por Uires Tapajós | nov 3, 2010 | Sem categoria
Gartner
Segunda-feira, 11 de outubro de 2010 – 11h34
SÃO PAULO – “Gerenciamento de risco” é um termo abrangedor e o Gartner fornece uma ampla variedade de pesquisas que o colocam em foco. As organizações devem balancear seus controles com as necessidades do negócio para direcionar o desempenho corporativo.
ANÁLISE – Todos falam sobre gerenciamento de risco, mas nem todos estão de acordo em relação a como gerenciar os riscos. A crise financeira global de 2008 aumentou a consciência acerca do gerenciamento de risco orientado ao negócio em assuntos como segurança de TI e registros financeiros, assim como a necessidade de compreender os riscos enfrentados por uma organização.
Apesar dessas preocupações, a maioria das organizações continua lutando contra silos de atividades de gerenciamento de risco que falham em prover uma estrutura integrada para esses esforços.
Algumas atividades cobrem uma área de especialização, como gerenciamento da continuidade do negócio (BCM), enquanto outras tratam de um tipo de risco que afeta toda a companhia, como gerenciamento de risco operacional (ORM).
Apresentamos um grupo de pesquisas que fornecem diretrizes sobre como lidar com estratégia, organização, processo e tecnologia de atividades relacionadas com riscos dentro de uma empresa, desde silos individuais de risco até a implementação de uma efetiva capacidade de gerenciamento de risco corporativo (ERM).
Frequentemente, esforços de gerenciamento de risco são etiquetados como risco e cumprimento de governança (GRC). Este termo tem sido aplicado tão amplamente no mercado que não representa mais do que a maduração das abordagens usadas pelas organizações para lidar com suas atividades de gerenciamento de riscos e cumprimento de diretrizes.
Não há uma definição normalmente aceita de GRC que delineie um conjunto específico dessas atividades. O GRC foca em estimativa individual qualitativa, processos de controle e auditoria e registros regulatórios. As organizações deveriam tomar cuidado com os fornecedores que usam o termo GRC para descrever basicamente qualquer produto que vendam.
O termo “ERM” é usado igualmente de forma ampla e, em muitos casos, incorretamente para descrever qualquer atividade para centralizar silos de risco sob gerenciamento comum. Em muitas situações, os riscos selecionados são somente riscos operacionais. O Gartner define o ERM verdadeiro como o tratamento estratégico e holístico de todos os riscos da organização, incluindo riscos de crédito e mercado, assim como riscos operacionais.
Lições que outras indústrias podem aprender sobre ERM de serviços financeiros – A indústria de serviços financeiros foi sempre rigidamente regulada a partir de uma perspectiva de risco e inclui algumas das organizações mais evoluídas e cientes dos riscos.
A maioria das outras indústrias pode não ser obrigada a atingir os mesmos níveis de maturidade em controle, processamento e registro de riscos. Entretanto, a indústria de serviços financeiros continua fornecendo lições aplicáveis a organizações de todas as indústrias, em relação ao possível sucesso ou falha de uma implantação de gerenciamento de risco. Por exemplo, organizações de serviços financeiros estão consideravelmente à frente da maioria das outras indústrias quanto à implementação de ERM.
Conforme já se notou, muitas organizações caracterizam qualquer esforço para desfazer os silos de risco como ERM. Etiquetas à parte, a lição neste caso é que, embora nem todas as organizações tenham um relevante caso de implementação de ERM, quase todas as organizações podem se beneficiar da implantação de uma abordagem mais ampla acerca do gerenciamento de riscos.
Todas as atividades relacionadas com gerenciamento de risco são parte de, e contribuem para, uma solução corporativa para gerenciamento de risco. Individualmente e também coletivamente, contudo, elas não atingem as capacidades ou os benefícios oferecidos pelo ERM.
O ERM é uma abordagem compreensiva, diferente da abordagem fragmentada encontrada em um típico ambiente onde os processos de gerenciamento de riscos e cumprimento de diretrizes tendem a ser implantados de uma maneira não coordenada em unidades de negócios e funções de suporte.
Uma visão corporativa mira os componentes de risco holisticamente. Ela centraliza os processos de governança e controle de risco para que a empresa possa determinar as relações entre os riscos e decidir qual é a melhor maneira de absorver, limitar e transferir os riscos.
Quando esta abordagem é utilizada, gerentes de linha de negócio (LOB) continuam controlando os riscos no nível operacional, enquanto o chefe de gerenciamento de riscos (CRO) define políticas que permitam aos negócios da companhia funcionar como uma unidade, organicamente compartilhando dados e coordenando decisões sobre riscos.
Uma abordagem holística dos riscos corporativos inclui uma visão corporativa do risco operacional e suas interdependências e correlações com os riscos de mercado e de crédito.
A abordagem holística é essencial para a capitalização do potencial positivo do risco adequadamente gerenciado. A idéia de que o risco pode ter um lado positivo desafia as os departamentos de TI, que tendem a interpretar o gerenciamento de risco apenas como a redução ou a eliminação do risco.
O desafio para os departamentos de TI é determinar quais programas de risco e processos técnicos permitem que eles detectem e capitalizem os eventos de risco significativos para o desempenho corporativo, ou para reduzir o risco por meio de automatização e padronização.
ERM não é uma tecnologia discreta. Você não pode comprar um sistema de ERM completo. Seu sucesso depende em grade parte da criação de uma cultura ciente do risco. O principal objetivo do ERM é relacionar o risco com a criação de valor, e a associação do risco com o desempenho. Isso envolve:
1 – Apagar as fronteiras de LOB e abordagens fragmentadas de gerenciamento de risco
2 – Avaliar o desempenho a partir de uma base ajustada ao risco para gerentes de compensação
3 – Tomar decisões informais para alocar capital
O ERM é uma necessidade da boa governança. Ele vai além do típico regime de registro e cumprimento de diretrizes e dos processos operacionais. Todas as organizações tem riscos de crédito e mercado.
Organizações fora da indústria de serviços financeiros tendem a minimizar ou negligenciar a importância das exposições a riscos de mercado e de crédito, quando lidam com riscos corporativos. Normalmente, elas limitam inapropriadamente sua abordagem corporativa ao risco operacional (o risco relacionado com processos inadequados ou falhos, pessoas ou eventos externos).
Toda organização está exposta a riscos de crédito relacionados com o crédito negociado expandido para clientes e atividades de fornecedores. Riscos de mercado, por exemplo, podem ser relacionados com as mercadorias usadas para fabricação, compra ou venda de produtos em moedas estrangeiras, flutuações de taxas de juros e liquidez. Basicamente, toda organização, de alguma forma, é uma instituição financeira.
Além dos modelos de crédito, o gerenciamento de risco de crédito exige processos confiáveis e sustentáveis, e o desempenho desses processos e das políticas associadas que são facilmente visíveis e ativamente gerenciadas.
Por outro lado, o risco operacional pode se transformar em uma perda de crédito, como ilustrado em negócios de hipotecas (por exemplo, informação fraudulenta ou insuficiente) ou em incidentes de furto de identidade. Isso pode ocorrer inclusive com o negócio de serviços não-financeiros. O risco operacional é parte de todas as atividades corporativas, e pode contribuir com eventos de riscos de crédito e de mercado. A calamidade de crédito e liquidez de 2008 na indústria bancária foi o resultado de falha operacional.
Falhas bancárias e restrições de crédito tem um efeito direto em todos os negócios. Nessas específicas circunstâncias de demanda, as empresas requerem mais visibilidade e controle sobre eficácia financeira e riscos de abastecimento. Os motivos são espremer mais capital de trabalho enquanto as fontes de financiamento externo estiverem reduzidas, além de assegurar que o desempenho está dentro do nível de tolerância de risco da organização.
Estratégia – O fato de a sua organização procurar ou não o ERM não altera a exigência básica para usar uma abordagem estratégica de gerenciamento de risco. Uma organização consciente dos riscos entende que o gerenciamento de riscos está diretamente ligado ao desempenho corporativo. Comece com controle qualitativo de auto-avaliações, e então mude para avaliações qualitativas relacionadas com indicadores básicos de desempenho (KPIs).
Organização – Organizações devem desenvolver uma hierarquia de risco descendente. Cada líder de um silo de risco (por exemplo, risco de TI, segurança de TI, BCM, privacidade, cumprimento de diretrizes legais e regulatórias) deve compreender como os componentes específicos do seu silo se ajustam no cenário de riscos geral.
Processo – A eficácia do gerenciamento de risco de do desempenho geral dependem de processos confiáveis e sustentáveis. Ela também depende da visibilidade que esses processos e políticas relacionadas fornecem para dar suporte ao gerenciamento ativo da exposição a riscos.
Tecnologia – A organização de TI é essencial para minimizar os riscos por meio de um sólido planejamento de arquitetura e automação. Isso inclui uma visão consistente dos processos e dos dados de uma companhia para dar suporte ao gerenciamento de risco ativo.
Fonte: Info | http://info.abril.com.br/noticias/corporate/como-gerenciar-riscos-em-ti-11102010-11.shl?3
.
por Uires Tapajós | nov 3, 2010 | GRC | Governança, Risco & Conformidade
Gartner
Segunda-feira, 01 de novembro de 2010 – 16h28
SÃO PAULO – Na conferência do Gartner sobre data centers em dezembro de 2009, perguntamos aos participantes quais eram suas principais dificuldades para implantar ITIL.
O principal obstáculo, de acordo com 44% dos 111 clientes, era superar a resistência contra a mudança organizacional. Esse resultado reflete a interação do Gartner com os seus clientes: mudar a cultura organizacional e o comportamento das pessoas pode ser um desafio assustador. Com o tempo, foram identificadas abordagens que ajudam a reduzir resistências e facilitar as mudanças. Discutiremos os seis principais procedimentos para minimizar a resistência contra a transformação.
Considerações básicas
As mudanças em processos normalmente exigem mudanças organizacionais.
Os esforços para aprimoramento dos processos que estimulam as melhores práticas de ITIL oferecem mais riscos de falha quando a mudança organizacional é negligenciada.
O comprometimento dos gerentes é vital para dar força de lei à mudança organizacional.
Os esforços para aprimoramento dos processos que incluem um planejamento formal de mudança organizacional são mais bem sucedidos e têm ciclos de vida mais curtos e custos mais baixos do que programas que negligenciam a mudança organizacional.
Recomendações
Obtenha o apoio dos gerentes para conectar claramente os benefícios do aperfeiçoamento dos processos com a melhoria da criação e proteção das metas relacionadas com o valor do negócio.
Demonstre e comunique o apoio da gerência à iniciativa de aperfeiçoamento dos processos.
Elabore uma análise do estado atual do negócio e faça uma projeção do seu estado futuro com base em metas, para que os acionistas entendam a razão das mudanças processuais.
Envolva os funcionários no desenvolvimento e na implantação do projeto.
Gerencie cada iniciativa de aperfeiçoamento do processo como se fosse um projeto formal incluído em um programa de aperfeiçoamento de processos de governança.
Inclua um plano de mudança organizacional realista para cada projeto que suporte um plano de mudança organizacional dentro do programa de governança.
Revise, analise e comunique as mudanças relativas à avaliação de desempenho, à compensação e às descrições de cargos.
Hipóteses de planejamento estratégico
Até 2015, as organizações que não lidarem com a mudança cultural e organizacional durante as iniciativas de aperfeiçoamento do processo de TI falharão na entrega dos benefícios prometidos em pelo menos 80% das vezes.
Análise
Quando se implementam novos processos ou quando se transformam os processos convencionais, a maneira como as pessoas trabalham muda. Atrelado a qualquer mudança está o risco e, com base em suas percepções, o funcionários podem reagir de formas diferentes, frequentemente com certo grau de resistência. Os empregados costumam se preocupar com potenciais impactos como:
– Como sua carga de trabalho mudará
– Se eles serão demitidos
– A “probidade” da mudança e a compensação implicada
Em um ambiente sem comunicação, os rumores gerarão todos os tipos de teorias, incluindo aquelas que interpretam a situação de maneira pessimista. Se iniciativas anteriores de aperfeiçoamento de qualidade falharam, os rumores apenas servirão para que o ceticismo seja exacerbado.
Como em TI, os aspectos técnicos do processo de design são relativamente fáceis. As questões pessoais e os esforços para que a adoção seja efetivamente suportada pelos funcionários são os reais desafios. Aqueles que pretendem aprimorar os processos podem enfrentam uma resistência ativa, tanto interna quanto externa à TI, que publicamente tentam arruinar os esforços, como:
– Oposição publicamente verbalizada em reuniões
– Argumentos escritos em e-mails
Reclamações nos corredores que podem influenciar acionistas.
A resistência também pode ser passiva, quando os esforços são ignorados e definham, em vez de serem adotados. Nesses casos, os responsáveis pela resistência literalmente não fazem nada diferente e deixam que a iniciativa fracasse. Eles podem parecer concordar com a mudança durante as reuniões, mas não tem nenhuma intenção de ativamente apoiá-la.
Independentemente do tipo, a resistência aumenta os custos e coloca o sucesso do projeto em risco. Os funcionários resistentes a mudanças em organizações não são novidade: nossas estruturas organizacionais evoluem há séculos. O mais surpreendente é que as organizações em busca de um aperfeiçoamento dos processos não adotaram consistentemente abordagens mais formais para superar a resistência e, dessa maneira, aumentar suas chances de sucesso. Implantar o ITIL envolve mais do que modificar processos e procedimentos; isso implica também focar no gerenciamento da mudança organizacional.
A Figura 1 reflete as dificuldades encontradas pelos participantes para colocar em prática processos que estimulem o ITIL. A principal está relacionada com a mudança cultural.
Na sequência descrevemos os seis procedimentos fundamentais que grupos de aperfeiçoamento de processos devem implantar nos níveis de programa e projeto para reduzir a resistência e aumentar as chances de sucessos da mudança organizacional.
Obter e exibir o apoio da gerência
O elemento essencial ao aperfeiçoamento do processo e à mudança organizacional é um forte apoio da gerência em termos conceituais e concretos. O projeto não precisa somente ter financiamento e recursos; a falta de apoio da gerência pode resultar no colapso dos esforços. A gerência deve advogar a favor da iniciativa de aperfeiçoamento e ativamente lutar contra a resistência, tanto a passiva quanto a ativa. Para obter esse tipo de apoio, os patrocinadores das mudanças devem relacionar os benefícios esperados às melhorias em como a TI pode fornecer serviços que permitem à organização atingir suas metas.
Conduzir uma análise e elaborar um mapa de ciclo de vida
Após obter o apoio da gerência, é necessário fazer uma avaliação do estado atual do negócio e então compará-lo com as metas organizacionais, com os objetivos de TI e com as melhores práticas da indústria. Os resultados desta análise devem ser classificados em relação às dependências levadas em conta e finalmente o mapa de ciclo de vida pode ser criado. A análise e o ciclo de vida podem posteriormente servir como matéria-prima para o desenvolvimento estratégico, o desenvolvimento de estudos de casos e para o gerenciamento de projetos. Uma análise bem feita e bem definida ajuda na construção de um argumento que valide a mudança, tanto para a organização como para a TI particularmente. Este é um elemento relevante para conseguir o apoio de acionistas, que precisarão aprovar a mudança para ela ocorrer.
Incentive um programa formal e um gerenciamento de projeto com implantações divididas em fases
Para gerenciar melhor os recursos, os orçamentos e os riscos, deve haver um gerenciamento do projeto formal. Um abrangente programa de aperfeiçoamento de processos deve governar os projetos relacionados com aperfeiçoamento de processos.
No longo prazo, projetos plurianuais com poucos benefícios interinos devem ser evitados. O trabalho deve ser implantado em fases de curta duração, entre 90 e 120 dias, para permitir o marketing do sucesso, ações corretivas e a busca por orçamentos e aprovações de fases subseqüentes. Além de acelerar o reconhecimento do sucesso, isso reforça a noção de melhoria adicional do processo. Fazer com que os acionistas comecem a sentir os benefícios da mudança facilita a redução da resistência e cria um ambiente mais otimista.
Utilize um plano de mudança organizacional formal
Processos novos ou alterados necessitam de mudanças organizacionais, porque a maneira como as pessoas trabalham e encaram seus empregos também muda com o tempo. Em TI, aprendemos a reconhecer que habilidades interpessoais são essenciais para o design do serviço porque as pessoas são criaturas emocionais. Em vez de focar só em processos e tecnologia, os grupos responsáveis por aperfeiçoar os processos devem formalmente desenvolver planos que reflitam as mudanças organizacionais necessárias e os métodos usados para colocá-las em prática. Os tópicos incluem planos de comunicação, campanhas de conscientização, treinamento, avaliações de desempenho, compensação, descrições de cargos, etc. Um plano de comunicação formal é fundamental para garantir que os diversos acionistas estão recebendo mensagens claras e consistentes sobre o que está efetivamente mudando, porque essas mudanças estão ocorrendo e qual o impacto de cada uma delas.
Envolva os funcionários
É importante envolver os funcionários durante o processo de aperfeiçoamento. Primeiro, porque eles sabem onde estão os problemas. Segundo, porque eles podem ter sugestões sobre como realizar as mudanças. E, finalmente, porque envolvendo os funcionários no processo de aperfeiçoamento eles entendem porque a mudança é necessária e podem assim participar da seleção e da implementação das mudanças, facilitando a internalização dos novos procedimentos. Esse nível de envolvimento diminui a resistência em comparação com métodos que tentam realizar mudanças isoladamente, deixando os funcionários com pouco ou nenhum conhecimento sobre o que ocorre.
Revise medidas de desempenho, compensação e descrição de cargos
As mudanças em medidas de desempenho, compensação e descrição de cargos são incluídas no plano de mudança organizacional, mas são relevantes o suficiente para receberem um destaque particular. Se deixadas de lado, elas podem se transformar em paliativos, levando a organização novamente a velhos modelos de comportamento. Em vez disso, as mudanças em medidas de desempenho, compensação e descrição de cargos devem ser revistas à luz das mudanças de processo almejadas. O aperfeiçoamento do processo que resulta em novos papéis e responsabilidades deve ser refletido em métricas de desempenho e, se necessário, em mudanças de compensação e descrições de cargos, para ajudar a institucionalizar as mudanças.
Por exemplo, vamos imaginar que o gerenciamento de mudança é um novo processo e que a conformidade com os novos processos é necessária. As descrições de cargos, as medidas de desempenho e a compensação precisam ser revistas por um prisma puramente técnico para permitir a continuação do processo e reforçar os indicadores de evolução do processo e comportamentos desejados. As descrições de cargos podem afirmar que a conformidade com o processo de mudança é obrigatório. Métricas essenciais incluem o número de mudanças processadas, as chances de sucesso da mudança, e possível perda de receita devido à falha da mudança. A compensação pode ajudar a definir metas para cada uma das métricas.
Conclusão
As pessoas sabem como fazer seu trabalho de acordo com o contexto presente. As mudanças em processos refletem riscos e, em muitos casos, são causa de preocupações que resultam em resistência tanto ativa como passiva. Em vez de deixar a mudança organização ao acaso, os grupos responsáveis pelo aperfeiçoamento dos processos devem aplicar os seis principais procedimentos citados acima nos níveis pessoais e corporativos. O resultado final será menos estresse, ciclos de vida mais curtos, mais agilidade e mais chances de sucesso.
Fonte: Info – http://info.abril.com.br/noticias/corporate/gartner/6-regras-para-vencer-a-resistencia-ao-itil-01112010-33.shl?6
