Field notes

Como Conduzir uma Avaliação de Risco que Não Aborrecerá o Conselho

Se quer que o conselho se envolva de facto, e não apenas suporte os seus slides, é preciso transformar a avaliação de risco de um ritual de reporte numa conversa de decisão. Eis como.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy4 min de leitura
How to Run a Risk Assessment that Doesn't Bore the Board

(Porque os slides vermelho/amarelo/verde morreram em 2015.)

Sejamos honestos.A maioria das revisões de risco ao nível do conselho de administração soam assim:

"Aqui está a nossa matriz de risco. Canto superior direito: cibersegurança, cadeia de fornecimento e terceiros. Canto inferior esquerdo: tudo o resto."

Seguem-se acenos educados. O CFO verifica o e-mail. O CEO diz: "Parece bem."Reunião encerrada. Nada muda.

Isso não é gestão do risco. É teatro do risco.

Se quer que o conselho se interesse de verdade, e não apenas suporte os seus slides, tem de transformar a avaliação de risco de um ritual de reporte numa conversa de decisão.Eis como.

1. Comece pelo que o Conselho Realmente Considera Importante

Os executivos não se interessam pela metodologia de risco.Interessam-se pela exposição do negócio, pelo dinheiro e pelo momentum.

Por isso, deixe de começar com escalas de probabilidade/impacto.Comece com um slide que diga:

"Aqui estão as 5 situações que podem impedir-nos de cumprir os objetivos deste ano."

É tudo.Sem jargão, sem paleta de cores. Apenas contexto e consequência.

Se não ligar a sua avaliação aos objetivos estratégicos, está apenas a produzir diagramas vistosos.

2. Elimine o Heatmap, Conte a História

Conhece aquela matriz com 20 pontos coloridos?O conselho detesta-a. Não sabe o que significa cada ponto e não vai perguntar.

Em alternativa, conte histórias.

"No trimestre passado, ficámos a dois dias de falhar um SLA de cliente porque um único fornecedor falhou.""É por isso que a resiliência de fornecedores é agora o risco n.º 2, e eis o que estamos a fazer para o resolver."

As histórias tornam o risco tangível.Os heatmaps tornam-no abstrato.

Use cenários de risco, não tabelas, para transmitir a sua mensagem.O cérebro humano compreende narrativas, não eixos.

3. Quantifique, Mesmo que de Forma Aproximada

No momento em que acrescenta um número, a atenção dispara.

"Se este risco se materializar, perdemos ~€1,2M e 10 dias de produção."

Agora está a falar a língua do conselho.

Não precisa de simulações de Monte Carlo; basta intervalos plausíveis baseados no impacto, no custo ou no tempo.

Os conselhos não conseguem priorizar vermelho versus laranja,mas conseguem priorizar "perda de €1,2M versus atraso de €200K".

Traduza o risco em dinheiro, minutos ou manchetes de imprensa.

4. Transforme a "Avaliação" em "Opções"

Os conselhos não querem uma lista de problemas; querem decisões.

Para cada risco principal, apresente:

  1. O que é.
  2. Por que razão é relevante.
  3. Três opções de tratamento, com os respetivos trade-offs.

Exemplo:

"Para reduzir o risco de dependência de fornecedores, podemos:Diversificar fornecedores (custo: €300K/ano)Negociar SLAs mais robustos (custo: €0, entrega mais lenta)Aceitar o risco (exposição: €1,2M)."

Neste momento já não está apenas a reportar o risco; está a viabilizar a governação.É para isso que o conselho é pago.

5. Mostre Movimento, Não Perfeição

Os conselhos não se interessam pelo grau de detalhe do seu registo.Interessam-se pelo progresso.

Se trimestre após trimestre o seu ranking de risco parece idêntico, perdeu credibilidade.

Mostre tendências:

  • "3 riscos encerrados neste trimestre."
  • "2 novos riscos identificados."
  • "Exposição residual reduzida em 15%."

O momentum supera a perfeição.Mesmo um progresso incremental conta uma história de controlo.

6. Use Visuais com Propósito

Chega de semáforos.Em alternativa:

  • Um slide por risco principal.
  • Título: o cenário em linguagem simples ("Interrupção grave causada por um único fornecedor cloud").
  • Subtítulo: exposição quantificada.
  • Um gráfico: tendência ao longo do tempo.
  • Uma caixa: decisões tomadas ou pendentes.

Se o seu deck de risco parece um PowerPoint dos anos 90, perdeu antes de começar.

Faça-o parecer um dashboard de negócio, não um relatório de conformidade.

7. Inclua uma Vitória

Nunca entre numa sessão do conselho apenas com más notícias.Destaque um caso de sucesso: um risco mitigado, uma resposta de controlo mais rápida, um teste que funcionou.

Os membros do conselho também são humanos; recordam melhor as vitórias do que os alertas.Demonstre que a gestão do risco gera valor, não apenas burocracia.

8. Guarde a Metodologia, Dispense a Aula

Ninguém no conselho quer uma explicação de 10 minutos sobre ISO 31000 ou FAIR.Mantenha isso nos slides de backup, claro, mas não comece por aí.

Comece pelo impacto, termine nas decisões.Mantenha os frameworks invisíveis, como a canalização.Devem suportar a história, não roubar o protagonismo.

9. Corrija o Follow-Up

É aqui que 90% das sessões de risco falham: ninguém regista o que o conselho decidiu.

Três meses depois, está de volta com o mesmo slide.

Corrija:

  • Registe cada decisão (aceitar / mitigar / transferir).
  • Atribua um responsável.
  • Acompanhe o progresso no relatório seguinte.

Os conselhos não precisam de mais reuniões; precisam de conclusões.

A Conclusão

Uma avaliação de risco que entedia o conselho é uma oportunidade desperdiçada.Tem a atenção deles durante 20 minutos; aproveite-os.

O seu trabalho não é mostrar uma matriz.O seu trabalho é fazer a organização ver-se com clareza e agir em conformidade.

Quando deixar de apresentar o risco como burocracia e começar a apresentá-lo como estratégia, as pessoas deixam de tolerar a sua sessão e passam a depender dela.

Transforme o Risco numa Linguagem Estratégica

É isso que ensinamos nas formações ISO 31000 Lead Risk Manager:como tornar o risco visível, mensurável e significativo ao nível da liderança.

👉 Solicite o seu orçamento e junte-se à próxima turma

Porque o risco não é aborrecido, a menos que o torne assim.

Quer receber a próxima nota de campo na sua caixa de entrada?

A newsletter The GRC Brief. Cinco ligações e um breve comentário, todas as segundas-feiras às 8h CET. Leitura de três minutos.