O Risco nosso de cada dia – parte 2/2

Na coluna passada falamos sobre a Identificação, Analise e Avaliação de Riscos. Hoje continuaremos este assunto com o Tratamento do Risco, encerrando a coluna com o conceito de Risco Residual.

Tratamento de Riscos

De acordo com as definições que encontrei, tratar riscos significa o processo de seleção e implementação de medidas que modifiquem o nível do risco.

Estas medidas incluem recusar, otimizar, transferir ou aceitar o risco. No caso da área de TI, as medidas podem ser selecionadas a partir de medidas de segurança extraídas do Sistema de Gestão de Segurança da Informação (SGSI) da empresa. Neste momento as medidas de segurança podem até encontrarem-se no âmbito verbal de varias funções de segurança que já foram implementadas tecnicamente (componentes de software e hardware) ou organizacionalmente (procedimentos estabelecidos de controle de acesso ou gestão de identidade).

Identificando as opções: Depois que identificamos e avaliamos os riscos, o próximo passo envolve a identificação das ações apropriadas para gerenciar estes riscos, a avaliação dos resultados ou impactos e principalmente as especificações e implementação dos planos de tratamento destes riscos.

Desde que os riscos identificados exercem impactos diferenciados na empresa, nem todos os riscos tem como conseqüência danos ou prejuízos para as operações do dia-a-dia ou para os objetivos do negocio. Podem surgir oportunidades do processo de identificação de riscos considerados impactos positivos para o negocio (oportunidades).  As opções de gerenciamento ou tratamento de riscos com impactos positivos podem ser:

– iniciar ou manter determinada atividade para criar ou manter um resultado positivo;
– modificar a probabilidade de um risco para melhorar os benefícios possíveis de um resultado;
– tentar manipular possíveis conseqüências para melhorar os ganhos esperados;
– compartilhar o risco com parceiros para sobrar recursos internos adicionais utilizados em outras oportunidades e ganhos;
– conservar o risco residual em níveis aceitáveis.

Gerenciar ou tratar os riscos com impactos negativos é similar a gerenciar ou tratar riscos com impactos positivos, mas suas interpretações e implicações são completamente diferentes. As opções e alternativas podem ser:

– evitar o risco decidindo parar, adiar ou cancelar uma atividade que pode ser a causa daquele risco;
– modificar a probabilidade do risco tentando reduzir ou eliminar a probabilidade da ocorrência de um resultado negativo;
– tentar modificar as conseqüências para reduzir as perdas;

– compartilhar o risco com parceiros que correm os mesmos riscos (contratos de seguro, estruturas organizacionais comuns e joint ventures são alguns exemplos); Claro que se um risco é compartilhado no todo ou em parte, adquire-se um novo risco: a organização que gerencia este risco pode não o executar de forma adequada.
– conservar o risco residual em níveis aceitáveis.

O custo do gerenciamento de riscos deve ser comparado aos benefícios obtidos ou esperados. Durante o processo de julgamento de custos versus benefícios, o contexto da Gestão de Riscos estabelecido no primeiro processo (definição do escopo e da estrutura) deve ser levado em consideração. Leve em conta todos os custos diretos e indiretos, bem como os benefícios tangíveis e intangíveis, enquadrados nos termos financeiros da empresa: alguns milhares de Reais podem ser pouco para sua empresa, mas pode ser muito dinheiro para mitigar um risco para a empresa estabelecida no andar de cima do mesmo prédio. Na eventualidade do orçamento para o tratamento de riscos não ser suficiente (nunca é! rsrsrs) o Plano de Tratamento de Riscos deve especificar as prioridades e identificar claramente a sequencia na qual cada risco será tratado.

Desenvolvendo um Plano de Ação: Os Planos de Ação são necessários para descrever aos decisores como as opções escolhidas serão implementadas. Deve ser compreensivo, detalhado e oferecer toda a informação necessária contendo:
– ações propostas, prioridades e prazos;
– necessidade de recursos;
– regras e responsabilidades de todas as partes envolvidas nas ações propostas;
– métricas de desempenho;
– monitoração e relatórios.

Os Planos de Ação estão alinhados com os valores e percepções dos acionistas e investidores, unidades de negocio, departamentos, parceiros, terceiros, fornecedores e os melhores planos são aqueles comunicados a todos os envolvidos diretamente ou indiretamente no assunto. Assim, torna-se mais fácil obter compromisso e aprovação dos interessados para a implementação.

Aprovação do Plano de Ação: como todo processo relevante, a aprovação inicial do Plano de Ação não garante a efetiva implementação do processo. Os administradores da empresa devem estar patrocinando e suportando a vida útil deste processo. Surge a figura do proprietário (owner) do Processo de Gestão de Riscos Corporativos e sua missão é manter estes administradores continuamente informados e atualizados sobre o andamento do processo através de indicadores e relatórios.

Implementação do Plano de Ação: O Plano de Gestão de Riscos define como a Gestão de Riscos será conduzida através da empresa. Vai ser desenvolvida de forma que garantirá que a gestão de Riscos fará parte dos processos e praticas de negocio da empresa e esta é a única forma de torná-lo relevante, efetivo e eficiente. Mais especificamente: a Gestão de Riscos deve ser embutida nos processos de desenvolvimento de políticas de trabalho da empresa, nos planejamentos estratégicos e de negocio, nos processos de mudanças e outros tais como, gestão de ativos, auditoria, continuidade de negócios, gestão ambiental, fraudes, recursos humanos, investimentos e projetos.

Podemos incluir no Plano de Gestão de Riscos seções referenciando funções particulares ou áreas especificas, projetos, atividades ou processos. Estas seções podem ter até planos separados, mas devem estar consistentes com a estratégia de Gestão de Riscos Corporativos da empresa. A necessária consciência e compromisso com a Gestão de Riscos a partir da Alta Administração, relacionada à missão deste projeto considera:

– Obter suporte constante da Alta Administração da empresa para a Gestão de Riscos Corporativos, mas também para o desenvolvimento e implementação das Políticas e o Plano de Gestão de Riscos;
– nomear um líder para gerenciar todo o processo;
– obtenção do envolvimento de todos para a execução do Plano de Gestão de Riscos Corporativos.

A Alta Administração deve definir, documentar e aprovar a política de gerenciamento de riscos, incluindo seus objetivos e um compromisso formal com a Gestão de Riscos. Podemos incluir nesta política:

– os objetivos e referencias para gerenciamento de riscos;
– conexões entre a política e os planos estratégicos corporativos da empresa;
– a extensão e os tipos de riscos que a empresa tem e os meios de balancear ameaças e oportunidades;
– os processos utilizados para gerenciar riscos;
– responsabilidades para gerenciar riscos particulares ou especificos;
– detalhes sobre suporte e conhecimento disponíveis àqueles envolvidos em gerenciar riscos;
– declaração de como o desempenho de gestão de riscos será mensurada e reportada;
– compromisso de revisões periódicas no sistema de gestão de riscos;
– declaração de comprometimento da Alta Administração com as políticas.

Publicar e Comunicar a política demonstra que o ambiente interno e externo da empresa esta comprometido com a Alta Administração, comprometendo todos os envolvidos em todos os níveis hierárquicos da empresa com o sucesso na implantação do Plano de Gestão de Riscos Corporativos.

Os Diretores Executivos são os responsáveis finais pela gestão de riscos na empresa. Todos são responsáveis por gerenciar riscos em suas respectivas áreas de atuação e de interesse, e seus trabalhos devem ser facilitados:

– especificar quem é responsável por gerenciar riscos particulares ou específicos, quem é responsável pela implementação das estratégias e quem é responsável pela manutenção dos controles;
– estabelecimento de processos de métricas e relatórios;
– garantir os níveis apropriados de direitos e deveres de todos empenhados no sucesso do Plano.

Pode não ter ficado claro, mas faço questão de enfatizar que a atual implementação das medidas de segurança para a área especifica de TI da empresa não faz parte destas atividades. A implementação do Plano de Ação é restrita às ações que serão executadas para reduzir riscos identificados em todas as áreas de negocio da empresa, exceto a área de TI. O trabalho necessário ao nível de uma implementação técnica de medidas de segurança na área de TI é conduzido dentro da Gestão de Segurança de Sistemas de Informação, (SGSI – ISO 17799) ou dentro da estrutura de controles do CobiT, que está fora do processo de Gerenciamento de Riscos tratado nesta matéria. Este assunto será tratado especificamente em outra coluna.
Por fim, uma das responsabilidades importantes da Alta Administração é identificar as necessidades e alocar recursos necessários para a execução da gestão de riscos. Inclui pessoas, conhecimento, processos, sistemas, banco de dados, recursos financeiros e outros que se fizerem necessários para o desenrolar das atividades. O Plano de Gestão de Riscos vai especificar como as equipes serão tratadas e mantidas durante o processo.

Identificação dos Riscos Residuais: O risco residual é aquele risco que fica, sobra, permanece depois que todas as opções de gerenciamento de riscos foram identificadas e os planos de ação tiverem sido implementados. Inclui-se nesta definição todos os riscos que inicialmente não foram identificados bem como aqueles previamente identificados  e avaliados mas que não foram apontados para serem tratados até agora. A Alta Administração deve ser muito bem informada sobre a natureza e extensão dos riscos residuais de forma documentada e estes riscos residuais estão sujeitos a procedimentos regulares de monitoramento e revisão.

Até.

Anúncios