A transformação digital está impulsionando uma nova dinâmica de negócios nas empresas. Para quem está embarcando agora nessa jornada, essa necessidade muitas vezes parece entrar em choque com a manutenção das regras de compliance e segurança da organização. Mas, será que é isso que está acontecendo na prática?
Sabemos que, na maioria das vezes, esse choque ocorre pela cultura de aversão ao risco disseminada na companhia como um todo. Cabe à liderança, juntamente com as áreas de backoffice, mudar essa visão, assumindo o seu protagonismo como aceleradores da transformação digital a fim de garantir que ela ocorra de forma sustentável. Seria ineficaz implantar times ágeis na operação e trabalhar com o foco no consumidor se os profissionais de gestão de riscos, financeiro, RH, TI ou de compliance não estiverem acompanhando e até mesmo impulsionando as mudanças na companhia.
É uma questão de estabelecer uma nova cultura organizacional – tarefa extremamente desafiadora. É preciso entender que, para alcançar a transformação digital, é necessário estabelecer uma nova forma de lidar com o risco, como dar autonomia às equipes. É preciso abrir mão do formato de gestão “comando e controle” para migrar aos modelos que suportem times multidisciplinares, capazes de experimentar, de serem ágeis na solução dos próprios problemas e de gerenciar suas entregas do início ao fim, dentro de um fluxo de valor.
Tradicionalmente, os formatos de controle – assim como as próprias normas e leis das quais a área é guardiã – são um reflexo do passado e não do futuro. Fazer gestão de riscos baseada em um ambiente de mercado que já não existe mais é fazê-la pelo retrovisor, desestimulando a experimentação e a inovação. É preciso interpretar e lidar com as normas e riscos olhando para frente, de maneira que a empresa se adeque aos novos tempos sem abrandar a austeridade.
Costumo dividir os riscos em três grandes blocos:
1- Operacional: quando ocorre uma interrupção no serviço por um erro humano ou defeito técnico.
2- Fraude: Diferentemente do Operacional, este é um risco intencional. Pode ser causado por agentes internos ou externos à operação. Exemplos: roubo ou vazamento de informação.
3 – Estatístico: São riscos causados por fenômenos naturais como enchentes e raios.
Após longos anos atuando na área, posso afirmar que a grande maioria dos problemas nas companhias é do tipo operacional, causado por uma raiz não intencional e por falhas não propositais na operação. Porém, é muito comum encontrar uma gestão de risco que não considera essa diferença (intencional X não intencional) e, assim, todos os problemas são tratados sob a ótica da fraude. Isso engessa a empresa ao criar um ambiente de desconfiança.
Reinventando a gestão de risco
Acredito que a gestão dos riscos é responsabilidade de todos e não de um único departamento. Por isso, na nossa área de gestão de riscos, temos um trabalho incansável de conscientização, formação e prevenção. É um mix de iniciativas que vão desde campanhas de aculturamento até simulações de ciberataques. Essas ações têm um desenho que vai além dos departamentos ou times, chegando ao nível individual. Assim, a área de gestão de risco fica mais leve para atuar de forma mais eficaz no que realmente compete só a ela, tanto em uma postura consultiva apoiando as demais áreas como também atuando em eventos estatísticos, controle de fraudes e auditoria interna.
Nesse modelo de gestão de risco descentralizada, se constrói o conhecimento de forma colaborativa e todos atuam na detecção e solução dos eventos. O resultado é que temos mais pessoas capacitadas para garantir que tudo corra dentro das normas, ou seja, trazendo mais segurança para a empresa.
Para estabelecer um sistema de gestão de risco descentralizado, que dará o suporte para que a empresa tenha a agilidade e a velocidade que necessita, é muito importante se atentar a cinco aspectos:
Desconfie da sua desconfiança
Descentralize os processos, dê autonomia e desperte a real capacidade de suas equipes por meio da colaboração. Amazon, Spotify, Google têm times autônomos, multidisciplinares e preparados para lidar com suas próprias falhas e escalar rapidamente as questões que não conseguirem resolver.
Construa a cultura que suporte esse formato
Se estamos falando em dar autonomia às equipes e indivíduos é fundamental criar um ambiente transparente e seguro para que as pessoas possam exercer essa autonomia com responsabilidade. Desconstrua o “comando e controle” e construa uma cultura baseada em equipes autônomas, voltada à colaboração, experimentação e inovação. A base desta construção está nos princípios da filosofia de gestão Lean (ou o Lean Thinking). E, muito relevante, nesta cultura o erro é percebido como uma rica fonte de aprendizado, como parte da experimentação, e não como fonte para punição.
Transforme colaboradores em agentes de segurança
Quando as pessoas têm seu cotidiano facilitado por bons processos e se sentem empoderadas e donas das suas atividades de ponta a ponta, elas se responsabilizam, entregando o melhor de si.
Priorize os riscos a monitorar e escolha o ferramental
Uma vez que os problemas foram mapeados e identificados é o momento de priorizar os riscos e escolher um ferramental de acompanhamento, ou seja, que tipos de report serão utilizados, quais softwares de monitoramento serão instalados para gerar indicadores para acompanhamento etc.
Estabeleça fronteiras de atuação
Neste momento, estabeleça os campos de atuação, o que deve ser tratado pela operação e pela equipe especializada em gestão de risco. Por exemplo, tenha uma equipe de auditoria interna independente que se dedica a mapear, monitorar, e investigar eventuais fraudes.
* Stanley Rodrigues é CFO da CI&T
Via CIO
É de suma importância que as empresas se conscientizem da necessidade de investir em mecanismos que possibilitem a prevenção destes riscos de ataques digitais, pois, uma vez ocorridos, os danos podem ser imensuráveis e de difícil reparação.
Uma das formas é instituindo um programa de compliance efetivo, que tem por objetivo primordial reduzir os riscos da empresa e, por conseguinte, de seus diretores e sócios. Alguns dos pilares do programa, principalmente a Avaliação de Riscos, Monitoramento e Auditoria e Due Dilligence, são facilitadores para que a empresa desenvolva regras de boas práticas e de governança voltadas ao estabelecimento de medidas de segurança, técnicas e administrativas, como já exemplificado anteriormente.
Portanto, o programa de compliance pode ser um importante aliado para que riscos, como o vazamento de dados e informações, sejam mapeados, classificados e tratados de forma preventiva, por meio de políticas que visem otimizar, proteger e alavancar a informação como um dos bens das empresas. Com essa prática, certamente riscos de processos e danos de reputação serão evitados, a empresa poderá antever cenários e tomar decisões estratégicas.
Uma premissa essencial que deve ser posta, é que toda pessoa natural tem assegurada a titularidade de seus dados pessoais, bem como garantidos seus direitos fundamentais de intimidade, liberdade e de privacidade, conforme previsto pela Constituição Federal. Assim, qualquer pessoa que tenha seus dados utilizados de forma indevida, que sofra danos de ordem patrimonial, moral, individual ou coletivamente, poderá pleitear o direito de reparação, sendo, portanto, assegurada a sua efetiva indenização, por meio do instituto da responsabilidade civil (artigos 189 e 927 do Código Civil).
Além disso, a nova Lei Geral de Proteção de Dados Pessoais (LGPD), embora ainda não esteja em vigor, também dispõe de forma específica sobre o direito da pessoa ser indenizada em casos de prejuízos decorrentes do vazamento de seus dados e informações. Ainda, a legislação traz a possibilidade de denúncia à “Autoridade Nacional de Proteção de Dados (ANPD) e ao “Conselho Nacional de Proteção de Dados Pessoais e da Privacidade”, órgãos que ainda precisarão ser regulamentados/criados.
Para as empresas investigadas, a LGPD prevê várias punições possíveis, desde uma advertência até multa equivalente a 2% do faturamento, que pode chegar até R$ 50 milhões, publicização da infração, dentre outras. Importante ressaltar que as sanções e regramentos para tratamento e proteção dos dados pessoais previstos não afastam as responsabilidades cíveis, penais e administrativas hoje existentes relacionadas à utilização indevida de dados pessoais. Isto é, o novo diploma vem reforçar a proteção de dados pessoais, estabelecendo uma forma de tratamento, sendo que seu descumprimento constitui ato ilícito.
Daqui para frente, os aspectos que não forem sanados por meio da legislação, deverão ser resolvidos por meio da ética dos indivíduos responsáveis por lidar com os dados. Apesar de o futuro ser incerto, para cada grande inovação, será preciso repensar, de maneira ética, quais serão suas aplicações e como essas informações poderão ser protegidas. Essa será, sem dúvida, uma necessidade crescente para o compliance na era dos dados.
• Defina e implemente modelos e estruturas de gestão de riscos;
• Defina e implemente políticas, normas e procedimentos que respaldem a estrutura de gestão de riscos da sua TI;
• Avalie os riscos de TI com base em frameworks de mercado, tais como CobIT, ITIL, MIT;
• Defina e implante indicadores de desempenho, ou KPIs, e de risco, conhecidos como KRI;
• Implante soluções de governança, risco e compliance aderentes à política de gestão de riscos existente na sua empresa;
• Faça a gestão de conformidade com regulamentações;
• Revise todos os contratos de TI na perspectiva de risco e de compliance; adeque os novos contratos dentro desta visão;
• Revise os controles gerais de TI como parte dos processos internos ou de auditoria interna;
• Revise, defina e implante uma gestão de licenças de software;
• Defina e implemente uma gestão de monitoramento;
Via CIO.com.br e qametrik.com