“Por que eu aprovaria esse tipo de investimento se você não consegue formular nenhum tipo de redução de custos, oportunidade de viabilização de negócios ou retorno associado à gestão mais eficiente da minha atual exposição ao risco?”
Quantas vezes, como profissionais, tivemos esse tipo de conversa? Quer se trate de uma discussão sobre o risco inerente de determinadas práticas comerciais ou dos custos de investimento associados a pessoas, processos e tecnologia destinados a gerenciar o referido risco, os profissionais são sempre desafiados a criar alguma maneira mensurável de comunicar o valor intrínseco desses investimentos.
Nossos colegas na empresa falam com frequência sobre ROI e retorno sobre o investimento, pois estão muito condicionados à necessidade de comprovar algum tipo de valor ou retorno dos programas, investimentos, iniciativas e ações semelhantes. Ter uma abordagem para comunicar claramente o “valor” do negócio referente à segurança e ao risco é também de vital importância. Muitas vezes, pode ser negligenciado, mas as funções que executamos são negócios dentro do negócio. Em última análise, prestamos serviços aos nossos clientes que permitem que nossos negócios funcionem dentro de determinadas tolerâncias para os processos estabelecidos, além de viabilizar a transformação para eles e que assumam mais riscos enquanto criam novos modelos de negócios.
E qual é o problema? Basicamente, estamos tendo dificuldade com o desafio de não conseguirmos nos comunicar no mesma idioma. Por exemplo, há maneiras simples e estabelecidas para o CEO determinar um “retorno sobre o investimento” para algo como, por exemplo, um novo prédio de escritórios. As medidas preditivas do valor dos investimentos imobiliários e do aumento na capacidade dos equipamentos mais eficientes ou de uma nova instalação são relativamente simples e estão enraizadas na estrutura dos negócios.
Em nossos negócios dentro da empresa, só conseguimos gerenciar três itens associados aos nossos investimentos: a eficácia do investimento em termos de gerenciamento ou redução de riscos, o custo total de propriedade de um determinado investimento e a capacidade de aconselhar sobre a transferência desse risco de alguma forma (ou seja, seguro etc). O desafio que a maioria de nós encontrou com esses três fatores é que não temos sido muito eficientes na coleta dos dados obrigatórios e nos cálculos necessários para dar real sentido a eles. Isso é evidenciado pela quantidade de programas que adotaram abordagens bem amplas para a aplicação de controles onde existem lacunas ou problemas, gerando muitos casos cujos riscos representam US$ 500 e os controles aplicados a eles custam US$ 100.000.000. Isso cria atrito para os consumidores dos nossos serviços, gerando dessa forma o desafio de ter prazos mais longos para justificar os próximos investimentos.
Custo total de propriedade como ponto de partida?
Uma área em que realmente podemos oferecer alguns dados empíricos sólidos é o custo total de propriedade (TCO) para os processos e tecnologias de apoio que sustentam os serviços que prestamos aos nossos clientes. A maioria de nós passou muito tempo desenvolvendo métricas sobre todas as atividades que realizamos em apoio aos nossos negócios. Esses dados de métricas combinados a outras informações disponíveis publicamente, podem ser usados para nos trazer custos de propriedade relativamente precisos para os serviços e tecnologias em que investimos.
Veja, por exemplo, o processo de determinar os custos das pessoas associados à análise diária das investigações de incidentes. Se eu souber que, em média, minha equipe de resposta está gastando 20% do dia em atividades de investigação, que tenho dois recursos dedicados nessa equipe, e que os recursos completos custam US$ 75 por hora, posso determinar que a execução desse processo, do ponto de vista do capital humano, consome um pouco mais de 800 horas-homem por ano e custa para as nossas empresas cerca de US$ 60.000. Se, então, eu conheço o inventário de todas as ferramentas tecnológicas necessárias para executar esses processos, posso levar em consideração o custo anual da tecnologia de apoio e ter uma descrição bastante precisa do custo desse serviço. Isso, no entanto, me coloca em uma posição onde posso comunicar um ROI real? Não exatamente.
O custo do risco?
Bruce Schneier escreveu um ótimo artigo sobre este mesmo assunto para o CSO em setembro de 2008 que continua atual. No que diz respeito à abordagem tradicional de dar ao risco um valor em dólar, ele coloca: “a metodologia clássica é chamada de expectativa de perda anualizada (ALE), e é bem simples. Calcule o custo dos incidentes de segurança sobre os itens tangíveis, como tempo e dinheiro, e sobre os intangíveis, como reputação e vantagem competitiva. Multiplique isso pela chance de o incidente ocorrer em um ano. Dessa forma, chega-se ao valor que deve ser gasto para mitigar o risco.”
Essa abordagem de "probabilidade e impacto" tem sido o método que todos tentamos implementar, de certa maneira, elaborar ou formar, para ter algum tipo de um indicador financeiro do custo dos riscos que identificamos e estamos tentando gerenciar. O problema, como Bruce também destaca, é que os dados resultantes desses cálculos basicamente atuam contra nós quando conversamos com os líderes das empresas, e são ofuscados pela falta de dados confiáveis que temos como base.
Por exemplo, se o custo calculado de um determinado risco for de US$ 40.000 por ano e o custo total de propriedade das pessoas, processos e tecnologia alocados para melhor gerenciar ou reduzir esse risco for de US$ 65.000 por ano, imagine o que o CFO vai querer saber. Qual é o nível de precisão dos nossos dados sobre os fatores que entram na medição do impacto (perda real, reputação etc.) e qual é o nível de precisão dos nossos dados para determinação da probabilidade real? E, mesmo que todos concordemos com esses números, a forma como o CFO interpreta e opta por permitir o seu investimento pode obviamente sofrer influência desses e de muitos outros fatores. Pelas conversas com muitas pessoas do setor, e também pela minha própria experiência como profissional, muitas vezes é o desafio de facilitar o entendimento. Sem conhecer os verdadeiros níveis de tolerância ao risco em termos financeiros da organização, pode-se realmente enfrentar uma batalha difícil. Imagine solicitar um investimento para reduzir um risco, que você calculou ser de US$ 10 milhões devido a um processo comercial sobre o qual não há controles, mas o CFO considerar US$ 10 milhões um erro de arredondamento? Você acha que vai conseguir o investimento que precisa?
Critérios para alcançar resultados melhores
- Empreenda um esforço conjunto para inventariar e organizar todos os serviços que o seu negócio dentro de um negócio oferece aos clientes. Dedique algum tempo ao cálculo do custo total de propriedade de todos esses serviços, de forma a comunicar com transparência os custos de mão-de-obra e tecnologia para o negócio. Dessa forma, você conseguirá comunicar-se com os líderes da empresa nos termos que eles melhor entendem e conseguirá também priorizar as próximas avaliações de diversas tecnologias, com o objetivo de prestar o mesmo serviço a um custo menor ou prestar esse serviço com mais eficiência, da perspectiva de redução ou gestão dos riscos. A capacidade de projetar esses cálculos de TCO em um planejamento de 3 a 5 anos no contexto do "custo do risco" e do "custo do controle" pode ser um divisor de águas para os investimentos futuros nos programas.
- Reúna os dados. Trabalhe reunindo os dados associados aos problemas, riscos, custos ou deficiências no controle que você está tentando solucionar. Desafie suas afirmações e os dados que você está coletando. Temos realmente pontos de dados reais e precisos que viabilizam qualquer cálculo relevante do custo do risco? Temos fontes de dados melhores para entender se a nossa avaliação sobre a probabilidade é precisa? Promova essas conversas com seus parceiros comerciais e colha informações para avançar em direção a um resultado mais holístico e baseado nos negócios. (Poderíamos passar o dia todo falando somente sobre este tópico!)
- Empregue um tempo para entender a visão organizacional sobre a tolerância ao risco e onde estão esses limites financeiros, para entender esses limites e a forma como são gerenciados. Será, provavelmente, muito revelador ter essa informação e, assim, você conseguirá definir melhor os itens que consegue calcular com precisão ou sobre os quais precisa ter melhores dados. Dessa forma, você não entrará no escritório do CFO com a mensagem errada ou com a análise incorreta, viabilizando uma tomada de decisão mais informada quando analisar a prioridade. Há mais valor em reduzir o custo de um controle financeiramente dispendioso, onde o risco é baixo, do que simplesmente adicionar um novo controle? E faz sentido somente financiar o novo controle com as economias geradas por outro?
- Evite análises fantasiosas dos dados calculados pelo fornecedor sobre o ROI. Eles estão ainda menos preparados do que você quando se trata de entender o contexto de sua organização, a probabilidade de ocorrência de um determinado evento ou seus custos operacionais. Um verdadeiro “parceiro” deve estar disposto a empregar um tempo para entender o seu TCO, entender os serviços que você oferece hoje e conseguir ajudá-lo a explicar o seguinte:
- Como o investimento tecnológico proposto pode reduzir o custo operacional de um processo ou serviço que ofereço atualmente? (ou seja, semelhantes, mas mais baratos/que exigem menos mão de obra etc.)
- Como o investimento tecnológico proposto pode aumentar a eficácia de um processo ou serviço que ofereço atualmente, no que diz respeito ao risco? (ou seja, aumenta a eficácia de um controle global específico ou traz oportunidade de controle/redução do risco que não era possível antes etc.)
- Como o investimento tecnológico proposto pode proporcionar preparo e/ou oportunidades de redução de riscos no futuro, preparando a sua arquitetura ou ambiente de controle para o futuro? Investir nos recursos de componentes essenciais alinhados com o direcionamento projetado da sua empresa, em vez de esperar que a empresa identifique “atrito” ou um caso de uso que seus serviços atuais não atendem.
- Como o investimento tecnológico proposto pode extrair maior ou melhor valor dos meus investimentos atuais? Sempre ouvimos dizer que o valor do indivíduo ideal em uma equipe é aquele que transforma todos ao seu redor em pessoas melhores. Deve-se considerar o mesmo para os investimentos em tecnologia. Como esse investimento pode aprimorar todos os meus outros investimentos? (ou seja, Pode me ajudar a cobrir mais casos de uso? Pode reduzir a minha carga operacional? Elimina a necessidade de criar uma integração manual entre as tecnologias? etc.)
O ROI está realmente morto? Na verdade, não. O que realmente estamos buscando são melhores resultados dos serviços que oferecemos aos nossos clientes, nossos parceiros comerciais. Entender os custos operacionais detalhados de todos os nossos investimentos em tecnologia, combinado com a capacidade de medir a eficácia desses processos e tecnologias, para nos ajudar a gerenciar os riscos, nos posiciona melhor para falar o idioma dos negócios.
Os verdadeiros elementos do ROI aqui são: estabelecer um entendimento mais claro sobre o risco nos nossos negócios (e influenciá-lo), conseguir apresentar transparência nos custos e a eficácia dos serviços que prestamos aos nossos clientes, desafiando nossas antigas afirmações referentes à probabilidade versus impacto em nossos ambiente com melhores dados, e forçando-nos a utilizar tudo isso para reduzir o custo operacional e o atrito dos controles, não somente hoje, mas durante nossos investimentos na transformação dos nossos programas de segurança.
Como Wayne Gretzky disse uma vez, “um bom jogador de hóquei joga onde o disco se encontra, um grande jogador de hóquei joga onde o disco vai estar”. Da mesma forma, uma boa equipe de segurança gerencia o posicionamento atual da empresa, enquanto uma ótima equipe gerencia o posicionamento da empresa também no futuro.