Gestão Estratégica de

Riscos em 4 passos
By Módulo Security  |  Gestão de Riscos |  12 novembro 2013  | 2 Comments
Quando uma organização, através de uma área específica de segurança, seja ela da informação ou não,

executa atividades relacionadas a gerenciamento de risco, a finalidade na maioria dos casos, é mitigar e

se possível eliminar os riscos identificados em um determinado grupo de ativos e produtos. Existem

organizações que possuem aversão ao risco e não aceitam a sua existência sem o devido tratamento ou

transferência, seja por medo, por indicações unilaterais de auditorias (externas ou internas) ou por visões

pré-estabelecidas na organização.

Este padrão de comportamento é, muitas vezes, influenciado pela visão de diretores e gerentes que não

avaliam apropriadamente o valor do risco ao negócio, mas a sua área.

Veja também:

 Como o mercado brasileiro se comporta diante da crescente ameaça de ciberataques?

 FAÇA DOWNLOAD: Webinar – Gestão de Riscos da Informação é para os fortes

 Gerencie os riscos de sua empresa

Entretanto, esta atuação perante o risco pode não trazer benefícios ao negócio por estar desassociado das

necessidades organizacionais e deturpar a visão dos riscos que devem ser aceitos para evoluir, além dos

inerentes ao negócio que, se não forem corretamente endereçados, podem travar a evolução da

organização e por consequência, levar a perda de oportunidades.

Além destas questões, existe a carência da visão de mercado do “custo do tratamento de riscos” X “o

acréscimo de valor gerado”. Um dos objetivos da Gestão de Riscos é agregar valor ao negócio. O

tratamento indevido de riscos pode desvalorizar uma organização pelo uso de recursos, muitas vezes,

dispendiosos considerando valor e tempo de implementação, custos operacionais (OPEX) e de

capitalização (CAPEX) consideráveis. Estes recursos, utilizados sem um correto alinhamento ao negócio,

na maioria das vezes não geram retorno ou benefício real, apenas trazem uma situação de “conforto” a

algumas áreas.
Com objetivo de potencializar a Gestão de Riscos de forma estratégica dentro das organizações, é

sugerida uma metodologia de classificação baseada em 4 passos, sempre apoiada por um comitê (em caso

de empresas de maior porte) ou dos seus diretores:

1) Inventário dos riscos

Esta primeira etapa é focada na identificação e catalogação dos riscos que a organização esta exposta. É

necessário pensar em todos os tipos, sem excluir nem o mais trivial deles.

O pensamento inicial deve ser de fora da organização para dentro. Isso porque os riscos exógenos são, em

sua maioria, inerentes ao negócio, a cultura da região onde ocorre a operação da organização e

obviamente os fenômenos naturais locais.

Os riscos endógenos muitas vezes são associados a questões de processo, escolha estratégica por uma

tecnologia em detrimento de outra, questões políticas, conflitos internos, depreciação de ativos,

conscientização e cooperação dos funcionários.

Alguns exemplos de riscos comuns são: interrupção da produção, perda de informações, intervenção de

agente regulador, perda de competitividade, intervenção fiscal, integridade física de funcionários,

contaminação do produto, impacto ambiental dentre dezenas de outros que vão possuir mais ou menos

influência em cada organização e tipo de negócio.

Este processo necessita ser cíclico pela constante variação dos riscos e pelo fato de que alguns deles

podem surgir e outros sumir. Quanto maior a variedade de produtos e serviços de uma organização, maior

será a volatilidade de riscos para os negócios.

Um vetor que de forma recorrente é considerado como risco não deveria entrar nesta lista. O “risco” de

perda financeira. Faço esta colocação pelo fato de que a perda financeira é um dos vetores de decisão para

definir o risco como aceitável ou não.

Risco é uma questão estratégica e não apenas técnica ou setorial; e a perda financeira será decorrente da

concretização de um risco e não exclusivamente o evento de perda.

Outro erro comum é considerar questões internas conhecidas e cíclicas, associadas a problemas de gestão

e falta de investimento, como risco. Se um evento é recorrente e a situação em que ele ocorre é conhecida,

não se trata de uma incerteza. Por isso, não é um risco, é um problema interno, logo, não deve ser

transferido para a carga de risco organizacional.

Após esta atividade e com o levantamento dos riscos aprovado internamente, inicia-se outra etapa do

processo que é a categorização dos riscos.

2) Categorização dos Riscos e

Agentes
Nesta fase da Gestão de Riscos é feito o relacionamento entre os riscos e os tipos de impacto. Este

processo visa facilitar a decisão para definir o que será tratado, transferido ou aceito. Recomenda-se a

definição de classes de impacto em grupos associados aos seguintes critérios:

• Riscos específicos do negócio: Toda atividade tem riscos inerentes, estes riscos não são exclusivos de

uma empresa do setor farmacêutico, telecomunicações, mineração ou químico. São, como o nome sugere,

riscos do negócio e são aplicados a todas as empresas do setor. Algumas estarão mais ou menos expostas,

mas o risco em si será o mesmo. Alguns exemplos são questões relacionadas à regulamentação, novo

concorrente, políticas governamentais, espionagem industrial, etc.

• Riscos operacionais: São os riscos tecnológicos, de procedimentos e infraestrutura da organização. A

maioria destes riscos é endógena e suas origens são, normalmente, associadas às escolhas, culturas e

processos internos. Seus impactos podem causar desde interrupção do serviço ou linha de produção até a

degradação da qualidade dos serviços sem grandes impactos.

• Riscos improváveis: Existem diversos riscos que, dependendo da situação política e geográfica do local

de operação da organização não são considerados factíveis no momento, mas necessitam ser pontuados

para avaliações e considerações. As constantes variações climáticas e flutuações cambiais são exemplos

reais destes cenários assim como grandes movimentos populares e intervenções políticas no setor.

Exemplos deste tipo de cenário são tornados como o ocorrido recentemente no interior de São Paulo, o

tsunami da Indonésia, crises político/financeira dos EUA, intervenção do governo na regra de faturamento

energético. Para algumas empresas, tratar alguns destes riscos internamente é proibitivo pelo custo que

pode superar o valor da organização e isso necessita ser conhecido internamente. A forma mais comum de

tratamento para estes cenários é transferência por intermédio de seguradoras.

Com os riscos categorizados é necessário especificar os vetores que podem explorá-los, normalmente

chamados de agentes ou agentes de risco. Eles podem estar associados a diversos riscos.

Essa atividade consome um tempo considerável e sempre que for revista, alterações de algum tipo nos

agentes serão consideradas. O processo se resume em duas etapas:

• Pensar em todos os possíveis vetores (agentes) durante um tempo pré-determinado com gestores e

especialistas dos serviços e infraestruturas da organização;

• Associar os vetores (agentes) aos riscos. Nesta etapa é comum surgirem sugestões para novos vetores. A

recomendação é não acrescentá-los neste momento, mas registrar a situação e verificar se o mesmo vetor

ou equivalente será pontuado para outros riscos e após o processo deliberar pela sua inclusão ou não na

análise.
Com os riscos categorizados é necessário especificar o que torna um risco inaceitável, mitigável,

transferível ou aceitável. A próxima etapa é estruturar uma matriz de risco para estabelecer estes valores,

sejam eles financeiros, jurídicos, mercado, produto ou de outra categoria pertinente ao negócio.

3) Matriz de Risco
Esta é uma etapa que pode ser concluída rapidamente ou levar vários dias. Tudo vai depender da

quantidade de produtos e serviços oferecidos associados ao grau de conhecimento e comprometimento

dos gestores junto à organização.

Poderão existir situações onde um risco é aceitável para uma área e inaceitável para outra.

Quando esse cenário ocorre, pode ser por influência de alguns critérios tais como:

• Desconhecimento do funcionamento operacional;

• Falta de alinhamento com os riscos do negócio;

• Impacto em metas de diretoria;

• Disputas internas, sejam elas políticas ou não;

• Interesses exclusivos de uma área;

• Falta de foco no valor organizacional.

Esta parte do processo é essencial para o correto alinhamento sobre os critérios que, após a execução da

análise de risco, colocarão um risco como aceitável, transferível, mitigável ou inaceitável.

A forma de estruturar a matriz é particular de cada organização. O importante é que todos entendam seu

processo de classificação e os critérios. Porém, cabe uma observação: quanto maior for o número de

opções, mais complicado será para classificar cada risco identificado. Em contra partida, uma quantidade

muito reduzida de opções pode causar problemas de definição da priorização dos riscos. O ideal é

identificar o meio termo entre a granularidade e a simplicidade.

Um exemplo de classificação pode ser este: um determinado sistema de TI, após ser analisado e

classificado na matriz de risco com impacto na interrupção de um produto da organização, mas que TI

consegue, no pior caso, restabelecê-lo em 8 horas, tem o seu impacto classificado da seguinte forma:

• financeiro aceitável;

• jurídico aceitável;

• TI inaceitável;

• marketshare mitigável por campanhas de marketing e de CRC.

O custo operacional de TI, para o exemplo, é considerado alto e deveria ser tratado para fornecer maior

segurança operacional, porém esta não é uma visão compartilhada pelas outras áreas.

Seguindo no exemplo, a implementação de duplicação do sistema ou de redundâncias tem um custo de

CAPEX inicial que pode ser justificável como investimento, mas ele incorre em mais ambientes para

supervisionar e em mão de obra que pode impactar no headcount, ambos gerando maior OPEX e por

consequência impactam na margem de lucro, sem agregar valor real; o jurídico lida com as eventuais

ações pontualmente. Para as outras áreas, não é considerado um impacto significativo então, qual o

impacto para a organização? Neste caso o nível de impacto de marketshare tolerável estabelecido na

matriz é que deve direcionar esta resposta.

Considerando que a resposta gerada por Marketshare é o tratamento do risco por meio de ações de

mitigação interna, como proceder? Existem várias formas que variam desde a implementação de

tecnologia a mudanças procedurais.

4) Tratamento do risco
Esta é uma fase crítica do processo onde todas as gerências devem fazer uma avaliação autocrítica da sua

participação nos riscos pontuados no serviço e na mitigação ou eliminação dos mesmos.

Existem organizações que ainda não visualizam o processo desta forma. Este é um problema de

conscientização e de valores da organização. Em alguns casos a própria organização possui sua parcela de

culpa ao impor metas conflitantes entre áreas.

Em diversos cenários, costuma ser mais prático, barato e com o mesmo retorno financeiro alterar o modus

operandi das áreas impactantes e reestruturar os processos internos do que alterar a tecnologia, que é

muito mais caro, apesar de parecer mais fácil e com maior exposição pelo valor de capitalização

(CAPEX). Esse pode ser um ciclo vicioso gerador de grandes impactos estratégicos e operacionais no

futuro.

O “problema” existente na primeira opção apresentada acima, é o fato de reestruturação de processos e do

modus operandi ser comumente considerado um custo de OPEX. Por isso, na visão financeira de

mercado, não agrega valor de forma direta a organização.

Um exemplo comum deste tipo de risco são as infraestruturas de backup. Existem empresas que mantêm

ativos e ambientes de médio e grande porte para armazenar dados na planta viva por mais de 10 anos. Na

maioria dos casos, isso ocorre pela falta de processos ou controles adequados e situação de conforto das

áreas em transferir a responsabilidade para TI, que investe montantes significativos na sua infraestrutura;

por sua vez aumenta o tempo de restauração da informação gerando maior custo de manutenção de robôs

e banco de fitas; aumentando por consequência o valor futuro para reposição após os equipamentos

atingirem o fim de vida; por consequência aumenta o espaço físico alocado no Data Center, onde

associado a isso aumenta o foot print secundário de carbono do Data Center. Ou seja um problema interno

é transformado em um risco operacional com efeito dominó que afeta vários setores da organização,

inclusive alguns que podem ser estratégicos como o ISE (Índice de Sustentabilidade Empresarial) e a

capacidade de DRP (Disaster Recovery Plan).

Conclusão

Utilizar uma visão exclusivamente financeira para definir o valor dos riscos e do seu tratamento ou

utilizar a metodologia padrão de valoração de uma empresa de capital aberto, que considera OPEX como

despesa e CAPEX como investimento na visão pura e simples de mercado, tende a não ser a melhor

opção.

Para elevar o potencial do tratamento do risco, é válido estruturar uma visão onde são apresentadas as

possíveis perdas e ganhos com os diversos cenários considerando os investimentos de OPEX e CAPEX

associados e dos impactos financeiros futuros avaliados em ambas as escolhas. Focalizar os dados apenas

em perdas dificulta a correta tratativa e escolha da opção mais adequada ao negócio.