Sei sulla pagina 1di 8

Gesto Estratgica de Riscos

em 4 passos
By Mdulo Security | Gesto de Riscos | 12 novembro 2013 | 2 Comments
Quando uma organizao, atravs de uma rea especfica de segurana, seja ela da

informao ou no, executa atividades relacionadas a gerenciamento de risco, a finalidade

na maioria dos casos, mitigar e se possvel eliminar os riscos identificados em um

determinado grupo de ativos e produtos. Existem organizaes que possuem averso ao risco

e no aceitam a sua existncia sem o devido tratamento ou transferncia, seja por medo, por

indicaes unilaterais de auditorias (externas ou internas) ou por vises pr-estabelecidas na

organizao.

Este padro de comportamento , muitas vezes, influenciado pela viso de diretores e

gerentes que no avaliam apropriadamente o valor do risco ao negcio, mas a sua rea.

Veja tambm:

Como o mercado brasileiro se comporta diante da crescente ameaa de

ciberataques?

FAA DOWNLOAD: Webinar Gesto de Riscos da Informao para os fortes

Gerencie os riscos de sua empresa

Entretanto, esta atuao perante o risco pode no trazer benefcios ao negcio por estar

desassociado das necessidades organizacionais e deturpar a viso dos riscos que devem ser

aceitos para evoluir, alm dos inerentes ao negcio que, se no forem corretamente

endereados, podem travar a evoluo da organizao e por consequncia, levar a perda de

oportunidades.

Alm destas questes, existe a carncia da viso de mercado do custo do tratamento de

riscos X o acrscimo de valor gerado. Um dos objetivos da Gesto de Riscos agregar

valor ao negcio. O tratamento indevido de riscos pode desvalorizar uma organizao pelo

uso de recursos, muitas vezes, dispendiosos considerando valor e tempo de implementao,

custos operacionais (OPEX) e de capitalizao (CAPEX) considerveis. Estes recursos,

utilizados sem um correto alinhamento ao negcio, na maioria das vezes no geram retorno

ou benefcio real, apenas trazem uma situao de conforto a algumas reas.


Com objetivo de potencializar a Gesto de Riscos de forma estratgica dentro das

organizaes, sugerida uma metodologia de classificao baseada em 4 passos, sempre

apoiada por um comit (em caso de empresas de maior porte) ou dos seus diretores:

1) Inventrio dos riscos


Esta primeira etapa focada na identificao e catalogao dos riscos que a organizao esta

exposta. necessrio pensar em todos os tipos, sem excluir nem o mais trivial deles.

O pensamento inicial deve ser de fora da organizao para dentro. Isso porque os riscos

exgenos so, em sua maioria, inerentes ao negcio, a cultura da regio onde ocorre a

operao da organizao e obviamente os fenmenos naturais locais.

Os riscos endgenos muitas vezes so associados a questes de processo, escolha

estratgica por uma tecnologia em detrimento de outra, questes polticas, conflitos internos,

depreciao de ativos, conscientizao e cooperao dos funcionrios.


Alguns exemplos de riscos comuns so: interrupo da produo, perda de informaes,

interveno de agente regulador, perda de competitividade, interveno fiscal, integridade

fsica de funcionrios, contaminao do produto, impacto ambiental dentre dezenas de outros

que vo possuir mais ou menos influncia em cada organizao e tipo de negcio.

Este processo necessita ser cclico pela constante variao dos riscos e pelo fato de que

alguns deles podem surgir e outros sumir. Quanto maior a variedade de produtos e servios

de uma organizao, maior ser a volatilidade de riscos para os negcios.

Um vetor que de forma recorrente considerado como risco no deveria entrar nesta lista. O

risco de perda financeira. Fao esta colocao pelo fato de que a perda financeira um dos

vetores de deciso para definir o risco como aceitvel ou no.

Risco uma questo estratgica e no apenas tcnica ou setorial; e a perda financeira ser

decorrente da concretizao de um risco e no exclusivamente o evento de perda.

Outro erro comum considerar questes internas conhecidas e cclicas, associadas a

problemas de gesto e falta de investimento, como risco. Se um evento recorrente e a

situao em que ele ocorre conhecida, no se trata de uma incerteza. Por isso, no um

risco, um problema interno, logo, no deve ser transferido para a carga de risco

organizacional.

Aps esta atividade e com o levantamento dos riscos aprovado internamente, inicia-se outra

etapa do processo que a categorizao dos riscos.

2) Categorizao dos Riscos e Agentes


Nesta fase da Gesto de Riscos feito o relacionamento entre os riscos e os tipos de

impacto. Este processo visa facilitar a deciso para definir o que ser tratado, transferido ou

aceito. Recomenda-se a definio de classes de impacto em grupos associados aos seguintes

critrios:

Riscos especficos do negcio: Toda atividade tem riscos inerentes, estes riscos no so

exclusivos de uma empresa do setor farmacutico, telecomunicaes, minerao ou qumico.

So, como o nome sugere, riscos do negcio e so aplicados a todas as empresas do setor.

Algumas estaro mais ou menos expostas, mas o risco em si ser o mesmo. Alguns exemplos

so questes relacionadas regulamentao, novo concorrente, polticas governamentais,


espionagem industrial, etc.

Riscos operacionais: So os riscos tecnolgicos, de procedimentos e infraestrutura da

organizao. A maioria destes riscos endgena e suas origens so, normalmente,

associadas s escolhas, culturas e processos internos. Seus impactos podem causar desde

interrupo do servio ou linha de produo at a degradao da qualidade dos servios sem

grandes impactos.

Riscos improvveis: Existem diversos riscos que, dependendo da situao poltica e

geogrfica do local de operao da organizao no so considerados factveis no momento,

mas necessitam ser pontuados para avaliaes e consideraes. As constantes variaes

climticas e flutuaes cambiais so exemplos reais destes cenrios assim como grandes

movimentos populares e intervenes polticas no setor. Exemplos deste tipo de cenrio so

tornados como o ocorrido recentemente no interior de So Paulo, o tsunami da Indonsia,

crises poltico/financeira dos EUA, interveno do governo na regra de faturamento

energtico. Para algumas empresas, tratar alguns destes riscos internamente proibitivo pelo

custo que pode superar o valor da organizao e isso necessita ser conhecido internamente.

A forma mais comum de tratamento para estes cenrios transferncia por intermdio de

seguradoras.

Com os riscos categorizados necessrio especificar os vetores que podem explor-los,

normalmente chamados de agentes ou agentes de risco. Eles podem estar associados a

diversos riscos.

Essa atividade consome um tempo considervel e sempre que for revista, alteraes de

algum tipo nos agentes sero consideradas. O processo se resume em duas etapas:

Pensar em todos os possveis vetores (agentes) durante um tempo pr-determinado com

gestores e especialistas dos servios e infraestruturas da organizao;

Associar os vetores (agentes) aos riscos. Nesta etapa comum surgirem sugestes para

novos vetores. A recomendao no acrescent-los neste momento, mas registrar a

situao e verificar se o mesmo vetor ou equivalente ser pontuado para outros riscos e aps

o processo deliberar pela sua incluso ou no na anlise.

Com os riscos categorizados necessrio especificar o que torna um risco inaceitvel,

mitigvel, transfervel ou aceitvel. A prxima etapa estruturar uma matriz de risco para
estabelecer estes valores, sejam eles financeiros, jurdicos, mercado, produto ou de outra

categoria pertinente ao negcio.

3) Matriz de Risco
Esta uma etapa que pode ser concluda rapidamente ou levar vrios dias. Tudo vai depender

da quantidade de produtos e servios oferecidos associados ao grau de conhecimento e

comprometimento dos gestores junto organizao.

Podero existir situaes onde um risco aceitvel para uma rea e inaceitvel para outra.

Quando esse cenrio ocorre, pode ser por influncia de alguns critrios tais como:

Desconhecimento do funcionamento operacional;

Falta de alinhamento com os riscos do negcio;

Impacto em metas de diretoria;

Disputas internas, sejam elas polticas ou no;

Interesses exclusivos de uma rea;

Falta de foco no valor organizacional.

Esta parte do processo essencial para o correto alinhamento sobre os critrios que, aps a

execuo da anlise de risco, colocaro um risco como aceitvel, transfervel, mitigvel ou

inaceitvel.

A forma de estruturar a matriz particular de cada organizao. O importante que todos

entendam seu processo de classificao e os critrios. Porm, cabe uma observao: quanto

maior for o nmero de opes, mais complicado ser para classificar cada risco identificado.

Em contra partida, uma quantidade muito reduzida de opes pode causar problemas de

definio da priorizao dos riscos. O ideal identificar o meio termo entre a granularidade e

a simplicidade.

Um exemplo de classificao pode ser este: um determinado sistema de TI, aps ser

analisado e classificado na matriz de risco com impacto na interrupo de um produto da

organizao, mas que TI consegue, no pior caso, restabelec-lo em 8 horas, tem o seu

impacto classificado da seguinte forma:


financeiro aceitvel;

jurdico aceitvel;

TI inaceitvel;

marketshare mitigvel por campanhas de marketing e de CRC.

O custo operacional de TI, para o exemplo, considerado alto e deveria ser tratado para

fornecer maior segurana operacional, porm esta no uma viso compartilhada pelas

outras reas.

Seguindo no exemplo, a implementao de duplicao do sistema ou de redundncias tem

um custo de CAPEX inicial que pode ser justificvel como investimento, mas ele incorre em

mais ambientes para supervisionar e em mo de obra que pode impactar no headcount,

ambos gerando maior OPEX e por consequncia impactam na margem de lucro, sem agregar

valor real; o jurdico lida com as eventuais aes pontualmente. Para as outras reas, no

considerado um impacto significativo ento, qual o impacto para a organizao? Neste caso o

nvel de impacto de marketshare tolervel estabelecido na matriz que deve direcionar esta

resposta.

Considerando que a resposta gerada por Marketshare o tratamento do risco por meio de

aes de mitigao interna, como proceder? Existem vrias formas que variam desde a

implementao de tecnologia a mudanas procedurais.

4) Tratamento do risco
Esta uma fase crtica do processo onde todas as gerncias devem fazer uma avaliao

autocrtica da sua participao nos riscos pontuados no servio e na mitigao ou eliminao

dos mesmos.

Existem organizaes que ainda no visualizam o processo desta forma. Este um problema

de conscientizao e de valores da organizao. Em alguns casos a prpria organizao

possui sua parcela de culpa ao impor metas conflitantes entre reas.

Em diversos cenrios, costuma ser mais prtico, barato e com o mesmo retorno financeiro

alterar o modus operandi das reas impactantes e reestruturar os processos internos do que

alterar a tecnologia, que muito mais caro, apesar de parecer mais fcil e com maior
exposio pelo valor de capitalizao (CAPEX). Esse pode ser um ciclo vicioso gerador de

grandes impactos estratgicos e operacionais no futuro.

O problema existente na primeira opo apresentada acima, o fato de reestruturao de

processos e do modus operandi ser comumente considerado um custo de OPEX. Por isso, na

viso financeira de mercado, no agrega valor de forma direta a organizao.

Um exemplo comum deste tipo de risco so as infraestruturas de backup. Existem empresas

que mantm ativos e ambientes de mdio e grande porte para armazenar dados na planta

viva por mais de 10 anos. Na maioria dos casos, isso ocorre pela falta de processos ou

controles adequados e situao de conforto das reas em transferir a responsabilidade para

TI, que investe montantes significativos na sua infraestrutura; por sua vez aumenta o tempo

de restaurao da informao gerando maior custo de manuteno de robs e banco de fitas;

aumentando por consequncia o valor futuro para reposio aps os equipamentos atingirem

o fim de vida; por consequncia aumenta o espao fsico alocado no Data Center, onde

associado a isso aumenta o foot print secundrio de carbono do Data Center. Ou seja um

problema interno transformado em um risco operacional com efeito domin que afeta vrios

setores da organizao, inclusive alguns que podem ser estratgicos como o ISE (ndice de

Sustentabilidade Empresarial) e a capacidade de DRP (Disaster Recovery Plan).

Concluso

Utilizar uma viso exclusivamente financeira para definir o valor dos riscos e do seu

tratamento ou utilizar a metodologia padro de valorao de uma empresa de capital aberto,

que considera OPEX como despesa e CAPEX como investimento na viso pura e simples de

mercado, tende a no ser a melhor opo.

Para elevar o potencial do tratamento do risco, vlido estruturar uma viso onde so

apresentadas as possveis perdas e ganhos com os diversos cenrios considerando os

investimentos de OPEX e CAPEX associados e dos impactos financeiros futuros avaliados em

ambas as escolhas. Focalizar os dados apenas em perdas dificulta a correta tratativa e

escolha da opo mais adequada ao negcio.

Referncias
Damodaran, Aswath. Strategic Risk Taking: A Framework For Risk Management. Second

Edition. Austrlia: Pearson Education, 2008

ISO 31000

ITIL