blog.dennyroger.com.br

Mapeamento conjunto dos riscos de uma companhia faz com que áreas de negócios e de TI trabalhem melhor na elaboração de um plano.

Por Camila Fusco, do COMPUTERWORLD

Conceituar gestão de riscos é considerada tarefa fácil para muitas empresas. Elaborar um relatório daqui, mapear vulnerabilidades acolá representam, para boa parte delas, a espinha dorsal do processo, que desemboca na entrega de um documento com o diagnóstico ao departamento de tecnologia. Pronto! Está repassada a tarefa: ao departamento de TI (tecnologia da informação) resta encontrar soluções que resolvam os problemas de processos de cada área.

Na prática, no entanto, a seqüência não deve ser encarada de maneira tão simplista, alertam os especialistas. O maior desafio atual das companhias em elaborar um plano de gestão de riscos bem sucedido está em conseguir integração equilibrada de todas as áreas, de maneira que as questões “mapear os riscos é tarefa de quem” e “o que a companhia deve esperar da TI” possam ser sintetizadas na palavra colaboração. “O time de tecnologia deve estar preocupado com questões peculiares à sua responsabilidade, como segurança, confiabilidade da infra-estrutura, e também servir de apoio para as demais áreas. No entanto, essa segunda fase deve acontecer somente após os profissionais de TI terem recebido informações sobre onde e como agir para melhorar os processos”, recomenda Antonio Castrucci, consultor em gestão de riscos.

O especialista aponta que todo o processo deve partir de um mapeamento minucioso das vulnerabilidades às quais a empresa está exposta. No entanto, é necessário que as ações internas do departamento de TI sejam realizadas paralelamente àquelas conduzidas em outras áreas. “O homem de TI não pode mitigar os riscos sozinho. Cada área deve realizar um levantamento detalhado sobre seus fluxos e constatar quais processos precisam de melhorias. Só a partir daí, é adequado acionar a tecnologia”, sinaliza Castrucci.

O mapeamento do fluxo de trabalho e a posterior articulação com a TI foi realidade na Nextel. Em uma análise das operações gerais da companhia - realizada dois anos atrás -, foi constatada a necessidade de alterações nos processos e na tecnologia de análise de crédito. “Tínhamos um procedimento de consulta manual da base de dados de instituições de crédito e da Receita Federal. Os analistas entravam nos sites de cada órgão para apurar as informações. No entanto, não se tinha certeza de que o processo estava acontecendo como deveria”, aponta Alcimere Noventa, gerente de controle de crédito da companhia.

Na Nextel, o risco não estava relacionado à segurança do sistema em uso, mas no eventual não cumprimento do processo de apurar o perfil do cliente junto a todas as bases especificadas. A partir do estudo, a área de TI ficou encarregada de contratar uma solução capaz de analisar automaticamente a situação dos potenciais clientes em vários bancos de dados, o que resultou na adoção da solução da Crivo. “Conseguimos garantir que a política de crédito fosse seguida à risca e ampliamos o escopo da análise do cliente”, garante a executiva.

No lugar certo

O caso da Nextel foi um exemplo típico de como o mapeamento dos riscos pode favorecer o investimento da companhia no lugar certo. Segundo Ricardo Balkins, sócio da Deloitte Brasil para a área de gestão de riscos empresariais, análises profundas como essa evitam o gasto de recursos a esmo. “Muitas vezes as empresas acreditam que conhecem suas áreas mais vulneráveis, mas nem sempre acertam. A partir daí investem para proteger o lugar errado”, alerta.

Alguns dos exemplos típicos de investimentos desperdiçados ocorrem principalmente na área de segurança, uma vez que muitos gestores acreditam que apenas listar as ocorrências possíveis seja o primeiro passo para mitigá-las. “Assim como nos demais departamentos, as ações de segurança são decorrentes de uma análise. Listar tudo o que pode dar errado e realizar eventuais correções não é suficiente. É necessário levar em consideração variáveis como probabilidade de ocorrência e impacto”, complementa Balkins.

Mesmo que a lista de correções para riscos apurada na elaboração do plano seja extensa a orientação é que as ações devam ser iniciadas pelos riscos que apresentarem a combinação mais explosiva: grande probabilidade e grande impacto nas operações da companhia (veja fluxograma). “As primeiras iniciativas devem tratar os riscos que a empresa não está disposta a assumir”, acrescenta o consultor. Além disso, tais ações devem considerar também os limites orçamentários, e precisam ser priorizadas na mesma proporção da liberação dos recursos.

Com cerca de dois mil funcionários dependentes diretamente da infra-estrutura de TI, o sistema Cataguazes Leopoldina - que concentra cinco distribuidoras de energia elétrica no País - há três anos estabeleceu uma política geral para a área de TI, com grande foco em gestão de riscos de segurança. Na primeira fase, a companhia estabeleceu a assinatura de um termo de compromisso por parte dos funcionários sobre a utilização de ferramentas de tecnologia, treinou gerentes para a área de gestão de risco e criou um comitê para tratar da segurança dos dados nos principais departamentos.

“Embora nunca tenhamos tido nenhuma ocorrência, coube à TI alertar para que a segurança dos dados fosse preservada. Tratamos o plano como uma antecipação à qualquer ocorrência”, declara Guilherme Marconi, gerente corporativo de TI do grupo. Com consultoria da Batori Software, a companhia tratou primeiramente a área de dados, de interconexões de sistemas, e de e-mails e correios eletrônicos. Posteriormente, investiu na infra-estrutura propriamente - contingência de data centers, replicação de banco de dados, duplicação dos sistemas de telecomunicações - e agora parte para um plano agressivo de proteção de dados na fábrica de software. “Hoje o furto está ligado à informação. Quando ligam os computadores, os profissionais estão expostos a esse risco e é necessário apostar alto no combate”, justifica Marconi.

Benefícios intangíveis

Apesar de ser considerada um benefício para os processos das empresas de maneira geral, a gestão de riscos tem sido praticada com mais afinco - sobretudo na área de TI - entre as companhias que necessitam se adequar a normas como Sarbanes-Oxley e Basiléia 2. Ganham destaque nesse grupo, empresas dos segmentos de telecomunicações, finanças e energia.

As organizações que necessitem cumprir com múltiplas diretrizes são orientadas a traçar um plano de gestão que enderece ao maior número possível de exigências. “As regulamentações têm estabelecido certo grau de integração. As empresas que necessitarem se adequar a mais de uma norma podem trabalhar seu plano de gestão de riscos em fragmentos, abordando partes da Sarbanes e partes de Basiléia”, aponta Fernando Nery, sócio fundador da Módulo Security.

Balkins, da Deloitte, lembra que grande parte das companhias que necessitam atender aos requisitos regulatórios tem encontrado parâmetros consistentes no Cobit - Control Objectives for Information and related Technology -, framework destinado à gestão de TI. “Praticamente todas as empresas em que faço consultoria - entre aquelas que precisam se adequar à Sarbanes - têm utilizado Cobit para fazer o mapeamento inicial da situação e também para saber como endereçar as ações para se adequar à regulamentação”, conta.

Independente do modo como são conduzidos, se levam em consideração os parâmetros do Cobit ou não, a verdade é que os planos de gestão de risco apresentam um grande ponto comum às empresas que os incorporam: a dificuldade de mensurar os benefícios. A menos que as ações determinem a implantação de novas tecnologias para fatos pontuais, o resultado aparecerá nas operações como um todo.

Segundo analistas é difícil medir quanto se vai gastar ou ganhar em cima de um plano de gestão de riscos, já que os benefícios são intangíveis e se traduzem no próprio dia-a-dia. O desafio, então, está em saber como equilibrar a participação de cada departamento desde o início do processo. A percepção tende a ser de que a governança de TI deixou os processos mais alinhados em todas as áreas. E isso já é um ótimo negócio.

Publicada na edição 449 do jornal Computerworld

Fonte: http://computerworld.com.br/gestao/2006/03/23/idgnoticia.2006-03-29.9225627394/IDGNoticia_view

Sem comentários »