Risco, Resiliência e PCN pós COVID-19.


MÁRIO  SÉRGIO RIBEIRO (*) Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que Read more

LGPD: o projeto de segurança da informação de 2019!


(*) Mário Sérgio Ribeiro A Lei 13.709, conhecida como a Lei Geral de Proteção de Dados (LGPD), foi publicada em agosto desse ano e trata da proteção e privacidade de dados de pessoas físicas (clientes, empregados e outros) pelas empresas Read more

Resolução 4658 serve de alerta a todos os ramos de negócio.


(*) Mário Sérgio Ribeiro No final do mês de abril desse ano o Banco Central soltou a resolução 4658 que trata do tema Segurança Cibernética. Essa resolução foca em três principais tópicos: a política de segurança cibernética, resposta a incidentes Read more

Risco, Resiliência e PCN pós COVID-19.

enigma.consultoria Sem categoria Leave a comment   , , , , , ,

MÁRIO  SÉRGIO RIBEIRO (*)

Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que nos acostumar com a ideia de lidar com cada vez mais incertezas, a despeito de toda tecnologia e metodologia de previsão que dispomos.

A Pandemia do COVID-19 que se abateu sobre o mundo é um de vários possíveis eventos catastróficos que pode vir a nos colocar “de joelhos”. Como consequência desse atual evento que vivenciamos, fica uma pergunta: os negócios sobreviventes da COVID-19, como ficarão? As empresas têm Resiliência organizacional para aguentar um tranco desse tamanho? Como podem desenvolver estratégias de continuidade e sobreviver, mesmo diante de eventos dessa magnitude, que pelo jeito, pode vir a nos visitar novamente?

Há quase dez anos atrás o matemático americano John Casti escreveu um livro com o título “O colapso de tudo” – os eventos extremos que podem destruir a civilização a qualquer momento”. Título impactante? O autor quis chamar a atenção, alguns poderiam pensar, para vender livro? Em um primeiro momento talvez sim. Mas se você ler o currículo de Casti provavelmente não apostaria nisso. No livro, Casti analisa onze eventos alarmantes – e prováveis – situações que podem arrastar o mundo para uma idade das trevas, como diz a contracapa. Vamos a eles:

(1) Um apagão na Internet

(2) A falência do sistema global de abastecimento de alimentos

(3) Um ataque por pulso eletromagnético que destrói todos os aparelhos eletrônicos

(4) O fracasso da globalização

(5) A destruição provocada pela criação de partículas exóticas

(6) A desestabilização do panorama nuclear

(7) O esgotamento das reservas de petróleo

(8) Uma Pandemia Global

(9) Pane no sistema elétrico e no suprimento de água potável

(10) Robôs inteligentes que dominam a humanidade

(11) Uma crise no sistema financeiro global

Eu li e reli nesses dias este livro de Casti e confesso que não duvido do que ele fala! Alguns deles já acenderam sinal amarelo…Trata-se de um livro excelente e que recomendo a leitura a todos. Infelizmente, um dos eventos previstos por Casti estamos vivenciando: a Pandemia Global do COVID-19. E quando sairmos dela, machucados, mas vivos, até que ponto estaremos preparados para outros eventos que porventura possam vir, como alguns dos citados por Casti? Devemos, tanto como pessoas como empresa, ampliar nossa Resiliência. Mas afinal, o que essa tal de Resiliência organizacional?

 Resiliência Organizacional é a capacidade de uma organização em absorver e se adaptar em um ambiente em mudança e capacitada a cumprir seus objetivos, sobreviver e prosperar. Organizações mais resilientes podem antecipar e responder a ameaças e oportunidades, decorrentes de mudanças repentinas ou graduais em seu contexto interno e externo. (fonte: ISO 22316:17)

O aumento da resiliência pode ser uma meta organizacional estratégica e é o resultado de boas práticas comerciais e gerenciamento eficaz de riscos. E é nesse aspecto do gerenciamento eficaz de riscos que quero iniciar meu raciocínio nesse aumento da Resiliência organizacional.

 Ao sairmos dessa Pandemia veremos um mundo de outra forma e certamente as empresas olharão para essa questão da Resiliência. Mais conservadora e mais ressabiada com eventos de rara probabilidade, mas de impactos catastróficos, elas investirão em aumentar sua resiliência ou, pelo menos, deverão pensar muito mais do que antes do COVID-19 na sua Avaliação de Risco, em suas estratégias de continuidade e em seus planos de continuidade de negócios. Disso eu não tenho dúvida! Vamos explorar a questão…

Quando desenvolvemos nosso Plano de Continuidade de Negócios passamos por uma etapa que chamamos de Processo de Avaliação de Risco, que tem como objetivo: identificar os riscos de interrupção das atividades prioritárias da empresa, bem como os processos, sistemas, informações, pessoas, bens, parceiros terceirizados e outros recursos que os suportam. Em seguida, esses riscos identificados devem ser analisados, avaliados e identificados tratamentos que se alinhem com os objetivos de continuidade de negócios e de acordo com o apetite de risco da empresa.

Essa pandemia do COVID-19 acendeu uma luz amarela sobre o processo de avaliação de riscos. Eventos que antes poderiam ser considerados de probabilidade raríssima e que nem eram avaliados na maioria dos planos, devem passar a serem considerados e, seu tratamento, alinhado com as devidas estratégias de continuidade. Esse certamente é o momento ideal para que se faça uma análise desse processo dentro da continuidade de negócios. Para ajudar nessa análise, uma série de perguntas devem ser feitas. Vejamos algumas delas:

(1) Estou usando uma metodologia devidamente referendada para Avaliar o Risco da continuidade dos negócios?

(2) A identificação dos riscos tem processo e critérios definidos que tragam para o contexto os riscos de quaisquer probabilidade e magnitude?

(3) Ainda no que diz respeito a identificação dos riscos, estamos usando metodologia que nos permite identificar todas as categorias de riscos possíveis que tenham uma alinhamento direto com a continuidade de negócios?

(4) Existem riscos catastróficos (ou quase) que eu poderia estar incluindo em minha avaliação?

(5) Existe metodologia claramente definida que permite avaliar quais riscos de interrupção podem ser tratados?

(6) Os tratamentos escolhidos estão alinhados com os objetivos de continuidade de negócios e de acordo com o apetite de risco da empresa?

Os riscos que foram identificados e que necessitem de tratamento, a empresa deve considerar medidas proativas que possam reduzir a probabilidade, diminuir o período de interrupção e limitar o impacto da interrupção. Para alguns riscos, o tratamento, com o intuito de aumentar a resiliência organizacional, será a inclusão em algumas das estratégias de continuidade a serem definidas.

As estratégias de continuidade que são definidas e selecionadas a partir da análise de impacto nos negócios e no processo de avaliação de riscos tem como propósito proteger atividades prioritárias, estabilizar, continuar, retomar e recuperar atividades priorizadas, além de suas dependências e recursos de apoio. Faz ainda parte de seu escopo, mitigar, responder e gerenciar impactos.

Nessa pandemia do COVID-19 uma grande maioria de empresas “descobriu na marra” a estratégia do home office e do trabalho virtual. Obviamente as empresas que já tinham seu PCN, em sua grande parte, deveriam ter essa estratégia de home office definida para algumas de suas atividades e, portanto, saíram na frente. Mas, mesmo assim, provavelmente para uma boa parte delas, se tornou insuficiente para tirar a empresa de uma situação complicada, em alguns casos, dramática.

A questão central é que o evento da COVID-19 parou a roda da economia porque o seu ativo principal saiu de cena: Pessoas! E sem as pessoas, a roda não gira, não há como as empresas existirem. Dessa forma, o que se pode aprender com o COVID-19?

Eventos catastróficos, que podem ir desde um incêndio total das instalações de sua empresa ou uma crise sistema financeiro global (como a de 2008) e que Casti coloca que pode voltar (está entre os onze eventos), devem começar a fazer parte de seu processo de avaliação de risco, estratégia de continuidade de negócios e planos de continuidade de negócios.

A preocupação até hoje na elaboração e implementação de PCNs era com eventos como no máximo um incêndio com perda total. Estratégias de continuidade que estabilizem, continuem, retomem e recuperem as atividades priorizadas de uma empresa em um evento dessa natureza ou semelhante, é possível de se planejar e implementar. As estratégias não dependem de um contexto externo.

Mas o que fazer para eventos nos quais você depende de um governo, de uma situação extrema, onde a decisão não está com você, que se vê de “mãos atadas” para enfrenta-la? Para cada tipo de evento desse deve ser pensada e elencada uma solução. Vejamos como exemplo o próprio COVID-19.

Em um primeiro plano sugestiono que as empresas comecem a olhar com mais carinho para os Riscos Emergentes. Risco Emergente é um termo usado para descrever novos riscos que não encaixam no universo de riscos atual ou riscos que estão mudando, assim como sua interação com outros riscos. Comum a ambos é que Riscos Emergentes são difíceis de quantificar, mas considerados como tendo potencial para impactar a empresa de forma substancial.

A importância de gerir Riscos Emergentes se encontra no seu potencial para afetar a estratégia de negócios; consideração antecipada e mitigação podem ser vista como uma atividade chave de agregar valor através das Funções de Gestão de Risco. Não é objeto aqui fazer um detalhamento sobre Riscos Emergentes, que farei breve em outro artigo, mas se as empresas já estivessem inserido essa abordagem em sua função de riscos, muito provavelmente teriam detectado uma ameaça nas Endemias já ocorridas. Vejamos:

1. Poderiam dar atenção, entre outros, a estudos como de Casti, que é um dos fundadores do X-Center, instituição de pesquisa com sede em Viena que analisa eventos extremos causados pelo homem e como prever sua ocorrência;

2. Recorrer a base histórica sobre eventos de endemia, que já tivemos. Vejamos:

  • Coronavírus são conhecidos desde meados da década de 1960;
  • 2003: SARS (síndrome respiratória aguda grave);
  • 2005: Gripe aviária;
  • Síndrome Respiratória do Oriente Médio (MERS) foi identificada em 2012 e segunda onda em 2018;
  • Mercado de Whuan na China já foi fechado e reaberto três vezes.

3. Os eventos citados protagonizaram Endemias e uma Pandemia não foi questionada, mas poderia. Entre alguns aspectos, a globalização diminuiu as fronteiras e o vai e vem pelo mundo ocorre em abundância e em um piscar de olhos. A China comunista virou um potência capitalista e seus aeroportos são dos mais movimentados do mundo. Saímos da Ásia em um dia e depois de 18 horas estamos no Brasil? Ou em sete na Europa? E assim com qualquer país do mundo…

Com essa abordagem não tenho pretensão nenhuma de fazer previsões, de se prestar a um tolo, que fala depois do ocorrido, de encontrar uma fórmula de encontrar os cisnes negros de Taleb ou de encontrar culpados (OMS, governos, empresas, etc.). Nada disso! O que pretendo é mostrar que nosso cuidado com a Avaliação de Riscos de agora em diante deve ser muito mais contínuo e detalhado, carecendo de um monitoramento diário de dados e informações, em função da ampliação das categorias de risco que podem afetar o negócio de uma empresa. Talvez, incluir a raridade em sua Avaliação seja um começo…

Um dos maiores, senão o maior problema, enfrentado pelas empresas agora é a falta de caixa para suportar esse período incerto de inatividade. Uma das mais variadas soluções que podem ser adotadas para o futuro, baseada nessa nova avaliação de risco a ser realizada, é entender a Alocação de Capital para Risco Operacional como uma excelente resposta à um evento de risco operacional de elevada magnitude. Isso já existe de forma obrigatória em alguns setores regulados de nossa economia. Essa alocação seria usada diante de um evento, como o da COVID-19 por exemplo, por meio de políticas claramente definidas e aprovadas pela Alta Administração da empresa.

Na sequência de nossa revisão da Gestão da Continuidade de Negócios, a partir da avaliação de riscos e das estratégias, os procedimentos dos planos devem ser revistos. A resposta e estabilização da emergência, a gestão da crise, a comunicação com partes interessadas, a recuperação e o retorno ganham novos contextos que devem ser reavaliados com detalhes e critérios. Um item muito importante e que muitos esquecem é a sua cadeia de suprimentos! Reavaliar o risco de seus fornecedores/parceiros, pelo menos os mais críticos, é fundamental!

Muito dessa reavaliação tem como aprendizado este exato momento em que as empresas estão passando e tendo que resolver e resolver e… É um momento duro, mas deve ser guardado como forma de avaliar o que deu certo e o que deu errado. O certo entra como resposta a essa reavaliação, o errado, como aprendizado para um novo acerto.

De toda forma temos um novo paradigma. Os tomadores de decisão da empresa devem começar a pensar que infelizmente o imprevisto faz parte de nossa vida humana nesse planeta. Que os Eventos Extremos devem aparecer com maior frequência e que precisaremos desenvolver nossa Resiliência, ou mais ainda como define Taleb em seu livro Antifrágil: precisamos ser mais do que resilientes, precisamos ser Antifrágeis!

Em A Peste, romance existencialista de 1947, o escritor Albert Camus pinta um quadro emocionante de profissionais de saúde que se unem para combater um surto de peste bubônica. Camus em seu livro diz: parece ser que os seres humanos têm, na melhor hipótese, uma ilusão de controlar seu destino e que, em última análise, a irracionalidade governa os acontecimentos.

Se cuidem!

Abraço.

Até a próxima.

_______________________________________________________________

(*) 60 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Incerteza, acaso, imprevistos: a influência em nossas vidas e na vida das empresas.

enigma.consultoria Sem categoria Leave a comment   , , ,

(*) Mário Sérgio Ribeiro

 

Você consegue recorrer a sua base histórica, armazenada nos rincões de sua memória e recuperar a informação de quantas vezes o Acaso esteve presente em sua vida pessoal, seja para o bem ou para o mal? Quantas vezes a Incerteza tomou conta de sua vida e a vida das empresas em que trabalhou ou trabalha, quando decisões precisavam ser tomadas? Percebeu que a cada dia que passa, novas “surpresas” vão acontecendo, quantos imprevistos, o que não existia, passa a existir, que nossas previsões não conseguem ser mais tão assertivas como tempos atrás?  

 

Provavelmente irá se surpreender com o número de ocorrências. Elas certamente são maiores do que você imaginava. Quantos acasos nos levaram a inúmeras descobertas, quantas incertezas levaram empresas e até nações a tomarem decisões erradas. Quanta suposta subjetividade parecia existir na probabilidade, na chance de algo ocorrer, e, muitas vezes de forma até negligenciadora, fizemos a coisa errada. Vamos explorar essa temática.

 

De uma maneira geral somos orientados desde criancinha a trilhar uma vida dentro de padrões, de regras, e dentro do possível, tocas a vida de uma forma planejada. O padrão e o planejado gostam de andar de mãos dadas com a certeza, daquilo que podemos prever e que de fato vai acontecer. Adoramos quando podemos prever, e mais ainda quando acertamos as previsões, mas detestamos a incerteza. Somos contextualizados a não tolerar a incerteza e por conta disso, geralmente a colocamos de lado, mas temos conosco, mesmo de forma subliminar, que ela existe. Com o Acaso a mesma coisa, mas se for para o lado bom, torcemos para que ele sempre apareça.

 

Ocorridos fora do planejado podem ser exemplos interessantes. Vejam o que ocorreu com essas empresas:

·         A Coca-Cola começou como um produto farmacêutico;

·         A Tiffany & Co, hoje famosa por suas joias, começou como uma loja de artigos de papelaria;

·         A Nokia,que já foi a maior fabricante de telefones celulares, teve início como uma fábrica de papel e em algum momento chegaram a fabricar sapatos de borracha;

·         A DuPont, hoje com uma infinidade de produtos, mas famosa por suas panelas antiaderentes de teflon, lançou-se como uma empresa de explosivos;

·         A Avon, empresa de cosméticos, começou com a venda porta a porta de livros.

 

O que não é esperado, planejado, que pode ser trazido por uma situação, um evento aleatório qualquer, pode ter o seu lado bom, como também um lado ruim. Cada uma dessas empresas citadas tem em sua história de mudança, o que parecia ser certo por seu planejamento estratégico inicial, mostrou-se errôneo no decorrer do tempo, e o sucesso ocorreu de outra forma.

 

Se você for conversar com pessoas idosas, ainda vivas, acima dos 80 anos, constatará que a vida era mais fácil, podemos dizer bem mais previsível. Converso muito com minha mãe que tem 98 anos, nascida, portanto, em 1919. Nasceu logo após o final da primeira guerra e passou por diversas transformações que aconteceram no mundo ao longo desse quase um século.

 

Ela fala que a grande maioria das coisas que você planejava fazer para sua vida, a maioria ocorria sem muitos solavancos, mas ocorriam. Os ruídos ou sinais que porventura aconteciam no percurso, eram possíveis de serem percebidos e se podia ajeitar o curso das coisas. Muitas pessoas se aposentavam naquele que era o seu primeiro emprego. Havia certa estabilização, havia menos incertezas, a vida provavelmente era mais fácil de se levar.

 

Hoje a coisa é bem diferente. Se olharmos o universo que gira em torno de nossas vidas e da vida das empresas percebemos que as variáveis desse enorme sistema são quase que infindáveis. Com tantas variáveis e poucas constantes, nossas incertezas se acumulam e como! Corajoso aquele que realiza previsões, sejam elas quais forem nos dias atuais. A chance de acertar na mosca é quase que nenhuma, mas a possibilidade de fazer previsões é parte do ser humano.

 

Nessa linha que estamos tratando poderíamos pensar em o que devemos fazer, ou o que podemos fazer para reduzir as incertezas que nos cercam? Como podemos tornar um pouco mais certa tanta coisa incerta? E o acaso, o aleatório, como podemos nos proteger de sua aparição?

 

Para as incertezas você quase sempre tem a possibilidade de decidir. As incertezas obriga você a trabalhar com a chance de que algo possa acontecer e que possa trazer impactos positivos ou negativos, claro, dependendo do contexto que esteja avaliando. A ideia é encontrar esse grau de incerteza e tentar reduzi-lo. Um bom método de procurar reduzir esse grau de incerteza é utilizar componentes do gerenciamento de risco.

 

Em minhas aulas e palestras sobre Risco costumo usar um exemplo da vida das pessoas para ajudar no entendimento dos conceitos que estamos aqui tratando. Vamos a um caso, muito comum por sinal nos dias atuais.

Suponhamos que um indivíduo esteja em um bar com amigos e começa a ingerir bebida alcoólica, ultrapassando facilmente os limites definidos na Lei de trânsito. Analisemos duas hipóteses nesse caso. Uma primeira, na qual o risco é evitado (elimina-se as incertezas) e a outra hipótese, o risco é assumido (assumem-se as incertezas e os possíveis impactos):

 

Hipótese1: Ele está sem carro próprio. Em uma primeira situação, esse indivíduo saiu de casa deliberadamente sem carro, pois sabia que iria a um bar e iria beber acima do permitido. Voltaria de taxi ou pegaria carona com algum amigo que estivesse de carro, mas que não havia bebido. Ele retirou suas incertezas, reduzindo-as a zero com essas ações preventivas, evitando o risco de dirigir seu carro alcoolizado e assumir riscos deliberadamente.

 

Hipótese 2: Ele está de carro próprio. Saiu de casa de carro sabendo que iria a um bar e que beberia, certamente acima do permitido por Lei. Foi o que ocorreu: bebeu bem acima do permitido. Sua dúvida, sua incerteza é: pego o carro e assumo todos os riscos decorrentes ou evito os mesmos riscos pegando um taxi, ou solicitando a um amigo que não bebeu que leve o meu carro. O que fazer?

 

Interessante verificarmos que se olharmos as situações sobre a ótica do risco, fica mais fácil tratar das incertezas que nos cercam. Claro que na situação colocada acima, atuar preventivamente indo de táxi, eu evito o risco e elimino qualquer incerteza. Agora, quando eu assumo as consequências do risco pegando o carro alcoolizado, minhas incertezas permanecem até estacionar o carro na garagem de casa.

 

No trajeto do bar até sua residência o indivíduo está sujeito a todas as variáveis do risco que assumiu: das incertezas, dos acasos, da aleatoriedade. Assume o indivíduo para si que está bem para dirigir, que não haverá blitz, que ninguém estará atravessando uma rua quando ele virar a esquina… e por aí vai. Então, qual a melhor decisão, ou quem sabe, a única?

 

E se na vida de nós próprios mortais a vida é repleta de incertezas e riscos, não é diferente para as empresas. Certamente toda decisão tomada no ambiente empresarial vem imbuída de uma série de incertezas, mas que, provavelmente antes de tomá-la, deve se procurar reduzi-la a um mínimo tolerável, buscando a certeza da melhor decisão.

 

No ambiente empresarial, muito mais do que na vida da maioria dos indivíduos, o uso da prática do risco como elemento mitigador de incertezas e busca cada vez mais de decisões assertivas nos dias atuais, soa como elemento de sobrevivência. E também aqui, acaso, aleatoriedade, volatilidade “ajudam” a temperar ainda mais o contexto.

 

Em uma sociedade minada de informações para todos os lados e cada vez mais com sistemas extremamente complexos e dependentes de inúmeras variáveis, as empresas tem lançado mão de todo o aparato tecnológico e não tecnológico para reduzir suas incertezas. Adotar a prática da gestão do risco passa a ser uma obrigatoriedade na maioria delas, em dias e cenários cada vez mais turbulentos.

 

Para finalizar esse artigo compartilho com vocês o que ocorreu em uma recente apresentação que fiz sobre a Gestão da Continuidade de Negócios. Um participante perguntou o porquê da empresa dele ter que elaborar e implantar um Plano desse se, até aquele momento, nunca havia ocorrido nenhum evento de magnitude que pudesse paralisar suas operações e que ele também não via indício de ocorrer no futuro? Disse que ficava contente em poder responder essa pergunta e vamos a um resumo dela abaixo:

 

Eu e você sabemos que se elabora e implanta-se um Plano de Continuidade de Negócios (PCN) para não sermos surpreendidos por eventos que possam paralisar o negócio. Sabemos também que esses eventos podem ter, desde baixa até alta chance de ocorrência, e seus impactos podem levar uma empresa a parar de operar. Procuramos ter um tratamento preventivo para nossas inúmeras incertezas e preservar o negócio. Incertezas essas alinhadas às incontáveis ameaças que rondam o negócio. No ambiente empresarial podemos ter uma lista de riscos operacionais que passam facilmente de mais de cem ameaças. Vamos pegar uma boa: um incêndio.

 

Como está a instalação elétrica da empresa? E se for condomínio, como está a instalação do condomínio e a do seu vizinho? Ah, mas não temos nada a ver com o condomínio, com o vizinho. Ok, mas se tiver problemas ali, a ameaça pega a todos, e pode ser uma vez só, como no caso do incêndio. Então, mesmo que nunca tenha ocorrido, e oxalá sempre torcemos para nunca ocorrer, não quer dizer que não vai ocorrer. E se porventura ocorrer, a empresa não descontinua, pois tem um tratamento a esse risco que atende pelo nome de PCN. Lembrando: você faz um Plano desse para não ter que usar mesmo, mas, se aparecer a Crise, ele está ali!

 

Essas e outras infinidades de incertezas, normais em sistemas cada vez mais complexos, como foram mencionadas ao longo desse artigo, nos faz repensar a forma que pensamos e agimos sobre elas. Não conseguimos evitar ou reduzir todas que queremos, mas podemos priorizar quanto à criticidade de suas consequências e adotar medidas que tragam mais certezas do que incertezas.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

A melhoria continuada por meio das Perdas Operacionais.

enigma.consultoria Sem categoria Leave a comment   , , , , , , ,

(*) Mário Sérgio Ribeiro

Alguém disse certa vez que aprendemos muito mais com as derrotas, com as perdas, do que com as vitórias. Na vitória baixamos a guarda, ficamos mais relaxados, alguns deitam eternamente sobre os louros; já nas perdas, essas nos tiram do sossego e fazem com que busquemos saber o que ocorreu, como ocorreu e o que devemos fazer para que não ocorra novamente. Deveríamos aprender a aprender de forma constante com as perdas. A maioria sabe disso em suas vidas e as aplica consciente ou inconscientemente.

Trazendo a ideia para o mundo corporativo deveríamos pensar o mesmo. As Perdas e as Quase-Perdas que ocorrem no dia a dia das empresas devem ser objeto de aprendizado e da busca pela melhoria continuada. Claro que a palavra Perdas é grande demais e pode significar muita coisa. Nesse artigo vou limitar meu escopo às Perdas que classificamos como Operacionais.

Podemos conceituar uma Perda Operacional como um impacto financeiro e até não financeiro que acontece com a empresa por conta de um evento ocorrido, que tenha como elemento causador um ou mais dos cinco fatores citados a seguir:

  • Pessoas;
  • Processos;
  • TI;
  • Infraestrutura Interna; e
  • Eventos externos.

Existe também o conceito de Quase-Perda, que geralmente é relegado pela maioria das empresas. A Quase-Perda diz respeito a um incidente ocorrido, mas que não resultou em uma Perda, ainda, ou que foi de alguma forma evitado. Costumo dizer que é um excelente sinal de alerta para podermos verificar e corrigir o rumo, caso contrário…

Um Evento de Perda Operacional é uma ação ou ato ocorrido por meio de um fator que trouxe uma perda para a empresa. O Evento de Perda Operacional pode ter uma extensa taxonomia. Das mais conhecidas e utilizadas é a classificação proposta pelo Banco Central (resolução 3.380/2006) e pela SUSEP (circular 492/2014) mostradas na tabela a seguir:

BANCO CENTRAL SUSEP
Fraudes Internas Fraude Interna
Fraudes Externas Fraude Externa
Demandas trabalhistas e segurança deficiente do local de trabalho Práticas trabalhistas ou segurança no trabalho
Práticas inadequadas relativas a clientes, produtos e serviços Clientes, produtos ou práticas de negócio
Danos a ativos físicos próprios ou em uso pela instituição Dano a ativo físico
Aqueles que acarretem a interrupção das atividades da Instituição Interrupção do negócio ou falha de sistemas
Falhas em sistemas de tecnologia da informação Falha na execução, entrega ou gestão das atividades do negócio
Falhas na execução, cumprimento de prazos e gerenciamento das atividades na instituição  

 

Os eventos categorizados pelos dois órgãos são os mesmos. O que há de diferente é a SUSEP agrupar os eventos de interrupção do negócio e falha de sistemas em um único evento, onde o BACEN segrega.

É óbvio que os eventos acima relacionados nesse nível não dão uma dimensão real onde possam ser esperadas perdas operacionais. Alguns consórcios como o ORX e a ORIC desmembram esse nível 1 em mais dois níveis, o que ajuda a enxergar melhor onde as perdas possam surgir; de toda forma é bom ficar claro, que mesmo a taxonomia proposta pelos dois consórcios não esgotam a possibilidade de outros tantos eventos de perdas ocorrerem. Isso é importante.

Setores diferentes do financeiro e de seguros devem criar sua própria taxonomia. Já fiz trabalhos para outros setores onde tive que construir uma taxonomia bem particular.

Ainda dentro das resoluções que os órgãos citados manifestam, não há a indicação da Infraestrutura Interna da empresa como elemento causador de perdas operacionais, como coloquei no início desse artigo. Particularmente acho uma falha. Vou justificar.

Por Infraestrutura Interna considero todas as “engenharias” que contemplam o local físico onde a empresa atua. Por exemplo, essas engenharias podem ser:

  • Civil;
  • Elétrica;
  • Hidráulica;
  • Climatização;
  • Energia;
  • Gás;
  • Outras.

Esses elementos que compõem, desde uma simples a uma complexa instalação, traz uma série de eventos potenciais em seus “ombros” capazes de proporcionar perdas operacionais, algumas até catastróficas. Para os dois ramos citados (financeiro e de seguros) consideram-se todos os fatores citados, excetuando a Infraestrutura Interna; mas fica aqui a dica se você quiser fazer algo mais abrangente e no meu modo de entender, mais assertivo: inclua a infraestrutura interna.

Ter as Perdas Operacionais devidamente armazenadas pode atender a alguns propósitos. Um deles pode ser de Compliance, atendendo a diretrizes regulatórias de órgãos como os já citados.

No caso do BACEN, para instituições financeiras, a base de dados de perdas operacionais é o componente essencial para a instituição adotar uma abordagem avançada (AMA) para a Alocação de Capital para risco operacional. Segundo os especialistas do setor e eu me junto a essa opinião, a abordagem AMA aliada a uma eficaz gestão do risco operacional deve produzir um capital a ser alocado bem inferior às outras abordagens que as instituições podem optar, mesmo considerando o alto grau de confiança de 99,90% para o método de cálculo a ser escolhido.

A SUSEP em sua resolução 492 de 2014 dispõe sobre os critérios para constituição do banco de dados de perdas operacionais (BDPO). Em até três anos (julho de 2017) o mercado segurador e de capitalização deverá estar com o BDPO devidamente sistematizado para ser alimentado com as perdas operacionais. E o que pretende a SUSEP com isso? Provavelmente atingir a dois propósitos que fundamentam a construção de um BDPO:

Propósito 1) Uma abordagem quantitativa de risco operacional com base no BDPO e utilizando de metodologias de calculo, como o Value at risk operacional (VaRop), obtendo um capital a ser alocado pela regulada por conta do risco operacional;

Propósito 2) Uma gestão mais eficaz do risco operacional com base nas perdas ocorridas em determinado intervalo de tempo.

Para quem está lendo esse artigo e não pertence aos setores regulados pelo BACEN e pela SUSEP o propósito 1 não faz o menor sentido, afinal de contas, não tem um órgão regulador que os obrigue a deixar um dinheiro alocado para perdas dessa natureza. Já o propósito 2 interessa, deve interessar a todos.

Realizar uma gestão eficaz de qualquer tipo de risco não é tarefa nada fácil para gestor e equipe, e a do risco operacional, tema desse artigo, digo para vocês que chega a ser herculana, mas deve ser feita.

Ter um BDPO devidamente estruturado e implantado pode ajudar muito na tarefa de gestão do risco operacional. O processo de construção do BDPO ensina muito sobre a empresa e seus riscos. Veja alguns desses itens:

  • As áreas de negócios devem estar definidas assim como os processos de cada área devem estar devidamente mapeados e modelados;
  • Os fatores causadores da perda operacional devem ser bem conhecidos e catalogados;
  • A taxonomia dos eventos de risco operacional deve ser a mais detalhada possível em uma primeira versão e periodicamente revisada;
  • Os colaboradores devem ser conscientizados da importância de reportarem as perdas ocorridas. Em muitas empresas é uma quebra de paradigma.

 

Além desses itens citados há o que considero determinante para o sucesso ou fracasso da estruturação do BDPO: a identificação e coleta dos controles que capturarão as perdas operacionais. Claro, porque essas perdas precisam ser identificadas, coletadas e armazenadas, considerando o universo da empresa. Detalhemos mais um pouco.

Dada uma determinada taxonomia para eventos de risco operacional e na ocorrência dos mesmos eventos, é preciso ter estruturados e implantados controles que possam identificar que determinados eventos ocorreram e mensurar as perdas ocorridas.

Esse trabalho exige muita inspiração e transpiração da equipe. Não é um trabalho fácil de ser executado. É necessário preparar um verdadeiro raio-x da empresa que resulte em memorial descritivo consistente para se ter um BDPO com qualidade necessária a ser sistematizado em uma ferramenta.

E aqui cabe uma ressalva. Por mais que sua taxonomia de eventos seja a mais detalhada que puder montar, sempre deve se ficar atento para eventos não planejados que tragam perdas. Ocorrendo esses eventos, o banco de dados deve ser atualizado.

Construído e implantado por meio de uma ferramenta, o BDPO entra em produção e começa a ser alimentado. Para aderir ao AMA, por exemplo, as instituições financeiras devem ter um BDPO com pelo menos três anos (ideal cinco anos) de implantação. Esse BDPO terá em sua base, entre outros, os dois componentes principais da mensuração de risco: a frequência e o impacto causado.

Nesse ponto começamos a enxergar em nosso BDPO os fatores causadores, os eventos relacionados, a frequência e a severidade do impacto de cada evento, quando ocorreu, em que condição ocorreu… Essa rica base de informações nos permite analisar em profundidade em que nível de maturidade encontra-se nossa resposta ao risco operacional e podermos agir.

É possível calibrarmos controles existentes, incrementar novos controles ou mesmo trocá-los. Por exemplo, se erros humanos estão ocorrendo em demasia em uma determinada área, por conta de um novo sistema implantado trazendo diversas perdas operacionais, devemos avaliar se o problema é com o sistema? Se o problema é na falta de treinamento do usuário? Enfim, temos informações para agir e com aquela que a Alta Administração tem preferência: a que trata de numerário!

Essa análise a partir das informações do BDPO permite a toda e qualquer organização gerir seu risco operacional com eficácia muito maior, calibrando seu risco residual da maneira mais assertiva possível. Um BDPO implantado de maneira correta (processo + ferramenta) é um importante aliado em uma gestão mais eficaz do risco operacional. E para setores que precisam ter uma alocação de capital, essa sinergia possibilitará ao longo do tempo um capital alocado cada vez menor.

Esse esforço requer processo, ferramenta, equipe especializada e empresa conscientizada sobre o tema. E podem certeza, os resultados a médio – longo prazo é de uma empresa muito, mas muito mais eficaz na gestão de seus riscos operacionais e mais amadurecida no tocante ao entendimento de suas perdas e quase perdas operacionais. Resultado: menos desperdício, maior eficiência, maior eficácia!

Até a próxima!

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Por que é importante gerenciar o Risco Operacional? – 01abr2012

enigma.consultoria Sem categoria Leave a comment   , ,

 Risco Operacional é o risco que as organizações de todos os ramos de negócios devem gerenciar. Isso mesmo, todas em todos! OK, mas fundamentado em quê?

Entre tantas definições de risco operacional (RO) uma boa é: a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas, sistemas e eventos externos; acrescento por minha conta e risco mais um item, infraestrutura física. Os itens citados chamaram de fatores do RO. Então, acharam pouca coisa? Pode ter certeza que é muita, muita possibilidade do indesejado ocorrer se o RO não for devidamente gerenciado.

Ok, que possibilidades são essas? Que tal uma Fraude interna (corrupção é uma categoria de fraude)? Uma fraude externa? Falha em TI? Uma pane na instalação elétrica?Etc. etc….Os eventos de risco são muitos e a formação de um dicionário de risco pode ser bem extensa.

Então, para que perdas financeiras e impactos na reputação e imagem da empresa não ocorram, ou, se ocorrerem, sejam de pequena monta, há a necessidade de conhecer o RO, tratá-lo, monitorá-lo e mudar onde for necessário.

A ideia é conhecer em detalhes o risco inerente, fazer sua avaliação e propor o tratamento adequado para que o risco residual seja aquele que a organização aceita. E porque isso importa?

Simples, a prevenção de perdas, tanto financeiras e/ou operacionais. A gestão estruturada e efetiva do RO minimiza futuras perdas à organização. Em instituições financeiras sob a batuta do BACEN, a prevenção de perdas com uma eficaz estrutura de gestão do RO, esvazia o banco de dados de perdas financeiras e em uma abordagem AMA, o cálculo do VaR operacional para atendimento ao capital regulatório, deve ficar bem menor.

Uma coisa é certa: uma estrutura de gestão de RO é a melhor prevenção que uma empresa pode fazer. Exemplos de gestão de RO e controles internos mal feitos não faltam. Eu poderia fazer uma lista de casos, a começar pelo Barings, mas fica para outra.

 Um abraço e até a próxima!

Uma questão oculta no caso dos desabamentos – 16fev2012

enigma.consultoria Sem categoria Leave a comment   , ,

 Os desabamentos recentes ocorridos no Rio de Janeiro e em São Bernardo do Campo, sob a ótica do Risco Operacional, mostra a necessidade de termos um PCN e atualizado. Quantas empresas afetadas diretamente (as dos edifícios em questão) tinham um PCN? Que eu tenha notícias, nenhuma! Até a empresa de informática (TBO) no Rio que ocupava alguns andares e onde ocorria uma reforma não o tinha. Ok, isso é fato e o que aparece facilmente para todos os que têm um pouco de vivência com o risco operacional.

Mas a pergunta que desejo fazer: e os edifícios no entorno desses prédios, também “pagaram o pato”?

Sim! Também entraram na dança. No caso do Rio de Janeiro a Defesa Civil isolou a área por 4 dias para os trabalhos de procura de vítimas e remoção de escombros e não permitia a entrada de ninguém na área.

Com isso, as empresas que eram vizinhas dos edifícios que desabaram ficaram 4 dias sem trabalhar. Pergunto: A sua empresa pode ficar 4 dias parada, sem trabalhar? O negócio continua ou provavelmente ele é descontinuado? Quais os impactos financeiros e operacionais de uma parada dessas?

Então, como sempre digo, para um evento inesperado dessa magnitude você tem um PCN sempre atualizado e testado. É o seu tratamento ao risco. No tempo que foi planejado de recuperação, os negócios estarão operando de outra instalação, sem comprometer a sua continuidade.

Eventos dessa natureza apontam deficiências e mazelas de nossa sociedade que precisam urgentemente serem corrigidas, mas também enfatizam a necessidade de estarmos preparados e prevenidos com um plano que não prejudique a continuidade e andamento dos meus negócios.

 

Um abraço e até a próxima!