Para melhor responder a indagação apresentada, impende definir o que vem a ser risco. Esse poderia ser conceituado basicamente como um evento futuro com poder de impactar o alcance de metas ou objetivos operacionais, ou até impedí-lo, comprometendo os objetivos corporativos.
Logo, as organizações que não realizam a gestão de riscos, isto é, não procedem à identificação adequada desses riscos, perdem muito em termos de vantagem competitiva, uma vez que não conseguem evitar ou, ao menos, minimizar perdas.
Sob esse enfoque, pois, o risco, antes de atrelar-se à TI, é tema que atinge direta e crucialmente o negócio, porquanto vinculado se encontra não só à governança de TI, mas, também e principalmente, à governança corporativa.
Com efeito, uma estratégia corporativa e integrada de gestão de riscos é medida que se impõe às organizações de modo que se permita tomar decisões mais conscientes, bem como reduzir custos, aumentando a eficiência operacional e, via de conseqüência, o valor de retorno para os clientes e demais partes interessadas.
Nesse sentido, para que se obtenha uma gestão de riscos de TI condizente com sua importância ao negócio, torna-se necessário avaliar os riscos relativos à segurança, disponibilidade de dados, performance dos ativos de informação e compliance – ou conformidade com marcos regulatórios e normas legais.
Partindo do pressuposto de que “Risco é uma função de probabilidade e impacto”(Hariharan,2010,p.1), logo, o gerenciamento de risco implica em identificar os riscos, sua probabilidade de ocorrência, seu impacto no negocio. Isto remete a necessidade de definir estratégias para cada risco, pois, os riscos podem ser aceitos, mitigados, evitados ou até mesmo transferidos(SOUZA NETO,2010,p.13). Sabemos também que os riscos podem ser positivos ou negativos(PMI,2008,p.226), logo, não gerenciar os riscos expõe às companhias a possibilidade de ser refém das situações, ou seja, perdas financeiras pela realização de prejuízos ou não obtenção de lucros (MULCAHY,2009,p.384). Em alguns frameworks tais como PMBoK e COBIT a questão do risco já vem sendo tratada, mais recentemente foi lançada pela ITGI em 2009 o RISK IT, neste framework é possível fazer um elo dos riscos corporativos com os riscos de TI possibilitando gerenciar os riscos inerentes a benefícios, entrega de programas e projetos, operação e serviços de forma alinhada com os riscos corporativos(SOUZA NETO,2010,p.4). Porem o gerenciamento de riscos é uma ação cíclica e não uma ação pontual(PMI,2008,p.233), visto que há realimentação entre suas ações, possibilitando desde o entendimento da tolerância a risco aceito pela companhia, como suas políticas de conformidade e seu comportamento quando da ocorrência de riscos negativos (SOUZA NETO,2010,p.10).
Destaco, por meio de exemplos, cinco possíveis problemas:
1) DESTRUIÇÃO DE VALOR DA MARCA Uma falha de segurança, por exemplo, pode fazer vazar o nome das pessoas que pagaram os serviços de um motel com cartão de crédito - exemplo de risco operacional: segurança.
2) PERDA DE RECEITA E MARKET SHARE A interrupção do sistema de e-commerce, por exemplo, de uma companhia aérea direcionará muitos clientes a outras companhias - exemplo de risco operacional: falta de backup
3) DEPENDÊNCIA TÉCNICA A utilização de equipamentos de apenas um fornecedor pode gerar dependência, redução de barganha ou obrigatoriedade de comprar atualizações de versão. Há que se considerar as alternativa de fornecimento ou cláusulas de transferência de tecnologia - exemplo de risco operacional: obsolescência tecnológica e dependência de fornecedor.
4) AUMENTO DE DESPESAS Um contrato atrelado a moeda estrangeira sem um devido hedge pode aumentar muito as despesas ou mesmo inviabilizar o funcionamento de uma empresa - exemplo de risco de mercado: exposição cambial.
5) PERDA DE PRODUTIVIDADE Um sistema de cadastro ligado a um CRM que permite a inclusão de um cliente sem validação de CEP, por exemplo, reduz a chance de se fazer uma ação posterior de mala-direta - exemplo de risco operacional: funcionalidade.
A gestão do risco de TI pode estar relacionada ao conhecimento claro e controle contínuo dos itens cujos impactos sejam críticos para a organização. De repente, quando a organização opta por transferir a responsabilidade de gerir os seus próprios riscos de TI pode implicar em uma perda de conhecimento das oportunidades e ameaças que a sua TI pode lhe representar. Outro fator que também pode ser relevante é a perda de autonomia no sentido de classificar os riscos de acordo com as suas prioridades, e essas podem acabar sendo definidas de forma intuitiva, o que não é interessante para a organização. Um item que pode estar relacionado à efetividade da gestão de risco da TI é a visibilidade do negócio, ou estratégias de negócio, da organização. Assim, as vulnerabilidades e probabilidades da organização podem ficar transparentes e isso demande um maior controle dessa gestão.
Com o aumento do uso da TI nas organizações, torna-se imprescindível ter uma gestão de risco afinal grande parte dos ativos tangíveis e intangíveis, atualmente, estão na TI. A grande fonte de valor de uma empresa vem dos seus ativos, não avaliar exposição destes ao risco, pode gerar desde perdas financeiras até redução de eficiência operacional e perda do valor no mercado. Um exemplo da importância da gestão de risco da TI seriam os bancos. A TI tem influência direta no risco operacional global da organização, podendo assim, reduzir o volume crédito que o banco pode emprestar. Reduzindo o resultado e depreciando a imagem da organização.
Cada vez mais, o negócio tende à estar agregado à TI, configurando a última como um ativo de extrema importância para a colocação da empresa no mercado de trabalho. Dessa forma, grau de atenção e recursos voltados para essa atividade é proporcional ao destaque desejado. Isso porque a gestão de risco de TI contribui, entre outras, para a garantia da disponibilidade dos serviços nas organizações, definindo a confiança e a integridade dos serviços oferecidos por ela.
Acho que ao não realizar a gestão de riscos as empresas também deixam de:
- compartilhar eficientemente, entre seus colaboradores, seus sucessos e fracassos – a culpa invariavelmente será da TI e o sucesso sempre da área de negócios – inviabilizando assim parcerias entre negócio e TI;
- disponibilizar/alocar, na medida certa, recursos de TI;
- estabelecer, na medida certa, o investimento em TI;
Gostaria de abordar o tema com um viés de Risco/Oportunidade. Afinal: “Quem não arrisca, não petisca”. Não há ação que não traga risco implícito. Seguramente sem uma gestão de riscos adequada uma organização está perdendo mais e ganhando menos, pois é tudo uma questão de perder e/ou ganhar e a avaliação dos dois lados da balança é fundamental. Existe até aquele famoso ideograma chinês que estabelece a seguinte equação: Crise = Risco + Oportunidade. Vide http://bonsfluidos.abril.com.br/edicoes/0067/canal3a/a.shtml. Então é uma questão de "otimizar" essa equação. Evidente que a complexidade intrínseca exerce uma forte influência e o paradoxo sistêmico aflora com força total. Interessante então a abordagem do ITGI com o COBIT, RiskIT e ValIT. O fator risco traduz-se então numa TI como inibidora de agregação de valores e o fator oportunidade numa TI como promotora de agregação de valores ao negócio. A IBM tem um artigo bem interessante “IT risk management: Balanced maturity can yield big results”, baseado em uma pesquisa de 2008 realizada em parceria com a CISR do MIT, que endereça este aparente paradoxo. Vale conferir: http://www-935.ibm.com/services/uk/cio/risk/it_risk_management.pdf. Aproveitem para avaliar como anda sua organização nesta verdadeira gangorra.
Como finalidade básica, pode-se dizer que a Gestão de Riscos é um processo indicador de incidentes. Encarando estas ocorrências como insumos básicos para gerar produtos (informações) de controle, a Gestão de Riscos pode interagir com as várias atividades de TI e identificar se as contingências planejadas para estes processos estão de acordo para a resolução de prováveis problemas. Pode também ser um indicador do nível de segurança que está sendo praticado pela governança empresarial. Assim, em minha opinião, a Gestão de Riscos da TI influência diretamente no termômetro indicador de eficiência e eficácia da empresa. As empresas que ainda não possuem a Gestão de Riscos estão perdendo a oportunidade de ajustar seus processos em busca de maior maturidade, reduzir seus custos, ganhar agilidade e evitar re-trabalho (prejuízo). A Gestão de Riscos pode contribuir também como alavanca para o incremento do alinhamento estratégico TI-negócio.
Já estamos acostumados a ouvir e, portanto, certos de que "a TI ganha cada vez mais importância". Comuns também são os estudos e as conclusões que tratam da vultuosidade dos investimentos em TI.
As organizações, mesmo quando constituídas sob um modelo sem fins lucrativos, estão inseridas em um mundo capitalista e que exige gestão adequada dos recursos. Seja com o objetivo de lucro ou de reaplicação dos rendimentos em determinado objetivo social, aqueles que possuem recursos disponíveis investem o capital em negócios que proporcionem o maior rendimento e apresentem alguma clareza em relação aos riscos.
Ao negligenciarem a gestão de riscos de TI, os gerentes desta área estão deixando de entender que todos os recursos aplicados nesse segmento poderiam ser investidos em outros negócios, mais rentáveis ou mais seguros. Assim, a gestão de riscos é ferramenta imprescindível para dar segurança aos investidores, seja quanto ao capital, seja quanto aos dados e informações depositados em Tecnologia da Informação, e para permitir aos gerentes de TI batalharem e obterem maiores investimentos para a área.
Segundo o Sumário Executivo do COSO - Gerenciamento de riscos corporativos. o gerenciamento de riscos corporativos tem a finalidade:
- Alinhar o apetite a risco com a estratégia adotada - Fortalecer as decisões em resposta aos riscos - Identificar e administrar riscos múltiplos e entre empreendimentos - Aproveitar oportunidades. - Reduzir as surpresas e prejuízos operacionais - Otimizar o capital
Não resta dúvida que gerenciar riscos corporativos é um grande diferencial competivo. Acredito que a resposta a indagação sobre os benefícios de uma gestão de riscos, ajuda a empresa a ter visibilidade de potenciais perdas de recusos, colapsos de serviços e inviabilidades técnicas. Só fazendo o monitoramento das variáveis que por ventura venha impactar nas metas de desempenho e de lucratividade da organização a organização poderá ter garantia dos ganhos planejados.
Conhecer e avaliar os riscos é uma questão estratégica para as organizações, e para tomar as melhores decisões é necessário ter mecanismos que ajudem a mapear as necessidades da empresa com uma visão integrada ao negócio.
Riscos são situações que podem impedir ou impactar o alcance de objetivos estratégicos ou operacionais, eles podem decorrer de processos equivocados, da falta ou inadequação de controles internos. Uma estratégia corporativa e integrada à gestão de riscos permiti a organização tomar decisões com mais informações.
Dessa forma destaco alguns benefícios que a gerencia de riscos de TI pode trazer para o negócio: - Conhecer os riscos de TI que própria organização está submetida; - Apoio para tomada de decisão em investimentos de TI e segurança da informação; - Indica maturidade de Governança de TI; - Demonstra transparência para clientes e acionistas
Faço uma ressalva em um dos problemas que apontei - aumento de despesas.
É evidente que riscos cambiais (o exemplo que dei) não são riscos típicos de TI. Entretanto, a área de TI normalmente utiliza muitos serviços contratados e participa ativamente da elaboração/validação de contratos e seleção de fornecedores. Assim, embora não seja um risco típico dE TI, é um risco associado À TI - e por isso o incluí.
Para ficar redondinho, como manda o figurino, ofereço outro exemplo para o mesmo problema (aumento de despesas): uma empresa que tiver falhas na gestão de segurança (perfis de acesso, por exemplo) pode ter políticas de preços burladas em compras ou mesmo autorizações, indevidas e não rastreáveis, a dispêndios diversos, tais como viagens/treinamentos/ressarcimentos.
De fato, os dois aspectos (perder e deixar de ganhar) estão presentes. Perde-se quando a organização tem prejuízos financeiros e de imagem porque processos críticos não foram auditados ou verificados adequadamente, ou mesmo não obtiveram o nível de investimento necessário para a mitigação dos riscos.
Deixa-se de ganhar quando, na ausência de uma gestão de riscos adequada, não permite que a organização cresça de forma segura e estruturada, além de fazer investimentos de alto valor muitas vezes sem necessidade, considerando-se que a gestão de riscos possibilita um maior controle e conhecimento da infraestrutura de TI.
O processo de mitigação de riscos busca encontrar o equilíbrio entre o investimento na medida certa e o percentual de risco a ser assumido.
A falta de investimento em gestão de riscos nas empresas tanto podem acasionar perdas como ganhos para a organização. As perdas ocorrem na medida em que havendo a ocorrência de algum sinistro, obrigatoriamente deverão ser despendidos esforços e, em muitos casos, recursos financeiros, para que o problema seja resolvido. Os ganhos, mais difíceis de mensurar, ocorrem quando os processos adotados do gerenciamento de riscos podem possibilitar à empresa o diferencial estratégico necessário para a colocação no mercado de novos produtos de modo mais ágil e seguro.
Na gestão de riscos, entendo eu que, pode a empresa apresentar um planejamento estratégico e uma estruturação de forma mais adequada às suas necessidades, conhecendo de forma efetiva as necessidades dos stakeholders e apresentando um diferencial competitivo junto aos concorrentes. Quando a empresa não aplica a gestão de riscos, entendo eu que, o que a empresa ganha, são disperdíçadas oportunidades de planejamento das atividades e investimentos,criatividade e oportunidades de negocios na empresa como um todo.
Para melhor responder a indagação apresentada, impende definir o que vem a ser risco. Esse poderia ser conceituado basicamente como um evento futuro com poder de impactar o alcance de metas ou objetivos operacionais, ou até impedí-lo, comprometendo os objetivos corporativos.
ResponderExcluirLogo, as organizações que não realizam a gestão de riscos, isto é, não procedem à identificação adequada desses riscos, perdem muito em termos de vantagem competitiva, uma vez que não conseguem evitar ou, ao menos, minimizar perdas.
Sob esse enfoque, pois, o risco, antes de atrelar-se à TI, é tema que atinge direta e crucialmente o negócio, porquanto vinculado se encontra não só à governança de TI, mas, também e principalmente, à governança corporativa.
Com efeito, uma estratégia corporativa e integrada de gestão de riscos é medida que se impõe às organizações de modo que se permita tomar decisões mais conscientes, bem como reduzir custos, aumentando a eficiência operacional e, via de conseqüência, o valor de retorno para os clientes e demais partes interessadas.
Nesse sentido, para que se obtenha uma gestão de riscos de TI condizente com sua importância ao negócio, torna-se necessário avaliar os riscos relativos à segurança, disponibilidade de dados, performance dos ativos de informação e compliance – ou conformidade com marcos regulatórios e normas legais.
Partindo do pressuposto de que “Risco é uma função de probabilidade e impacto”(Hariharan,2010,p.1), logo, o gerenciamento de risco implica em identificar os riscos, sua probabilidade de ocorrência, seu impacto no negocio. Isto remete a necessidade de definir estratégias para cada risco, pois, os riscos podem ser aceitos, mitigados, evitados ou até mesmo transferidos(SOUZA NETO,2010,p.13).
ResponderExcluirSabemos também que os riscos podem ser positivos ou negativos(PMI,2008,p.226), logo, não gerenciar os riscos expõe às companhias a possibilidade de ser refém das situações, ou seja, perdas financeiras pela realização de prejuízos ou não obtenção de lucros (MULCAHY,2009,p.384).
Em alguns frameworks tais como PMBoK e COBIT a questão do risco já vem sendo tratada, mais recentemente foi lançada pela ITGI em 2009 o RISK IT, neste framework é possível fazer um elo dos riscos corporativos com os riscos de TI possibilitando gerenciar os riscos inerentes a benefícios, entrega de programas e projetos, operação e serviços de forma alinhada com os riscos corporativos(SOUZA NETO,2010,p.4).
Porem o gerenciamento de riscos é uma ação cíclica e não uma ação pontual(PMI,2008,p.233), visto que há realimentação entre suas ações, possibilitando desde o entendimento da tolerância a risco aceito pela companhia, como suas políticas de conformidade e seu comportamento quando da ocorrência de riscos negativos (SOUZA NETO,2010,p.10).
Destaco, por meio de exemplos, cinco possíveis problemas:
ResponderExcluir1) DESTRUIÇÃO DE VALOR DA MARCA
Uma falha de segurança, por exemplo, pode fazer vazar o nome das pessoas que pagaram os serviços de um motel com cartão de crédito - exemplo de risco operacional: segurança.
2) PERDA DE RECEITA E MARKET SHARE
A interrupção do sistema de e-commerce, por exemplo, de uma companhia aérea direcionará muitos clientes a outras companhias - exemplo de risco operacional: falta de backup
3) DEPENDÊNCIA TÉCNICA
A utilização de equipamentos de apenas um fornecedor pode gerar dependência, redução de barganha ou obrigatoriedade de comprar atualizações de versão. Há que se considerar as alternativa de fornecimento ou cláusulas de transferência de tecnologia - exemplo de risco operacional: obsolescência tecnológica e dependência de fornecedor.
4) AUMENTO DE DESPESAS
Um contrato atrelado a moeda estrangeira sem um devido hedge pode aumentar muito as despesas ou mesmo inviabilizar o funcionamento de uma empresa - exemplo de risco de mercado: exposição cambial.
5) PERDA DE PRODUTIVIDADE
Um sistema de cadastro ligado a um CRM que permite a inclusão de um cliente sem validação de CEP, por exemplo, reduz a chance de se fazer uma ação posterior de mala-direta - exemplo de risco operacional: funcionalidade.
A gestão do risco de TI pode estar relacionada ao conhecimento claro e controle contínuo dos itens cujos impactos sejam críticos para a organização. De repente, quando a organização opta por transferir a responsabilidade de gerir os seus próprios riscos de TI pode implicar em uma perda de conhecimento das oportunidades e ameaças que a sua TI pode lhe representar. Outro fator que também pode ser relevante é a perda de autonomia no sentido de classificar os riscos de acordo com as suas prioridades, e essas podem acabar sendo definidas de forma intuitiva, o que não é interessante para a organização. Um item que pode estar relacionado à efetividade da gestão de risco da TI é a visibilidade do negócio, ou estratégias de negócio, da organização. Assim, as vulnerabilidades e probabilidades da organização podem ficar transparentes e isso demande um maior controle dessa gestão.
ResponderExcluirCom o aumento do uso da TI nas organizações, torna-se imprescindível ter uma gestão de risco afinal grande parte dos ativos tangíveis e intangíveis, atualmente, estão na TI.
ResponderExcluirA grande fonte de valor de uma empresa vem dos seus ativos, não avaliar exposição destes ao risco, pode gerar desde perdas financeiras até redução de eficiência operacional e perda do valor no mercado.
Um exemplo da importância da gestão de risco da TI seriam os bancos. A TI tem influência direta no risco operacional global da organização, podendo assim, reduzir o volume crédito que o banco pode emprestar. Reduzindo o resultado e depreciando a imagem da organização.
Cada vez mais, o negócio tende à estar agregado à TI, configurando a última como um ativo de extrema importância para a colocação da empresa no mercado de trabalho. Dessa forma, grau de atenção e recursos voltados para essa atividade é proporcional ao destaque desejado. Isso porque a gestão de risco de TI contribui, entre outras, para a garantia da disponibilidade dos serviços nas organizações, definindo a confiança e a integridade dos serviços oferecidos por ela.
ResponderExcluirAcho que ao não realizar a gestão de riscos as empresas também deixam de:
ResponderExcluir- compartilhar eficientemente, entre seus colaboradores, seus sucessos e fracassos – a culpa invariavelmente será da TI e o sucesso sempre da área de negócios – inviabilizando assim parcerias entre negócio e TI;
- disponibilizar/alocar, na medida certa, recursos de TI;
- estabelecer, na medida certa, o investimento em TI;
Gostaria de abordar o tema com um viés de Risco/Oportunidade. Afinal: “Quem não arrisca, não petisca”. Não há ação que não traga risco implícito.
ResponderExcluirSeguramente sem uma gestão de riscos adequada uma organização está perdendo mais e ganhando menos, pois é tudo uma questão de perder e/ou ganhar e a avaliação dos dois lados da balança é fundamental. Existe até aquele famoso ideograma chinês que estabelece a seguinte equação: Crise = Risco + Oportunidade. Vide http://bonsfluidos.abril.com.br/edicoes/0067/canal3a/a.shtml. Então é uma questão de "otimizar" essa equação. Evidente que a complexidade intrínseca exerce uma forte influência e o paradoxo sistêmico aflora com força total.
Interessante então a abordagem do ITGI com o COBIT, RiskIT e ValIT. O fator risco traduz-se então numa TI como inibidora de agregação de valores e o fator oportunidade numa TI como promotora de agregação de valores ao negócio. A IBM tem um artigo bem interessante “IT risk management: Balanced maturity can yield big results”, baseado em uma pesquisa de 2008 realizada em parceria com a CISR do MIT, que endereça este aparente paradoxo. Vale conferir: http://www-935.ibm.com/services/uk/cio/risk/it_risk_management.pdf. Aproveitem para avaliar como anda sua organização nesta verdadeira gangorra.
Como finalidade básica, pode-se dizer que a Gestão de Riscos é um processo indicador de incidentes. Encarando estas ocorrências como insumos básicos para gerar produtos (informações) de controle, a Gestão de Riscos pode interagir com as várias atividades de TI e identificar se as contingências planejadas para estes processos estão de acordo para a resolução de prováveis problemas. Pode também ser um indicador do nível de segurança que está sendo praticado pela governança empresarial. Assim, em minha opinião, a Gestão de Riscos da TI influência diretamente no termômetro indicador de eficiência e eficácia da empresa. As empresas que ainda não possuem a Gestão de Riscos estão perdendo a oportunidade de ajustar seus processos em busca de maior maturidade, reduzir seus custos, ganhar agilidade e evitar re-trabalho (prejuízo). A Gestão de Riscos pode contribuir também como alavanca para o incremento do alinhamento estratégico TI-negócio.
ResponderExcluirJá estamos acostumados a ouvir e, portanto, certos de que "a TI ganha cada vez mais importância". Comuns também são os estudos e as conclusões que tratam da vultuosidade dos investimentos em TI.
ResponderExcluirAs organizações, mesmo quando constituídas sob um modelo sem fins lucrativos, estão inseridas em um mundo capitalista e que exige gestão adequada dos recursos. Seja com o objetivo de lucro ou de reaplicação dos rendimentos em determinado objetivo social, aqueles que possuem recursos disponíveis investem o capital em negócios que proporcionem o maior rendimento e apresentem alguma clareza em relação aos riscos.
Ao negligenciarem a gestão de riscos de TI, os gerentes desta área estão deixando de entender que todos os recursos aplicados nesse segmento poderiam ser investidos em outros negócios, mais rentáveis ou mais seguros. Assim, a gestão de riscos é ferramenta imprescindível para dar segurança aos investidores, seja quanto ao capital, seja quanto aos dados e informações depositados em Tecnologia da Informação, e para permitir aos gerentes de TI batalharem e obterem maiores investimentos para a área.
Segundo o Sumário Executivo do COSO - Gerenciamento de riscos corporativos.
ResponderExcluiro gerenciamento de riscos corporativos tem a finalidade:
- Alinhar o apetite a risco com a estratégia adotada
- Fortalecer as decisões em resposta aos riscos
- Identificar e administrar riscos múltiplos e entre empreendimentos
- Aproveitar oportunidades.
- Reduzir as surpresas e prejuízos operacionais
- Otimizar o capital
Não resta dúvida que gerenciar riscos corporativos é um grande diferencial competivo.
Acredito que a resposta a indagação sobre os benefícios de uma gestão de riscos, ajuda a empresa a ter visibilidade de potenciais perdas de recusos, colapsos de serviços e inviabilidades técnicas. Só fazendo o monitoramento das variáveis que por ventura venha impactar nas metas de desempenho e de lucratividade da organização a organização poderá ter garantia dos ganhos planejados.
Conhecer e avaliar os riscos é uma questão estratégica para as organizações, e para tomar as melhores decisões é necessário ter mecanismos que ajudem a mapear as necessidades da empresa com uma visão integrada ao negócio.
ResponderExcluirRiscos são situações que podem impedir ou impactar o alcance de objetivos estratégicos ou operacionais, eles podem decorrer de processos equivocados, da falta ou inadequação de controles internos. Uma estratégia corporativa e integrada à gestão de riscos permiti a organização tomar decisões com mais informações.
Dessa forma destaco alguns benefícios que a gerencia de riscos de TI pode trazer para o negócio:
- Conhecer os riscos de TI que própria organização está submetida;
- Apoio para tomada de decisão em investimentos de TI e segurança da informação;
- Indica maturidade de Governança de TI;
- Demonstra transparência para clientes e acionistas
Faço uma ressalva em um dos problemas que apontei - aumento de despesas.
ResponderExcluirÉ evidente que riscos cambiais (o exemplo que dei) não são riscos típicos de TI. Entretanto, a área de TI normalmente utiliza muitos serviços contratados e participa ativamente da elaboração/validação de contratos e seleção de fornecedores. Assim, embora não seja um risco típico dE TI, é um risco associado À TI - e por isso o incluí.
Para ficar redondinho, como manda o figurino, ofereço outro exemplo para o mesmo problema (aumento de despesas): uma empresa que tiver falhas na gestão de segurança (perfis de acesso, por exemplo) pode ter políticas de preços burladas em compras ou mesmo autorizações, indevidas e não rastreáveis, a dispêndios diversos, tais como viagens/treinamentos/ressarcimentos.
Abraço a todos!
De fato, os dois aspectos (perder e deixar de ganhar) estão presentes. Perde-se quando a organização tem prejuízos financeiros e de imagem porque processos críticos não foram auditados ou verificados adequadamente, ou mesmo não obtiveram o nível de investimento necessário para a mitigação dos riscos.
ResponderExcluirDeixa-se de ganhar quando, na ausência de uma gestão de riscos adequada, não permite que a organização cresça de forma segura e estruturada, além de fazer investimentos de alto valor muitas vezes sem necessidade, considerando-se que a gestão de riscos possibilita um maior controle e conhecimento da infraestrutura de TI.
O processo de mitigação de riscos busca encontrar o equilíbrio entre o investimento na medida certa e o percentual de risco a ser assumido.
A falta de investimento em gestão de riscos nas empresas tanto podem acasionar perdas como ganhos para a organização.
ResponderExcluirAs perdas ocorrem na medida em que havendo a ocorrência de algum sinistro, obrigatoriamente deverão ser despendidos esforços e, em muitos casos, recursos financeiros, para que o problema seja resolvido.
Os ganhos, mais difíceis de mensurar, ocorrem quando os processos adotados do gerenciamento de riscos podem possibilitar à empresa o diferencial estratégico necessário para a colocação no mercado de novos produtos de modo mais ágil e seguro.
Na gestão de riscos, entendo eu que, pode a empresa apresentar um planejamento estratégico e uma estruturação de forma mais adequada às suas necessidades, conhecendo de forma efetiva as necessidades dos stakeholders e apresentando um diferencial competitivo junto aos concorrentes. Quando a empresa não aplica a gestão de riscos, entendo eu que, o que a empresa ganha, são disperdíçadas oportunidades de planejamento das atividades e investimentos,criatividade e oportunidades de negocios na empresa como um todo.
ResponderExcluir