Transfira o Risco para Longe de TI
Risco é o potencial de eventos ou tendências continuadas causarem perdas ou flutuações em receitas futuras. É tudo aquilo que pode gerar perdas para a organização tais como riscos de falhas em infra-estruturas, problemas em aplicações, atrasos e quebras do orçamento de projetos, etc. Para minimizar o possível impacto financeiro, os manuais de gestão risco prescrevem metodologias de mitigação de risco. Mas a sua minimização ou eliminação muitas vezes não é tecnicamente ou financeiramente viável, e como os manuais de sobrevivência ensinam, se não é possível resolver um problema, transfira para o vizinho.
A transferência formal do risco ocorre quando uma parte contrata um terceiro para assumir ou dividir o risco. Um bom exemplo disso ocorre na terceirização de serviços de desenvolvimento de software ou na gestão de infra-estrutura. No outsourcing, uma empresa especializada é capaz de lidar mais facilmente com o risco pois possui uma maior escala e conhecimento que a contratante. Todavia, nem sempre é possível transferir o risco formalmente pois nem sempre existe um contrato entre as duas partes. Este é o caso de consultas a especialistas dentro da organização. A apreciação por parte de um terceiro divide o risco técnico de um projeto, de uma solução, e também o minimiza, sendo esta última uma desculpa para quem deseja apenas a divisão do risco sem custos.
Em muitos casos, o risco existe na tomada de descisão diária e são tão sutis quanto a compra de um novo equipamento ou software fora de um padrão. O alinhamento prévio com o seu par, chefe ou colega divide o risco com a estrutura da empresa. O risco deixa de ser apenas do profissional, da área, do departamento, passa a ser de todos envolvidos no processo de comunicação. Da mesma forma que faz sentido a transferência do risco para fora, é lógico rejeitá-lo ou criar dificuldades quando vem de fora.
Muitas vezes as áreas de negócio aumentam o risco das áreas de tecnologia através de soluções adquiridas do mercado ou pelo fechamento de contratos com condições operacionais mal acordadas. Certa vez hospedei um servidor com uma solução tipo caixa-preta adquirida durante uma negociação com um cliente pela área comercial. Como não havia manutenção na aplicação, houve vários problemas de disponibilidade após a implementação do sistema. E naturalmente ninguém se lembrava de quem houvera comprado e forçado a implementação "guela abaixo" de TI. O produto foi desativado depois de uma série de tentativas sem sucesso de melhorar a arquitetura da solução e literalmente foi redesenhado. A área de negócio não estava ciente dos riscos operacionais ou não se importava com eles, pois após o fechamento do negócio, "o risco passou a ser da área de TI e não da área comercial". Na época, lamentei de não ter um ferramenta além do surrado e-mail para vincular a área comercial à solução e desejava algum instrumento que permitisse operar o produto mas ao mesmo tempo mantivesse o risco da solução com a área de negócio.
Memos de riscos, cartas de compliance ou cartas de riscos são instrumentos que formalizam e declaram para a organização o aumento do risco operacional devido ao descumprimento de um padrão ou norma. Se uma área de produtos desejar implementar uma solução que aumente em demasiado o risco, esta deverá assumir o risco e a área de TI deve emitir um documento contra a área proponente que deve assinar e devolver a TI. Outra forma de não aceitar prontamente o risco é levar-se em consideração na elaboração do SLA. Quanto maior o risco operacional, piores devem ser os níveis de serviço vendidos por TI. Esta é sem dúvida uma forma mais sutil de comprar o risco.
Na verdade, o Risco Operacional é de toda a empresa. Produtos que não funcionam impactam a receita futura e são também riscos das áreas de negócio. Assim a estratégia de transferir o risco parece ser um contra-senso pois o risco é corporativo e não de uma área, de um profissional. Mas é TI que absorve o primeiro impacto e responde por qualquer problema, da mesma forma que o jurídico responde por um problema legal ou o RH por um passivo trabalhista. Por sua vez, as áreas de negócio muitas vezes desconhecem os riscos tecnológicos ou comportam-se como tal. Transferir formalmente o risco as obriga a uma reavaliação interna do projeto, da idéia. E na eventualidade de um problema, as partes que "sabiam do risco" vão se voluntariar a resolvê-lo pois são sócias do empreendimento e de qualquer problema que venha a ocorrer
Autor: Paulo Farias Castro Filho
Artigos Relacionados
Riscos
Iconologia Operária Para Mapas De Riscos
O Risco Jurídico Nas Organizações
Gestão De Riscos: Fator Decisivo Para O Sucesso Do Projeto
Por Que As áreas De Tecnologia São Consideradas Gargalos Na Maioria Das Empresas?
Gestão De Pequenas Demandas De Ti
Franquia De Escola De Idiomas - Estágios De Desenvolvimento