Estratégias de gestão de risco: a corda de escalada que a tua organização precisa

Você se atreveria a escalar uma rocha sem uma corda adequada, arnês, dispositivo de travamento automático e um parceiro para ajudá-lo a subir e descer? Provavelmente não. Mesmo que você seja bom o suficiente para não cair, os riscos são altos demais para serem ignorados. Embora exista algo chamado escalada solo livre, só os escaladores mais avançados, que curtem muito o risco, é que se aventuram nela. Gerir uma organização nem sempre é fácil. É preciso ter em mente os riscos que se corre ao subir na hierarquia do mercado. E é preciso ter o equipamento adequado, ou seja, as estratégias certas de gestão de riscos, para mitigar esses riscos.

Um plano eficaz de gestão de riscos pode garantir que você evite perdas financeiras e de reputação, não fique fora da conformidade regulatória e ganhe confiança.

Promover a conformidade com os regulamentos

A estratégia de gestão de riscos não é uma escolha em alguns setores. Por exemplo, as instituições financeiras na UE (União Europeia) precisam seguir a DORA (Lei de Resiliência Operacional Digital), que tem regras bem rígidas sobre gestão de riscos de TIC (Tecnologia da Informação e Comunicação). O não cumprimento dos requisitos legais revelou-se uma ameaça significativa. Não é brincadeira, porque os reguladores não têm medo de multar os infratores. No caso da Equifax, a empresa foi obrigada a pagar uma multa de 575 milhões de dólares devido à perda de informações pessoais e financeiras de 150 milhões de consumidores, porque a sua base de dados era vulnerável à exploração por hackers.

Eliminando perdas de reputação

O centro de operações da Delta Airlines ficou fora de serviço por cinco horas em 2016. Isso custou à empresa 150 milhões de dólares, porque a companhia aérea foi obrigada a cancelar cerca de mil voos e liberar outros mil. Este é um dos exemplos de gestão de risco que não está associado apenas a perdas. A Delta vinha a promover-se como uma companhia aérea sempre pontual e que cancela voos. Pode-se argumentar que as perdas de reputação são ainda mais caras para a companhia aérea do que o cancelamento e a suspensão de voos.

Garantindo o resultado final

Quando as organizações são apanhadas de surpresa, isso pode custar-lhes muito caro. As consequências de uma violação de dados podem resultar em multas de milhões. Falhas repentinas ou indisponibilidade do serviço traduzem-se em perda de receitas. Considere o risco de conformidade como um exemplo. A Meta (Facebook) foi a primeira empresa a pagar uma multa de 1,2 mil milhões de euros devido à violação das regras de proteção de dados da UE.

Prevenir problemas antes que causem estragos

Uma boa abordagem de gestão de riscos não se limita à gestão de riscos. Ela também estabelece a estrutura para determinar os riscos reais concretizados e lidar com eles antes que possam resultar em perdas financeiras significativas. A título de exemplo, pode incluir a montagem de um poderoso sistema automatizado de deteção de anomalias que permitiria detetar possíveis violações de segurança numa fase inicial.

Fazendo com que clientes e investidores confiem em nós

Uma estrutura eficaz de gestão de riscos envia um sinal claro aos seus investidores: você tem tudo sob controlo. Ter baixa exposição a riscos e uma gestão adequada dos riscos inevitáveis protege o investimento deles contra perdas financeiras e de reputação. Os clientes tendem a confiar mais numa empresa que lida com os seus riscos, em particular, os dados pessoais. Proteger as informações dos clientes é o aspecto mais importante que inspira confiança numa empresa entre os consumidores.

Antes de mergulhar na seleção de métodos de gestão de riscos, é preciso criar uma equipa de gestão de riscos empresariais (se ainda não tiver feito isso). Esse grupo vai estar sempre a detectar e monitorizar riscos, lidar com eles e otimizar a estratégia de acordo com os riscos que forem surgindo. Uma equipa de gestão de riscos empresariais reúne:

• O conselho de administração, seja como representante ou comissão de nível diretivo, supervisiona a equipa
• A equipa é liderada pelo diretor de risco (CRO), que supervisiona a implementação da estratégia e a melhoria contínua
• O diretor de operações (COO) oferece uma visão panorâmica de todas as operações diárias e ajuda a identificar as lacunas na gestão de riscos e a eliminar os riscos
• O diretor financeiro (CFO) fornece informações sobre riscos para a receita e a rentabilidade, riscos de seguro (quando aplicável) e riscos para a receita e a rentabilidade
• O diretor jurídico dá a sua opinião sobre as questões jurídicas da organização e a possibilidade de responsabilidade civil
• O diretor de conformidade cuida de toda a conformidade regulatória para a diretoria e da segurança dos funcionários por meio da segurança cibernética
• O diretor de informação (CIO) gere os riscos de TI e melhora a continuidade dos negócios caso eles ocorram
• O diretor de recursos humanos (CHRO) cuida dos riscos relacionados à força de trabalho
• O diretor de comunicações fornece uma visão sobre os riscos à reputação que podem ocorrer
• Os chefes de departamento designados como responsáveis pelos riscos dão uma ideia prática sobre os riscos nos seus respetivos departamentos comerciais

A prevenção, redução, partilha, transferência e retenção de riscos são os métodos de gestão de riscos mais utilizados.

Prevenção de riscos

Essa estratégia de gestão de riscos implica a ausência de atividades com riscos elevados e potencialmente prejudiciais para a organização. Qual é um indicador comum da necessidade de a utilizar? Determina se os riscos não são excedidos pelos possíveis benefícios. Em alternativa, podem existir ameaças que causem um risco existencial para a organização.

Prevenção de perdas/redução de riscos

Alguns riscos não podem ser eliminados. Por exemplo, não dá para excluir completamente a ameaça de condições climáticas adversas. Você só pode prevenir ou reduzir as perdas. Por exemplo, a mitigação de riscos pode ser alcançada através da instalação de aberturas de ventilação e bombas de drenagem para reduzir os danos causados por inundações. A minimização de riscos no setor de saúde é normalmente realizada como cuidados preventivos.

Partilha de riscos

Não dá para evitar ou reduzir o risco? Partilhar riscos pode diminuir a exposição. Nessa abordagem de gestão de riscos, se o risco acontecer, as perdas são divididas entre várias partes e o impacto de cada uma é amenizado. Um bom exemplo de partilha de riscos é a participação acionária: caso a empresa não tenha lucro, as perdas são partilhadas entre os investidores da empresa.

Transferência de risco

Esta é uma estratégia de transferência de risco em que o risco é contratado a terceiros. É um método adequado de gestão de risco quando o risco é grande demais para que as organizações possam gerir as perdas. A transferência de risco geralmente se refere ao seguro contra calamidades naturais ou litígios. Um contrato de serviço também permite que você delegue o risco a um subcontratado.

Aceitação/retenção de riscos

Quando todas as outras estratégias de gestão de risco tiverem sido esgotadas, a aceitação do risco é a última opção em jogo. Aceitar o risco implica que a) é impossível livrar-se do risco, ou b) as despesas com o uso de estratégias alternativas excedem os ganhos. Para aplicar a retenção de risco, você precisa reservar o orçamento e outros recursos que seriam necessários para lidar com os efeitos desse risco residual. Esse risco pode ser na forma de reclamações regulares de clientes ou pequenos problemas operacionais, por exemplo.

Uma seguradora também está sujeita a vários riscos em comparação com, digamos, uma startup de tecnologia. Analisar o impacto potencial deles normalmente envolve uma combinação dos seguintes métodos de avaliação de risco.

Avaliação quantitativa de risco

A avaliação quantitativa de riscos permite atribuir um valor numérico ao custo potencial de cada risco e priorizar os riscos de acordo com isso. A razão pela qual a análise quantitativa de riscos é atraente é o facto de os seus resultados serem mensuráveis e objetivos, fáceis de entender e comparar. No entanto, a avaliação quantitativa de riscos não é uma solução única para todos. Existem organizações que podem não ter informações de qualidade para obter estimativas sobre as possíveis perdas. Alguns dos efeitos, como perdas de reputação, podem não ser mensuráveis. As técnicas comuns de análise quantitativa de risco incluem:

• Estimativa de três pontos: criar as melhores projeções dos melhores, mais prováveis e piores cenários para chegar às melhores projeções
• Análise de árvore de decisão: é uma técnica que envolve desenhar um diagrama que ilustra o possível efeito das opções de tomada de decisão
• Valor monetário esperado: Determinar o dinheiro e o tempo de contingência
• Análise de sensibilidade: estimar o risco que afetará mais significativamente um processo ou projeto
• Simulação de Monte Carlo: Calcular a probabilidade de vários resultados num processo que envolve variáveis aleatórias
• Análise da árvore de falhas: criar um diagrama para determinar os fatores que podem causar falhas no sistema

Avaliação qualitativa de riscos

Nesta técnica de avaliação de riscos, você pode identificar os locais onde há necessidade de uma análise mais aprofundada e gerenciá-los de forma prática. Trata-se de envolver os indivíduos dentro de uma organização numa discussão sobre os riscos e seus possíveis efeitos. Os métodos qualitativos são:

• Mantenha tudo super simples (KISS): Classifique os eventos de risco numa escala simples (muito alto) a (muito baixo)
• Probabilidade/Impacto: Classifique as chances de ocorrência de um risco e o seu efeito em uma escala de 1 a 10 ou 1 a 5 num gráfico bidimensional

A avaliação qualitativa de riscos leva em consideração os fatores que são difíceis de quantificar. Por outro lado, ela se baseia em sentimentos e opiniões pessoais e pode ser contaminada por preconceitos.

Avaliação de risco baseada em ativos

Este método vai reconhecer os riscos que podem afetar os ativos da organização, incluindo equipamentos, propriedades e propriedade intelectual. Envolve:

• Preparar uma lista de todos os recursos disponíveis
• Avaliar a eficiência dos controlos de risco atuais
• Peça ajuda aos donos dos ativos para listar os riscos potenciais de cada um deles
• Além de identificar os riscos, é preciso priorizá-los em termos de probabilidade e intensidade do impacto

Embora as avaliações de risco baseadas em ativos produzam resultados fáceis de entender, elas não consideram certos riscos inerentes às políticas ou processos da organização.

Avaliação de risco baseada em vulnerabilidades

Este método tem como objetivo expor os pontos fracos de cada organização ou sistema. As avaliações baseadas em vulnerabilidades envolvem: em vez de começar com uma lista de ativos da empresa.

• Identificar as fraquezas e ineficiências organizacionais/sistemáticas existentes
• Determinar a forma como essas fraquezas podem ser utilizadas
• Avaliar o efeito possível que cada exploração pode ter

Embora o método ofereça uma perspetiva mais equilibrada dos riscos, existe uma desvantagem: ele depende de vulnerabilidades conhecidas. Assim, as lacunas que ainda não foram resolvidas continuarão a ser ameaças.

Selecionar a combinação certa de estratégias de gestão de riscos requer uma compreensão clara dos riscos da organização e do seu impacto potencial. É por isso que não há como fornecer conselhos universais de gestão de riscos sobre esta ou aquela estratégia. Dito isto, em alguns casos, as organizações preferem adotar algumas estratégias específicas:

• A estratégia de prevenção de riscos deve ser adotada nos casos em que o efeito potencial do risco for maior do que os ganhos da atividade
• A redução de riscos é uma opção adequada quando não há outra opção, mas ainda assim, pode haver medidas de controlo de riscos
• A partilha de riscos está associada a projetos que são demasiado grandes ou complicados para serem geridos por uma única parte
• A retenção de riscos é comum em riscos com baixo impacto que são normais nas operações do dia a dia
• A transferência de risco é normalmente utilizada quando se lida com riscos de grande impacto e em grande escala, que seriam proibitivamente caros para uma organização lidar

No entanto, o nível de risco, a apetência pelo risco das principais partes interessadas e os recursos disponíveis vão determinar a estratégia que vais adotar.

O processo de gestão de riscos tem cinco etapas, a saber: identificação de riscos, avaliação de riscos, plano de tratamento de riscos, implementação, monitorização e aperfeiçoamento.

1. Identificação de riscos

A primeira coisa que você deve fazer é ter uma visão geral de todos os riscos possíveis aos quais a sua organização está exposta. Documente todos os riscos identificados num documento, como um registo de riscos – uma base de dados de riscos, sua probabilidade e impacto potencial, responsáveis pelos riscos e estratégia selecionada para lidar com os riscos. Para determinar todos os riscos possíveis:

• Comunique-os aos trabalhadores da linha da frente, bem como à alta administração, por meio de pesquisas, brainstorming e entrevistas
• Pesquise ocorrências históricas de riscos e descubra as suas causas
• Extraia insights de risco com a ajuda de dados históricos na forma de análise de dados

Nestas sete categorias de risco, tenha em conta os riscos internos e externos:

2. Análise de risco

Agora é hora de determinar o nível de gravidade de cada um dos riscos identificados. Para cada risco, determine:

• O evento de risco, caso ocorra, terá um impacto negativo na organização
• Fatores internos e externos que podem causar o evento de um risco
• Probabilidade de ocorrência do evento de risco
• Impacto do evento de risco
• Prazo ou velocidade com que o risco pode ocorrer

Podes juntar as tuas conclusões numa matriz de risco com a probabilidade de risco num eixo e a gravidade do impacto no outro. Depois de fazer a avaliação, você poderá categorizar os riscos do mais grave ao menos grave.

3. Plano de tratamento de riscos

Ao lidar com riscos, você deve primeiro decidir sua estratégia: prevenção, redução, partilha, transferência ou retenção. Você pode combinar vários tipos de estratégias de gestão de riscos ao lidar com o mesmo risco. Depois, faz um plano de gestão de riscos para cada risco, as atividades de gestão de riscos, políticas e controles administrativos para reduzir o risco. Escolhe também as medidas de risco certas a seguir.

4. Implementação da gestão de riscos

Com o plano definido, é hora de implementá-lo. Certifique-se de comunicar os riscos às principais partes interessadas para que elas tenham conhecimento e participem adequadamente dos processos de gestão de riscos. Além disso, introduza um sistema que monitorize as métricas de risco que você determinou na etapa anterior. Você também pode calcular uma solução de análise de dados para extrair insights dessas informações.

5. Monitorização e aperfeiçoamento

A gestão de riscos não é um projeto; é um processo que deve ser realizado continuamente. Para gerir riscos de forma eficiente:

• Monitorize continuamente as medidas de risco, por exemplo, o rácio de liquidez ou o tempo de inatividade do equipamento
• Reveja regularmente o registo de riscos, reavalie os riscos e fique atento a riscos emergentes
• Fica sempre atento e implementa medidas de mitigação de riscos
• Teste e revise os seus planos e controlos de mitigação
• Obtenha conselhos sobre as suas práticas de gestão de riscos com as principais partes interessadas
• Realize auditorias internas regulares

Pensamento analítico e estratégico, competências interpessoais e de liderança, bem como conhecimentos regulamentares e financeiros são as competências mais valiosas na gestão de riscos.

Pensamento analítico

A gestão de riscos envolve a análise de diferentes dados. Um gestor de riscos eficaz é capaz de tomar decisões sensatas com base nas informações recolhidas e levando em consideração os fatores quantitativos e qualitativos.

Pensamento estratégico

Os gestores de risco devem ter uma visão abrangente da estratégia de uma empresa e do papel que a gestão de risco desempenha. Não podem ter um desempenho ideal sem ter uma visão geral e identificar oportunidades que os seus colegas possam ter ignorado.

Pessoas e habilidades de comunicação

A gestão de riscos precisa muito de colaboração entre várias funções para ser bem-sucedida. O papel do gestor de riscos é garantir essa cooperação entre as principais partes interessadas e a obtenção de feedback.

Competências individuais de gestão e liderança

Em algum momento, os gestores de risco são obrigados a implementar práticas de gestão de risco dentro da organização. Isso envolve ter uma noção de como incentivar as pessoas a manterem os esforços de mitigação e criar uma discussão honesta sobre os riscos.

Conhecimento regulatório

Qualquer método de gestão de riscos provavelmente será controlado por vários regulamentos. Assim, os gestores de riscos devem entender os requisitos legais de gestão de riscos e as formas de torná-los práticos.

Conhecimento financeiro

Espera-se que os gestores de risco avaliem os riscos quase diariamente. Isso não é possível sem um vasto conhecimento financeiro sobre o custo das interrupções na rede, bem como sobre as perdas financeiras decorrentes de falhas no equipamento.

Concluindo, assim como um alpinista depende de cordas e arneses para sua segurança, uma empresa deve empregar estratégias robustas de gestão de riscos para navegar por possíveis armadilhas. Seja evitando, reduzindo, compartilhando, transferindo ou retendo riscos, qualquer uma das abordagens é fundamental para mitigar perdas financeiras, operacionais e de reputação. Essa estratégia holística vai garantir que as empresas tenham a capacidade de lidar com vulnerabilidades antecipadamente e sejam resilientes, o que vai garantir sucesso e sustentabilidade a longo prazo.