risk

Autor: André Dutra

Quando uma organização, através de uma área específica de segurança, seja ela da informação ou não, executa atividades relacionadas a gerenciamento de risco, a finalidade na maioria dos casos, é mitigar e se possível eliminar os riscos identificados em um determinado grupo de ativos e produtos. Existem organizações que possuem aversão ao risco e não aceitam a sua existência sem o devido tratamento ou transferência, seja por medo, por indicações unilaterais de auditorias (externas ou internas) ou por visões preestabelecidas na organização.

Este padrão de comportamento é, muitas vezes, influenciado pela visão de diretores e gerentes que não avaliam apropriadamente o valor do risco ao negócio, mas a sua área.

Entretanto, esta atuação perante o risco pode não trazer benefícios ao negócio por estar desassociado das necessidades organizacionais e deturpar a visão dos riscos que devem ser aceitos para evoluir, além dos inerentes ao negócio que, se não forem corretamente endereçados, podem travar a evolução da organização e por consequência, levar a perda de oportunidades.

Além destas questões, existe a carência da visão de mercado do “custo do tratamento de riscos” X “o acréscimo de valor gerado”. Um dos objetivos da Gestão de Riscos é agregar valor ao negócio. O tratamento indevido de riscos pode desvalorizar uma organização pelo uso de recursos, muitas vezes, dispendiosos considerando valor e tempo de implementação, custos operacionais (OPEX) e de capitalização (CAPEX) consideráveis. Estes recursos, utilizados sem um correto alinhamento ao negócio, na maioria das vezes não geram retorno ou benefício real, apenas trazem uma situação de “conforto” a algumas áreas.

Com objetivo de potencializar a Gestão de Riscos de forma estratégica dentro das organizações, é sugerida uma metodologia de classificação baseada em 4 passos, sempre apoiada por um comitê (em caso de empresas de maior porte) ou dos seus diretores:

ciclo ERM

1) Inventário dos riscos
Esta primeira etapa é focada na identificação e catalogação dos riscos que a organização esta exposta. É necessário pensar em todos os tipos, sem excluir nem o mais trivial deles.
O pensamento inicial deve ser de fora da organização para dentro. Isso porque os riscos exógenos são, em sua maioria, inerentes ao negócio, a cultura da região onde ocorre a operação da organização e obviamente os fenômenos naturais locais.
Os riscos endógenos muitas vezes são associados a questões de processo, escolha estratégica por uma tecnologia em detrimento de outra, questões políticas, conflitos internos, depreciação de ativos, conscientização e cooperação dos funcionários.
Alguns exemplos de riscos comuns são: interrupção da produção, perda de informações, intervenção de agente regulador, perda de competitividade, intervenção fiscal, integridade física de funcionários, contaminação do produto, impacto ambiental dentre dezenas de outros que vão possuir mais ou menos influência em cada organização e tipo de negócio.
Este processo necessita ser cíclico pela constante variação dos riscos e pelo fato de que alguns deles podem surgir e outros sumir. Quanto maior a variedade de produtos e serviços de uma organização, maior será a volatilidade de riscos para os negócios.
Um vetor que de forma recorrente é considerado como risco não deveria entrar nesta lista. O “risco” de perda financeira. Faço esta colocação pelo fato de que a perda financeira é um dos vetores de decisão para definir o risco como aceitável ou não.
Risco é uma questão estratégica e não apenas técnica ou setorial; e a perda financeira será decorrente da concretização de um risco e não exclusivamente o evento de perda.
Outro erro comum é considerar questões internas conhecidas e cíclicas, associadas a problemas de gestão e falta de investimento, como risco. Se um evento é recorrente e a situação em que ele ocorre é conhecida, não se trata de uma incerteza. Por isso, não é um risco, é um problema interno, logo, não deve ser transferido para a carga de risco organizacional.
Após esta atividade e com o levantamento dos riscos aprovado internamente, inicia-se outra etapa do processo que é a categorização dos riscos.

2) Categorização dos Riscos e Agentes
Nesta fase da Gestão de Riscos é feito o relacionamento entre os riscos e os tipos de impacto. Este processo visa facilitar a decisão para definir o que será tratado, transferido ou aceito. Recomenda-se a definição de classes de impacto em grupos associados aos seguintes critérios:
• Riscos específicos do negócio: Toda atividade tem riscos inerentes, estes riscos não são exclusivos de uma empresa do setor farmacêutico, telecomunicações, mineração ou químico. São, como o nome sugere, riscos do negócio e são aplicados a todas as empresas do setor. Algumas estarão mais ou menos expostas, mas o risco em si será o mesmo. Alguns exemplos são questões relacionadas à regulamentação, novo concorrente, políticas governamentais, espionagem industrial, etc.
• Riscos operacionais: São os riscos tecnológicos, de procedimentos e infraestrutura da organização. A maioria destes riscos é endógena e suas origens são, normalmente, associadas às escolhas, culturas e processos internos. Seus impactos podem causar desde interrupção do serviço ou linha de produção até a degradação da qualidade dos serviços sem grandes impactos.
• Riscos improváveis: Existem diversos riscos que, dependendo da situação política e geográfica do local de operação da organização não são considerados factíveis no momento, mas necessitam ser pontuados para avaliações e considerações. As constantes variações climáticas e flutuações cambiais são exemplos reais destes cenários assim como grandes movimentos populares e intervenções políticas no setor. Exemplos deste tipo de cenário são tornados como o ocorrido recentemente no interior de São Paulo, o tsunami da Indonésia, crises político/financeira dos EUA, intervenção do governo na regra de faturamento energético. Para algumas empresas, tratar alguns destes riscos internamente é proibitivo pelo custo que pode superar o valor da organização e isso necessita ser conhecido internamente. A forma mais comum de tratamento para estes cenários é transferência por intermédio de seguradoras.
Com os riscos categorizados é necessário especificar os vetores que podem explorá-los, normalmente chamados de agentes ou agentes de risco. Eles podem estar associados a diversos riscos.
Essa atividade consome um tempo considerável e sempre que for revista, alterações de algum tipo nos agentes serão consideradas. O processo se resume em duas etapas:
• Pensar em todos os possíveis vetores (agentes) durante um tempo pré-determinado com gestores e especialistas dos serviços e infraestruturas da organização;
• Associar os vetores (agentes) aos riscos. Nesta etapa é comum surgirem sugestões para novos vetores. A recomendação é não acrescentá-los neste momento, mas registrar a situação e verificar se o mesmo vetor ou equivalente será pontuado para outros riscos e após o processo deliberar pela sua inclusão ou não na análise.
Com os riscos categorizados é necessário especificar o que torna um risco inaceitável, mitigável, transferível ou aceitável. A próxima etapa é estruturar uma matriz de risco para estabelecer estes valores, sejam eles financeiros, jurídicos, mercado, produto ou de outra categoria pertinente ao negócio.

3) Matriz de Risco
Esta é uma etapa que pode ser concluída rapidamente ou levar vários dias. Tudo vai depender da quantidade de produtos e serviços oferecidos associados ao grau de conhecimento e comprometimento dos gestores junto à organização.
Poderão existir situações onde um risco é aceitável para uma área e inaceitável para outra. Quando esse cenário ocorre, pode ser por influência de alguns critérios tais como:
• Desconhecimento do funcionamento operacional;
• Falta de alinhamento com os riscos do negócio;
• Impacto em metas de diretoria;
• Disputas internas, sejam elas políticas ou não;
• Interesses exclusivos de uma área;
• Falta de foco no valor organizacional.
Esta parte do processo é essencial para o correto alinhamento sobre os critérios que, após a execução da análise de risco, colocarão um risco como aceitável, transferível, mitigável ou inaceitável.
A forma de estruturar a matriz é particular de cada organização. O importante é que todos entendam seu processo de classificação e os critérios. Porém, cabe uma observação: quanto maior for o número de opções, mais complicado será para classificar cada risco identificado. Em contra partida, uma quantidade muito reduzida de opções pode causar problemas de definição da priorização dos riscos. O ideal é identificar o meio termo entre a granularidade e a simplicidade.
Um exemplo de classificação pode ser este: um determinado sistema de TI, após ser analisado e classificado na matriz de risco com impacto na interrupção de um produto da organização, mas que TI consegue, no pior caso, restabelecê-lo em 8 horas, tem o seu impacto classificado da seguinte forma:
• financeiro aceitável;
• jurídico aceitável;
• TI inaceitável;
• marketshare mitigável por campanhas de marketing e de CRC.
O custo operacional de TI, para o exemplo, é considerado alto e deveria ser tratado para fornecer maior segurança operacional, porém esta não é uma visão compartilhada pelas outras áreas.
Seguindo no exemplo, a implementação de duplicação do sistema ou de redundâncias tem um custo de CAPEX inicial que pode ser justificável como investimento, mas ele incorre em mais ambientes para supervisionar e em mão de obra que pode impactar no headcount, ambos gerando maior OPEX e por consequência impactam na margem de lucro, sem agregar valor real; o jurídico lida com as eventuais ações pontualmente. Para as outras áreas, não é considerado um impacto significativo então, qual o impacto para a organização? Neste caso o nível de impacto de marketshare tolerável estabelecido na matriz é que deve direcionar esta resposta.
Considerando que a resposta gerada por Marketshare é o tratamento do risco por meio de ações de mitigação interna, como proceder? Existem várias formas que variam desde a implementação de tecnologia a mudanças procedurais.

4) Tratamento do risco
Esta é uma fase crítica do processo onde todas as gerências devem fazer uma avaliação autocrítica da sua participação nos riscos pontuados no serviço e na mitigação ou eliminação dos mesmos.
Existem organizações que ainda não visualizam o processo desta forma. Este é um problema de conscientização e de valores da organização. Em alguns casos a própria organização possui sua parcela de culpa ao impor metas conflitantes entre áreas.
Em diversos cenários, costuma ser mais prático, barato e com o mesmo retorno financeiro alterar o modus operandi das áreas impactantes e reestruturar os processos internos do que alterar a tecnologia, que é muito mais caro, apesar de parecer mais fácil e com maior exposição pelo valor de capitalização (CAPEX). Esse pode ser um ciclo vicioso gerador de grandes impactos estratégicos e operacionais no futuro.
O “problema” existente na primeira opção apresentada acima, é o fato de reestruturação de processos e do modus operandi ser comumente considerado um custo de OPEX. Por isso, na visão financeira de mercado, não agrega valor de forma direta a organização.
Um exemplo comum deste tipo de risco são as infraestruturas de backup. Existem empresas que mantêm ativos e ambientes de médio e grande porte para armazenar dados na planta viva por mais de 10 anos. Na maioria dos casos, isso ocorre pela falta de processos ou controles adequados e situação de conforto das áreas em transferir a responsabilidade para TI, que investe montantes significativos na sua infraestrutura; por sua vez aumenta o tempo de restauração da informação gerando maior custo de manutenção de robôs e banco de fitas; aumentando por consequência o valor futuro para reposição após os equipamentos atingirem o fim de vida; por consequência aumenta o espaço físico alocado no Data Center, onde associado a isso aumenta o foot print secundário de carbono do Data Center. Ou seja um problema interno é transformado em um risco operacional com efeito dominó que afeta vários setores da organização, inclusive alguns que podem ser estratégicos como o ISE (Índice de Sustentabilidade Empresarial) e a capacidade de DRP (Disaster Recovery Plan).

Conclusão

Utilizar uma visão exclusivamente financeira para definir o valor dos riscos e do seu tratamento ou utilizar a metodologia padrão de valoração de uma empresa de capital aberto, que considera OPEX como despesa e CAPEX como investimento na visão pura e simples de mercado, tende a não ser a melhor opção.
Para elevar o potencial do tratamento do risco, é válido estruturar uma visão onde são apresentadas as possíveis perdas e ganhos com os diversos cenários considerando os investimentos de OPEX e CAPEX associados e dos impactos financeiros futuros avaliados em ambas as escolhas. Focalizar os dados apenas em perdas dificulta a correta tratativa e escolha da opção mais adequada ao negócio.

Fonte: Módulo