Apetite ao risco nos dias de hoje

Apetite ao risco nos dias de hoje

Apetite ao risco nos dias de hojeEste recente artigo publicado no dia 05/02/21 no site Continuity Central (https://www.continuitycentral.com/index.php/news/erm-news/5928-searching-for-risk-in-all-the-wrong-places) descreve, ainda que de forma reduzida, a necessidade da continua evolução das técnicas de identificação e mitigação e, consequentemente, do apetite ao risco, à medida que novos riscos surgem e os controles aplicados aos riscos existentes vão se tornando cada vez menos eficientes, à medida que o tempo passa.

Na prática a teoria é outra (título de autoria de Joelmir Beting)
  • O risco não é estático, é fluído.
  • O risco “busca” fraquezas a serem exploradas.
  • O risco só pode ser mitigado temporariamente e nunca realmente eliminado.
  • Com o passar do tempo a mitigação do risco se degrada e perde eficácia conforme o risco é modificado, criando novas situações risco.

Consequentemente o apetite ao risco assim como todo o modelo holístico de gestão de riscos também precisa ser fluído, isto é, revisto sistematicamente.

Últimas notícias da gestão de riscos

Na página com as últimas notícias sobre gestão de riscos (https://www.continuitycentral.com/index.php/news/erm-news) do site Continuity Central temos como principais manchetes:

Dos 9 artigos desta página, sendo um deles sobre a gestão fluída de riscos, 3 são relativos à riscos de segurança da informação ou ataques cibernéticos e o último da lista acima, relacionado à riscos de reputação (danos à imagem) também pode estar relacionado à riscos de segurança da informação ou ataques cibernéticos.

O apetite ao risco hoje

A prática do home office, ou teletrabalho se preferirem, e a migração de muitos serviços de TI para o ambiente de “nuvem” contribuiu para o aumento da resiliência das organizações, consequentemente melhorando a relação do apetite ao risco quando comparado com a situação pré quarentena.

Entretanto, para os riscos de segurança da informação ou ataques cibernéticos a prática do home office talvez tenha piorado a exposição a este tipo de risco (veja este outro post https://strohlbrasil.com.br/allah-la-o-nao-e-que-o-ransomware-me-pegou/ ) enquanto a migração de alguns serviços de TI para o ambiente de “nuvem” talvez tenha reduzido um pouco esta exposição.

Nos projetos de Continuidade de Negócios realizados ou em andamento pela STROHL Brasil desde o início da quarentena a nossa visão baseada nas várias reuniões realizadas com a alta direção das organizações, é que há uma percepção executiva de que muitos riscos foram mitigados até mesmo eliminados, por exemplo, a necessidade de um local alternativo de trabalho, ou até mesmo do DR – Disaster Recovery uma vez que o serviço foi migrado para a nuvem.

As várias áreas de riscos

Com frequência encontramos uma área de Riscos Corporativos, em geral nas instituições financeiras como resposta à Resolução 4.557 do BACEN, frouxamente integrada à área de Administração/Segurança Patrimonial com todos os seus riscos de administração e de infraestrutura predial, praticamente apartada da área de riscos de TI com sua lista quase infinita de riscos e sem conexão com a área de Segurança da Informação, com novos riscos quase que diariamente.

Estas áreas atuam de forma não holística, numa visão da respectiva vertical e eventualmente consolidada em muito alto nível fazendo com que muitos riscos desapareçam pelo caminho.

Conclusões

Ignorar ou na noutra ponta do espectro supervalorizar os riscos pode causar graves riscos às organizações.

É mais importante desenvolver a capacidade de responder aos riscos do que ficar tentando prevê-los.

Os riscos devem ser abordados e mitigados de forma holística.

Os modelos tradicionais de classificação de risco baseados numa suposta frequência estatística (baixa, média ou alta) e nos eventuais impactos subjetivos (baixo, médio ou alto) quantificados pelos gestores de negócios estão ultrapassados.   A frequência é irrelevante, basta que aconteça uma única vez na sua organização para ocorrerem graves impactos, muitos irreversíveis.   E para quantificar impactos nós já sabemos, temos a Análise de Impacto nos Negócios – BIA – bem-feita.

Definir apetite ao risco sem ter realizado uma Análise de Impacto nos Negócios – BIA é o mesmo que definir as chances do gatinho da imagem atravessar toda aquela quantidade de cachorros sem sofrer nenhum dano baseado numa visita a uma vidente em transe.

Alea jacta est, possivelmente você poderá até ser bonificado pela redução nas despesas decorrentes pela não mitigação de vários riscos identificados mas, no dia em que algum deles se materializar e os impactos forem significativos, você sabe qual será a pergunta a ser respondida: “Quem foi que assumiu este apetite ao risco?”.

Quer saber mais sobre como implantar Resposta a Incidentes e Emergências, Gestão de Crise, o Programa de Continuidade de Negócios ou só realizar uma Análise de Impacto nos Negócios – BIA?     Por favor, preencha o formulário abaixo e entreremos em contato.

#businesscontinuity     #continuidadedenegocios     #crisis     #resilience     #crise    #DRP     #incidente     #$4557BACEN     #BACEN4557     #segurancacibernetica     #riskmanagement     #gestaoderiscos

 

Compartilhe este Artigo

Compartilhar no email
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no whatsapp

Artigos Relacionados

O dia que a nuvem pegou fogo

O dia que a nuvem pegou fogo Histórico No nosso post de 10/03/21 divulgamos na seção NEWS da nossa newsletter semanal o incêndio no data

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Este site utiliza cookies para proporcionar uma melhor experiência para nossos usuários. Ao continuar a navegação neste site, você estará de acordo com os cookies que estão sendo utilizados. Se quiser saber mais sobre nossa política de cookies, clique aqui.