René Stulz, professor de Finanças Corporativas da Ohio University, escreveu recentemente um brilhante artigo sobre a crise financeira mundial. Segundo ele, o estrago se deve, em parte, a falhas em sistemas convencionais de gestão de risco. O brilhante mestre aponta seis grandes erros na gestão de riscos que não foram observados. Compartilho no blog uma síntese e análise do texto, relacionando-o com situações de gestão de riscos em Tecnologia da Informação. Pode ser útil na gestão de projetos e operações pelos leitores do blog.
Bem, à medida que forem somando as perdas trazidas pela crise financeira, a gente se pergunta, aqui do nosso recanto no Brasil, como o mercado financeiro pôde ter errado tão feio. Como é que todos aqueles complicadíssimos modelos foram falhar ? aqui no Brasil, como no resto do mundo existem softwares complexos que implantam modelos como VaR (Value-at-Risk), a exemplo do Risk Metrics do JP Morgan, Corporate Risk, SAS e outros, já abordados em artigo anterior neste blog. O autor relata que é óbvio que houve uma tremenda falha na gestão de risco em quase todo o mercado.A seguir o professor explora em detalhe cada um dos seis caminhos do erro. Repare como estes equívocos também podem ocorrer em tecnologia da informação, guardadas as devidas diferenças:
- Depender de dados históricos. Modelos empregados na gestão de risco usam o passado para projetar o futuro, mas a rápida inovação financeira e tecnológica das últimas décadas fez da história um guia imperfeito.
- Usar indicadores limitados. Usam indicadores que não refletem totalmente o cenário para monitorar o risco. Os dados usados na montagem de modelos são apenas parte do problema. Os fundamentos oscilam.
- Ignorar riscos identificáveis. Pessoas responsáveis pela gestão do risco simplesmente ignoram muitos tipos de risco, e às vezes até criam alguns.
- Ignorar riscos ocultos. Pessoas que assume os riscos volta e meia não avisam quem precisa saber – às vezes de propósito, as vezes sem querer. Na organização o risco oculto tende a crescer.
- Falhar na comunicação. Sistemas de gestão de risco trarão pouca proteção se as pessoas responsáveis pela gestão do risco não souberem se comunicar com clareza.
- Não administrar em tempo real. Riscos podem mudar de forma brusca e acentuada com flutuações diárias dos cenários.
Em Tecnologia da Informação, o que podemos aprender com esta crise ? Para quem conhece um pouco de finanças corporativas sabe que o método mais comum de avaliar o grau de risco financeiro é o Value-at-Risk (VaR). Existem restrições em utilizar um único modelo como este. Em tecnologia da informação seria o equivalente a utilizar um único padrão como a ISO 27005, sem observar que existem padrões que o complementam e que podem ser utilizada para melhorar a gestão de riscos de TI. Um exemplo é o Risk IT do ISACA (trabalha forte com governança) e o NIST Risk. Outro equívoco seria utilizar em projetos de TI de grande porte e complexos apenas aspectos qualitativos do processo de Gerenciamento de Riscos do PMI/PMBoK, sem considerar aspectos mais sofisticados como Monte Carlo, Métodos Estatísticos, Análise de Probabilidade e Árvore de Decisão.Outra questão importante é considerar que riscos em TI estão envolvidos apenas com controles e segurança da informação. Trata-se de uma limitação de indicador. Tive uma experiência deste tipo na implantação da norma ISO 20000, quando foi exigido que todos os riscos possíveis deveriam ser considerados na gestão da área escopo. Por exemplo, um risco de entrega de serviço ou do não cumprimento do SLA deve ser identificado e as pessoas responsáveis pela gestão do contrato não devem ignorar este fato. Uma comunicação clara deve ser realizada para o cliente e para todos os stakeholders do provedor de TI. Não avisar quem precisa saber tem sido um dos grandes problemas de derrocada de instituições financeiras do mundo e o mesmo pode acontecer em projetos de TI. O caso do Banco Barings da Inglaterra foi muito contundente neste aspecto.
Utilizar apenas dados históricos para prever possíveis problemas de venda e entrega de serviços é um equívoco. Estar sempre atento aos cenários não deve ser tarefa apenas da alta direção. Bem, esta foi uma relação rápida dos erros apontados pelo Professor René e erros possíveis em TI. Abordagens convencionais à gestão de risco embutem muitas ciladas. Em tempos de crises este tipo de abordagem pode simplesmente ruir. Podemos utilizar estas lições em tecnologia da informação. O professor denomina isto de “gestão de risco sustentável”. Mais um bom tema para debate.
Nenhum comentário:
Postar um comentário