William Bini, IT Internal Auditor da Dataprev, destaca em seu artigo a importância da alta administração apoiar os processos de gestão de risco, uma missão que vem sendo muito discutida entre os C-Levels de Segurança Cibernética, em que os gestores de TI e Segurança estão alinhados ao negócio, e vice e versa.

Hoje podemos dizer que o mercado empresarial passa pelo que chamamos de VUCA em inglês, VICA em português, uma sigla utilizada para descrever a volatilidade (volatility), a incerteza (uncertainty), a complexidade (complexity) e a ambiguidade (ambiguity) nos ambiente e situações de negócios. Dessa forma, não se pode dogmatizar a estratégia empresarial e ou o propósito da organização, tem-se que estar em constante inovação, se reinventando o tempo todo, em movimento constante.
Face ao cenário VUCA, torna-se imperativo para uma gestão eficiente e eficaz das empresas a existência de processo estruturado de Gestão de Riscos Corporativos, capaz de subsidiar a Alta Administração na definição das estratégias de negócios, bem como na compreensão, em especial, das características e sintomas das mudanças de mercado, dos riscos emergentes e disruptivos que podem vir a impactar massivamente os serviços e produtos em que os líderes e suas empresas estão inseridos, antecipando, desta forma, ameaças e oportunidades.
O COSO ERM 2017, por exemplo, em sua última versão, agora intitulada Gerenciamento dos Riscos Corporativos – Integrado com Estratégia e Performance, ressalta a importância de se considerar o risco tanto no processo de definição das estratégias como na melhoria da performance, elevando oficialmente, o gerenciamento de riscos corporativo para o nível estratégico das empresas.
A figura abaixo demonstra a importância de ter uma definição de objetivos estratégicos alinhados com a missão, visão e valores da empresa para o fortalecimento de seu desempenho, o qual pode ser afetado devido a existência dos seguintes pontos:
· Possibilidade de desalinhamento entre a estratégia e a missão, a visão e os valores fundamentais da organização.
· Outro ponto importante são as implicações da estratégia escolhida. Neste quesito é avaliar se a estratégia está alinhada com o apetite ao risco da organização e como ela direcionará a organização a definir objetivos e alocar recursos com eficiência.
A falta desse alinhamento potencializa o risco da organização de não gerar valor às partes interessadas, podendo comprometer, por exemplo, a consecução dos objetivos e desgastar o valor existente.
Conclusão
Definir uma estratégia empresarial implica fazer escolhas e aceitar “trade-offs”. Sendo assim, a definição de uma estratégia demanda um processo decisório robusto e bem estruturado, que gerencie os riscos e alinhe os recursos com a missão, visão e valores fundamentais da organização.
A Alta Administração tem como responsabilidade definir o apetite a risco, além de supervisionar para que este apetite a risco seja base para a definição da estratégia da organização.
Todos devem apoiar o processo de Gestão de Riscos Corporativos, em particular a Alta Administração.
* William Bini é IT Internal Auditor da Dataprev, bacharel em Tecnologia da Informação pela Universidade da Cidade e possui pós-graduação em Gestão da Segurança da Informação pela Universidade Gama Filho
Fonte: Security Report