Cinco coisas que você precisa saber sobre gerenciamento de riscos
Veja como ser um gestor de risco inteligente, capaz de ajudar sua organização sabiamente tomar os riscos em oportunidades lucrativas.
Elizabeth Heichler , CIO/EUA
Faz tempo que a gestão de riscos deixou de ser uma novidade para os líderes empresariais. Nunca se falou tanto em riscos no ambiente corporativo e já é bastante improvável encontrar um tomador de decisão que não tenha pelo menos noção dos estragos que possam ser causados à sua corporação por um tratamento inadequado de situações potencialmente perigosas, sejam de natureza financeira, operacional ou estratégica.
Espionagem comercial. Conformidade. Pouco tempo. Swaps de crédito(credit-default swap, ou CDS). Riscos estão em toda parte e se você está apenas tentando minimizá-los dentro em TI, você está perdendo o foco.
Em vez disso, aprenda a ser um gestor de risco inteligente, capaz de ajudar sua organização sabiamente tomar os riscos em oportunidades lucrativas.
1. Coloque a casa em ordem primeiro
Você certamente identifica e planeja os eventos que podem afetar a sua capacidade de fornecer uma infraestrutura tecnológica estável, disponível, protegida e recuperável. Mas você tem que olhar além do risco que invade diretamente a sua seara, tais como violações de rede ou violações de dados, e ver de forma mais ampla onde a tecnologia pode desempenhar um papel na proteção – ou exposição – dos ativos da organização. “Muitos departamentos de TI só gerenciam os riscos de perímetro, ou perdas de violações de dados, mas ninguém está fazendo nada sobre a propriedade intelectual”, diz Brian Barnier, um conselheiro de risco e principal analista da ValueBridge Advisors, em Norwalk, Connecticut.
2. Não pense só em cumprir a sua obrigação
Sim, a conformidade com as leis setoriais e uma série de outros regulamentos é, obviamente, um pedaço do quebra-cabeça de gestão de risco. Mas não deixe que ela conduza a sua abordagem. “Quando falamos de inteligência de risco, estamos falando que o CIO deve considerar como o núcleo de tecnologia da informação pode contribuir para a garantia de um crescimento sustentável da organização, e entender todas as coisas que a põem em risco”, diz Bill Kobel, da Deloitte & Touche LLP. Pergunte se você tem os profissionais necessários para fazer a tecnologia ficar à frente em seu mercado e não apenas estar compliance. A inteligência em riscos pressupõe estabelecer uma correlação direta entre os riscos que a organização considera aceitável assumir e os seus objetivos de negócios.
3. Gerenciamento de risco empresarial é uma oportunidade de carreira
O CIO está muito bem posicionado para dirigir uma empresa a partir de uma abordagem mais sofisticada para a gestão de risco. Especialmente em empresas que são muito dependentes de TI, o CIO geralmente tem o melhor acesso a informações precisas sobre os pontos críticos do negócio e principalmente sobre o modo como são administrados. “Quanto mais o CIO entende sobre os processos de negócio e as dependências que os negócios têm de TI, mais o CIO pode ser um verdadeiro advogado no board da gestão de risco inteligente”, diz Barnier. As organizações que administram seus riscos com inteligência estão percebendo que certos riscos podem ser tolerados, desde que conhecidos e monitorados pela organização. Essa abordagem pode ajudar o CIO pessoalmente e ajudar sua organização gerar receita mais rentável por assumir riscos onde fazem sentido.
4. Há folhas de fraude
O processo de gerenciamento de riscos deve estar suportado por ferramentas que possibilitem o estabelecimento de critérios para classificar a natureza do risco e a identificação de quais áreas da empresa ou que processos de negócios abrigam esses riscos. Tudo isso implica a necessidade de um modelo de classificação e mensuração. Existem várias estruturas e padrões que podem colocá-lo no caminho para as boas práticas. As mais importantes são a ISACA (o grupo é mais conhecido por COBIT) e a ISO 31000. Mas esteja consciente sobre como aplicá-las, adverte Kobel. Frequentemente, os especialistas de uma empresa entendem diferentes domínios de uma estrutura – como segurança, privacidade, continuidade de negócios, ou conformidade – e o quadro onde será aplicada determinada metodologia, mas negligenciam a forma como o negócio realmente funciona.
O processo de gerenciamento de riscos deve estar suportado por ferramentas que possibilitem o estabelecimento de critérios para classificar a natureza do risco e a identificação de quais áreas da empresa ou que processos de negócios abrigam esses riscos. Tudo isso implica a necessidade de um modelo de classificação e mensuração. Existem várias estruturas e padrões que podem colocá-lo no caminho para as boas práticas. As mais importantes são a ISACA (o grupo é mais conhecido por COBIT) e a ISO 31000. Mas esteja consciente sobre como aplicá-las, adverte Kobel. Frequentemente, os especialistas de uma empresa entendem diferentes domínios de uma estrutura – como segurança, privacidade, continuidade de negócios, ou conformidade – e o quadro onde será aplicada determinada metodologia, mas negligenciam a forma como o negócio realmente funciona.
5. Os bandidos realmente sabem como se alinhar com o seu negócio
Se você não estiver conectando diretamente a gestão de riscos de processos de negócios, fique ciente de que seus adversários estão. Os caras maus estão sondando vulnerabilidades, olhando para o seu comportamento operacional, pontos fracos em seus produtos e serviços, diz Kobel. Precisam descobrir como atacar você, quer através de engenharia social ou através de sua infraestrutura. O mesmo vale para insiders: “Eles têm um conhecimento inato de determinados processos de negócio, ou um conjunto de atividades, e eles começam a navegar através das costuras, para burlar os controles internos e alcançar seus objetivos”, acrescenta. “O que eles estão fazendo é visando o lado do negócio.”
Se você não estiver conectando diretamente a gestão de riscos de processos de negócios, fique ciente de que seus adversários estão. Os caras maus estão sondando vulnerabilidades, olhando para o seu comportamento operacional, pontos fracos em seus produtos e serviços, diz Kobel. Precisam descobrir como atacar você, quer através de engenharia social ou através de sua infraestrutura. O mesmo vale para insiders: “Eles têm um conhecimento inato de determinados processos de negócio, ou um conjunto de atividades, e eles começam a navegar através das costuras, para burlar os controles internos e alcançar seus objetivos”, acrescenta. “O que eles estão fazendo é visando o lado do negócio.”