O QUE É GERENCIAMENTO DE RISCOS?

A cultura de gerenciar riscos tem sido aprimorada por uma necessidade ao longo do tempo devido a evolução dos negócios e das tecnologias. A necessidade de controle e gerenciamento para manter-se competitivo no mercado atingiu patamares tão altos, que se tornou impossível continuar num mercado hostil sem se preocupar com os possíveis impactos que ele traz. Porém, gerenciar os próprios riscos é uma questão de auto-conhecimento. Chave para a evolução de qualquer natureza. O Gerenciamento de Riscos é o processo que foca no alcance de um equilíbrio adequado entre as oportunidades de ganho no mercado e a redução das vulnerabilidades e perdas (financeiras e humanas) da organização.

O processo de GR não tem um objetivo utópico de acabar com os riscos, mas sim de reduzí-los a um nível aceitável. Definido como um processo de trabalho que permite a empresa conhecer e gerenciar os riscos que envolvem suas atividades, o Gerenciamento de Riscos estabelece em um processo sistemático de aplicação de políticas, normas, procedimentos e práticas com a finalidade de estimar, controlar, comunicar e revisar os riscos inerentes ao negócio de forma periódica. Portanto, é uma estratégia de gerenciamento global, que envolve diversos profissionais de diferentes áreas da empresa e é uma das chaves para geração de indicadores para a Governança Corporativa.

Este processo é cíclico e sua periodicidade é definida pela própria organização (Trimestral, Semestral, Anual por exemplo). Este ciclo pode contemplar parte dos riscos ou todos os riscos da organização dependendo do seu nível de maturidade.

FASES

O Gerenciamento de Riscos é constituído de algumas fases que devem ser executadas sistematicamente de forma cíclica e periódica, o que caracteriza de fato um processo. Em uma explicação bem leiga podemos traduzir estas fases através das seguintes etapas:

Figura 1 – Ciclo básico de Gestão de Riscos

Estas fases são:

  1. Identificar os riscos (Risk Analysis)

    A análise de riscos de segurança é usada para verificar vulnerabilidades, problemas, falhas que possam levar a incidentes, como ataques, indisponibilidades, falhas em sistemas, perda de dados, pessoas, fraudes internas, externas, entre outras.

  2. Quantificar e Qualificar os Riscos (Risk Estimation)

    Nesta atividade, todos os riscos identificados (apenas) na fase anterior são pontuados quanto a Probabilidade e Impacto no negócio. Dados normalmente organizados em uma matriz de riscos da organização.

  3. Priorizar a neutralização e/ou redução dos riscos (Risk Evaluation)

    De posse das pontuações estimadas na fase anterior, são identificadas quais ações são prioritárias para reduzir os riscos da organização e seu respectivo orçamento. Os critérios para priorização do tratamento dos riscos é particular para cada organização. Parâmetros como Custo (principalmente), Facilidade de tratamento, Urgência, etc são normalmente utilizados.

  4. Tratar Riscos (Risk Treatment)

    Após a Identificação, Quantificação e Priorização, tem-se em mãos todas as ações que devem ser tomadas para redução dos riscos identificados (apenas neste ciclo). Estas ações são distribuídas entre os responsáveis envolvidos que deverão tomar as devidas providencias.

Após o fim do processo, o ciclo deve recomeçar.

O conceito de Gerenciamento de Riscos tem evoluído para um conceito chamado de ERM (Enterprise Risk Management / Gerenciamento de Risco Corporativo). Esta abordagem tem como objetivo gerenciar os riscos da organização de maneira estruturada, centralizando de forma comum os riscos (inerentes ao negócio) de qualquer natureza gerando indicadores únicos para a tomada de decisões estratégicas. Um processo maduro de ERM permite o Conselho realizar a gestão da organização através métricas confiáveis e indicadores reais.

Eu sempre costumo comentar que quando se gerencia riscos, sempre deve-se ter em mente o seguinte raciocínio:

“Se for para ter custos, que seja para proteger o que me agrega valor, porém não devo investir mais do que o valor que me é agregado. As vezes posso perder, mas que seja o mínimo possível e NUNCA mais do que se ganhou ou se pode ganhar”.

MAIS INFORMAÇÕES:

  • ISO 31000: Principles and guidelines for Risk Management, a nova série de orientações da International Organization for Standardization (ISO). A Norma “Mãe”.
  • O NIST (National Institute for Standards and Technology) oferece um guia excelente sobre o gerenciamento de riscos chamado Risk Management Guide for Information Technology Systems (janeiro de 2002). Ele está disponível em http://csrc.nist.gov
  • O NIST oferece também um guia chamado The Security Self-Assessment Guide for Information Technology Systems (novembro de 2001) sobre como realizar uma avaliação de segurança em sua própria organização. (http://csrc.nist.gov)
  • O CERT (Computer Emergency Response Team), localizado no Instituto de Engenharia de Software da Universidade Carnegie-Mellon, criou o OCTAVE® (Operationally Critical Threat, Asset, and Vulnerability Evaluation). Um método de planejamento e self-assessment. Para obter mais informações sobre o OCTAVE, consulte http://www.cert.org/octave
  • O CobiT (Control Objectives for Information and Related Technology) oferece padrões amplamente aceitos e aplicáveis para garantir práticas recomendadas de controle e segurança de TI, as quais forneçam uma estrutura de referência para gerentes, usuários e responsáveis pela auditoria, controle e segurança de sistemas de informações. (www.itgi.org/cobit)