PO9 – Avaliação de Riscos

Eu estava em sala de aula, falando de CobiT, quando passei pelo PO9 – Avaliação de Riscos. Estávamos discutindo sobre qual seria a melhor metodologia para uma avaliação de riscos, quando a pergunta veio:

Prof., quem da empresa deveria estar envolvido numa avaliação de riscos?

Esta pergunta me atingiu em cheio. A primeira resposta que me veio na cabeça foi: todo mundo, ora! E acabar (ou pelo menos tentar diminuir o estrago) com a conversa, voltar para o CobiT e seus 33 outros Objetivos de Controle, mas não dava para fugir assim, com três palavras.

Risco é uma função do Negocio da empresa, logo, no mínimo, o CEO precisa entender os riscos do negocio que ele governa e aceitá-los, eliminá-los ou transferir os riscos para um terceiro (terceiro, outsourcing, seguro, etc.). A equipe de Riscos (com direito a CRO – Chief Risk Officer) é responsável por apresentar os riscos potenciais do negocio e determinar a melhor maneira de tratá-los. O que tenho encontrado é que fica a cargo da Alta Administração a decisão final de como mitigar os riscos apresentados.

Isso não importa. É importante entenderem o que é risco ANTES de começar qualquer processo de avaliação de riscos. O risco é qualquer ameaça – economicamente quantificavel – contra a empresa. É necessário substanciar financeiramente o risco, isto é, tornar o prejuízo causado pela consequencia da ameaça em algo real. Esta é a linguagem que o negocio entende: a linguagem do cifrão!

Os executivos de negocio devem considerar vários tipos de risco, incluindo aqueles provenientes dos fornecedores, os quais podem afetar a produção; riscos de execução, os quais podem afetar a capacidade de executar um plano ou processo e até os riscos de mercado, que envolvem a economia, política, informação e o intangível, como a marca da empresa ou do produto. As operações de alto risco devem receber prioridade de tratamento, mas no fim, é tudo questão de grana e apetite.

E se estivermos falando de riscos de segurança da informação, devemos chamar para a responsabilidade de entender todos os riscos de negocio, o CSO (Chief Security Officer), que deverá apresentar os riscos da operação, numa linguagem que a Alta Administração entenda. O CSO trabalha junto com a equipe de Segurança de TI (redes, data Center, desenvolvimento de aplicações, AV, FW, etc.), e com as unidades de negocio, além da sede ou matriz, no intuito de entender o que é importante ser protegido.

Se você estiver empenhando tempo em excesso tentando quantificar exatamente o risco e criando cenários antes de se decidir por adquirir produtos e serviços de segurança é perda de tempo. Tomar consciência das probabilidades de um evento ocorrer e das consequencias do risco (impacto), é o que importa. Este é um conselho de ordem prática, baseado na experiência da vida profissional, que algumas vezes é mais dura do que podemos prever. E a telefônica, hein?

Anúncios