Blog

Blog 2

Mitigação de Riscos Operacionais

Por Bjorn Ovar Johansson – traduzido por Módulo Security

Depois de 15 anos em diferentes empresas em toda a Europa e tendo me deparado com centenas de descrições de funções de liderança de TI, eu acredito que duas das mais relevantes e ainda subestimadas são: Gestão de Desempenho e Mitigação de Riscos Operacionais.

Tendo coberto Gestão de Desempenho em outro artigo, vou apresentar agora alguns conselhos sobre a Mitigação de Riscos Operacionais, o que eu considero uma das áreas mais importantes para um CIO monitorar e controlar. Meu objetivo é introduzir e apresentar exemplos do porquê eu acredito que é extremamente importante que nós saibamos como gerir esta disciplina.

Uma das primeiras coisas que eu faço ao assumir a posição de CIO em uma organização, de forma provisória ou permanente, é avaliar rapidamente a situação dos riscos operacionais, especialmente na área de TI, mas também em outras áreas relevantes da organização. Com base nessa avaliação de alto nível, eu sei muito mais sobre os riscos inerentes, a consciência (ou apetite ao risco) e posso priorizar o meu trabalho a partir desta análise.

O que é Risco Operacional?

O risco operacional é definido (depois do Basileia II) como o risco de perdas monetárias resultantes de falhas e erros nos processos, tecnologias, habilidades ou devido a fatores externos. O risco operacional pode também incluir outros riscos, tais como fraude, riscos legal, físicos e ambientais.

Uma Abordagem Prática

Existem maneiras de implementar ou aprimorar rapidamente a mitigação de riscos e, assim, aumentar a qualidade destes processos que, por sua vez, podem levar à redução de custos e ao melhor controle sobre os riscos de TI e Operacionais. Eu recomendo que a Comissão Executiva, incluindo o CIO e a equipe de TI, trabalhem em conjunto para identificar, priorizar e reduzir os riscos operacionais ao longo do tempo.

Existem várias maneiras de aplicar a gestão de riscos operacionais, modelos e estruturas mais formais, incluindo o estabelecimento de uma função de auditoria e controle de riscos, o que pode ser preferível em grandes empresas e no setor financeiro. No entanto, muitas organizações se beneficiam de uma metodologia mais pragmática e proativa, que inclui:

  • Identificação de riscos e áreas de risco;
  • Análise, compilação e avaliação dos riscos atuais;
  • Avaliação dos níveis de risco – se possível incluindo os impactos financeiros;
  • Decisões sobre ações (planos de atividades e orçamentos);
  • Decisões e introdução do modelo de gestão de riscos, ferramentas e governança;
  • Mitigação de riscos constante como parte de operações diárias.

Ao identificar, documentar, analisar e avaliar os riscos operacionais em geral, podemos rapidamente obter uma compreensão do nível de risco atual e o que precisa ser feito.

O próximo passo é priorizar e mitigar os riscos em um nível tático, reduzindo os riscos mais graves e fazendo um plano para redução dos riscos futuros. Em algumas áreas, como a segurança de TI e programas de gestão de fornecedores, é aconselhável consultar um especialista independente.

Por fim, a organização deve apresentar um modelo de governança e as ferramentas tais como um registro de riscos e um dashboard com relatórios de mitigação de riscos. Criar um comitê de riscos, especialmente se há muitos riscos de grande impacto e/ou probabilidade, pode valer a pena. O CFO ou CIO podem, juntamente com outros Executivos, liderar o trabalho estratégico para reduzir os riscos a longo prazo. O comitê de riscos pode informar a equipe de gestão e a Comissão Executiva, uma ou duas vezes por ano.

Áreas de Foco

O nível de complexidade depende do tipo de negócio, número de funções, processos, nível de maturidade e assim por diante; e cada empresa tem um conjunto único de riscos operacionais. Na minha opinião, no entanto, há um par de categorias-chave para sempre investigar o quanto antes:

  • Riscos Disruptivos em relação a grandes transformações ou ao portfólio total de projetos (me refiro a isso como Gestão de Mudanças).
  • Gestão e controle da função de TI e das entregas internas e externas de TI, se os serviços forem terceirizados.

Eu foco nestas áreas uma vez que, de acordo com a minha experiência, elas representam, se não os riscos mais comuns, certamente os riscos que podem causar perdas econômicas significativas em comparação com a maioria dos outros riscos operacionais em geral.

Gestão de Mudanças

É um fato que as grandes transformações que não são devidamente planejadas, geridas ou governadas, podem, de fato, colocar em risco toda uma empresa – estou me referindo aos “Cisnes Negros”. Um único projeto de TI que excede o orçamento por duas ou três vezes ou um portfólio de projetos fora de controle, podem infligir dano financeiro significativo e até mesmo arriscar a existência da empresa.

Há vários exemplos recentes no setor bancário, no farmacêutico e no setor público, onde grandes programas fugiram do controle, causando perdas de milhões de libras. Como CIOs experientes, nós estamos conscientes desses riscos, no entanto, se você tem menos experiência como diretor de transformação, você pode considerar trazer um consultor externo para ajudar na avaliação de riscos e com a governança do programa.

Entrega e Confiabilidade de TI

Esta é outra área bem conhecida para os CIOs. Porém, ainda assim, não subestime os riscos. Eu tive uma experiência em uma empresa internacional com um não-redundante sistema de susporte ao seu core business, onde a rede de comunicação teve uma falha fora da sede. Uma empresa que terceirizou sua WAN (Wide Area Network) para um fornecedor que não tinha uma solução de back-up, causou 24 horas de paralisação dos processos para o negócio.

Quase todos os dias, lemos manchetes sobre grandes problemas de TI em bancos, indústria alimentícia, comércio, transportes (até mesmo em aeroportos), setor público e outros, incluindo algumas das maiores e mais bem sucedidas empresas de TI.

O que os CIOs podem fazer para evitar grandes interrupções nos negócios devido a falhas de TI? Certificações ITIL, ISO e assim por diante devidamente apresentadas são úteis. O ponto principal, porém, é investigar todas as áreas relevantes de salas de servidores, hardware, redes, fonte de energia, planejamento de Recuperação de Desastre, configuração, gestão de mudanças e assim por diante.

Isso pode ser útil ao olhar para o histórico de interferências de TI e entender, não só a frequência e a gravidade, mas o que a organização tem feito para garantir que a causa principal foi resolvida. Isso não é nada além de trabalho árduo e contínuo que deve ser priorizado.

Outras áreas para analisar?

Eu listei um punhado de áreas e setores a considerar, bem como algumas questões relevantes que devem dar uma indicação da situação de riscos atual. Dependendo da sua linha de negócio, você pode querer expandir essa lista com áreas como o desenvolvimento de SW e testes, operações, produção, logística e assim por diante.

Processos de TI

É vital que a TI regularmente documente processos, mudanças de códigos, configurações e assim por diante. Infelizmente, também é comum que questões diárias emergenciais interfiram com padrões adequados e procedimentos, documentação, treinamento e planejamento de Gestão de Continuidade de Negócios (GCN) e Recuperação de Desastres.

Quando o último exercício completo de GCN foi realizado? Com o que a documentação de gestão de mudança se parece? Todos os processos e procedimentos são documentados? O ITIL está implementado? As descrições de cargos e funções estão no lugar? Por exemplo, eu estava em contato com uma grande empresa que tinha investido no desenvolvimento de processos em toda a companhia, com exceção da função de TI e seus processos de gerenciamento de projetos.

RH e a organização de TI

O que o RH tem a ver com o riscos operacionais? Trata-se de assegurar que as competências certas existem dentro da TI e não sejam unicamente de um colaborador (redundância é necessária). Você tem planos sucessórios e documentação de processos em vigor que permitam uma rápida substituição, caso colaboradores importantes saiam repentinamente? Muitos anos atrás, toda uma equipe de operações de TI pediu demissão no mesmo dia em uma empresa internacional que estava planejando terceirizar as operações de TI – a empresa não teve escolha a não ser recontratar toda a equipe como terceirizados, a um custo significativamente mais alto.

Estratégia e governança de TI

Você tem uma estratégia de TI documentada, aprovada e comunicada? Existem roteiros técnicos e de sistemas e uma meta traçada? Existem controles de gerenciamento de desempenho para monitorar e controlar efetivamente o serviço de TI? TI é representada no Board por um CIO ou ela reporta ao CFO ou COO, para atender ao interesse prioritário da empresa de poupar dinheiro? As empresas globais que não conseguiram alinhar as estratégias de TI com as oportunidades de mercado, como a inovação digital, tiveram sérios problemas como, por exemplo, uma famosa fornecedora de tecnologia fotográfica e uma das mais antigas indústrias de música do mundo.

Responsabilidade Social Corporativa

A Responsabilidade Social Corporativa (RSC), incluindo o meio ambiente, tem crescido rapidamente em importância. Existem processos e tecnologias definidos que minimizam o consumo de energia da TI e nas instalações? Você mede a redução do consumo de papel e as viagens aéreas? Existe uma política ambiental divulgada em toda a organização? A organização tem o controle de subcontratados e fornecedores (trabalho infantil, questões ambientais)? A gestão tem controle sobre como os negócios internacionais são realizados em todo o mundo? Os efeitos de não ter controles de RSC definidos podem ser graves, como um recente exemplo da Nordic Telecom.

Processos de finanças

Há uma série de riscos operacionais relacionados às finanças. Exemplos de riscos materializados podem estar relacionados à falta de ou à incorreta reconciliação de Contas a Pagar e Contas a Receber, IVA ou taxas de juros incorretas e cobrança de juros em atraso de pagamentos. As palavras-chave incluem o nível de transação, a reconciliação automatizada e qualquer histórico prévio de pagamentos incorretos ou atrasados (onde a falta de erros pode ser um indicador).

Outros processos incluem “Record to Report” (R2R), “Order to Cash” (O2C), relatórios de gestão e inteligência de negócios. Por exemplo, é crucial que as bonificações dos clientes sejam calculadas sobre as vendas reais registradas, não as vendas estimadas e que o desenvolvimento de inteligência de negócios seja devidamente testado como qualquer outro projeto de desenvolvimento de sistemas.

Particularmente, eu presenciei um caso em que os gestores não registraram faturas recebidas no fim de um trimestre, aparentemente para “melhorar” o resultado da unidade de negócios e, portanto, bonificações, o que é definido como fraude ou comportamento fraudulento. Casos de fraude publicamente conhecidos incluem várias empresas globais de serviços bancários e financeiros.

Por fim, é importante garantir que a TI esteja em stand-by para apoiar as Finanças e o sistema de folha de pagamentos no fim de mês, para processamento de salários, pois um atraso pode causar perdas significativas.

Segurança

Obviamente esta é uma das áreas de mitigação de riscos mais complexas, complicadas e importantes e que a maioria das empresas têm controle. Muitas organizações têm um CSO trabalhando em tempo integral na segurança de TI.

Existem outros tipos de riscos de segurança que queremos controlar, incluindo a segurança da informação e a segurança física (acesso às instalações). Às vezes é difícil separar Segurança de TI e Entregas de TI – planejamento de recuperação de desastre, por exemplo. No entanto, enquanto o CIO gerencia, ambos os negócios devem estar em boas mãos.

Particularmente, por causa da minha experiência em TI, eu tenho sempre me apoiado em especialistas no assunto que lidam com os riscos de segurança de TI. Exemplos de perguntas a serem feitas como parte de uma avaliação incluem: história de violações de segurança, tentativas e frequência, e os resultados dos testes de penetração externa e auditorias de segurança.

Os procedimentos alternativos, documentados e testados, relativos a TI e telefonia estão em vigor? Quando a TI e a gerência sênior realizaram o último exercício de recuperação de desastres? Existe uma política de segurança da informação em vigor comunicada e bem entendida? Quando falamos em segurança de TI, é importante investigar qualquer terceirizado de TI, o que nos leva à área de risco corporativo.

Fornecedores de TI

Eu escrevi recentemente um artigo para outra revista (CFO World), onde eu mencionei: ”Agora vou revelar uma verdade escondida: a maioria dos fornecedores ‘líderes’ de TI tem pouco ou nenhum controle sobre seus riscos operacionais!”. Se levarmos em conta que nós podemos, e devemos, avaliar os riscos operacionais fora de nossa organização da mesma forma que fazemos internamente.

A principal diferença é sobre a obtenção de acesso à informação e sobre a compreensão dos acordos contratuais e implicações legais. Um fornecedor de TI pode causar, direta ou indiretamente, perturbações e prejuízos financeiros significativos para o seu negócio?

É bom ter um SLA (Service Level Agreement) ‘garantindo’ 99,99% de disponibilidade, mas e se a cláusula penal oferece compensar apenas uma parte das perdas ocorridas em nosso negócio durante um período prolongado de paralisação? É difícil avaliar toda a documentação legal já existente, principalmente se um ex-funcionário foi responsável pelo acordo de terceirização. Meu conselho é pelo menos olhar para os acordos mais importantes, e fazer isso em conjunto com um advogado especialista em TI.

Por fim, a gestão de licenças de software e ativos fixos (computadores, tablets, telefones celulares) que são tratadas inadequadamente pode significar custos adicionais significativos, incluindo sanções ou até mesmo ações judiciais. Você tem os processos de funcionamento de AD (Active Directory) devidamente atualizados e um inventário de ativos fixos em vigor? Será que todos os funcionários assinaram os termos de responsabilidade sobre o hardware e os dispositivos móveis que utilizam? Você tem controle de todo o software que é utilizado?

Quando fazer uma análise de riscos operacionais?

Empresas com riscos operacionais como um tema regular dos assuntos no Conselho de Administração e da Comissão Executiva, onde a gestão de risco operacional é uma responsabilidade claramente definida de todos os Executivos, bem como as organizações que executam auditorias interna de TI em uma base regular, têm maior probabilidade de controlar estes riscos. Independentemente disso, eu recomendaria uma avaliação de riscos operacionais a ser feita:

  • Antes de decisões estratégicas sobre desenvolvimento ou grandes projetos de implementação ou mudanças nos ERPs, transformações, terceirização ou outros projetos estratégicos, é recomendada uma avaliação de risco independente;
  • Tenha recém-nomeados e externamente recrutados Presidente, CEO, CFO ou CIO, caso o Conselho tenha dúvidas sobre a capacidade da administração para controlar os riscos operacionais.

Eu falei recentemente sobre os riscos operacionais com um alto Executivo em uma empresa renomada que me disse: “Há algumas caixas nesta empresa que nós não queremos nem abrir”. Coisas muito assustadoras!

O principal, como CIOs, é nossa responsabilidade de reduzir e minimizar os riscos operacionais e de TI das empresas que trabalhamos. Fazer isso correta e efetivamente vai economizar dinheiro, mesmo que ele não possa nos transformar em manchetes. No entanto, quanto melhor reduzimos os riscos operacionais e de TI, menor a “chance” de nos tornarmos manchete por motivos errados.

Bjorn Ovar Johansson é um CIO temporário de Manchester com experiência em cargos de liderança sênior de TI em toda a Europa.

Comentarios (0)

Faça um comentário