Riscos Top Down ou Bottom Up ?

Venho conversando com amigos consultores e outros profissionais que também trabalham com Gestão de Riscos e discutindo quais as vantagens de utilizar uma abordagem de riscos Top-Down ou Bottom-up.

No meio de agosto tive a oportunidade de conversar com o Senhor Michael Rasmussen em um treinamento em São Paulo e durante algumas discussões chegamos à conclusão que as duas abordagens são interessantes dependendo do contexto. Parece até resposta de consultor, mas vamos por partes.

A Análise Bottom-Up

Quando falamos, por exemplo, em análise de riscos de Segurança da Informação e ou TI é muito comum realizarmos a análise olhando diretamente para os controles e definindo o risco a partir da probabilidade e impacto caso o controle não esteja implementado, ou seja, uma abordagem puramente Bottom-Up.

Um exemplo simples e prático

Qual a probabilidade e impacto de ocorrência de vazamento de informação (Risco) caso a empresa não tenha um processo de Hardening (Controle) devidamente implementado?

Percebam que nesse momento não vou entrar no mérito e ou semântica do "devidamente implementado" e nem mesmo detalhar todos os aspectos técnicos relacionados a um bom Hardening, aqui cabe a simplicidade e também não vou mencionar outros exemplos aplicáveis a não TI.

No exemplo em questão a análise iniciou-se com a avaliação do controle para determinar o grau de risco.

E se quiséssemos determinar o risco para depois avaliar os controles aplicáveis?

A Análise Top-Down

Quando pensamos em determinar os riscos e depois avaliar os controles que podem mitigar os mesmos, invariavelmente estamos pensando em uma abordagem Top-Down ERM (Enterprise Risk Management).

Podemos afirmar que é muito complexo e diria que praticamente impossível começar com o mapeamento de todos os controles para depois disso apontar os riscos. Além disso, valem alguns questionamentos:

1- Será que devemos mapear controles para todos os riscos?

2- Vale o esforço?

3- Não seria mais adequado entendermos o que a Alta Gestão, Board, Investidores e ou partes interessadas entendem ser os riscos prioritários para a companhia para depois identificar os controles necessários (existentes ou não)?

4- Não seria mais adequado trabalhar os riscos de forma abrangente sem criar silos onde cada área determina o que quer avaliar e como, fazendo as suas análises Bottom-up de forma isolada?

Bom com todos esses questionamentos não quero influenciar o leitor a tomar um posicionamento que a abordagem Top-Down é mais adequada, afinal como mencionado anteriormente é necessário avaliar o contexto e determinar a melhor estratégia.

Porém cada vez mais testemunho empresas que usaram no passado uma abordagem Bottom-Up em silos e agora precisam integrar com a abordagem Top-Down (ERM).

Mais um exemplo simples e prático

Imagine uma empresa fictícia de capital aberto, do setor automotivo, que por sua vez deve atender inúmeras regulamentações, têm inúmeros desafios tecnológicos, busca por inovação constante, deve se preocupar com a concorrência interessada em informações sigilosas entra outras preocupações.

Agora imagine essa empresa com várias áreas realizando atividades de análise de riscos de forma isolada em seus silos, TI pensa em Riscos de Indisponibilidade, Segurança da Informação está preocupada com Vazamento de Informação, Integridade e bla bla bla, a área de Marketing e Vendas está preocupada em não perder clientes para a concorrência, já a área de engenharia está preocupada em não perder o bonde da inovação tecnológica, enfim, se perguntarmos quais os riscos e a importância dos mesmos, não tenham dúvida que cada um dirá uma coisa e muitas vezes com prioridade diferentes e conflitantes. Nesse cenário cabem novas perguntas:

1- Quais os riscos que devem ser avaliados primeiro?

2- Com o que a empresa deve se preocupar ou não?

3- Estes riscos não devem estar alinhados com os objetivos estratégicos da empresa?

4- Com base nesse cenário não seria o caso de ouvir quem paga as contas literalmente e saber deles quais riscos que não podemos correr?

Em um cenário como esse a abordagem Top-Down ERM se encaixa muito mais que a abordagem Bottom-Up de forma isolada.

Se olharmos, por exemplo, para o Guia de Boas práticas de Governança do IBGC ele define claramente que é de responsabilidade do Conselho de Administração definir o apetite e tolerância ao risco.

Sendo assim é fundamental saber:

1- O que é risco para o Board, Acionista e Diretores? Não existe negócio sem correr riscos.

2- O que na visão deles deve ser tratado?

3- Evitar o risco de Vazamento de informação é o mais importante (percebam que como profissional oriundo da área de segurança não estou dizendo que não devemos evitar o Vazamento de Informação, mas acho que o profissional de segurança nesse caso deve sair do seu mundo e encarar riscos de forma mais abrangente).

4- Se todas as áreas da empresa entenderem quais são os riscos "prioritários" não ficará claro para o que precisamos criar controles?

5- Então qual a razão de realizar análises de forma isolada, muitas vezes replicando tarefas e evitando a otimização e integração de processos? (Esse será assunto para outro artigo - GRC e Otimização de processos).

Resumindo

a. Na abordagem de ERM Top-Down falamos de controles somente depois que sabemos quais riscos a empresa (Board e demais interessados) não querem ou querem correr. Afinal como diria George Soros:

"Não há nada de errado em correr riscos; desde que não se arrisque tudo."

b. A análise Top-Down obriga uma aproximação muito maior com os objetivos estratégicos da empresa, não que a abordagem Bottom-Up não permita esse alinhamento, mas a chance de incoerência é maior.

c. Normalmente as análises de riscos Bottom-Up não consideram o Risco positivo já que estão olhando na maioria dos casos para os controles de mitigação, ou seja, desconsiderando um princípio fundamental apontado, por exemplo, na ISO 310000 (Risco Positivo).

Literatura recomendada

Para quem estiver interessado em ler mais sobre o assunto não poderia deixar de recomendar dois livros para começar.

a. Enterprise Risk Management

b. COSO ERM