Feeds:
Posts
Comentários

Archive for the ‘Artigos’ Category

A LGDP ou LGPDP – Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) está movimentando as empresas, de uma forma ou de outra, para conseguirem se resguardar das consequências implícitas dos vazamentos de informações confidenciais que possam ocorrer a partir de sua vigência.

Originalmente entraria em vigor em janeiro de 2020, foi adiada para Ago/20 pela Lei nº 13.853/19 oriunda da Medida Provisória nº 869/18, mas já existe o Projeto de Lei nº 5762/19 que adia para Ago/22, sem validade legal neste momento, portanto ainda valendo Ago/20.

Apesar das boas iniciativas que estão surgindo, não podemos deixar de refletir sobre a realidade prática, pois muitos recursos estão sendo empregados em cyber segurança enquanto aparentemente os treinamentos dos usuários continuam a serem negligenciados.

Isto implica em risco permanente já que as informações devem estar acessíveis aos usuários e técnicos/operadores dos sistemas, exigindo mais do que treinamento, controles efetivos e demonstração de sua efetividade. A materialidade destas evidências deve ser traduzida em testes e auditorias constantes para que a percepção de controle esteja no subconsciente de todos, promovendo assim o comportamento e a disciplina desejada.

Um aspecto interessante da proteção da informação é que a princípio ela se restringe aos ambientes controlados de armazenamento, quer sejam físicos ou digitais, que consequentemente podem ser acessados diretamente ou remotamente, e/ou de forma mista, requerendo múltiplas formas de controles e monitoramento.

A forma mista é baseada em manuseio físico direto de documentos impressos e posterior transmissão digital do dado/informação através de escaneamento ou fotos, ou através do acesso físico direto ou remoto, ao sistema de armazenamento do banco de dados (CPD ou PC) e impressão de documentos físicos, podendo ser uma combinação de fatores favoráveis conforme a conveniência do “funcionário”, autorizado ou não.

Apesar de existirem vários meios de monitoramento e controle das informações, não podemos afirmar que são eficientes de fato, sendo mais provável a identificação tardia do acesso e podendo ser quase impossível provar uma má intenção.

A má intenção sempre pode ser acobertada por um “engano” que se não se repetir jamais será comprovada, a não ser que já exista algum outro fato precedente que gere o alerta correto para a situação analisada.

Portanto estamos lidando com um cenário complexo que exige múltiplas soluções combinadas, associando várias ferramentas como, boa governança, boas políticas administrativas, código de ética, aplicativos de monitoramento, auditoria e treinamentos em diversos níveis e aplicações.

Tanto usuários como gestores de diversos níveis devem ser treinados para o correto manuseio dos dados e informações, bem como, serem capacitados a identificarem as vulnerabilidades que possam ser exploradas pelos agressores para que possam ser corrigidas em tempo hábil.

A área de Recursos Humanos deve ser protagonista neste processo com apoio da alta gestão, pois os esforços para que estas soluções sejam alcançadas e incorporadas passam por profissionais de diversas áreas do negócio com visões que podem ser muito independentes, portanto, limitantes.

Read Full Post »

Entre os consultores e gestores de riscos estamos sempre escutando comentários sobre a dificuldade em convencer a alta direção da empresa a investir na prevenção e manter um acompanhamento detalhado das perdas. Por insatisfação, nos acostumamos a dizer que enquanto as “perdas estiverem dentro da curva” ninguém se mexe.

Estar dentro da curva é ter as perdas dentro dos parâmetros históricos ou projeções lançadas no orçamento anual previsto, entendendo que isto não impactará o orçamento e as operações. Mas observem que, “ter as perdas dentro dos parâmetros” previstos é muito diferente de “manter as perdas controladas”, pois podemos encontrar muitas situações que aparentemente estão sob controle simplesmente por estarem dentro da previsão inicial, contudo sem que se saiba ao certo da razão dos números serem “positivos”, podendo existir uma tendência negativa que pode ser ampliada a qualquer momento, sem que ainda tenha sido identificada.

Neste ponto que a MATERIALIDADE e a SEVERIDADE devem ser analisadas criteriosamente. A criticidade entre estes dois termos se difere nos parâmetros de impactos que cada um pressupõe.

Simplificando, enquanto os parâmetros da materialidade do impacto estão focados nos recursos orçamentários provisionados, ou no percentual de perda sobre a receita prevista para o período, a severidade pode ser analisada sob os aspectos de possibilidade de descontinuidade das operações e do impacto na imagem, por exemplo. Ambas as questões se interpõem no quesito RELEVÂNCIA.

A relevância deve levar em consideração muitos cenários e depende da relação direta entre os objetivos que a empresa se empenha em alcançar e aquilo que é necessário para o seu alcance.

Daí a necessidade de incorporar o critério de probabilidade de ocorrência na priorização do tratamento dos problemas levantados na avaliação dos processos organizacionais, diagnósticos e planos de negócios.

Neste ponto a criticidade da materialidade e severidade devem influir diretamente na percepção dos investimentos necessários para a prevenção e controle dos riscos, pois a matriz de risco pode mascarar a situação quando gradua um risco como sendo de alto impacto, mas com baixa probabilidade de ocorrência, podendo influenciar o tomador de decisão a protelar seus investimentos no gerenciamento de riscos.

Esta situação é bastante comum em empresas que ainda não atingiram a maturidade em gestão de riscos, dependendo de muito esforço interno dos gestores para superarem a resistência inercial da cultura vigente.

Infelizmente, uma cultura sólida de gestão de riscos só toma forma quando os problemas surgem repetidamente e percebem que as soluções acabam sempre passando por um Comitê de Crises por não terem planos e recursos disponíveis aprovados, infringindo perdas e desgastes entre os profissionais envolvidos, ou com a vantagem da empresa por um motivo ou outro, quebrar seus paradigmas com uma mudança na Governança Corporativa.

Com certeza alguns setores de negócios estão melhores que outros no quesito gerenciamento de riscos, principalmente as que tem mais a perder, mas na Era da Incerteza não se pode correr o risco de ser surpreendido. Jamais!

Read Full Post »

A avaliação de risco como produto de consultoria surgiu como uma solução cara e nem sempre aproveitada adequadamente pelas empresas clientes, pois faltava uma conexão objetiva entre os riscos apontados e as soluções decorrentes. Isto ocorria pela falta de experiência dos consultores nos setores de negócios que estavam atendendo, dificultando a análise na profundidade necessária para convencer os clientes dos investimentos necessários. As avaliações de riscos eram baseadas mais em históricos do que vislumbrando um cenário futuro.

Mesmo com a popularização desta ferramenta e a proliferação desses serviços de consultoria e das soluções caseiras que algumas empresas acabaram por buscar internamente, no meu ponto de vista, por longo tempo ainda em muitos setores a avaliação de risco demorou para atingir a maturidade necessária em servir ao decisor estratégico como ferramenta confiável para planejar suas ações.

Entendo que o momento seja diferente, mas ainda encontramos alguns paralelos se percebermos que muitos prestadores de serviços se utilizam da ferramenta de avaliação de risco para alavancarem negócios. Distanciando-se do compromisso da consultoria integral, a análise de risco servindo somente como ferramenta de venda de insumos de segurança cria uma percepção de controle superficial, exigindo correções em curto espaço de tempo, bem como, infinitas outras ao longo da relação comercial criada, sempre sendo justificadas pela evolução natural dos riscos.

Esta introdução bem poderia servir à outra matéria, mas justifico a mesma no contexto que desejo explorar pela similaridade existente entre o panorama acima e a dificuldade encontrada na identificação da origem das ameaças internas das empresas e suas correções.

Tanto para o consultor como para o gestor interno de uma área de negócio da empresa, o processo de identificação e classificação de riscos depende de se conseguir informações relevantes e confiáveis que possam ser analisadas em profundidade sem sofismas e tendenciosidades, exigindo perícia e profissionalismo.

Percebo que as falhas originadas em processos organizacionais apresentam maiores dificuldades em serem reconhecidas pelas áreas internas ou pela gestão, engessando por longo tempo as correções necessárias e os possíveis controles a serem implantados.

Esta resistência acontece principalmente pela falta de especialistas experimentados que possam contribuir diretamente nas melhorias ou pela falta de ambiente propício às mudanças, decorrente de governança corporativa equivocada.

A materialidade ou as evidências devem ser conseguidas através de um diagnóstico apurado de todos os processos organizacionais, de forma a se compreender as interdependências entre os diversos processos cruzados, visando sempre a elaboração e a implantação de controles de riscos efetivos.

É fundamental o entendimento das consequências das vulnerabilidades existentes em cada processo e a alavancagem decorrentes destes, pois o efeito cascata originado na falha de um processo não incorre somente neste processo único, mas em muitos outros interconectados de forma transversal e que podem ser imperceptíveis num primeiro momento. Governança e risco andam juntos e conectados!

Read Full Post »

É notória a discrepância entre as capacidades individuais de se identificar ameaças e tomar as medidas correspondentes de proteção por parte dos clientes de segurança em geral. Partindo do pressuposto que o Mapa Mental de cada pessoa é único e construído através das crenças e valores adquiridos por suas experiências individuais durante a vida, podemos aceitar como consenso que não haverá coerência absoluta sobre o entendimento mais adequado ou assertivo das reais necessidades de proteção pelos mesmos.

Estas questões podem ser minimizadas ou supervalorizadas por parte dos clientes, dependendo de vários fatores de influências e interesses envolvidos na demanda, e que provavelmente não teremos influência determinante na ponderação, mas tão somente seremos fonte de informação para suas escolhas. Pois é, risco conhecido é risco assumido, de um jeito ou de outro.

Entendo que, ao contrário da máxima comercial que afirma que o cliente tem sempre razão, trabalho sempre com a premissa que o cliente passa a ter razão quando assume suas responsabilidades pelas decisões tomadas quando assina a formalização destes atos. Pois, se nossos argumentos sendo balizados pelas melhores práticas conhecidas e validadas não são aceitas pelo cliente, este deve reconhecer que fez suas escolhas de forma consciente, não podendo depois de um sinistro tentar responsabilizar as outras partes por seus equívocos. Espero não ser o único profissional de segurança privada que pensa assim.

A partir do momento que aceitamos atender um determinado cliente é de suma importância documentarmos todo o processo de comunicação com o mesmo, formalizando todos os meios adotados, quer seja por correspondência escrita, e-mail (respondido), atas de reuniões (assinadas) ou outros documentos informativos como plantas, descritivos de projetos, avaliações, fotografias ou visitas técnicas. Não sendo aceitável mantermos tratativas via telefone ou em reuniões informais fora de um ambiente profissional sem os devidos registros posteriores, formalizando os conteúdos dos contatos feitos entre as partes. Tais precauções são necessárias e demonstram profissionalismo, além dos benefícios óbvios de proteger o contrato.

Estamos vivenciando um momento extraordinário, se não único na história da humanidade, de descobertas e convergências de conhecimentos e tecnologias que estão transformando nossas vidas de forma exponencial, em muitos sentidos nunca experimentados. Portanto, devemos nos atentar para as responsabilidades inerentes às escolhas que fazemos, não nos deixando deslumbrar pelas facilidades da tecnologia sem antes conhecermos suas vulnerabilidades e implicações.

Este alerta deve ser considerado no sentido prático de que não podemos nos deixar levar pelas atrativas facilidades da tecnologia e dos rápidos processos criativos decorrentes, sem antes garantirmos que estamos tomando todos os cuidados necessários para evitarmos ou controlarmos as implicações de longo prazo que possam surgir.

Afirmo isto, em razão de constatar sistematicamente a venda e instalação de tecnologias de segurança sem nenhum amparo de normas e procedimentos, bem como, dos treinamentos decorrentes dos operadores que garantam as funcionalidades e os resultados desejados pelos clientes. Muito é mascarado ou deduzido subliminarmente, mesmo até o ponto sem que se toque em determinados pontos críticos entre as partes envolvidas, mas que estão implícitas pela realidade e que talvez a sorte possa mudar em algum momento exigindo retratação e penalidades. Triste fim!

Read Full Post »

Falamos muito no tema da dificuldade dos gestores de segurança venderem bem a área de segurança dentro da empresa, mas para isto devemos supor que seus resultados já possam ser sentidos e medidos para que possamos entender e demonstrar o valor de novos investimentos.

Pois, se não conseguirmos demonstrar que alcançamos o ápice com os recursos disponíveis, não podemos justificar avançar em outras frentes que ainda não estão sendo tratadas ou mal avaliadas. Os CEO’s de hoje, mais do que nunca esperam audácia e superação de metas de seus gestores.

Aqui podemos pensar que temos um paradoxo. Como alcançar o máximo de resultados se meus recursos são parcos? Se não tenho recursos suficientes, meus resultados nunca serão satisfatórios. Concorda? Não é bem assim.

A questão está na qualidade do que fazemos com o que dispomos, e não se é suficiente para o momento. Mesmo porque, sempre precisaremos adequar os recursos à evolução das ameaças.

Outro ponto importante é entendermos que não trabalhamos somente em cima dos riscos, que está atrelada a condição de probabilidade, por tanto incontrolável, mas sim, no tipo de ameaças que podem nos atingir. Como assim? Com certeza a avaliação de riscos é a base de tudo, bem como, as ameaças externas não são de nosso controle, mas, o dinheiro só sai se a probabilidade de ocorrência e seus impactos forem grandes, dificultando a substituição da perda.

Na verdade, o que sensibiliza o CEO a dar mais dinheiro para a segurança é a consequência de o risco vir a se concretizar, os impactos do risco que de fato incomodam. Se isto não fosse verdade, não veríamos tanto a repetição de eventos nos mesmos locais, ou o chamado atendimento de “apagar incêndio” a que estamos tão habituados a trabalhar diariamente.

Preferem sempre ir empurrando com a barriga, até que a situação saia da curva e comece a incomodar todo mundo. Quando a crise chegar, reuniões de emergência acontecerão a toque de caixa e responsáveis serão chamados a atenção, mesmos estes tendo avisado insistentemente sobre a questão.

E quanto a isto, sempre estaremos lutando, já que nestas horas o gestor de segurança é que sempre aparecerá na foto com aquela “cara de sobrou pra mim”.

Contudo, se o gestor conseguir simpatia para sua área através da plena prontidão e disposição para resolver os eventos internos diários, quando surgir um problema interno maior, ou mesmo de origem externa que não possa resolver, todos serão solidários em entender que todos de sua área fazem o melhor, mas não tem recursos suficientes para atender outras demandas; “agora” consideradas importantes, o dinheiro surgirá.

Mas, se os resultados da área de segurança não forem satisfatórios nos quesitos mínimos que estão seus cuidados, a probabilidade de todos acharem que o gestor atual não dará conta do recado é muito grande.

Assim sendo, apesar do argumento exposto ser discutível em muitos casos, principalmente em empresas onde a área de segurança já seja considerada madura, infelizmente, ainda é o que encontramos na maioria das empresas onde a área de segurança não é considerada parte integrante da estratégia de negócios.

Motivação sempre foi e sempre será a saída, nem sempre fácil, para alcançarmos resultados de alta performance.

Não devemos pensar que a alta performance está atrelada somente a altos salários, mas sim, a possibilidade de reconhecimento pessoal e avanço na carreira.

Podemos encontrar equipes grandes o suficiente para a dimensão das tarefas, mas que não dão conta do recado, bem como, equipes reduzidas, que sabidamente deveriam ser consideradas aquém do efetivo recomendado, e mesmo assim, apresentam resultados bem apreciados.

É comum o erro de gestores deixarem as equipes relaxarem e não imporem cobranças de melhores resultados quando sabem que o efetivo está aquém do necessário. Este erro não só piora sistematicamente os serviços até terem que trocar toda a equipe, como também, puxa para baixo aqueles valores dos que querem se sobressair por entenderem que não serão notados e valorizados.

Uma pequena equipe motivada pelos valores certos, como a auto estima por ser reconhecida por prestar um serviço de excelência, faz toda a diferença em qualquer ambiente de trabalho.

Investimentos em treinamentos onde todos participam, são muito mais bem recebidos pela equipe, do que pequenos aumentos de salários, apesar de sabermos que as duas coisas estão atreladas.

Se não podemos dar aumentos de salários constantes, uma grade de treinamentos bem montada, e mais facilmente justificada, traz enormes benefícios à empresa, agregando valores e consequentemente resultados.

Se não podemos adequar o dimensionamento da equipe de segurança ao ambiente de riscos, devemos adequar o nível de envolvimento da equipe na solução de problemas, treinando, delegando e apoiando as iniciativas individuais e coletivas do grupo.

Equipes sobrecarregadas normalmente estão sujeitas a erros e insatisfações dos clientes internos. Para ajustarmos todos os fatores de desgastes pessoais entre a equipe de segurança e suas demandas, devemos ter um código de conduta e uma declaração de objetivos e metas muito bem definidos, e apoiados pela alta gestão.

Normas bem escritas e claramente definidas podem ser traduzidas em Matrizes de Apoio à Decisão”, que por sua vez, tira das costas da equipe de segurança uma decisão pessoal que possa gerar conflitos e desgastes pessoais.

Devemos aceitar que membros valorosos de uma equipe de trabalho, de qualquer que seja a área de atuação, para assim seres vistos, dependem de suas capacidades de resolverem problemas. Se não treinamos estas pessoas para serem mais assertivos, não podemos penalizá-los por seus erros na tentativa de serem prestativos. O que acontece muito.

Se a disposição em resolver os problemas que surjam forem percebidas, o valor estará agregado automaticamente aos serviços apresentados. Da mesma forma, mas em sentido contrário, se a equipe de segurança está sempre se desculpando por não poder atender as demandas, mesmo que polidamente, a percepção de qualidade e satisfação será mínima.

Agregar valor na prestação de serviços está intrinsicamente ligado a fazer acontecer, por assim dizer. E fazer acontecer está ligado a mágica da satisfação em ser verdadeiramente útil.

Valorizar é respeitar, e respeitar é o primeiro passo para a evolução do indivíduo que queremos que seja sempre melhor!

Read Full Post »

O distanciamento abissal que existia entre as principais áreas do negócio de uma empresa e sua área de segurança na década de 80, quando a segurança patrimonial começou a atuar de forma mais significativa, principalmente nas grandes indústrias, ainda parece prevalecer em muitos casos.

Por mais que a segurança pública esteja um caos e a impunidade seja a última palavra nos dias atuais, são estarrecedoras as notícias de determinados índices criminais e de perdas em alguns setores, que depois de anos de sucesso no gerenciamento de riscos, não de pura sorte, parecem estar sem foco.

As aplicações de Inteligência Estratégica na Segurança Empresarial como parte integrante dos negócios merecem ser discutidas devido a sua enorme abrangência e importância como solução para o gerenciamento de riscos das empresas.

O fracasso dos gestores de segurança, que deveriam ser chamados sempre de gestores de riscos, em manter perenes os índices aceitáveis das perdas inerentes aos processos e operações à que estão vinculadas suas metas, está principalmente na dificuldade destes gestores em identificarem o quão desconexo está a complexidade destes processos e operações dos controles dos mesmos.

Isto ocorre por diversas razões, mas devemos considerar principalmente o fato que pode existir uma escalada no crescimento de determinados setores do negócio quando são exigidos, sem que haja a análise oportuna e consequente elaboração de políticas que amparem estas iniciativas dentro da evolução dos riscos a que estão sujeitos.

Neste sentido, a solução deste problema não está somente na importante etapa do planejamento, mas no acompanhamento sistemático das realidades alternativas da execução quando estas derivam substancialmente do plano originalmente validado por todas as áreas envolvidas no projeto, pois na prática, durante a fase de implantação dos novos processos e operações do negócio, muitas mudanças ocorrem por diversos motivos, sem que se dê conta das implicações das novas condições sobre os riscos inicialmente avaliados.

A adequação dos controles nos processos e operações deve ser conectada e intrínseca à complexidade encontrada, de forma “siamesa” por assim dizer, bem como, das possíveis variações durante o tempo que existirem.

Para que as “engrenagens” necessárias ao perfeito funcionamento dos controles desejados estejam sempre presentes, os gestores de riscos precisam envolver todos os responsáveis técnicos pelos projetos, de forma à participarem ativamente na análise sistemática dos riscos nas suas áreas do negócio, deixando de agir isoladamente e conseguindo a integração com seus clientes internos, já que todos tem o mesmo desejo e necessidade de conseguirem alcançar os objetivos propostos pela empresa.

A Inteligência Estratégica deve atuar em todas as fases do projeto como ferramenta ao alcance dos envolvidos, desde a elaboração até a implantação e operacionalização efetiva, sendo responsável por coletar e analisar dados, provendo informações balizadas que serão integradas ao projeto e visíveis a todos, parametrizando as devidas correções pelos responsáveis diretos e seguidos pelas áreas conectadas, equalizando o equilíbrio entre complexidade e controle.

As informações produzidas neste processo, de forma contínua e permanente, devem trazer funcionalidades e ajustes que mantenham o alinhamento esperado do cronograma, mantendo os riscos de execução e operação em níveis aceitáveis, garantindo uma ótima utilização do orçamento durante a execução do projeto, bem como, que possíveis perdas estejam dentro dos parâmetros desejados e possam ser corrigidas ao longo da operação.

Na prática, tudo isso significa que temos que usar de todo conhecimento existente das áreas e/ou especialistas envolvidos no projeto inicial, focando no acompanhamento e entendimento do projeto e das implicações das mudanças geradas por desvios do planejamento inicial, quer sejam de origem do ambiente interno ou externo, sobre a real possibilidade de alavancagem dos riscos conhecidos, sempre apoiado na comunicação oportuna e franca entre todos.

Podemos ter como exemplo clássico o gerenciamento de risco do roubo de carga, risco este, que ano após ano sofre revezes e os índices de perdas continuam a ameaçar de forma sistemática os negócios das empresas.

Notadamente, existe um descompasso entre os principais atores envolvidos no transporte de carga, onde a área de segurança do embarcador faz, ou compra um Plano de Gerenciamento de Riscos, que é desrespeitado pela área comercial, que impõe suas necessidades de embarque e entrega à área de logística, que forçadamente transfere o risco para o transportador, já que a área de seguros da empresa não pode garantir a cobertura da carga nestas condições e a gerenciadora de riscos por sua vez, também transfere a responsabilidade do transporte fora dos parâmetros convencionados para o transportador.

Se o transportador também tiver sua própria operação de gerenciamento de risco, nada muda, já que a carga vai sair de qualquer maneira por força de contrato com o embarcador.

Durante a operação de transporte, quando houver o acompanhamento do espelhamento do sinal de monitoramento e ambas as gerenciadoras derem suas orientações e autorizações em todos os aspectos do percurso, estas ocorrerão de forma totalmente antagônica, pois a gerenciadora de risco do embarcador fará todo o possível para culpar o motorista de qualquer problema que ocorra, transferindo o ônus da perda ao transportador, enquanto que o gerenciamento de risco deste último, tentará a todo custo que a carga chegue intacta ao destino, sabedores que a área de seguros do embarcador não arcará com possíveis perdas.

E onde fica a área de segurança do embarcador neste imbróglio todo? De mãos atadas, endossando a gerenciadora de risco contratada, usando o Plano de Gerenciamento de Riscos assinado por todas as partes e o relatório da reguladora de sinistro para forçar a responsabilização do transportador em caso de sinistro, já que a área de transporte quando fez o contrato com a transportadora, incluiu o plano como parte integrante do mesmo, ou seja, fazem um grande jogo de empurra.

O embarcador é conhecedor destes fatos, mas endossa a área comercial que tem primazia neste processo, gerando um contrassenso absurdo, já que de nada adiantará à área comercial não conseguir entregar a carga no cliente em razão de um sinistro que ocorreu justamente por não seguir as premissas do Plano de Gerenciamento de Risco, que quando foi desenhado, tentou atender a todos os atores deste mecanismo.

Todos têm a perder, mas este processo vicioso só se rompe quando a frequência dos sinistros provoca a saída para fora da curva das perdas aceitas pela empresa.

Parece lógico que a Inteligência Estratégica não passou nem perto disto tudo, quando de fato, deveria ser a ferramenta adotada por todas as áreas do negócio, inclusive seus parceiros, pois todos são interdependentes neste processo.

O exemplo dado é real, e apesar de acontecer principalmente em grandes empresas em decorrência dos grandes volumes transportados, bem como, da suposta pressão da concorrência e exigência do mercado, as perdas são proporcionalmente maiores.

Podemos inferir que a Inteligência Estratégica deve atuar como ferramenta integrante de todos os processos das empresas e não isoladamente como mais uma área da empresa, que só contribui para o Planejamento Estratégico Corporativo anual.

É fácil imaginarmos sua ampla aplicação quando nos lembramos dos inúmeros documentos regulatórios que são processados internamente nas empresas, onde se supõe que tudo foi previsto e calculado, mas os mesmos vão parar no fundo das gavetas ou se perdem entre tantos outros arquivos no sistema computacional.

Não basta planejar, pois são infinitas as variáveis que influenciarão as necessidades de adaptações e correções em todos os processos do negócio de uma empresa durante sua evolução.

Não devemos pensar em Inteligência de Processos visando criar controles alternativos para corrigir não conformidades quando surgem os problemas e normalmente executada por terceiros, mas sim, de uma cultura interna permanente de análise do ambiente de negócios e avaliação de riscos, permitindo muito maior rapidez na identificação, adaptação e/ou correção dos problemas que possam potencializar a concretização de ameaças antes que se tornem endêmicas no sistema empresa.

Uma consultoria externa pode ajudar as áreas chaves da empresa a desenvolverem estes princípios até que amadureçam e se consolidem, formando líderes que possam fortalecer a cultura adquirida ao longo do tempo.

Read Full Post »

A crise energética na qual estamos nos aproximando em grande velocidade causará profundos danos à economia e não terá rápida solução. Com intervenção e populismo o governo federal elabora caóticas políticas públicas manipulando investimentos e sustentando preços de insumos artificialmente tentando controlar a inflação e escondendo da população brasileira os desmazelos de gestão. Esta total e abrangente irresponsabilidade não tem saída fácil, principalmente se entendermos que o mundo também passa por grandes instabilidades políticas e econômicas, promovendo emblemáticas reações sociais em todo o globo. Internas ou externas, as origens destes problemas estão entrelaçadas na medida em que a geopolítica avança sobre todas as nações. Mas o fato é que nossos problemas de infraestrutura, principalmente do setor energético, dependem de vultosos recursos financeiros e grande planejamento. Planejamentos e recursos que agora dependem de um terceiro fator que se esgotou, o tempo. A crise está à nossa porta e tudo indica que infelizmente não podemos esperar melhoras antes que se aprofunde ainda mais. As consequências da falta de energia elétrica e de água, tanto para as empresas como para as pessoas em geral, desencadearão problemas recorrentes e concomitantes, pois toda a sociedade será afetada por medidas restritivas de acesso a estes recursos e também da produção de insumos básicos da indústria como do campo. O cenário negativo em vista exige conscientização e planejamento detalhado por todos os envolvidos nas operações de segurança patrimonial e empresarial. Se as interrupções de água e energia elétrica forem programadas e seletivas o nível de exigência do planejamento será baseado nesta nova realidade, mas se as mesmas forem inesperadas e inconsistentes a flexibilidade necessária ampliará os fatores de riscos. Sabendo-se os dias e horários das interrupções a segurança poderá criar “checklist’s” pensados nas características de cada operação, mas paradas súbitas potencializam a má intenção na produção e em todas as operações que dependem de sistemas automatizados, que passarão a ser realizados manualmente. A experiência demonstra que as crises financeiras também proporcionam o aumento de fraudes e desvios de conduta. Se considerarmos que nesta situação muitos dos controles antes informatizados passam a ser manuais, o risco de erros e problemas de conciliação de resultados aumenta exponencialmente, inclusive retardando o tempo de detecção de não conformidades, dificultando futuras investigações. Os sistemas eletrônicos de segurança são vulneráveis na medida em que os equipamentos estejam ou não operando em linhas de energia com “no break” e/ou geradores, preferencialmente estabilizadas e bem aterradas, pois idas e vindas de energia costumam causar grandes variações de tensões, danificando assim seus componentes mais sensíveis.  É comum que câmeras estejam energizadas enquanto catracas, torniquetes, cancelas e sistemas de cadastramento eletrônico não, exigindo a presença de recursos humanos atuando nestes locais de acesso com planilhas. Apesar do Ministério do Trabalho exigir controle de ponto eletrônico, a alimentação destes sistemas por vezes não garante o funcionamento pelo tempo necessário ao registro dos dados. Carregadores de rádios “HT” e canetas de ponto para rondas dos vigilantes também podem ser prejudicados. As emissões de crachás manualmente podem não atender aos requisitos de controle exigidos para operações em áreas sensíveis, podendo exigir acompanhamento individual do visitante. São muitos os fatores de riscos operacionais para os processos produtivos, que também podem exigir a atenção da segurança. Matérias primas, produtos acabados, ferramentaria, peças de reposição e componentes da linha de produção em trânsito interno são passíveis de descontrole e desvios. Produtos que supostamente não foram terminados durante a interrupção da produção podem ser contabilizados como perdas e encaminhados para áreas de “scrap” para resgate posterior de funcionários atuando em conluio. A falta de luz também contribuir para pequenos furtos e acessos desautorizados em áreas que exigem atenção. Se a crise perdurar e demissões se tornarem comuns, muitos funcionários remanescentes podem se sentir encurralados pela pressão da situação e racionalizarem seus instintos para compensações que possam garantir possíveis perdas futuras, através destes furtos e desvios. Greves, sabotagens e danos materiais podem tomar forma em algum momento como retaliação às demissões e reduções das jornadas de trabalho, férias forçadas e outras medidas de economia nas empresas. Ainda, não podemos minimizar os múltiplos fatores de riscos oriundos da insatisfação e insegurança pessoal dos colaboradores potencializados pelo possível desabastecimento de alimentos e produtos básicos, problemas com transporte público e atendimento na rede pública de saúde, falta de combustíveis e inflação generalizada e até questões de limpeza pessoal e de roupas, dificultando a manutenção de um clima positivo nas relações pessoais e de trabalho. O cenário é difícil e duradouro do ponto de vista do gerenciamento de crises, pois já estamos vivenciando o estágio de pré-crise, que deverá evoluir, se instalar e ser administrado em sua essência para só depois ser diluído em ações de restabelecimento da normalidade. Esta perspectiva coloca muitos setores da economia de joelhos, já que nossas dificuldades internas podem ser somadas às externas e estender desgraçadamente a duração e os impactos deste cenário. Vamos torcer para que a política democrática deste país sobreviva aos impulsos socialistas advindos de momentos tão difíceis como estes e que costumam acompanhar historicamente as crises nacionais!

Read Full Post »

Os brasileiros convivem com índices de violência jamais vistos que podem ser comparados à algumas guerras, mais ainda, temos vivenciado atos coordenados de terrorismo doméstico praticado pelo crime organizado e até mesmo por autointitulados movimentos sociais. O terrorismo não só e simplesmente seifa vidas, mas interrompe as atividades comuns do cidadão e do Estado, principalmente gerando terror pela exposição da incapacidade e fragilidade do Estado em garantir a segurança e a ordem em todos os seus níveis. Muitos quartéis militares já foram vítimas de assaltos e batalhões da Polícia Militar e Delegacias de Polícias atacadas. Policiais e servidores públicos de segurança são mortos frequentemente em atividades comuns ou em suas casas, e não somente no franco combate pela má sorte. A despeito de sabermos que grupos terroristas financiam suas atividades internacionais através de negócios ilegais em nossas terras, ainda estamos fora do circuito internacional do terrorismo. Mas até quando? E até quando estaremos a mercê do crime organizado que pratica e mantém relações com estes grupos? Para os palpiteiros de plantão e os sabotadores da nação brasileira, tudo isto é mera especulação. Contudo nossa realidade é grave e precisa de pulso forte da sociedade também. Não podemos esperar que o Estado suprima tudo. A segurança privada brasileira é maior que muitos exércitos pelo mundo e precisa de conscientização de seu papel na luta efetiva contra o crime. Individualmente cada segurança privado deveria ser um observador treinado e atento, com capacidade de reação coordenada com seus pares e com as forças de segurança pública se necessário. Para quem estiver estranhando este texto, pedimos para que analise o que acontece na prática em uma situação de alto risco e caos urbano. Não são os policiais de rua a serem os primeiros a enfrentarem a situação antes mesmo da chegada dos grupos especiais de apoio? Porque o segurança privado não pode fazer o mesmo dentro de suas áreas de domínio? Muitos pensam que sim, mas não é isto que vemos na prática. Infelizmente a quantidade de vigilantes que morrem ou entregam suas armas logo que a ação criminosa acontece é infinitamente maior onde aqueles em que reagem adequadamente e debelam os criminosos. Para os críticos, podemos afirmar que a formação técnica do vigilante ainda precisa de muito aprimoramento e investimento. Não queremos discutir neste momento questões históricas, de mercado, de legislação ou o quer que seja sobre o porquê desta situação, mas sim olharmos para frente, para um futuro que já chegou e muitos não aceitam. Entendemos que a segurança privada tem seletividade e certo aprimoramento em operações consideradas de alto risco como o transporte de valores e a proteção executiva. Mas também sabemos que as empresas de valores investem em treinamentos de aperfeiçoamento e até os contratantes financiam cursos particulares até no exterior para suas equipes fixas de proteção executiva. Estes dois tipos de profissionais ganham mais que o vigilante comum que não pode gastar em seu desenvolvimento pessoal. Podemos considerar que muitas operações de segurança são de baixo risco, mas se considerarmos que muitas instalações protegidas por segurança privada são de serviços críticos, como de energia, telefonia, água, saúde, bancário, aeroportuários, portuários, entre outros, sem mencionarmos as cadeias produtivas e alimentar privadas, todos ficaríamos muito incomodados se estas estruturas fossem deliberadamente atacadas. Por si só estas necessidades já justificam um treinamento mais forte para que estes homens possam desempenhar seus papéis. Posso garantir que a maioria dos contratantes não dormem tranquilos somente por terem contratado seguranças privados, e convenhamos que no momento atual esperar que o Estado reforce a segurança em caso de ameaças à estas instalações de risco é pedir muito. Neste sentido a mensagem é clara, precisamos incentivar maiores investimentos nos treinamentos dos vigilantes e demonstrar o diferencial destes homens em caso de extrema necessidade. O recente atentado em Reims na França, onde doze pessoas, incluindo dois policiais, foram mortos por extremistas islâmicos, demonstra que a vulnerabilidade existia e a ameaça não foi tratada devidamente, pois todos os cartunistas no mundo que fizeram charges sobre o Islã estão jurados de morte. Possivelmente se o jornal tivesse providenciado seguranças capacitados para tal ameaça o resultado teria sido diferente. Neste ponto a discussão não tem fim, pois outros meios poderiam ser utilizados no atentado, mas fica claro que em todos os lugares do mundo e por aqui não é diferente, a segurança privada é subestimada na maioria dos casos. Para reverter este quadro e colocarmos nossos vigilantes em um nível superior de pronta resposta basta acreditarmos que os investimentos valem a pena e que a partir disto, o mercado, as empresas contratantes e a própria segurança pública terão outro olhar para esta poderosa força do bem.

Read Full Post »

Desconfiança do governo federal é o que emoldurará todas as perspectivas de crescimento econômico e dos investimentos empresariais no próximo ano. A visão prévia de um horizonte possível é ainda temerária neste momento, dificultando o planejamento estratégico em todas as suas vertentes. As necessidades de investimentos estruturais no país, somadas aos controles artificiais sobre a inflação e o enorme rombo orçamentário, podem não se alinhar na estratégia do governo federal para evitar que nenhum destes aspectos serem prejudicados. Ou seja, o crescimento será ínfimo no próximo ano, ou em caso contrário, uma bomba desastrosa cobrará seu preço mais a frente, já que não há novas fontes de financiamentos para a realização de tudo que se deseja. Nestas condições, que não são uma surpresa para aqueles que consideraram a possibilidade da reeleição da atual presidente, se não o pessimismo, a cautela é palavra de ordem nos negócios. Nesta perspectiva, a gestão de riscos deverá subir mais um degrau e passar a integrar efetivamente a estratégia corporativa no sentido de antecipar demandas e preparar recursos para atender as necessidades de concretização das estratégias dos negócios. Tanto a redução de perdas nos processos como a expansão para novas áreas de negócios exigem planejamento antecipado para cenários de redução de custos ou pré-crise. Governança articulada é o que pode garantir a presença do gestor de riscos no momento oportuno para atender as metas propostas. Neste quesito podemos inferir que o planejamento estratégico fortifica todas as ações voltadas ao atingimento das metas através do melhor entendimento das necessidades orçamentárias e operacionais dos projetos propostos. Desafios como roubos de cargas, fraudes, assaltos aos centros de distribuição, falsificação, perdas de informações estratégicas, danos à imagem, greves, sabotagens, captações de funcionários “chaves” pela concorrência, segurança de executivos e familiares, impactos por desastres naturais, manifestações, problemas transporte e logística do país e suas alternativas, bem como, até alguma epidemia, devem passar pelas mãos dos gestores de riscos cada vez mais. Mesmo que os mapas estratégicos dos gestores de risco sejam apenas uma linha inicial de trabalho, perdendo as supostas garantias de endosso financeiro para o planejado durante o percurso, estes não devem sucumbir às frustrações de mudanças de última hora, já que em cenários de risco todos estarão sujeitos às mesmas regras. Como consultor, vejo algumas tendências de investimentos em projetos voltados à melhoria de controles e de processos, pois estes são em última análise, os melhores indicadores para a análise da auditoria em apontar que tudo está indo na direção certa, ou que alguma coisa não está bem como o desejado. Contudo, também observo que a grande maioria das empresas continua apresentando problemas básicos de gestão quando contratam estes serviços externamente. Acredito ser demasiado frustrante para os gestores de riscos internos serem simples facilitadores para consultores externos, sabedores de suas fragilidades endêmicas e permanentes. De qualquer forma, o respeito mútuo entre os profissionais, e destes pela responsabilidade para com os objetivos do trabalho acaba por gerar resultados positivos ao final do processo. Acredito que a grande preocupação com a perspectiva de cenários negativos nos negócios, seja a dificuldade na identificação das tarefas críticas e o tempo necessário para execução das mesmas, sem que as metas sejam prejudicadas. As empresas costumam demorar muito tempo para iniciar a prospecção detalhada de suas necessidades reais depois de desenhado o mapa estratégico, quer sejam de habilidades internas ou de apoio externo. Esta avaliação de vetores estratégicos e alinhamento interno para a preparação, aparelhamento e possíveis contratações, podem ser longas quando a cúpula ainda está esperando mais indicadores para a tomada de decisão. Ao decorrer do tempo, a “temperatura e nuances” do cenário podem variar de interpretação e atrasar com graves consequências o que poderia ser uma implantação de medidas preventivas sem transtornos e resistências. Estes problemas internos acabam por gerar traumas muitas vezes difíceis de serem superados e que tendem a desgastar novas iniciativas por vir. Podemos entender que estas arestas fazem parte dos processos de gestão das empresas, mas se assim o fizermos, também devemos considerar que deveríamos evoluir sobre as sistemáticas negativas e persistentemente enraizadas, infelizmente. Seja como for, por mais dispendioso que seja o tempo dedicado, os gestores de riscos devem detalhar documentalmente toda a evolução desta dinâmica, para que não se percam os históricos decorrentes, visando demonstrar, corrigir e evoluir as soluções para todos os óbices do caminho. Não podemos perder o foco das metas e todos os recursos de gestão de projetos devem ser aproveitados para aprimorar os cronogramas de trabalhos propostos e enriquecer com detalhes os registros das várias fases de execução. Estas práticas de gestão apoiarão de forma robusta todas as justificativas de mudanças ou de manutenção das estratégias adotadas por parte das áreas afetadas e do próprio gestor de risco. Ao final do exercício fiscal e depuração das metas, todos os envolvidos nos projetos ficarão mais confortáveis com as possíveis críticas se todos os aspectos estiverem plenamente justificados. Cada empresa possui seu próprio método e sistema de gestão, contudo, não é incomum que determinados modelos excluam posições e recomendações dos especialistas das áreas envolvidas quando mudanças de curso são exigidas por outras questões que não as técnicas. E assim sendo, sempre será prudente que cada profissional faça seu próprio registro de trabalho para que se evite algum desgaste pessoal no futuro. Ainda faço uma última recomendação. Não exponha desnecessariamente e nem se vanglorie de seus registros, pois pode parecer que você está demasiadamente preocupado em se proteger. Pode dar a impressão errada e não desejamos isto. Muita segurança e prudência em 2015.

Read Full Post »

Muitas áreas das empresas tem utilizado o termo “inteligência” para diversas aplicações distintas, e nem sempre trazem o mesmo consenso sobre o que estão fazendo de fato. Todos estão tentando melhorar os resultados dos negócios através da melhoria de processos e do entendimento de novas e melhores práticas, muitas vezes evoluindo e conseguindo apoio da empresa neste caminho. Na área de segurança, talvez uma das maiores conquistas tenha sido a integração de seus recursos em sistemas, mas não podemos menosprezar os métodos mais convencionais apesar das falhas individuais que costumam acontecer, pois são vitais para as operações diárias de segurança. E sendo assim, sempre buscaremos a máxima eficácia dos recursos disponíveis. Neste sentido, o conhecimento de certos dados que tem impacto imediato na defesa e reação da segurança é fundamental nestas ações, que são conhecidas como “inteligência” quando atendem estas necessidades em tempo real. Mas atenção, não podemos confundir estas ações de segurança com “aquisição de inteligência”, que ocorre em tempo real por órgãos de inteligência com grandes recursos tecnológicos. Na verdade o aumento da eficácia dos sistemas, que sabemos ser quase sempre sobrecarregados, ocorre pela correta identificação das ameaças e o entendimento de suas consequências. A esta necessidade chamamos de Inteligência de Ameaças, que são conhecimentos e ações específicas para tornarem mais seguros os dispositivos empregados na proteção dos ativos da empresa. As equipes de segurança são preparadas para proteger a empresa em certo grau, tendo em mente ações comuns de criminosos, mesmo que estes criminosos não tenham nada de comum, mas desconhecendo completamente a profundidade de danos se certas ameaças se concretizarem contra o negócio em questão. Fica muito difícil exigir do pessoal envolvido na segurança a correta atuação em quaisquer circunstâncias se suas avaliações de perigo obrigatoriamente são realizadas de forma superficial e/ou subjetiva por falta de informação concreta. Todas as medidas de controles automatizados ou não, visam gerar este tipo de conhecimento, mas infelizmente, na maioria dos casos não ocorre em tempo real ou geram o nível de criticidade correto na avaliação de danos, pois também por sua vez, não entendem o evento final pela cascata de crises que podem gerar. Costumo indicar “Matriz de Apoio à Decisão” para melhorar a assertividade na tomada de decisões e diminuir ao máximo os erros por “achismos” e empurra-empurra de quem quer que seja. Contudo, não é possível prevermos todas as possibilidades e variações nestas matrizes, o que nos induz ao preparo dos envolvidos nas operações de segurança e do alinhamento destes com o pessoal de apoio. Quando uma avaliação de riscos é realizada em uma empresa, muitas ameaças são detectadas e algumas soluções são apontadas, exigindo tempo, dedicação e recursos financeiros para que sejam implantadas. Contudo, independentemente dos prazos serem adequados ou muito longos para as implantações, quase sempre as estratégias que delinearam as soluções escolhidas acabam sendo atingidas por erros de posturas administrativas, que terminam por enfraquecer todo o sistema de segurança em razão de suas distorções. Se há posturas corretas, um amadurecimento favorável do sistema como um todo ocorrerá, gerando conhecimento e preparo para que a Inteligência de Ameaças tome forma. A inteligência adquirida deverá ser transferida para ações reais, que pode ser usada tanto para lançar uma estratégica preventiva ou preparar uma ação defensiva. Isto se dá pela coleta e análise de dados referentes às ocorrências de seguranças, falhas de sistemas de controle, erros operacionais repetitivos, conhecimento de ameaças diretas e indiretas no ambiente interno e externo, acompanhamento do clima moral interno, identificação de fragilidades e conexões negativas oriundas da situação como um todo. A proximidade entre as lideranças do negócio e o gestor de segurança empresarial torna a Inteligência de Ameaças possível e atuante de forma realística, oferecendo uma ferramenta confiável de gestão de risco e diminuição de perdas. A Inteligência de Ameaças não pode ser contaminada e enfraquecida pelo descrédito que possa ocorrer pelos céticos quando uma ameaça é concretizada em qualquer nível que seja. Ao contrário, deve servir de aprendizado e fortalecer o propósito de melhoria constante.

Read Full Post »

Older Posts »