCO, e isso por so só já gerou bastante discussão. E com esse novo debate, ainda veio discussões antigas, tais como se riscos engloba impactos negativos e positivos (há quem os separe em riscos e oportunidades, respectivamente);

Ao primeiro olhar, a definição de riscos é clara e direta (com apenas 5 palavras):

Risco é o “efeito da incerteza nos objetivos.”

Aí, contém todas as 3 palavras vitais presentes em qq definição de risco:

• Risco é a respeito de incerteza, ou seja, pode nunca acontecer. 
• Risco é importante e deve ser gerenciado, pois ele possui um impacto. 
• E o risco é medido porque seu impacto afeta os objetivos definidos.

Agora, analisando a frase um pouco mais, começam os problemas:

A norma de riscos da ISO claramente declara q “Risco é o efeito…”

  
Se seguirmos essa abordagem, riscos negativos seriam definidos como: atrasos, sobregastos,acidentes, danos de reputação, perda de mercado, ineficiência, e etc. E pelo outro lado, riscos positivos seriam definidos como: melhoria de desempenho, ou aumento do valor dos acionistas. Todas esses itens são efeitos nos objetivos que poderiam levantar de alguma incerteza.

Em contraste a essa definição, praticamente todas as outras normas de risco tinham a definição de risco em termos parecidos com:

Risco é "uma incerteza que, se ocorrer, ocasionará um efeito nos objetivos"

A definição acima é completamente diferente a da ISO31000. As outras normas de risco claramente declaram que um risco negativo é uma incerteza que poderia ocasionar um atraso ou um sobregasto ou um dano de reputação se ela acontecesse.

da mesma forma, um risco positivo seria também uma incerteza que se ocorresse resultaria em redução de prezos e custos, ou melhoria de reputação.

Entenderam a diferença???

Um risco pode ser um evento incerto, ou uma série de circunstancias ou uma premissa (incerta por si só), mas o ponto-chave, de acordo com essas normas, é que risco é uma incerteza.

É claro que como o risco é incerto, ele pode nunca acontecer, mas caso aconteça, é certo que terá um impacto nod objetivos. O risco não é o efeito. O risco é a incerteza que resultaria em um efeito.

Por que isso é importante?

Porque determina a meta do gerenciamento de riscos.

Se “Risco é o efeito…” então o gerenciamento de riscos vai buscar gerenciar os efeitos.... e os processos de risco devem focar em como evitar ou minimizar os impactos negativos e como explorar ou maximizar os impactos positivos.

Mas, se “Risco é a incerteza …” então o objetivo do processo de risco é endereçar os eventos ou condições incertos. Isso significa parar os riscos negativos, se possível, ou no mínimo reduzir sua probabilidade e /ou impacto (mitigar). E isso tb siginifica captar os riscos positivos ou maximizar a sua probabilidade e/ou impacto (explorar). Endereçar a incerteza leva a uma abordagem mais proativa do que tentar combater o efeito.
É muito importante ser claro na definição de risco para evitar confusão e desilusão nas equeipes que tentam gerenciar seus riscos.

Vamos ter a esperança de o senso comum prevaleça e que a definição da ISO31000 possa ser alterada.


*Baseado nos artigos de David Hillson, PMP, consultor de riscos e membro-fundador do Grupo de Interesse Específico em Gerenciamento de Riscos do Project Management Institute. Ele pode ser contatado em seu site, "Risk Doctor".

ESI Research Report - Risky Business: Organizational Effectiveness at Managing Risk of Outsourced Projects

Os resultados de uma nova pesquisa global revelam as preocupações, a efetividade e as melhores práticas em Gerenciamento de Riscos pelas empresas que tercerizam seus projetos.

Dos 95% das organizações que compram e/ou fornecem serviços ou funções tercerizados, um pouco mais da metade é capaz de gerenciar eficientemente os riscos dos seus subprojetos (projetos tercerizados).

Gerenciar um produto ou um serviço de qualidade é o maior risco de terceirização para as organizações, identificado em 70% dos respondentes da pesquisa.  

(os respondentes incluem gerentes de contratos, compradores subcontratadores, gerentes de projetos, executivos seniores e tomadores de decisão-chaves em terceirização de um grande range de industrias e governamentais na América do  Norte e do Sul, UK/Europa, Asia/Pacifico, Meio Leste e India. O estudo foi conduzido pela ESI International).

“Os resultados da pesquisa global da ESI indicam áreas para desempenho, produtividade e vantagens competitivas superiores através de um melhor gerenciamento de riscos."

Não chega a ser uma surpresa que os projetos de terceirização sejam pobremente gerenciados, e não atingem os benefícios financeiros esperados: o estudo mostra que apenas 1/3 das empresas sempre articulam claramente e definem objetivos financeiros para os parceiros de terceirização.

Como seus parceiros de negócio irão supor conhecer suas fronteiras e tolerancias se vc não divide isso com eles?

A solução pode estar com os gerentes de projetos que podem inserir um foco maior em assegurar o desempenho de fornecimento e que os resultados de contrato estejam claros e definidos como parte da fase de iniciação do projeto. Uma vez nessa condição, serão adicionados também o gerenciamento de riscos à lista - assumir uma postura diferente entre os parceiros de tercerização. .

Abaixo, alguns dados da pesquisa:

• 63% dos respondentes disseram que os atrasos de fornecimento foram os maiores riscos nos projetos de terceirização. 
• 61% disseram que oo escopo do contrato foi o maior risco.
• 76% das empresas se esforçam para avaliar a habilidade técnica dos fornecedores como também o desempenho no passado - o que também siginfica que 24% não se importa (o que elas avaliam então???).
• 65% das empresas realizam questionários de forma compreensiva, clara e articulada para as requisições de quotações que possibilitam respostas padronizadas  para análise comparativa - e isso significa que 35% não possuem padrões e modelos, e têm que se virar para interpretar as diferentes respostas e lidar com a dificuldade de compará-las;
• Somente 50% dos respondentes pensavam que suas equipes de terceirização possuiam experiencia e práticas aproporiadas em gerenciamento de projetos.
• 75% das organizações nem sempre definem os seus requisitos claramente para seus projetos terceirizados, um ponto fundamental em gerenciamento de projetos de sucesso.

Terceirização pode poupar dinheiro,  mas vc tem q fazer isso da maneira correta; – e o que aparece nesse estudo é que um gde numeros de empresas não estão fazendo isso.  Se vc não definir claramente os requisitos, escolha os parceiros certos e monitore o desempenho contínuo do relacionamento. Pense nisso: vc realmente sabe o que quer?

Mais alguns dados da pesquisa:

Falta de Habilidades e Processos Fundamentais

Próximo a 2/3 das organizações dispendem de metade de seus orçamentos em terceirização. Há uma necessidade de refinar as capabilidades de gerenciamento de riscos para se ter um impacto positivo na linha base de desempenho.

19% disseram que suas organizações não são eficazes na avaliação de riscos em projetos terceirizados. E 36% disseram ser de alguma forma eficazes. Já 35% disseram ser eficazes. E somente 6% disseram ser extremamente eficazes na avaliação dos riscos.

21% disse que suas origanizações não são eficazes no gerenciamento de riscos, 33% são de alguma forma eficazes, 37% disseram ser eficazes, e novamente, 6% disseram ser extremamente eficazes.
Somente 39% dos respondentes disseram que suas organizações possuem uma cultura equivocada de gestão de ricos.

Falhas de Requisitos em Projetos Terceirizados

Organizations indicam deficiência na efetividade de uso de gerenciamento e desenvolvimento de requisitos, uma crítica área para gerenciar riscos de terceirização. 

1/3 das organizações sempre articulam claramente e definem objetivos financeiros para os parceiros de tercerização.

Próximo de 32% dos respondentes discordam que suas organizações continuamente avaliam projetos tercerizados em relação aos seus objetivos e metas originais.

Foco no Gerenciamento de Forneceimento e Gerenciamento de Contratos

maior foco em assegurqar o desempenho de fornecimento e nos resultados de contrato indicam q a competencia de Gestão de Riscos nessas áreas podem ser um diferencial-chave entre os parceiros de terceirização.

76% das organizações avaliam as habilidades técnicas e o histórico de desempenho técnico de seus fornecedores.

Habilidades de Futura Terceirização

Mais da metade das organizações reconhecem que precisam de melhorias em suas capabilidades além de treinamento e suporte, estes indicados como habilidades-chaves  de gerenciamento de riscos.

Das top áreas nas quais os respondentes disseram que suas organizações devem investir em treinamento e informação, 61% disseram gerenciamento de riscos; 53% avaliação de riscos, 51% gerenciamento de qualidade de serviço na tercerização, 49% gerenciamento e desenvolvimento de requisitos, e 47% disseram melhores práticas de tercerização de projetos.

Para mais informações, inclusive a metodologia da pesquisa, visite www.esi-intl.com/outsourcingsurvey

ISO 31000: O Novo Padrão para Gestão de Riscos

Nesta entrevista Alberto Bastos, Sócio-fundador da Módulo e Coordenador no Brasil da Comissão Especial da ABNT, que participou das reuniões internacionais para desenvolvimento da ISO 31000, fala sobre as principais diferenças e benefícios desta nova norma.

14 Dez 2009
FONTE -  Clique Aqui

Publicada oficialmente em 13 de novembro de 2009, a ISO 31000 foi desenvolvida por um grupo de especialistas representantes de mais de 30 países e tem por objetivo servir como um guia mestre para Gestão de Riscos.

Em conjunto com a ISO 31000 foi publicada também a nova versão do ISO Guide 73, revisado pelo mesmo grupo.

O Brasil participou ativamente desse desenvolvimento enviando comentários e sugestões através da Comissão Especial de Estudo Gestão de Riscos da ABNT, que atualmente possui mais de 400 participantes de empresas e organizações dos mais variados segmentos como Indústria, Bancos, Seguros, Tecnologia, Energia, Universidades, Telecomunicações, Saúde, Agronegócios, Segurança dentre outros.

1. Existe atualmente uma série de normas para gestão de riscos, que em um primeiro momento parecem similares. Por que adotar a norma ISO 31000?
A criação de padrões é um elemento fundamental para desenvolver uma linguagem comum, sistemas de gestão, normas e procedimentos para orientar as organizações como um todo e disseminar a cultura de Gestão de Riscos.
 Atualmente existem vários padrões que se complementam de alguma forma. A idéia a partir de agora é usar a ISO 31000 como referência em todos estes padrões que envolvam Gestão de Riscos.
O objetivo da ISO 31000 é ser a “norma-das-normas” para Gestão de Riscos, seja este risco ambiental, operacional ou financeiro aplicáveis as organizações de todos os tipos e tamanhos.


2. Com a norma ISO 31000 o senhor acredita que a tendência das organizações será manter a Gestão de Riscos integrada (ambiental, financeira, segurança da informação, etc)?
O lançamento da ISO 31000 representa um grande marco para a integração destas áreas e funções nas organizações. A norma recomenda que as organizações desenvolvam, implementem e melhorem continuamente uma estrutura cuja finalidade é integrar o processo para gerenciar riscos na governança, gestão, políticas, valores e cultura em toda a organização.


3. As empresas que já utilizam modelos de Gestão de Riscos devem adotar imediatamente a ISO 31000? Qual a estimativa de tempo para adoção da norma?
Em um primeiro momento é preciso adquirir e conhecer o documento, que contém apenas 24 páginas, proporcionando uma leitura bem rápida. A partir de então, deve-se escolher o melhor modelo para implementar a estrutura em sua organização. Como a ISO 31000 não é uma norma de certificação, a urgência em seguir rigidamente alguns passos é menor. Já o tempo de adoção pode variar em cada organização. Em uma empresa de grande porte pode levar de 3 a 4 anos em média, dependendo do escopo.

4. Existe a tendência de criar novas normas da série 31000 extinguindo outras?
Foi lançada recentemente a norma ISO 31010: Risk Management – Risk assessment techniques, cujo escopo é fornecer orientações sobre a definição e aplicação de técnicas e sistemáticas para avaliação de riscos. Este padrão também não se destina a certificação e complementa a ISO 31000 com métodos e técnicas detalhadas.


5. Qual a importância da ISO Guia 73 em todo esse contexto?
Especificamente sobre o Guia 73, é importante que as organizações adotem os conceitos e terminologia para criar uma linguagem comum nas diferentes áreas, funções e processos que de alguma forma lidam com gestão de riscos.


6. Qual a relação entre as normas 27001, 27002 e 27005 com a 31000? A ISO 31000 substitui a ISO 27005?
A ISO 31000 não substitui nenhuma norma existente. A ISO/IEC 27005 faz parte do conjunto de normas da série de 27000, sobre um sistema de gestão de Segurança da Informação, onde inclui: 27001 e 27002. Essa norma apresenta as melhores práticas e possibilita o aprofundamento em aspectos exclusivos da Segurança da Informação, já a ISO 31000 é mais genérica contempla todos os setores.
Existe atualmente uma força tarefa em andamento para que a ISO 27005 seja imediatamente revisada e alinhada com a ISO 31000.

7. As normas já estão disponíveis em português?
No Brasil, ambas as normas foram traduzidas e publicadas pela ABNT em 30 de novembro, como normas brasileiras, ABNT NBR ISO 31000 e ABNT ISO Guia 73.
As normas podem ser adquiridas no site da ABNT: http://www.abntcatalogo.com.br ao preço de R$ 74,80 (ABNT NBR ISO 31000:2009) e R$ 49,70 (ABNT ISO GUIA 73:2009)

8 - Quais são os próximos passos do Comitê de Gestão de Riscos?
Vamos iniciar o planejamento estratégico para estabelecer objetivos e metas da comissão bem como definir os próximos passos do grupo. Algumas idéias já existem, desenvolvimento de normas internacionais de Gestão de Riscos e continuidade de negócios.


9 – Como devem proceder os interessados em colaborar ou conhecer os detalhes sobre as atividades desse comitê?
Os interessados devem enviar email para abastos@modulo.com.br

Crise 2009 foi pior para empresas que não tinham gestão adequada de riscos

Para Ernst & Young, os conselhos de administração deveriam ser menos burocráticos e mais rigorosos se quiserem evitar surpresas financeiras desagradáveis.

04 Jan 2010
FONTE - CIO Brasil

O relatório 'Meeting today's financial challenges', criado pela auditoria e consultoria Ernst & Young com o intuito de mapear os desafios financeiros das organizações, aponta que muitas empresas foram atingidas de forma mais severa pela recente crise internacional por conta da falta de planos eficazes para monitorar e mitigar o impacto de riscos externos.

Um dos motivos para esse cenário, de acordo com o diretor da Ernst & Young Antonio Cocurullo, está no fato de que a maioria dos conselhos de administração e comitês de auditoria das empresas trata a gestão de riscos de forma burocrática.

As próprias empresas consultadas pelo estudo confirmam essa postura. Somente 13% dos 153 membros de comitês de auditoria ouvidos classificaram sua função de gerenciar riscos como muito eficaz. Ao mesmo tempo, quatro em cada dez companhias ouvidas esperam aumentar os recursos para essa área, sendo que 85% delas planejam melhorar o alinhamento com os objetivos de negócio e 84% pretendem aprimorar o processo para avaliação dos riscos.