Por Mário Sérgio Ribeiro (*)

Há alguns dias atrás ministrei uma palestra patrocinada pelo CPqD e IBM na sede da IBM em Belo Horizonte. O tema era Prevenção e Combate de Fraudes Corporativas. Na mesa redonda ao final do evento, com a participação de outros palestrantes e moderadores, veio uma pergunta: como demonstrar o ROI de projetos de prevenção e combate de Fraudes? É possível? O ROI como se conhece e que é utilizado em investimentos de vários tipos, ah, esse ROI não é possível demonstrar. Entretanto, há “uma luz no final do túnel” e essa luz, dentro de minha visão, é a que eu vou procurar trazer nesse artigo.

Vamos alinhar nosso contexto. Vamos procurar uma maneira de encontrar um retorno sobre o investimento para que fraudes corporativas, corrupção, lavagem de dinheiro, vazamento de informação, roubo de identidade, etc., não ocorram, ou, que se possa detectá-las antes que uma perda material (impacto financeiro) e/ou um dano à imagem e reputação (impacto não financeiro) ocorram.

O conceito simplificado de ROI que se conhece é encontrado fazendo: o ganho a ser obtido (em termos monetários, com o investimento que deve ser realizado) dividido pela quantia gasta com o investimento x 100; com isso extraímos o ROI em um formato percentual. Para o nosso contexto a questão que não se cala é simples: que ganhos são esses, considerando que o tema do ROI que pretendemos encontrar não existe os ganhos expressos no numerador da sentença matemática como entendemos, mas sim “evitar ou mitigar prejuízos” que porventura possamos ter? Pensar dessa forma é acreditar no risco dos eventos de nosso rol de ameaças: fraudes, corrupção, lavagem de dinheiro…lista grande!

OK. Se a Alta Administração de sua empresa não acredita nessa história de riscos, que os riscos dessas ameaças não existem na empresa, etc., tudo bem, tente achar outro meio de convencê-los. Talvez eles sejam daqueles onde tenha que ocorrer uma fraude de R$ 1 milhão, para pensarem em começar a investir, ou ainda, apostam no chamado “benefício da imprevidência”, onde um dado percentual de fraude é tolerada pela Alta Administração da empresa por conta de supostos ganhos com ela, claro, maiores do que o valor das fraudes. É incrível, mas isso acontece em várias empresas. Mas enfim, se por outro lado eles acreditam que os riscos dessas ameaças podem ocorrer e trazerem impactos que podem prejudicar os objetivos organizacionais da empresa, então podemos “tocar o barco” com nosso modelo.

Então, em nosso modelo de ROI temos a premissa de que é necessário identificarmos o risco da fraude, mensurarmos o seu valor, definirmos uma resposta ao risco encontrado, implantar essa resposta e monitorar esse risco e sua dinâmica. Nessa cadeia simplificada, que também atende pelo nome de gestão do risco, a resposta ao risco encontrado tem sempre investimentos a serem feitos – a não ser que se opte por aceitá-los – e o que espero com esses investimentos é que o risco que sobra, o risco conhecido como residual, seja menor ou igual ao risco antes da resposta. Esse risco residual é aquele que eu aceito, que eu suporto ter como perda por conta de sua ocorrência.

Pois bem, então o tal ROI que procuramos está na capacidade de encontrarmos a resposta mais otimizada ao possível risco, logo, com o investimento mais otimizado, que me possibilite chegar a um risco residual que a empresa considere desejável. Lembrando que se esse risco acontecer de se manifestar é aquele que eu aceitei como perda em face dos investimentos que fiz. Então, a partir do conhecimento e aceite desse risco residual que encontrei, o ROI ideal é aquele na qual não há manifestação desse risco residual, ou, se houver, que ele tenha uma perda menor ou igual ao risco residual aceito. Se você concorda com essa afirmação, saiba que ela é bonita no papel, mas não é tão simples de ser executada. Por quê? Vejamos a seguir.

Construir o Mapa de Risco da Fraude.

Para um escopo e abrangência definidos pelo projeto, a construção do Mapa do Risco da Fraude envolve identificar os riscos do mesmo. Suponhamos que eu tenha como escopo o Mapeamento do Risco da Fraude Interna na área de Compras de uma dada empresa. Olhando os elementos Processos, TI, Pessoas e Infraestrutura física da área em questão, devo desmembrar minha ameaça Fraude Interna em categorias, levantar as vulnerabilidades e controles existentes, a eficácia desses controles, o agente de ameaça interno (comprador, por exemplo) e/ou um agente de ameaça externo (fornecedor, por exemplo) e a partir daí, descrever o risco, isso mesmo, fazer uma descrição do risco.

 Mensuração do Mapa de Risco elaborado.

Essa etapa seria motivo de mais de um artigo, é nevrálgica, mas vou resumir para nosso intento. Medir o risco envolve escolher entre várias abordagens disponíveis na literatura. O que você precisa encontrar aqui é o risco expresso em valores monetários. Por quê? Porque fica mais fácil convencer quem “assina o cheque” do investimento a fazê-lo. Que investimento? Em medidas de controle, por exemplo, que é uma das quatro respostas possíveis a um dado risco mensurado: reduzir (com controles), aceitar, transferir/financiar e evitar. Se você apresenta o risco de forma qualitativa (Alto, Médio, Baixo) e depois fala que precisa de R$ 150 mil para implantar uma dada ferramenta de controle, o cara que assina o cheque pergunta: “mas esse Alto que você mensurou para o risco é de quanto ($)?”. Entre as várias formas de calcular o Risco, a mais conhecida é aquela que multiplica a Probabilidade pelo Impacto. Outro “calcanhar de Aquiles” nessa mensuração é determinar a chance do risco ocorrer, o que chamamos de Probabilidade, e que muitos investimentos não saem, pois essa chance de ocorrer não foi devidamente fundamentada.

 Sem querer aprofundar a discussão acerca do conceito de Probabilidade nesse contexto da estimativa do Risco, julgo importante discutir a questão que sempre é colocada da subjetividade na determinação da Probabilidade.

 É possível determinar com boa assertividade a chance de um dado evento ocorrer causando impactos à empresa. Há uma série de requisitos e critérios que podem e devem ser estabelecidos que contribuam para essa assertividade na determinação da probabilidade. Veja esse exemplo hipotético:

– Suponhamos uma sala de certa empresa que guarda uma série de projetos em papel altamente inovadores e que tem como estimativa de valor a continuidade das operações da própria empresa. Pois bem, vejamos dois cenários. No cenário 1, o acesso físico a essa sala tem como barreira uma porta trancada com uma chave normal que fica dentro de um armário no corredor. Em um cenário 2, o acesso à essa sala é por meio de uma tripla autenticação colocada do lado da porta de acesso. Essa tripla autenticação envolve senha, token e biometria. Além dessa tripla autenticação, ao adentrar a sala, há a existência de um sistema CFTV que monitora as atividades no seu interior em tempo real. E mais um dado: ainda não houve nenhum incidente de violação do acesso físico à sala que trouxesse algum dano à empresa, como o roubo de um dos projetos; entretanto, estudo recente do Comportamento Organizacional revela um descontentamento generalizado dos colaboradores com uma série de itens, como salário, benefícios, plano de carreira, etc.

 Questão: apenas com os dados que passei, se você tivesse que estimar a chance (probabilidade) de alguém, que indevidamente pudesse acessar a sala e roubar um ou vários projetos, diria que em quais dos dois cenários essa chance é maior, mesmo sabendo que nunca ocorreu nenhum incidente?

 Sem pestanejar certamente você respondeu o Cenário 1. E por que fez isso? De forma simples deve ter pensado comparando os dois cenários, que os controles que mitigam o risco no cenário 1 de alguém indevidamente adentrar na sala e roubar os projetos é muito inferior do que os controles instalados no cenário 2. O cenário 1 proporciona inúmeras oportunidades para que o perpetrador consiga seu intento. As oportunidades que o perpetrador vislumbra ocorrem pelas vulnerabilidades que ele percebe existirem.

 Então, não é suficiente somente levar em conta ao determinar a chance de ocorrência quando se procura estimar um risco, olhar apenas para a estatística de acontecimentos. No risco operacional devemos levar em conta uma série de requisitos, além do estatístico, como vulnerabilidades, eficácia de controles, estudo do Clima Organizacional, etc., que aumenta a minha assertividade na determinação da chance de ocorrência.

 Quanto aos impactos, eles podem se apresentar de duas formas: o financeiro e o não financeiro. O financeiro é aquele que de forma direta pega no bolso da empresa. Em termos de uma fraude, por exemplo, um roubo de numerário ou de um ativo tangível é um impacto financeiro. Isso é importante. Para eu determinar um impacto financeiro é necessário mensurar essa perda. O outro, que chamamos de impacto não financeiro, pode não chamar tanto a atenção como o financeiro, mas dependo do caso, pode ser bem mais impactante. Normalmente o mais citado são as categorias relacionadas ao dano à imagem e reputação. A categorização do impacto não financeiro pode ser bem mais detalhada do que somente imagem e reputação.

 Então, encontrando a chance de ocorrência e o impacto eu consigo mensurar o meu risco. Mas já falei, dá trabalho e se você não estiver muito bem embasado, vai ser questionado e o dinheiro do investimento, que falaremos mais á frente, não virá.

 Resposta ou Tratamento ao Risco mensurado.

O risco encontrado pede que se defina que tipo de resposta ele terá. Ele poderá ser aceito, transferido, evitado ou mitigado. Dentro do nosso foco, vamos discutir a resposta Mitigado. A ideia de mitigar (reduzir) o risco pressupõe que eu tenha que procurar por medidas, controles que possam fazer com que o risco encontrado possa ser reduzido. Esses controles têm investimentos concentrados em processos, pessoas, tecnologia e infraestrutura física. Os controles selecionados atuam para diminuir a chance da ocorrência (probabilidade) e/ou o impacto financeiro e não financeiro.

 A regra de ouro é selecionar os controles que façam com que se encontre o risco residual desejável com o menor investimento possível. Não é fácil atender a essa regra, mas o esforço compensa e a Alta Administração agradece. A mensuração do risco residual é uma tarefa especializada e que deve ser realizada por pessoal capacitado, caso contrário, pode cair em descrédito.

 Muitos erros ocorrem por conta de acreditar que determinados controles seriam suficientes para colocar o risco residual em um patamar desejável. Procura se seguir a regra ao pé da letra ou atender a máxima faça mais com menos. Cuidado, nem sempre isso é possível! A disciplina de Riscos não admite amadorismo. E para finalizar não se esqueça de que as atividades em uma empresa mudam a toda a hora, mudando os riscos e consequentemente os controles devem ser revistos. O que eu quero dizer é que o monitoramento deve ser contínuo, sob pena do seu ROI poder vir a ruir!

 Até a próxima!

_______________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ABBC (Associação Brasileira de Bancos). E-mail: mario.ribeiro@enigmaconsultoria.com.br