Gestão de Riscos – atacando o mal pela raiz
Décio Luís Schons, CIEAI, CEGRC, CIGR, CISI
General-de-Exército da Reserva. Vice-Presidente de Operações de Consultoria da empresa Brasiliano INTERISK
Outubro | 2024
Quando tratamos do assunto gestão de riscos, somos imediatamente levados a identificar os riscos mais significativos em cada uma de suas categorias: geopolíticos, operacionais, patrimoniais, reputacionais, de compliance, cibernéticos e assim por diante. É também usual que se faça, a seguir, um esforço muito grande na definição desses riscos, procurando ser precisos na sua classificação, de modo a não deixar dúvidas quanto ao seu verdadeiro significado e às implicações que sua materialização poderá ter no desempenho da empresa.
Sem dúvida, essa etapa do processo é fundamental e deve receber toda a atenção da equipe de gerenciamento de riscos. Todavia, não se pode admitir que o esforço se esgote nesse ponto, uma vez que até aqui cumprimos apenas a primeira etapa de um processo longo, trabalhoso e que, ao final, facultará à Administração as ferramentas para prevenir, transferir ou mitigar os efeitos adversos decorrentes da materialização dos riscos levantados.
Um passo sobremaneira importante, no nosso modo de ver, é a identificação correta das fontes de risco, tendo em vista que é sobre elas e sobre os eventos desencadeadores que, na tarefa de tratamento dos riscos, deveremos focar nossa atenção.
As fontes de risco, outrora conhecidas como fatores de risco, são elementos que, isoladamente ou em associação com outros, podem ensejar a materialização de um risco. Todavia, para que o risco seja materializado, é necessária a ocorrência de um evento desencadeador do processo. A fonte do risco, associada a esse evento desencadeador do processo, será identificada como a causa do risco.
Tomemos como exemplo um risco cibernético bastante comum e por demais conhecido em nossos dias: o phishing.
Tudo começa com uma mensagem de e-mail aparentemente inocente, oriunda de um remetente supostamente conhecido (seu banco, por exemplo), solicitando atualização de dados ou fazendo alguma oferta tentadora. Temos então caracterizada a fonte de risco, isto é, a mensagem fraudulenta que induz o usuário a clicar no link que conduzirá à concretização do dano ou a responder à mensagem, fornecendo os dados solicitados pelo fraudador.
Nesse ponto, há duas opções possíveis: o usuário despreparado atenderá ao desejo do fraudador, clicando no link ou fornecendo as informações solicitadas; ou o usuário esclarecido irá simplesmente ignorar a mensagem, deletando-a, bloqueando aquele remetente e dando conhecimento do ocorrido à equipe de gerenciamento de riscos.
O ato de atender à demanda do fraudador constitui, neste caso, o evento desencadeador do risco. O conjunto mensagem fraudulenta (fonte do risco) mais o atendimento da demanda do fraudador (evento desencadeador do risco) é o que chamamos a causa do risco, risco este agora materializado.
Percebe-se que a ação da equipe de gerenciamento de riscos deve visar, em primeiro lugar, à neutralização da fonte de risco – no caso em estudo, a questão seria exatamente como evitar que os e-mails mal-intencionados chegassem até os colaboradores da empresa. Em segundo lugar, devemos verificar meios de evitar a ocorrência do evento desencadeador, pois desse modo o risco não se materializaria, mesmo com a presença da fonte de risco. No caso em estudo, uma ação bastante útil seria o esclarecimento dos usuários quanto às ações a tomar em caso de recebimento de mensagens que possam caracterizar o phishing.
No processo de lidar com as fontes de riscos, existem diversas ferramentas que permitem identificá-las e ranqueá-las de acordo com sua magnitude (ou frequência) e sua importância. A partir daí são estabelecidos os planos de ação para dar-lhes o devido tratamento.
O Software INTERISK é uma plataforma tecnológica e automatizada que integra diversos módulos, cada um deles composto de diferentes disciplinas. A Matriz de Magnitude e Importância das fontes de riscos é apenas uma das diversas ferramentas colocadas à disposição do cliente para lhe permitir tratar com eficácia as causas dos riscos e, desta forma, eliminar o mal pela raiz, isto é, no seu nascedouro. Solicite uma demonstração.