Série Gestão de Riscos em Grandes Eventos - Lições de Londres 2012 – O desafio da gestão e integração

Amigos,

Londres amanheceu esta segunda feira com consenso, seus vários jornais destacaram o sucesso das Olimpíadas, tanto pelas 25 medalhas de ouro conquistadas pelo Team GB e comemorado por uma torcida presente e aguerrida, quanto pela resposta da cidade aos desafios de um evento deste porte.

Londres já era umas da cidades mais preparadas do mundo para receber os Jogos Olímpicos, o que já havia ocorrido em 1908 e 1948. Dentre os maiores desafios dos eventos de grande porte estão segurança, hospedagem, transportes, energia e telecomunicações, e nestes quesitos, a cidade já parecia bem preparada nestes quesitos, afinal os símbolos da cidade são o taxi, o ônibus, a logomarca do metrô (o mesmo há mais de cem anos), um relógio, as cabines telefônicas e a guarda da rainha. 

Uma visita ao museu do transporte mostra sua ligação com o desenvolvimento da cidade. Em uma das maquetes, o metrô a vapor (inaugurado em 1863) circula no  “underground” ao mesmo tempo que os cavalos e carruagens passam na superfície.

O que me surpreendeu nas Olimpíadas não foram os assuntos festejados nos  jornais, mas o alto nível de integração das diversas atividades providas por diferentes esferas de governo e pela iniciativa privada, por exemplo, sinalização, trânsito, transporte, voluntários, segurança, informações ao turista, estádios e locais de eventos, atendimento no comércio, transmissão, divulgação de resultados, eventos paralelos e organização geral. O evento e  cidade funcionaram em harmonia.

Temos acompanhado e apoiado várias ações para os grandes eventos que estão chegando no Brasil, e não tenho dúvidas que cada instituição cumprirá muito bem o seu papel, o grande desafio está na integração.

O principal aspecto da visão integrada está na experiência do turista/torcedor, que: chega ao aeroporto; passa pela imigração e alfândega; procura uma forma de ligar-se na internet; verifica como conectar-se aos plugues de energia elétrica; busca um transporte para seu hotel; hospeda-se; procura informações e agendas e, a partir daí, circula pela cidade, é atendido por serviços públicos e privados, vai aos eventos, até voltar para seu destino. O turista não avalia cada um dos aspectos, mas o “conjunto da obra”. Basta um mau atendimento para que a experiência vá por água abaixo. Olhando pelo viés da gestão de processos, o maior desafio não está nas atividades, mas nas interfaces.

Lembrando a definição de risco na ISO 31000 (“risco é o efeito da incerteza nos objetivos”), podemos considerar que a integração é a maior incerteza dos grandes eventos no Brasil, inclusive porque a integração depende de cada atividade que está sendo executada. Como os riscos devem ser considerados de forma positiva e negativa, a integração também é uma janela de oportunidade.

Os grandes eventos são formados por diversos interesses: da populacão, governo, atletas, turistas, organizadores, patrocinadores e prestadores de serviços. Nos próximos anos teremos no Brasil um terreno fértil para tratar governança, risco e compliance.

Montamos um centro de operações para acompanhamos as Olimpíadas de Londres, as ocorrências da cidade, o levantamento das lições aprendidas e a integração com as competições e os resultados.

 Estamos à disposição para trocar ideias sobre projetos em grandes eventos.

Aquele abraço,

FNery

Série Gestão de Riscos em Grandes Eventos - Uso da norma ABNT ISO 31000

Amigos,

Segue parte do relatório sobre a experiência na Rio+20 e o uso da ISO 31000 em grandes eventos. Conduzir um projeto deste tipo é um grande exercício de humildade, exige espírito aberto para aprender o tempo todo e tomar decisões conforme o andamento do projeto.

Na Conferência Rio+20, mais uma vez usamos a norma ABNT ISO 31000 como referência para condução de um projeto que envolve riscos e monitoramento contínuo, e a norma se mostra cada vez mais adequada. Foi criada uma Sala de Gestão Integrada de Riscos...

A sala funcionou em forma de um centro de operações e através dela foram gerenciados os riscos da conferência.

O ciclo de gestão de riscos adotado foi o definido pela ISO 31000 e está formalizado no desenho a seguir:

Para facilitar a comunicação e a automatização, assim como fortalecer o conceito de um processo crítico com aprendizados e melhoria contínuas, adotamos o modelo do Modulo GRC Metaframework, que consiste em quatro fases integrado ao PDCA e à ISO 31000.

O processo e a norma adotadas no planejamento e na metodologia se mostraram eficazes na execução, a definição “risco é o efeito da incerteza nos objetivos” foi amplamente utilizada durante o processo automatizado, alguns exemplos de ações que ajudam a reduzir a incerteza e consequentemente o risco. Alguns exemplos:

a.     As agendas oficiais do evento foram registradas no software Risk Manager e distribuídas para os totens, aplicações de smartphone e tablet e web.;

b.     Os equipamentos da cidade (delegacias, unidades de saúde, bombeiros, estações de metrô, ...) estavam cadastrados no sistema;

c.     A chegada dos chefes de delegação (informação de difícil gestão pois as delegações são autônomas quanto a datas de chegada e partida, tamanho da delegação e agenda) foram consolidadas no sistema;

d.     A sintonia entre os participantes e a troca de informação entre os participantes é importante para a redução de riscos, a Sala de Gestão Integrada de Riscos foi palco de dois tipos de reuniões ordinárias e diárias: 1. a reunião matinal das coordenações e fornecedores onde participavam o CNO, a ONU, o Comando do Exército, consultores e fornecedores, e 2. As reuniões internas de passagem de turno entre todos os membros das equipes para que fossem passadas tantas as ocorrências principais como práticas que mostraram a evolução do processo de gestão;

f.      As ocorrências do Riocentro (energia, obras, agendas, ...) foram registradas, classificadas e distribuídas em mapas, tabelas, telefonemas e e-mails;

h.     Diversas outras ações foram tomadas, registradas, classificadas e distribuídas, ajudando a reduzir o risco/efeito e a incerteza.

2As fases do processo de gestão de Riscos também foram implementadas conforme a ISO 31000:

a.     Estabelecimento do contexto: documentação dos processos, definição do escopo, inventário e parametrização dos ativos (pessoas, processos, ambientes e tecnologia) e definição da relevância dos ativos;

b.     Identificação dos Riscos: levantamento dos riscos antes, durante e após o evento;

c.     Análise de Riscos: critérios de classificação da probabilidade e severidade dos controles, criação de bases de conhecimento, criação de projetos de análise de riscos;

d.     Avaliação de Riscos: monitoramento, registro e triagem das ocorrências, definição dos critérios de urgência, montagem do painel de controle;

e.     Tratamento dos Riscos: ações proativas, comunicação por e-mail, SMS, sistema, smartphone e tablet, realização de reuniões, criação de planos de ação;

f.      Comunicação e consulta: realização de reuniões e conferências telefônicas, distribuição de informações por painel de controle, e-mail, SMS, smartphone e tablet;

g.     Monitoramento e análise crítica: avaliação dos gráficos e tabelas, reuniões de análise crítica.

O uso da norma ABNT ISO 31000 se mostrou eficaz como apoio a projetos desta natureza, os principais benefícios são o uso de um modelo que é consensuado mundialmente, a existência de uma metodologia ao mesmo tempo fácil de entender e seguir, a existência de indicadores e a alocação de pessoal conforme a metodologia.

Conclusão

O trabalho de preparação da metodologia e realização da operação assistida da Gestão de Riscos e Monitoramento da Logística da Rio+20 foi uma ação exaustiva e de aprendizado constante. Diferente da Copa e das Olimpíadas, que a Rio+20 sempre foi comparada por ser um grande evento, na Conferência da ONU as incertezas são ainda maiores uma vez que ocorre em uma “vênue” que precisa ser praticamente construída para o evento e desmobilizada rapidamente. Além disso há pouca gestão sobre a chegada e movimentação das delegações que são autônomas na maior parte dos aspectos. A mídia demonstrou a satisfação da Presidenta, do Governador, do Prefeito e da ONU com a logística do evento, o que mostra que os objetivos da logística foram atendidos com louvor.

Para avaliar o trabalho de Gestão de Riscos e Monitoramento, não podemos nos acomodar com a avaliação global dos objetivos. Avaliamos que o projeto foi bem conduzido e integrado às coordenações do CNO, porém temos uma série de elementos de lições aprendidas e recomendações que foram fruto de um relatório específico.

Ficamos à disposição.

Aquele abraço,

FNery

Série Gestão de Riscos em Grandes Eventos - Colaboração, Integração e Determinismo

Participar de um grande evento é sempre oportunidade de aprender. No caso da Rio+20 as novas tecnologias (tablets, smartphone, wifi em todo o evento, ...) foram importantes para a gestão de riscos. Centenas de membros da organização, entre diplomatas, militares e prestadores de serviço, utilizaram aplicações em equipamentos móveis, SMS e email para encaminhar ocorrências para a Sala de Gestão Integrada de Riscos. Além de servir para atender a quem remete a ocorrência, esta prática permite classificar o perfil do modelo de riscos.

A gestão de riscos é uma ciência não-determinística, que trata com o imponderável, este tipo de colaboração traz o imponderável para dentro da sala e otimiza o tratamento dos riscos. Não é a toa que a ISO 31000 define risco no mundo todo como "o efeito da incerteza nos objetivos".

O mapa a seguir mostra o conjunto de ocorrências encaminhadas pelas equipes que trabalharam na Rio+20 (são as equipes operacionais e táticas, e não pessoal de gestão de riscos), estas informações mostram a importância da integração e colaboração na gestão de riscos.

Esta imagem é de um dos painéis que apareceram na Sala de Gestão Integrada de Riscos, e mostra claramente os pontos mais relevantes para a gestão de riscos, uma vez que estes dados foram encaminhados espontaneamente pelas equipes. Dá para ver uma concentração no Aeroporto Galeão; no caminho que as 293 delegações percorreram; na Zona Sul onde a maior parte dos delegados ficaram hospedados; e no Riocentro, onde ocorreu o evento. As manchas permitem análises interessantes e são muito úteis para a gestão de riscos, um exemplo é na confluência entre a Av das Américas e a Av Ayrton Senna, região onde há alguma retenção e o motorista escolhe o caminho que fará para o Riocentro. Este foi o perfil do evento, caso houvesse acontecimentos que impactassem a Conferência como o uso de rotas alternativas, o aumento da hospedagem em outras cidades ou expansão da negociação para mais dias, com certeza isso seria visto na mancha do mapa.

As informações encaminhadas foram as mais variadas e ajudaram na pronta resposta e na gestão dos riscos. Como escrevi em posts anteriores, não gosto de chamar isso de "gestão de incidentes", mas seguir o caminho da ISO 31000 que começa com a gestão de eventos (ocorrências e mudanças), sendo que um evento classificado pode se tornar um incidente e um incidente classificado pode tornar-se uma crise.

Nos próximos dias estaremos comentando mais alguns aspectos deste que foi um dos maiores eventos da história da ONU.

Ficamos à disposição.

Aquele abraço,

FNery

Série Gestão de Riscos em Grandes Eventos - Rio+20

Amigos,
Este sábado concluímos a fase de operação no Riocentro do projeto de implementação da Sala de Gestão Integrada de Riscos da Rio+20, o primeiro grande evento da série que acontecerá no Brasil até as Olimpíadas 2016. Foi um grande orgulho apoiar o projeto e acompanhar de perto o grande trabalho realizado pelos governos federal, estadual e municipal para permitir à ONU fazer no Basil um dos maiores eventos de sua história.




Fomos contratados pelo CNO - Comitê Nacional de Organização para implementar a Gestão Integrada de Riscos que tratou de temas diversos, desde ataques cibernéticos à chegada dos chefes de estado. O projeto foi realizado utilizando a ISO 31000 como referência. É sempre bom poder ajudar e poder se relacionar com gente competente e trabalhadora para também aprender durante o projeto.
Durante a semana vou publicar posts curtos com reflexões sobre o que a gestão de Riscos na Rio+20 pode nos trazer de aprendizado.
Aquele abraço,
Fnery
- Posted using BlogPress from my iPad

Monitoramento Contínuo na Gestão de Incidentes

Dias de chuva e o início da temporada de frio inspiram o tema gestão de incidentes. A seguir uma evidência publicada pela ONG Rio - eu amo eu cuido mostrando o retorno à normalidade no Rio de Janeiro esta manhã.

Neste post estamos propondo que a gestão de incidentes seja tratada através  um modelo de gestão de riscos, e que seja chamada de gestão de eventos (considerando a definição da ISO 31000). 

A concentração urbana, os desastres naturais, as mudanças climáticas, as exigências regulatórias e o discurso de sustentabilidade colocaram o assunto gerenciamento de incidentes na pauta das empresas e dos governos. Mesmo sendo um tema que sempre aparece em destaque, a gestão de incidentes na maioria das vezes ainda é tratada de maneira mais intuitiva que metodológica, e mais individual que integrada.

Uma vez ocorrido um incidente é necessário dar pronta resposta, fazer avaliações precisas e tomar decisões corretas, daí surgem algumas perguntas:

• Como classificar a gravidade e o impacto do incidente? Existem critérios?
• O incidente pode aumentar sua severidade? Quando dar o incidente por encerrado? Quais os cenários?
• Que recursos humanos, financeiros e materiais são necessários para responder o incidente? 
• Como comparar dois incidentes diferentes? 
• Qual a causa do incidente?
• Como tratar com a seguradora? 
• O incidente virou uma crise? ...

A resposta a estas e outras perguntas devem estar no planejamento e nas ações preventivas. Um incidente faz parte de um contexto, e o processo de tratá-lo deve considerar a visão do todo.

Planejar a gestão de incidentes olhando o retrovisor é bom para emocionar o interlocutor. Os fatos e experiências do passado são ótimos para convencimento, para aprendizado continuo, para o desenho de ações preventivas e para a geração de estatísticas. Mas o planejamento de gestão de incidentes também exige olhar para frente. 

Tenho sugerido tratar incidentes como um evento classificado. A ISO 31000 define evento como “ocorrência ou mudança em um conjunto específico de circunstâncias”. Podemos considerar um incidente como uma ocorrência classificada, e uma crise como um incidente classificado. Alguns argumentos ajudam nesta linha: 

• Duas pessoas podem classificar e registrar incidentes através de parâmetros individuais, algo que é grave para um pode não ter severidade para outro. É necessário ter critério para avaliação;
• Tratar eventos permite a implementação de uma camada de critérios, assim: toda ocorrência ou mudança será registrada e classificada e, de acordo com os critérios será considerada um incidente ou crise; 
• Existem ocorrências de baixa severidade (não são incidentes) mas com grande frequência. Por exemplo, falta de luz por longo tempo é uma ocorrência grave com frequência baixa, por outro lado, o trânsito é uma ocorrência com gravidade média e com frequência muito alta;
• Uma ocorrência ou mudança simples pode iniciar uma cadeia que leve a um incidente. O baixo nível de combustível de um gerador é uma ocorrência de baixa severidade, mas se houver uma previsão de interrupção de energia elétrica, ele pode ter sua severidade aumentada;
• Além das ameaças, a gestão de eventos pode levar ao tratamento de oportunidades, a ISO 31000 considera o risco tanto positivo como negativo. Por exemplo, se uma tempestade fecha um aeroporto, gera risco negativo para a administração do aeroporto, os passageiros e as companhia aérea, mas ao mesmo tempo gera riscos positivo para a livraria, a lanchonete, o engraxate, os hotéis perto do aeroporto e outros.

Tratada como gestão de eventos, a gestão de incidentes tem na ISO 31000 uma grande aliada pois permite implementar um modelo completo, cíclico e que considera aspectos preventivos e corretivos. As principais atividades da ISO 31000 são: estabelecer o contexto; identificar os riscos e criar o inventário; analisar e avaliar os riscos; tratar os riscos; monitorar, comunicar e evoluir continuamente. 

A proposta neste post é o uso da ISO 31000 para implementar modelos de gestão de incidentes, mas não de transformar a gestão de incidentes em gestão de riscos, se bem que um está contido no outro. Temos usado o framework da ISO 31000 para projetos que não necessariamente sejam de riscos, ela é um caminho legitimo pois além de ser um framework maduro, a norma é um consenso mundial e integrada à legislação brasileira e de outros países.

Dentro deste modelo, a experiência mostra alguns elementos que precisam ser destacados: 

• Um bom inventário é essencial na gestão de incidentes. Possuir informações sobre os ativos envolvidos no incidentes e dos recursos que podem ajudar na solução ajudam na pronta resposta e na ação imediata. O inventário considera a relação dos ativos com sua localização geográfica, os recursos materiais existentes, o telefone das pessoas e fornecedores importantes e várias outras informações;
• Um processo de triagem de informações é fundamental para garantir a qualidade do processo. A triagem é realizada de duas formas: automática através de regras aplicadas ao registro de eventos e incidentes, e manual, através de pessoas que estão analisando as informações e atualizando os parâmetros através de critérios. Imagine uma cidade onde existem milhares de ocorrências por dia e os dirigentes precisem acompanhar as principais demandas. Uma triagem bem implementada garante informações certas às autoridades e decisões melhor embasadas;
• O modelo de triagem deve ser embalado por critérios de classificação. Devem haver critérios para definir os níveis de urgência, severidade, gravidade, relevância, probabilidade e outras variáveis. O critério deve tornar os julgamentos mais objetivos e devem ter os seus parâmetros revistos periodicamente;
• Implementamos normalmente o conceito de painel de controle e tratamos como painel de controle qualquer informação distribuída de forma organizada, desde um gráfico projetado em um centro de operações, até uma mensagem de alerta por SMS. Deve haver um entendimento único do conceito de painel de controle e alguns produtos que tornem eficazes a comunicação e o monitoramento, eu gosto muito do Top 10, no qual cada um sabe os 10 principais eventos que deve tratar;
• É importante haver um critério de decisão que aumente a eficiência da tomada de decisão. Uma decisão será tão boa quanto à qualidade da informação. Se sua gestao de eventos possui dois mil registros, não adianta mandar todos para o decisor, chamo isso de "bola quadrada". A informação para decisão deve ser organizada, correta, parametrizada e hierarquizada;
• O uso de equipamentos móveis aumenta significativamente a produtividade nos dois extremos da pirâmide: são excelentes para recolher informações tanto preventivas quanto durante a ocorrência, além de servirem como instrumento de apoio à decisão. Temos tido ótimas experiências de implementar gestão de riscos em situações nas quais os gestores recebem informações e tomam decisão através de um tablet.

Há muito o que falar sobre o tema, nosso blog está à disposição para evoluir a discussão.

Demos aqui a visão da gestão do ponto de vista dos objetivos de uma organização, o assunto pode ser aprofundado através da norma ISO 22320 - Societal security -- Emergency management -- Requirements for incident response que trata de gestão de emergências, pela ABNT 15999 - Gestão de Continuidade de Negócios (BS 25999) e pela ISO/IEC Guide 51 “Safety Aspects – Guidelines for their inclusion in standards”, norma de 1999, que está sendo revisada e deve ter nova versão publicada em breve.

Aquele abraço,

FNery

Lançado o Cobit 5! Agora podemos falar em Governança de TI

Amigos,

Em posts anteriores comentamos sobre o Cobit 5 que estava em desenvolvimento. Este mês ele foi lançado e está disponível (para membros) no site do ISACA. A nova versão do Cobit 5 é uma grande evolução, integrando e evoluindo o Cobit 4.1 (bom framework), o VAL IT (modelo confuso) e o Risk IT (que não ganhou espaço), e um ótimo um framework que finalmente pode ser classificado como Governança de TI, o que é evidenciado no seu título ("COBIT 5: A Business Framework for the Governance and Management of Enterprise IT"), lembrem que falamos da diferença entre governança e gestão em outro post.

Tenho dito que GRC e Monitoramento Contínuo são temas para quem gosta de ler, o Cobit 5 reforça isso e oferece uma série de documentos, entre eles um tool kit, bem legal!

O Cobit 5 tem 5 princípios:

 

e sete capacitadores:

Fortalecendo a tendência de convergência dos frameworks e modelos cíclicos, o Isaca disponibiliza para todos apresentações interessantes:

• Introcução (Fala da ISO 38500, ponto para o ISACA! 1x0);
• Sumário Executivo;
• Framework overview;
• 5 fatos essanciais;
• Cobit 5 e segurança da informação (não fala da ISO 27001/2, falha do ISACA! 1x1);
• Cobit 5 e GRC (fala do Red Book da OCEG, ponto para o ISACA!2x1);

A equipe do Isaca e os colaboradores fizeram um ótimo trabalho.

Vale investir o tempo estudando o Cobit 5: agora a Governança de TI se aproximou da Governança Corporativa!

Aqueles que quiserem trocar idéias podem ficar à vontade de usar os comentários ou mandar email.

Aquele abraço,

FNery