Transferindo o risco para longe da TI

As reas de tecnologia da informao normalmente assumem riscos desnecessrios pela ausncia de instrumentos para transferir ou compartilhar riscos com outras reas. O desconhecimento desses processos e do domnio do conceito de risco aumenta o custo operacional e diminue a qualidade dos servios, pois a rea necessita administrar um estoque sempre crescente de problemas potenciais. Risco o potencial de eventos ou tendncias continuadas causarem perdas ou flutuaes em receitas futuras. tudo aquilo que pode gerar perdas para a organizao tais como riscos de falhas em infra-estruturas, problemas em aplicaes, atrasos e quebras do oramento de projetos, etc. Para minimizar o possvel impacto financeiro, os manuais de gesto risco prescrevem metodologias de mitigao de risco. Mas a sua minimizao ou eliminao muitas vezes no tecnicamente ou financeiramente vivel, e como os manuais de sobrevivncia ensinam, se no possvel resolver um problema, transfira para o vizinho. A transferncia formal do risco ocorre quando uma parte contrata um terceiro para assumir ou dividir o risco. Um bom exemplo disso ocorre na terceirizao de servios de desenvolvimento de software ou na gesto de infra-estrutura. No outsourcing, uma empresa especializada capaz de lidar mais facilmente com o risco pois possui uma maior escala e conhecimento que a contratante. Todavia, nem sempre possvel transferir o risco formalmente pois nem sempre existe um contrato entre as duas partes. Este o caso de consultas a especialistas dentro da organizao. A apreciao por parte de um terceiro divide o risco tcnico de um projeto, de uma soluo, e tambm o minimiza, sendo esta ltima uma desculpa para quem deseja apenas a diviso do risco sem custos. Em muitos casos, o risco existe na tomada de desciso diria e so to sutis quanto a compra de um novo equipamento ou software fora de um padro. O alinhamento prvio com o seu par, chefe ou colega divide o risco com a estrutura da empresa. O risco deixa de ser apenas do profissional, da rea, do departamento, passa a ser de todos envolvidos no processo de comunicao. Da mesma forma que faz sentido a transferncia do risco para fora, lgico rejeit-lo ou criar dificuldades quando vem de fora. Muitas vezes as reas de negcio aumentam o risco das reas de tecnologia atravs de solues adquiridas do mercado ou pelo fechamento de contratos com condies operacionais mal acordadas. Certa vez hospedei um servidor com uma soluo tipo caixa-preta adquirida durante uma negociao com um cliente pela rea comercial. Como no havia manuteno na aplicao, houve vrios problemas de disponibilidade aps a implementao do sistema. E naturalmente ningum se lembrava de quem houvera comprado e forado a implementao "guela abaixo" de TI. O produto foi desativado depois de uma srie de tentativas sem sucesso de melhorar a arquitetura da soluo e literalmente foi redesenhado. A rea de negcio no estava ciente dos riscos operacionais ou no se importava com eles, pois aps o fechamento do negcio, "o risco passou a ser da rea de TI e no da rea comercial". Na poca, lamentei de no ter um ferramenta alm do surrado e-mail para vincular a rea comercial soluo e desejava algum instrumento que permitisse operar o produto mas ao mesmo tempo mantivesse o risco da soluo com a rea de

negcio. Memos de riscos, cartas de compliance ou cartas de riscos so instrumentos que formalizam e declaram para a organizao o aumento do risco operacional devido ao descumprimento de um padro ou norma. Se uma rea de produtos desejar implementar uma soluo que aumente em demasiado o risco, esta dever assumir o risco e a rea de TI deve emitir um documento contra a rea proponente que deve assinar e devolver a TI. Outra forma de no aceitar prontamente o risco levar-se em considerao na elaborao do SLA. Quanto maior o risco operacional, piores devem ser os nveis de servio vendidos por TI. Esta sem dvida uma forma mais sutil de comprar o risco. Na verdade, o Risco Operacional de toda a empresa. Produtos que no funcionam impactam a receita futura e so tambm riscos das reas de negcio. Assim a estratgia de transferir o risco parece ser um contra-senso pois o risco corporativo e no de uma rea, de um profissional. Mas TI que absorve o primeiro impacto e responde por qualquer problema, da mesma forma que o jurdico responde por um problema legal ou o RH por um passivo trabalhista. Por sua vez, as reas de negcio muitas vezes desconhecem os riscos tecnolgicos ou comportam-se como tal. Transferir formalmente o risco as obriga a uma reavaliao interna do projeto, da idia. E na eventualidade de um problema, as partes que "sabiam do risco" vo se voluntariar a resolv-lo pois so scias do empreendimento e de qualquer problema que venha a ocorrer