Tom Ivell, Partner na Oliver Wyman /Brink News
Ferramentas como a análise de dados e a personalização do produto começaram a gerar uma ampla gama de oportunidades de negócio emocionantes, que vão desde a assessoria aos clientes impulsionada por robôs até contas de poupança inteligentes. Mas, estes serviços acarretam riscos adicionais.
As empresas que quiserem aproveitar ao máximo estas novas ferramentas e produtos precisam de um foco novo para a gestão de riscos, um que se adapte a produtos de alta tecnologia desenvolvidos de modo não familiar por pessoas inovadoras. Isto significa outorgar aos gestores de riscos um mandato mais amplo, a fim de garantir que a empresa não dificulte a busca de propostas inovadoras, nem comprometa a sua segurança.
As abordagens tradicionais de gestão de riscos tendem apenas ao “sim ou não” em determinados momentos, ou na revisão periódica de um processo de negócio estável. Uma mudança de TI ou um novo produto, por exemplo, estão sujeitos a uma aprovação prévia ao lançamento e as inquietudes identificadas neste ponto são traduzidas em controles de risco adicionais. Mas, antes e depois deste processo de aprovação, os gestores de riscos têm um compromisso limitado.
Em uma era de inovação, esta abordagem está destinada a falhar. O desenvolvimento ágil pode significar que as propostas nunca são totalmente acabadas, elas estão em um estado de constante desenvolvimento, o que torna pouco ou nada prático o compromisso de um ponto no tempo. Além disso, é comum que os processos de inovação estejam separados do negócio tradicional, pois as empresas isolam as equipes de desenvolvimento para permitir que elas adotem métodos de trabalho ágeis. Isto pode dificultar a participação dos gestores de riscos.
Finalmente, quando as empresas são demasiado lentas em seu desenvolvimento, ao invés de desenvolver, importam a inovação do exterior. Isto gera outros desafios, pois estas fontes são, muitas vezes, novas empresas que só gradativamente cumprirão com os padrões corporativos estabelecidos, isso se alguma chegar mesmo a cumprir, deixando uma longa lista de exceções na política corporativa.
A inovação, portanto, significa mudanças dramáticas nas formas em que as instituições devem gerir o risco. Acreditamos que, primeiro, é preciso estabelecer um apetite institucional explícito pelo risco de inovação; para depois se comprometer continuamente.
Apetite de risco de inovação
Os gestores de riscos deveriam trabalhar junto à alta gerência para codificar uma declaração explícita de apetite pelo risco em relação à inovação. Isto deveria abordar perguntas importantes como: Quais riscos são negociáveis e onde precisamos desenhar linhas vermelhas? Onde somos pioneiros em nossa indústria e onde somos seguidores? Onde assumimos riscos, quais formas de reembolso são aceitáveis e como elas são rastreadas? O custo da gestão de riscos para um produto em particular está refletido em seu caso de negócio?
Algumas respostas são claras: os crimes financeiros, por exemplo, devem estar do outro lado da linha vermelha. Mas, em muitas outras áreas os riscos devem ser avaliados em relação aos rendimentos potenciais. Quando as empresas criam um novo mercado para um segmento mal atendido (pense nos serviços de folha de pagamento para os trabalhos temporários, por exemplo), seria aceitável certo nível de fraude no início, enquanto o mercado se desenvolve?
Em outros casos, as empresas precisam acompanhar a concorrência só para defender uma base de clientes existente. No início, muitos bancos evitaram introduzir carteiras móveis como Apple Pay, pois o risco adicional parecia superar os prováveis benefícios. Mas, depois que um número crítico de concorrentes avançou nesse sentido, eles lançaram o produto, demonstrando um foco diferenciado, ou bem explícito, para avaliar os riscos e benefícios.
Novos controles para novos riscos
As propostas digitais mudarão fundamentalmente o perfil de risco de uma empresa. Os riscos relacionados à tecnologia, desde a resiliência até os riscos cibernéticos, podem aumentar à medida que aumenta a dependência pela infraestrutura técnica e as alternativas manuais anteriores vão se dissolvendo. A fraude pode aumentar se não houver um controle cuidadoso, como já se observou nas etapas iniciais de muitas propostas digitais.
Ao mesmo tempo, uma menor interação humana, tanto interna como junto aos clientes, pode reduzir os riscos relacionados ao mau comportamento, como a malversação ou a venda indevida. Alguns riscos podem se transformar em novas formas. Para abordar o risco de um cliente acabar com um produto inadequado, a sua viagem deve ser avaliada em sua totalidade, incluindo as portas de saída nos casos em que não há um produto adequado para um cliente em particular. Isto faz parte da disciplina emergente da conduta digital.
Compromisso contínuo
Os gestores de riscos devem contribuir com o desenvolvimento inovador por meio da identificação de riscos, da análise e das recomendações de controle, e devem fazer isto de modo consistente e contínuo. Para garantir que os controles de risco estejam totalmente integrados nas propostas resultantes, os gestores de riscos devem participar das etapas de desenvolvimento, testes, validação e implementação independentes, bem como da revisão periódica.
Há vários condutores que tornam o compromisso contínuo uma necessidade:
Os laboratórios de inovação e as novas empresas tecnológicas atuais operam por meio de ciclos de sprints, que consistem no rápido desenvolvimento de softwares. Para ser efetiva, a gestão de riscos deve estar profundamente arraigada neste tipo de desenho durante todo o processo de desenvolvimento, o ideal é que seja desde o início.
À medida que os processos de negócios são digitalizados, passa a ser menos desejável a intervenção manual e os controles de risco devem tornar-se cada vez mais parte integral do desenho do produto.
Os reguladores e os legisladores estão cada vez mais fazendo eco destas demandas. O Regulamento Geral de Proteção de Dados da União Europeia, por exemplo, consagra a "Privacidade por desenho" como sendo um dos seus princípios fundamentais.
Após o lançamento dos produtos digitais, é provável que continuem existindo exceções aos padrões corporativos habituais. Por exemplo, pode ser que uma empresa que a princípio fornece análises de clientes não tenha as certificações de risco cibernético necessárias. A função da gestão de riscos precisará se estender além da etapa de aprovação para garantir que as exceções finalmente sejam encerradas para proteger a infraestrutura crítica da empresa e os dados dos seus clientes. As empresas devem poder iterar rapidamente sem sacrificar os padrões corporativos, que representam uma das bases da confiança dos seus clientes.
Fazendo a transição
A inovação digital gera novos riscos que só ficarão evidentes com o passar do tempo e estes podem não se ajustar às taxonomias estabelecidas, como o risco de crédito e cumprimento, portanto, a gestão do risco de inovação irá requerer uma mudança profunda para as funções de risco de uma empresa. Serão necessários novos processos e ferramentas.
A gestão de riscos também precisará de um mandato mais amplo para refletir pontos de intervenção anteriores e posteriores. Os gestores de riscos precisarão ter as habilidades adequadas para este modelo de compromisso e a organização deverá apoiar os métodos ágeis de trabalho.
Em muitas empresas as funções de risco estão começando a enfrentar o desafio, muitas vezes provocadas por um projeto ou uma empresa de alto perfil. A próxima tarefa é aprender desses primeiros movimentos e integrar a gestão da inovação como parte fundamental do mandato da função de risco.
Se a gestão de riscos de uma empresa não se adaptar, a inovação simplesmente acontecerá em outro lugar.