Resultados


Gestão de Riscos de Processos de Negócios: A Literatura

A área de BPM tem sido identificada como um das questões principais em gestão de negócios (Harmon 2003). O termo Business Process Management (ou BPM) refere-se a um conjunto de atividades as quais as organizações podem realizar, tanto para otimizar seus processos de negócio quanto para adaptá-los a novas necessidades organizacionais. Os processos de negócio de uma organização podem ser vistos como um local onde os riscos se materializam, onde a informação é gerada e usada e onde as atividades de controles são conduzidas.

Existe uma relação estreita entre processos de negócio e riscos. Por um lado, a gestão de riscos pode ser vista como um processo de negócio, isto é, diferentes estágios de um ciclo de vida de um risco formam processos de negócio, os quais requerem gestão. Por outro lado, o risco é um importante fenômeno de negócio, o qual deve ser considerado no (re)projeto de processos de negócio. Embora exista essa relação tão próxima, as comunidades de processos e gestão de riscos são grupos separados, com diferentes agendas de pesquisa e metodologias (zur Muellen & Rosemann 2005).

O propósito da gestão de riscos é “reduzir ou neutralizar riscos em potencial e simultaneamente oferecer oportunidades para melhorias sobre a sua performance.” (Ward & Chapman 1994, p.23). O framework geral de gestão de riscos é composto de três fases de ação principais: identificação, análise e controle (Kliem 2000). Os riscos são causados por várias incertezas. Logo, não é fácil modelar frameworks de riscos de uma maneira precisa. Uma maneira de fazer isso é caracterizar riscos usando propriedades como impacto, probabilidade, tempo de ocorrência e combinando-os com outros riscos (Gemmer 1997). Como riscos são comumente associados com resultados negativos (March et al. 1987), a distinção entre riscos e problemas, geralmente, não é muito clara. O risco não é necessariamente um problema, mas um “problema em potencial” que talvez seja resultado de uma tomada de decisão em particular (Charette 1990).

No contexto de BPM, o risco tem sido entendido como um fator em gestão de projetos relacionado a processos. Uma exceção é o estudo de caso realizado por Ballou (et al. 2000) Os autores discutem riscos a nível de processos de negócio, mas seus estudos sobre processos permanecem em um alto nível de abstração e o risco é tratado sob uma perspectiva financeira e geral de riscos de negócio, enquanto riscos operacionais, a nível de atividades, não são comentados.

Suh and Han (2003) propõem o uso de decomposição funcional e o Processo de Hierarquia Analítica para identificar negócios relacionados a riscos em infraestruturas de sistemas de informação (SI) de uma organização. Eles usam um modelo funcional de operações de negócios como uma diretriz para avaliar a criticidade de componentes individuais de IS. Essa visão tradicional de uma organização não é aplicável para componentes interfuncionais que podem apoiar funções de negócios múltiplas e ela não apóia a visão de operações de negócios orientada a processos.

Yu et al. (1999) discute diferentes modelos para estudar possíveis modos de falha, seus efeitos e suas criticidades. Ele lista o método Risk Priority Number (RPN) e um método de dimensionar os custos esperados como adequados para determinar riscos relacionados a processos. Baseado em procedimentos operacionais manuais, os autores apresentam uma técnica de análise crítica de falhas humanas que permite a verificação dessas possíveis falhas em um dado processo de negócio. Essa técnica de análise leva a uma árvore de erros e às suas probabilidades, mas não integra com outras técnicas de modelos conceituais.

Um framework sobre controles influente, que relaciona gestão de riscos com processos de negócio e com controles internos é o COBIT - particularmente, em sua versão mais recente (COBIT 4.0 in ITGI 2005) e na aplicação específica do framework para compliance com a Sarbanes-Oxley (ITGI 2004). O framework COBIT para gestão de riscos de compliance e de controles foca-se, especificamente, em aplicações de controles gerais e em larga escala que são relacionados a processos de negócio como manufatura, vendas e logística.

Isso indica, claramente, a demanda por modelos mais conceituais em relação aos princípios de gestão de processos de riscos. Existe uma necessidade para integrar o risco com arquiteturas de empresas estabelecidas, técnicas e ferramentas de modelagem de processos. Além disso, existe uma necessidade para desenvolver arquiteturas técnicas para riscos – isto é, a integração de todos os sistemas de gestão de riscos em uma única solução holística. Isso ainda não tem sido abordado na literatura.