Venho conversando com amigos consultores e outros profissionais que também trabalham com Gestão de Riscos e discutindo quais as vantagens de utilizar uma abordagem de riscos Top-Down ou Bottom-up.
No meio de agosto tive a oportunidade de conversar com o Senhor Michael Rasmussen em um treinamento em São Paulo e durante algumas discussões chegamos à conclusão que as duas abordagens são interessantes dependendo do contexto. Parece até resposta de consultor, mas vamos por partes.
A Análise Bottom-Up
Quando falamos, por exemplo, em análise de riscos de Segurança da Informação e ou TI é muito comum realizarmos a análise olhando diretamente para os controles e definindo o risco a partir da probabilidade e impacto caso o controle não esteja implementado, ou seja, uma abordagem puramente Bottom-Up.
Um exemplo simples e prático
Qual a probabilidade e impacto de ocorrência de vazamento de informação (Risco) caso a empresa não tenha um processo de Hardening (Controle) devidamente implementado?
A Análise Top-Down
Quando pensamos em determinar os riscos e depois avaliar os controles que podem mitigar os mesmos, invariavelmente estamos pensando em uma abordagem Top-Down ERM (Enterprise Risk Management).
1- Será que devemos mapear controles para todos os riscos?
2- Vale o esforço?
3- Não seria mais adequado entendermos o que a Alta Gestão, Board, Investidores e ou partes interessadas entendem ser os riscos prioritários para a companhia para depois identificar os controles necessários (existentes ou não)?
4- Não seria mais adequado trabalhar os riscos de forma abrangente sem criar silos onde cada área determina o que quer avaliar e como, fazendo as suas análises Bottom-up de forma isolada?
Mais um exemplo simples e prático
Imagine uma empresa fictícia de capital aberto, do setor automotivo, que por sua vez deve atender inúmeras regulamentações, têm inúmeros desafios tecnológicos, busca por inovação constante, deve se preocupar com a concorrência interessada em informações sigilosas entra outras preocupações.
1- Quais os riscos que devem ser avaliados primeiro?
2- Com o que a empresa deve se preocupar ou não?
3- Estes riscos não devem estar alinhados com os objetivos estratégicos da empresa?
4- Com base nesse cenário não seria o caso de ouvir quem paga as contas literalmente e saber deles quais riscos que não podemos correr?
1- O que é risco para o Board, Acionista e Diretores? Não existe negócio sem correr riscos.
2- O que na visão deles deve ser tratado?
3- Evitar o risco de Vazamento de informação é o mais importante (percebam que como profissional oriundo da área de segurança não estou dizendo que não devemos evitar o Vazamento de Informação, mas acho que o profissional de segurança nesse caso deve sair do seu mundo e encarar riscos de forma mais abrangente).
4- Se todas as áreas da empresa entenderem quais são os riscos "prioritários" não ficará claro para o que precisamos criar controles?
5- Então qual a razão de realizar análises de forma isolada, muitas vezes replicando tarefas e evitando a otimização e integração de processos? (Esse será assunto para outro artigo - GRC e Otimização de processos).
Resumindo
a. Na abordagem de ERM Top-Down falamos de controles somente depois que sabemos quais riscos a empresa (Board e demais interessados) não querem ou querem correr. Afinal como diria George Soros:
"Não há nada de errado em correr riscos; desde que não se arrisque tudo."
Literatura recomendada
Para quem estiver interessado em ler mais sobre o assunto não poderia deixar de recomendar dois livros para começar.
b. COSO ERM