Escolar Documentos
Profissional Documentos
Cultura Documentos
Gestão Estratégica de Riscos em 4 Passos
Gestão Estratégica de Riscos em 4 Passos
Riscos em 4 passos
By Módulo Security | Gestão de Riscos | 12 novembro 2013 | 2 Comments
Quando uma organização, através de uma área específica de segurança, seja ela da informação ou não,
executa atividades relacionadas a gerenciamento de risco, a finalidade na maioria dos casos, é mitigar e
organizações que possuem aversão ao risco e não aceitam a sua existência sem o devido tratamento ou
transferência, seja por medo, por indicações unilaterais de auditorias (externas ou internas) ou por visões
pré-estabelecidas na organização.
Este padrão de comportamento é, muitas vezes, influenciado pela visão de diretores e gerentes que não
Veja também:
Entretanto, esta atuação perante o risco pode não trazer benefícios ao negócio por estar desassociado das
necessidades organizacionais e deturpar a visão dos riscos que devem ser aceitos para evoluir, além dos
inerentes ao negócio que, se não forem corretamente endereçados, podem travar a evolução da
Além destas questões, existe a carência da visão de mercado do “custo do tratamento de riscos” X “o
acréscimo de valor gerado”. Um dos objetivos da Gestão de Riscos é agregar valor ao negócio. O
tratamento indevido de riscos pode desvalorizar uma organização pelo uso de recursos, muitas vezes,
capitalização (CAPEX) consideráveis. Estes recursos, utilizados sem um correto alinhamento ao negócio,
na maioria das vezes não geram retorno ou benefício real, apenas trazem uma situação de “conforto” a
algumas áreas.
Com objetivo de potencializar a Gestão de Riscos de forma estratégica dentro das organizações, é
sugerida uma metodologia de classificação baseada em 4 passos, sempre apoiada por um comitê (em caso
necessário pensar em todos os tipos, sem excluir nem o mais trivial deles.
O pensamento inicial deve ser de fora da organização para dentro. Isso porque os riscos exógenos são, em
sua maioria, inerentes ao negócio, a cultura da região onde ocorre a operação da organização e
Alguns exemplos de riscos comuns são: interrupção da produção, perda de informações, intervenção de
contaminação do produto, impacto ambiental dentre dezenas de outros que vão possuir mais ou menos
Este processo necessita ser cíclico pela constante variação dos riscos e pelo fato de que alguns deles
podem surgir e outros sumir. Quanto maior a variedade de produtos e serviços de uma organização, maior
Um vetor que de forma recorrente é considerado como risco não deveria entrar nesta lista. O “risco” de
perda financeira. Faço esta colocação pelo fato de que a perda financeira é um dos vetores de decisão para
Risco é uma questão estratégica e não apenas técnica ou setorial; e a perda financeira será decorrente da
Outro erro comum é considerar questões internas conhecidas e cíclicas, associadas a problemas de gestão
e falta de investimento, como risco. Se um evento é recorrente e a situação em que ele ocorre é conhecida,
não se trata de uma incerteza. Por isso, não é um risco, é um problema interno, logo, não deve ser
Após esta atividade e com o levantamento dos riscos aprovado internamente, inicia-se outra etapa do
processo visa facilitar a decisão para definir o que será tratado, transferido ou aceito. Recomenda-se a
uma empresa do setor farmacêutico, telecomunicações, mineração ou químico. São, como o nome sugere,
riscos do negócio e são aplicados a todas as empresas do setor. Algumas estarão mais ou menos expostas,
mas o risco em si será o mesmo. Alguns exemplos são questões relacionadas à regulamentação, novo
maioria destes riscos é endógena e suas origens são, normalmente, associadas às escolhas, culturas e
processos internos. Seus impactos podem causar desde interrupção do serviço ou linha de produção até a
• Riscos improváveis: Existem diversos riscos que, dependendo da situação política e geográfica do local
de operação da organização não são considerados factíveis no momento, mas necessitam ser pontuados
para avaliações e considerações. As constantes variações climáticas e flutuações cambiais são exemplos
reais destes cenários assim como grandes movimentos populares e intervenções políticas no setor.
Exemplos deste tipo de cenário são tornados como o ocorrido recentemente no interior de São Paulo, o
tsunami da Indonésia, crises político/financeira dos EUA, intervenção do governo na regra de faturamento
energético. Para algumas empresas, tratar alguns destes riscos internamente é proibitivo pelo custo que
pode superar o valor da organização e isso necessita ser conhecido internamente. A forma mais comum de
Com os riscos categorizados é necessário especificar os vetores que podem explorá-los, normalmente
chamados de agentes ou agentes de risco. Eles podem estar associados a diversos riscos.
Essa atividade consome um tempo considerável e sempre que for revista, alterações de algum tipo nos
• Pensar em todos os possíveis vetores (agentes) durante um tempo pré-determinado com gestores e
• Associar os vetores (agentes) aos riscos. Nesta etapa é comum surgirem sugestões para novos vetores. A
recomendação é não acrescentá-los neste momento, mas registrar a situação e verificar se o mesmo vetor
ou equivalente será pontuado para outros riscos e após o processo deliberar pela sua inclusão ou não na
análise.
Com os riscos categorizados é necessário especificar o que torna um risco inaceitável, mitigável,
transferível ou aceitável. A próxima etapa é estruturar uma matriz de risco para estabelecer estes valores,
sejam eles financeiros, jurídicos, mercado, produto ou de outra categoria pertinente ao negócio.
3) Matriz de Risco
Esta é uma etapa que pode ser concluída rapidamente ou levar vários dias. Tudo vai depender da
Poderão existir situações onde um risco é aceitável para uma área e inaceitável para outra.
Quando esse cenário ocorre, pode ser por influência de alguns critérios tais como:
Esta parte do processo é essencial para o correto alinhamento sobre os critérios que, após a execução da
A forma de estruturar a matriz é particular de cada organização. O importante é que todos entendam seu
processo de classificação e os critérios. Porém, cabe uma observação: quanto maior for o número de
opções, mais complicado será para classificar cada risco identificado. Em contra partida, uma quantidade
muito reduzida de opções pode causar problemas de definição da priorização dos riscos. O ideal é
classificado na matriz de risco com impacto na interrupção de um produto da organização, mas que TI
consegue, no pior caso, restabelecê-lo em 8 horas, tem o seu impacto classificado da seguinte forma:
• financeiro aceitável;
• jurídico aceitável;
• TI inaceitável;
O custo operacional de TI, para o exemplo, é considerado alto e deveria ser tratado para fornecer maior
segurança operacional, porém esta não é uma visão compartilhada pelas outras áreas.
CAPEX inicial que pode ser justificável como investimento, mas ele incorre em mais ambientes para
supervisionar e em mão de obra que pode impactar no headcount, ambos gerando maior OPEX e por
consequência impactam na margem de lucro, sem agregar valor real; o jurídico lida com as eventuais
ações pontualmente. Para as outras áreas, não é considerado um impacto significativo então, qual o
impacto para a organização? Neste caso o nível de impacto de marketshare tolerável estabelecido na
Considerando que a resposta gerada por Marketshare é o tratamento do risco por meio de ações de
mitigação interna, como proceder? Existem várias formas que variam desde a implementação de
4) Tratamento do risco
Esta é uma fase crítica do processo onde todas as gerências devem fazer uma avaliação autocrítica da sua
Existem organizações que ainda não visualizam o processo desta forma. Este é um problema de
conscientização e de valores da organização. Em alguns casos a própria organização possui sua parcela de
operandi das áreas impactantes e reestruturar os processos internos do que alterar a tecnologia, que é
muito mais caro, apesar de parecer mais fácil e com maior exposição pelo valor de capitalização
(CAPEX). Esse pode ser um ciclo vicioso gerador de grandes impactos estratégicos e operacionais no
futuro.
modus operandi ser comumente considerado um custo de OPEX. Por isso, na visão financeira de
Um exemplo comum deste tipo de risco são as infraestruturas de backup. Existem empresas que mantêm
ativos e ambientes de médio e grande porte para armazenar dados na planta viva por mais de 10 anos. Na
maioria dos casos, isso ocorre pela falta de processos ou controles adequados e situação de conforto das
áreas em transferir a responsabilidade para TI, que investe montantes significativos na sua infraestrutura;
por sua vez aumenta o tempo de restauração da informação gerando maior custo de manutenção de robôs
e banco de fitas; aumentando por consequência o valor futuro para reposição após os equipamentos
atingirem o fim de vida; por consequência aumenta o espaço físico alocado no Data Center, onde
associado a isso aumenta o foot print secundário de carbono do Data Center. Ou seja um problema interno
é transformado em um risco operacional com efeito dominó que afeta vários setores da organização,
inclusive alguns que podem ser estratégicos como o ISE (Índice de Sustentabilidade Empresarial) e a
Conclusão
Utilizar uma visão exclusivamente financeira para definir o valor dos riscos e do seu tratamento ou
utilizar a metodologia padrão de valoração de uma empresa de capital aberto, que considera OPEX como
despesa e CAPEX como investimento na visão pura e simples de mercado, tende a não ser a melhor
opção.
Para elevar o potencial do tratamento do risco, é válido estruturar uma visão onde são apresentadas as
possíveis perdas e ganhos com os diversos cenários considerando os investimentos de OPEX e CAPEX
associados e dos impactos financeiros futuros avaliados em ambas as escolhas. Focalizar os dados apenas