Blog

ROI na gestão de riscos de segurança corporativa e definição de vocabulário
Jul 2020

ROI na gestão de riscos de segurança corporativa e definição de vocabulário

Muitos motivos levam nossos clientes a escolher o t-Risk. Além de seguirmos o padrão ISO 31000 para gerenciar riscos, destacamos abaixo três valores-chave e os principais motivos pelos quais sua organização deve usar o t-Risk para gerenciar riscos de segurança.

1. Vocabulário comum 
 
Durante sua próxima reunião, peça à sua equipe para definir a palavra "risco". Provavelmente encontrará um silêncio constrangedor ou respostas prolongadas e divergentes. Isso ocorre porque não é comum definir os vocabulários em uso pela organização. 
 
Se você dedicar um minuto para pensar sobre o real objetivo do gerenciamento de riscos, perceberá que se trata de tentar obter uma melhor compreensão do ambiente onde sua organização está inserida para fazer boas escolhas e priorizar efetivamente os recursos para evitar ou limitar perdas futuras. 
 
É possível que muitos riscos que sua organização gerencia, não são de fato riscos, provavelmente são ​​ativos, ameaças, vulnerabilidades, probabilidade ou consequências. É impossível entender e avaliar o que ainda não definimos claramente! 
 
Com o t-Risk, o risco e todos os componentes relevantes do risco são claramente definidos de forma a permitir uma comunicação eficaz em toda a organização - tanto nas áreas de negócio como nas áreas de operação. 
 
2. Variáveis do risco claramente definidos 
 
O benefício de ter um vocabulário comum é que, uma vez que esses termos sejam mutuamente acordados e entendidos, eles podem ser usados ​​para fornecer clareza à maneira pela qual você está definindo e avaliando os riscos e possíveis perdas em seu ambiente empresarial. 
 
Você está tendo problemas para atribuir com segurança uma classificação a algum risco importante? Isso pode estar ocorrendo porque não tem como entender qual é a provável perda futura advinda de um risco que não está definido adequadamente. 
 
Para saber quanto risco está associado a algum ativo da organização, precisamos ser capazes de estimar com que frequência esse risco pode ocorrer e quanto custará cada vez que ocorra. Para isso, o risco precisa ser decomposto em alguns elementos básicos para que sejamos capazes de medi-los. O t-Risk, baseado no método Total-Risk, decompõem o Risco em 5 variáveis: Ameaças, Vulnerabilidades, Impactos, Probabilidades e Controles Eficientes (recursos de segurança). 
 
No método Total-Risk, essas 5 variáveis compõem a Equação do Risco (figura 1).


 
Como você pode perceber, o risco pode variar muito dependendo de como essas variáveis se relacionam na sua organização para cada risco. O t-Risk facilita esse processo para você apoiado na norma internacional ISO 31000 de Gestão de Riscos! 

3. Apresentar ROI para justificar investimentos 
 
Vamos voltar ao objetivo do gerenciamento de riscos: Obter uma melhor compreensão do meio onde a empresa desenvolve suas atividades e priorizar efetivamente os recursos, a fim de evitar/limitar perdas futuras da forma mais econômica possível. Devido à subjetividade inerente aos métodos qualitativos existentes (alto, médio, baixo / catastrófico, aceitável, leve), não é possível utilizá-los para fornecer clareza quanto a provável perda futura ou como priorizar efetivamente os investimentos para mitigar os riscos. 
 
Para influenciar efetivamente decisões econômicas, é necessário usar valores econômicos reais. Precisamos ser capazes de determinar qual estratégia de mitigação dos riscos tem o maior retorno sobre o investimento (ROI), o que exige que entendamos quanto risco enfrentamos hoje, quanto menos risco enfrentaremos se o controle A, B ou C for implementado e o custo desse investimento. 
 
O t-Risk utiliza valores econômicos em Reais (ou outra moeda que seja escolhida pela empresa) para entender o impacto financeiro real de um evento que gere perdas. Além disso, o t-Risk apresenta o retorno sobre o investimento (ROI) através dos valores econômicos de cada investimento possível em determinados controles de segurança (CFTV, alarmes, vigilantes, normas e procedimentos etc.) e qual a diminuição possível dos riscos após implantação desses controles. Essas funcionalidades do software permitem tomadas de decisões defensáveis ​​e baseadas no risco, levando em consideração os possíveis impactos e necessidade de investimentos. 
 
Suas reuniões para defender projetos de segurança e investimento serão elevadas para outro patamar.  Passe a falar a mesma língua do C-Level de sua organização. Linguagem de negócio!