Por vezes, é difícil saber quando comunicar os riscos à tua direção. As grandes empresas incluem normalmente nas suas declarações de procuração promessas de que a direção informará frequentemente o conselho de administração sobre os riscos. Algumas empresas – incluindo a Staples, a American Express, a Alliance Data Systems e a SLM (a antiga Sallie Mae) – chegam mesmo a mencionar essas políticas nos seus relatórios.
No entanto, muitas empresas não dispõem de protocolos formais, nem de factores pré-determinados para comunicar – ou “escalar” – os riscos ao conselho de administração.
Deixar que sejam os gestores a apresentar os riscos ao conselho de administração não é necessariamente uma coisa má, dizem os directores e os profissionais de gestão do risco. Exige, no entanto, que os administradores dêem instruções claras aos executivos sobre o tipo de riscos sobre os quais esperam ser notificados.
Como os conselhos de administração estão cada vez mais interessados e envolvidos na gestão do risco empresarial, é importante que tenhas as ferramentas necessárias para apresentar os riscos de uma forma concisa e eficaz. Isto irá permitir uma melhor tomada de decisões no topo, bem como solidificar o teu lugar à mesa entre os líderes – garantindo o sucesso da tua organização e da tua carreira.
Como apresentar os riscos ao teu conselho de administração:
Aqui ficam três dicas para apresentar o risco ao seu conselho de administração e como a tecnologia de gestão de risco certa pode ajudar:
Destaca como os riscos estão inter-relacionados
Os riscos não são autónomos e os dados sobre os riscos também não o devem ser. Tens de tornar claro para a administração como um risco afecta o outro, para que todas as partes possam resolver adequadamente o problema – em vez de criar riscos ainda maiores que podem resultar do funcionamento em silos. No entanto, isto é difícil de fazer se toda a tua informação de risco crítico estiver guardada em folhas de cálculo diferentes ou em departamentos diferentes.
A tecnologia de gestão de risco existe para que as organizações possam consolidar os dados de risco e de seguros de toda a empresa; trazer à tona as informações relevantes de onde quer que estejam escondidas; conectá-las com outros dados internos e externos; e, em seguida, normalizar os dados para que todos possam ser relacionados. Com a funcionalidade certa, a tecnologia de gestão de riscos integrada pode explorar a sua profunda ligação a dados de riscos e seguros expansivos e criar automaticamente imagens em tempo real que têm em conta todo o espetro de riscos.
Mostra o que está a funcionar… e o que não está
Igualmente importante para mostrar como os riscos estão inter-relacionados é a capacidade de mostrar o desempenho dos programas de mitigação de riscos. Isto pode ajudar o conselho de administração a dar prioridade aos gastos em esforços de mitigação; a compreender o retorno real desses investimentos; e até a perceber o valor que trazes para a organização ao criar programas e ao oferecer uma visão tangível do que está a funcionar e do que não está.
A tecnologia de gestão de riscos não só fornece visualizações de dados apelativas – sob a forma de painéis de controlo, quadros e gráficos – para ajudar a ilustrar a eficácia do programa, como também permite o benchmarking automático de sinistros internos e externos em tempo real. Isto permite-te a ti e aos membros da direção determinar quais os programas que estão a ter impacto e merecem mais atenção, bem como a forma como os pedidos de indemnização da tua organização (por exemplo, pedidos de indemnização dos trabalhadores) se comparam com outros. Aprende mais sobre como gerir os riscos certos no momento certo no nosso livro branco.
Fala com a direção, não para a direção
As melhores apresentações são conversas. Se queres ter um impacto na sala de reuniões, tens de envolver os membros da direção numa conversa – e não apenas falar de factos sobre os principais riscos ou sobre o teu programa global de riscos. Isso significa que se os membros da direção tiverem perguntas, deves ter respostas… e na hora.
A tecnologia de gestão de riscos pode tornar a visualização de dados dinâmica, permitindo aos utilizadores manipular instantaneamente (e facilmente) imagens e aprofundar com consultas mais específicas para qualquer tipo de informação. As visualizações de dados são abrangentes e actualizadas; têm muitos níveis; e são fáceis de produzir em tempo real e no momento. Estas capacidades são vitais para a apresentação dos riscos às partes interessadas a nível da direção. A tecnologia de gestão de riscos pega na miríade de dados e transforma-os em prioridades accionáveis. Isto é extremamente útil quando tentas transmitir uma história significativa à direção.
Ferramentas desactualizadas equivalem a uma análise inadequada
Se não tiveres as ferramentas certas, a apresentação ao conselho de administração pode ser um verdadeiro desafio. Francamente, as folhas de cálculo e o software de apresentação que muitas organizações continuam a utilizar não conseguem satisfazer as exigências actuais. As exposições rudimentares destinadas aos conselhos de administração e à direção executiva não permitem uma discussão ou compreensão eficazes dos riscos e das relações de risco.
Estas ferramentas não técnicas não agregam o custo cumulativo dos riscos e as interdependências dos riscos, nem têm a capacidade de analisar os objectos e mostrar informações adicionais relacionadas, conforme necessário.
Quando fazes uma apresentação ao teu conselho de administração, as expectativas são elevadas e a comunicação eficaz é fundamental. Com um tempo de apresentação normalmente muito curto, tens de ser capaz de fornecer uma imagem convincente e clara dos riscos significativos para os objectivos da tua empresa. A tecnologia de gestão de riscos pode destacar claramente as inter-relações dos riscos que estão a afetar a sua organização, mostrar as actividades de mitigação dos principais riscos e facilitar uma conversa significativa entre si e o conselho de administração.
“A razão pela qual não existe qualquer norma é porque não faz sentido ter uma lista de seleção. A organização tem de decidir quais os factores relevantes para si”, afirma Russell McGuire, diretor de serviços de risco empresarial na empresa de consultoria e software Riskonnect
Porque é que a tecnologia legada deve assustar a direção
Para além de se manterem actualizados com as informações sobre os riscos, os directores executivos também precisam de estar bem cientes da forma como a tecnologia antiga está a atrasar o seu negócio e compreender que os potenciais danos da tecnologia arcaica excedem em muito os “meros inconvenientes” para os funcionários confrontados com os processos pesados e ineficientes daí resultantes.
Agora que já sabes quais são as melhores formas de apresentar informações à tua administração, eis as três principais realidades assustadoras que resultam da utilização de tecnologia de gestão de riscos antiga para manter os membros da administração informados:
Medo dos sistemas legados #1: Riscos de segurança acrescidos
As violações de dados estão a tornar-se a moda do mundo. A cibersegurança é constantemente apontada como um dos principais riscos para as empresas, com o cibercrime a custar à economia global cerca de 445 mil milhões de dólares por ano, de acordo com um relatório do Centro de Estudos Estratégicos e Internacionais intitulado “Net Losses: Estima o custo global do cibercrime”.
As organizações que são vítimas de violações de dados podem enfrentar enormes perdas sob a forma de reputação comprometida, danos legais e declínios nas receitas e no valor para os accionistas. Como tal, as organizações devem procurar formas de minimizar o impacto de uma violação da cibersegurança nos seus negócios – e a implementação de tecnologia segura é uma solução óbvia.
Mas os sistemas antigos de qualquer tipo – incluindo os utilizados para riscos, seguros e reclamações – são muitas vezes um impedimento à segurança, em vez de uma solução. Em primeiro lugar, não dispõem dos controlos de segurança adicionais oferecidos pelas tecnologias mais modernas, incluindo as que se baseiam na nuvem. Em segundo lugar, muitas vezes distraem os departamentos de TI dos esforços de cibersegurança, porque têm de dedicar muito tempo a atualizar ou corrigir inúmeras aplicações para que estas funcionem num servidor interno.
No entanto, a tecnologia avançada de gestão de riscos adequada oferecerá segurança de ponta a ponta, incluindo controlos como:
- Políticas de palavra-passe que podem ser definidas de acordo com as normas do cliente, incluindo tempos limite, duração e força da palavra-passe
- Funções de segurança definidas/atribuídas pelo cliente aos utilizadores – até ao nível do campo – para impedir o acesso não autorizado a qualquer parte do sistema, incluindo objectos, relatórios, layouts e vistas de página e campos específicos
- Proteção de servidores em instalações de centros de dados de primeira linha com controlos de acesso físico adequados
- Firewalls com perímetros rigorosamente controlados, sistemas de deteção de intrusão e monitorização proactiva de registos
- Serviços de validação de terceiros que atestam a natureza segura do software
Além disso, uma tecnologia de gestão de riscos verdadeiramente integrada pode consolidar ou reduzir a quantidade de aplicações utilizadas (desde soluções de gestão de riscos empresariais e Sarbanes-Oxley, a soluções de gestão de sinistros e de conformidade e gestão regulamentar, a soluções de gestão de saúde e segurança), criando uma enorme eficiência para o departamento de TI.
Menos tempo gasto na gestão de várias aplicações pode significar mais tempo dedicado a esforços de cibersegurança mais amplos e significativos. Além disso, menos aplicações significam provavelmente menos risco de uma ou várias dessas aplicações causarem uma violação ou não estarem em conformidade.
Medo do sistema legado #2: Dados de baixa qualidade
A qualidade dos dados é uma prioridade para a maioria dos executivos, uma vez que pretendem evitar tomar e ser responsabilizados por más decisões baseadas em dados errados ou incompletos. Ainda assim, num estudo recente da KPMG, 84% dos directores executivos indicaram que estão preocupados com a qualidade dos dados em que baseiam as suas decisões.
Os sistemas antigos de gestão do risco podem contribuir para esta desconfiança em relação aos dados. Muitas vezes, estes sistemas não conseguem importar ou exportar dados em tempo real, particularmente em formatos normalizados que façam sentido para qualquer interveniente da empresa.
Além disso, os dados raramente podem ser integrados. Isto significa que diferentes conjuntos de dados não “falam entre si” e que as alterações a um conjunto de dados não se reflectem noutro conjunto de dados – mesmo que os dados estejam relacionados e se afectem mutuamente. Significa também que, normalmente, os dados têm de ser actualizados manualmente ou “reintroduzidos” várias vezes.
Estas limitações traduzem-se, na melhor das hipóteses, em “dados de espelho retrovisor” e, na pior, em dados totalmente inexactos. De qualquer forma, as tendências são difíceis de identificar e a tomada de decisões com confiança é uma luta – quer essa tomada de decisões seja em nome dos gestores de riscos, segurança ou sinistros, quer da liderança que supervisiona os seus programas e iniciativas.
Para além dos dados imprecisos e intempestivos, os dados do sistema antigo também são difíceis de reportar – quase sempre necessitando da criação manual de gráficos e diagramas a partir de dados estáticos que representam um instantâneo fugaz no tempo. Assim, a criação de relatórios consome muito tempo e os dados contidos nesses relatórios ficam ainda mais desactualizados quando chegam às mãos dos decisores – o que também dificulta a tomada de decisões com confiança.
Por outro lado, a Tecnologia de Gerenciamento Integrado de Riscos pode trazer à tona informações de risco relevantes de onde quer que estejam escondidas em uma organização e analisá-las, conectá-las a outros dados internos e externos e normalizá-las com segurança na nuvem. Também torna os dados de risco dinâmicos – actualizados e visualizados em tempo real. As perguntas podem ser feitas e respondidas no local, na mesma reunião, em vez de passarem semanas a fio enquanto se elabora um novo relatório. Com uma tecnologia tão avançada, a inteligência acionável é tão fácil de criar como de consumir.
Medo do sistema legado #3: Força de trabalho improdutiva
Com demasiada frequência, os benefícios do envolvimento e da produtividade dos empregados são considerados “suaves” ou “intangíveis”, quando, na realidade, os custos e o ROI definitivo podem ser atribuídos a forças de trabalho improdutivas e produtivas, respetivamente.
Por exemplo, o investimento em tecnologia para além de um sistema antigo pode parecer um “bom ter” por parte da liderança, porque, claro, eles querem o melhor para os seus colaboradores. Mas quando a liderança apenas vê essa atualização como um meio de poupar os funcionários a inconvenientes – em vez de uma solução que levará à redução de custos e à geração de receitas em toda a empresa – pode ser difícil justificar o investimento.
Uma força de trabalho produtiva não é composta apenas por empregados que “assobiam enquanto trabalham” e verificam agradavelmente as caixas das suas listas de tarefas diárias. Uma força de trabalho produtiva é inovadora – de uma forma que a tecnologia não pode ser e nunca será. No entanto, para serem produtivos, os empregados precisam de recursos e ferramentas para fazer as partes do seu trabalho que os tornam improdutivos.
Pensa assim: as ineficiências provocadas pelos sistemas antigos podem impedir que as TI trabalhem na prevenção de violações de segurança, apesar de os elevados custos associados a uma violação e o seu potencial impacto negativo em qualquer organização já terem sido discutidos anteriormente.
Ineficiências semelhantes podem também significar que os gestores de sinistros passam mais tempo a processar os sinistros do que a investigá-los, impedindo-os de detetar sinistros fraudulentos dispendiosos ou de descobrir tendências de sinistros que possam levar a uma redução da frequência ou da gravidade dos sinistros e dos custos associados.
O mesmo se pode dizer dos gestores de risco e segurança: Os sistemas antigos podem estar a forçá-los a ser reactivos em vez de proactivos – o que resulta num aumento dos incidentes, dos seguros e dos custos legais, para citar alguns. Não… a produtividade dos empregados não é apenas uma iniciativa para te sentires bem. Os custos da improdutividade são muito reais.
No entanto, a Tecnologia de Gestão Integrada de Riscos permite a produtividade, impulsionando a inovação através da automatização e simplificação das tarefas administrativas, para que os funcionários tenham mais tempo para fazer um trabalho de maior valor, bem como fornecendo-lhes dados de maior qualidade e visibilidade desses dados para melhorar a tomada de decisões a todos os níveis da organização.
Conclusão
Em conclusão, embora a realidade dos sistemas antigos possa ser assustadora, existe atualmente uma tecnologia avançada de gestão de riscos que pode transformar um pesadelo organizacional num sonho tornado realidade.
Partes deste artigo foram originalmente publicadas em Agendaweek.com.