Certo banco estava no meio de uma transformação digital e as etapas iniciais estavam indo bem. O banco havia transformado com sucesso suas equipes de desenvolvimento em squads ágeis, e os líderes ficaram entusiasmados com os ganhos de velocidade e produtividade resultantes. Entretanto, poucas semanas depois, a liderança descobriu que os desenvolvedores de software haviam adotado um atalho de programação que deixara os nomes e as senhas dos clientes vulneráveis a ataques de hackers. A equipe de transformação corrigiu o problema, mas em seguida o banco sofreu outro tipo de ataque, que comprometeu a segurança dos dados dos clientes. Alguns aplicativos vinham operando havia semanas antes que os erros fossem detectados, pois nenhum sistema de monitoramento fora instalado para identificar problemas de segurança antes da implantação. Isso significou que o banco não sabia quem teria tido acesso aos dados confidenciais dos clientes ou mesmo quantos e quais dados haviam vazado. O problema era tão grave que colocou toda a transformação em risco. O CEO ameaçou pôr fim à iniciativa e forçar as equipes a retornarem ao desenvolvimento em cascata se não conseguissem tornar mais seguro o desenvolvimento de aplicativos.
A experiência desse banco não é rara. Empresas em todos os setores estão iniciando transformações digitais e analíticas para digitalizar serviços e processos, aumentar a eficiência por meio de metodologias ágeis e da automação, expandir o envolvimento do cliente e tirar proveito de novas ferramentas analíticas. No entanto, a maioria dessas transformações é realizada sem que haja uma maneira formal de capturar e gerenciar os riscos envolvidos. Muitos projetos incorporam controles mínimos aos novos processos, seus planos de mudança são insuficientes (ou inexistentes) e, muitas vezes, as equipes de segurança, privacidade, risco e jurídicas sequer são consultadas na fase de desenho dos aplicativos. Como resultado, as empresas acabam criando riscos não financeiros ocultos nas áreas de cibersegurança, dívida técnica [isto é, retrabalho causado por más decisões de curto prazo], advanced analytics e resiliência operacional, entre outras. A pandemia de COVID-19 e as medidas adotadas para controlá-la apenas agravaram o problema, forçando as organizações a inovar rapidamente para dar conta de inúmeros requisitos digitais, como os de trabalhar em casa.
A McKinsey entrevistou recentemente 100 líderes de transformação digital e analítica de empresas de todos os setores e partes do mundo para entender melhor a amplitude desse problema1. Embora os benefícios da digitalização e de advanced analytics sejam bem documentados, os riscos envolvidos muitas vezes permanecem ocultos. Nossa pesquisa e as entrevistas subsequentes levaram a algumas importantes constatações:
- Organizações em todos os setores estão hoje empreendendo transformações digitais e analíticas em larga escala.
- A gestão de riscos não tem conseguido acompanhar a proliferação de transformações digitais e analíticas – existe uma lacuna que só poderá ser eliminada por meio de inovações em escala na gestão de riscos.
- A pandemia de COVID-19 exacerbou a disparidade entre as demandas da gestão dos riscos e as capacidades existentes para tal.
- A maioria das empresas não sabe ao certo como gerenciar os riscos digitais, mas as organizações que saíram à frente já definiram responsabilidades organizacionais e estabeleceram uma gama de práticas e ferramentas eficazes.
A McKinsey desenvolveu as abordagens e competências necessárias para enfrentar os desafios implícitos nessas constatações. Elas incluem um novo modelo em quatro etapas para definir, operacionalizar, incorporar e reforçar soluções; suporte para metodologias que aceleram a eficácia e a eficiência da gestão de riscos pelas equipes da linha de frente; e uma ferramenta na nuvem para avaliação diagnóstica e monitoramento. Essa ferramenta foi desenhada para ajudar as empresas a identificar, avaliar, mitigar e medir melhor os riscos não financeiros gerados e exacerbados pelas transformações digitais e analíticas, tanto no nível da empresa como no dos produtos.
Felizmente, para utilizar essas abordagens, a maioria das empresas não terá de começar do zero. Elas podem se valer das infraestruturas existentes de gestão de riscos empresariais (ERM). A ERM é normalmente utilizada para riscos financeiros e regulatórios, mas pode ser modificada de modo a tornar-se mais ágil e adaptável para atender às demandas de gestão de riscos das transformações digitais e analíticas.
As vantagens das transformações digitais e analíticas são reais, mas os riscos também o são (Quadro 1).
Se compreenderem os insights de nossa pesquisa e adotarem a abordagem descrita aqui, as empresas poderão obter o pleno valor das transformações digitais e analíticas, e ao mesmo tempo proteger suas organizações e clientes. Com isso, as empresas poderão inspirar relações mais produtivas entre os grupos e assegurar uma vantagem competitiva sustentável para si, preservando o impacto das atividades de transformação no longo prazo.
Um vasto conjunto de riscos novos (e dispendiosos)
A maioria das empresas parece não fazer muita coisa a respeito dos riscos não financeiros gerados e exacerbados pelas transformações digitais e analíticas. O alcance desses riscos é amplo. As transformações digitais e analíticas costumam ser implantadas na organização inteira, envolvendo muitos departamentos e terceiros. Tanto os aspectos humanos (p.ex., habilidades, mentalidades e maneiras de trabalhar) como os materiais (p.ex., tecnologia, infraestrutura e fluxo de dados) são afetados e alterados de uma só vez durante uma transformação.
Alguns riscos tradicionais são mais comuns à maioria dos projetos – entre eles os que envolvem estouro de prazo e/ou orçamento, talentos (funcionários e terceiros, incluindo empreiteiros, fornecedores e parceiros), desempenho de TI e questões regulatórias e de compliance. Além deles, porém, as transformações digitais e analíticas introduzem novos riscos cibernéticos, riscos envolvendo dados e os riscos dos aplicativos de inteligência artificial. Iniciativas digitais e analíticas exigem que dados mais detalhados sejam coletados de uma gama maior de fontes. Esses dados são então utilizados em diferentes partes da organização para gerar insights. A movimentação de dados cria riscos inerentes à disponibilidade, localização, acesso e privacidade desses dados. Entre as fontes de riscos para a resiliência operacional estão os novos serviços de TI e a migração para a nuvem. Os modelos analíticos preditivos podem gerar distorções ou se afastar do foco original da iniciativa, expondo a organização a responsabilidades legais ou prejudicando sua reputação. Se não forem tratados de forma adequada, esses riscos podem levar a erros dispendiosos, penalidades regulatórias e reações negativas do consumidor.
As interrupções nos negócios provocadas pela crise da COVID-19 ampliaram ainda mais essas camadas de risco adicionais. Em certo sentido, a pandemia desencadeou a maior onda de transformações digitais e analíticas da história, comprimindo transformações que teriam levado anos em alguns meses (ou mesmo semanas) de agitação extrema – muitas vezes com pouco planejamento prévio. É verdade que a maioria das organizações já tinha algumas políticas de segurança e programas de treinamento em vigor antes da epidemia. Poucas, entretanto, haviam instituído políticas detalhadas ou desenvolvido treinamentos para configurar com segurança os espaços de trabalho remotos, ou haviam refletido sobre outros tantos riscos associados à rápida aquisição e implantação de novas ferramentas.
Uma empresa de petróleo e gás, por exemplo, precisou dividir sua rede privada virtual a fim de expandir a largura de banda e assegurar que todos os funcionários conseguissem acessar a rede corporativa de suas casas. Isso provocou lentidão na aplicação de patches aos laptops dos funcionários, expondo a empresa a vulnerabilidades comumente exploradas por hackers.
Uma empresa de telecomunicações permitiu que o pessoal de seu call center trabalhasse em casa, mas deixou políticas específicas a cargo dos gerentes de equipe. O resultado foi que 30% dos funcionários do call center foram autorizados a utilizar dispositivos pessoais não protegidos para se conectar remotamente, expondo a empresa aos chamados ataques BYOD (“traga seu próprio dispositivo”). Do mesmo modo, certo banco descobriu que os funcionários estavam imprimindo documentos em suas impressoras pessoais e, portanto, fazendo com que dados corporativos fossem transmitidos por roteadores domésticos desprotegidos, que são notoriamente vulneráveis a hackers. Outra empresa expressou temor que as “casas inteligentes” dos funcionários tivessem dispositivos de escuta capazes gravar discussões durante chamadas de vídeo nos home offices dos executivos.
A inteligência artificial também está fadada a redefinir o modo como as empresas trabalham e já deslanchou o poder dos dados em uma série de funções cruciais. Todavia, os riscos de compliance e de reputação decorrentes da inteligência artificial constituem um desafio para as funções tradicionais de gestão de riscos.
Essas várias preocupações surgiram das mudanças rápidas que ocorrem no modo como trabalhamos hoje. As capacidades atuais da gestão de riscos são insuficientes para lidar com elas, pois os riscos são novos e estão crescendo exponencialmente. Uma nova abordagem de gestão de riscos se faz necessária.
Retrato da gestão dos riscos da transformação digital e analítica
Os resultados da Pesquisa Global da McKinsey tornaram possível uma visão holística dos riscos que as transformações digitais e analíticas enfrentam e de como as empresas estão gerenciando-os. Várias questões importantes emergiram das experiências dos entrevistados com tais transformações.
As transformações estão se tornando corriqueiras em todos os setores
Os participantes da pesquisa realizaram, em média, seis transformações nos últimos três anos, com ampla variedade de objetivos. Mais de 80% implementaram pelo menos uma transformação de ponta a ponta da jornada do cliente e 70% desenvolveram novas propostas e ecossistemas digitais. As organizações também estão mudando seus modelos operacionais a fim de dar suporte às mudanças. Cerca de 80% das empresas almejam ter até 30 equipes trabalhando de forma ágil nos próximos três anos; as 20% restantes pretendem que mais de 30 equipes adotem o trabalho ágil. Isso significa, é claro, que 100% das 100 empresas que estudamos pretendem adotar ou ampliar o trabalho ágil nos próximos anos. Se isso for feito corretamente, será uma ótima notícia para os gerentes de riscos, dadas as estruturas inerentes de mitigação de riscos e a cultura de identificação e remediação precoces de defeitos que são intrínsecas às equipes ágeis bem implementadas.
A gestão de riscos não está conseguindo acompanhar o ritmo das mudanças.
A capacidade de gerenciar riscos das empresas não está conseguindo acompanhar os esforços de transformação. As transformações digitais e analíticas das organizações têm sido muito mais frequentes do que suas iniciativas para atualizar as estruturas que lidam com riscos. Com isso, essas estruturas não conseguem incluir os riscos novos e exacerbados. Complicando ainda mais as coisas, o departamento jurídico e os profissionais que lidam com riscos tendem a operar em silos separados uns dos outros. Ou seja, a infraestrutura de riscos não está acompanhando o ritmo das inovações. No geral, a maioria dos entrevistados avalia que a maturidade de gestão de riscos de suas empresas é apenas média, embora mais de 75% não tenham realizado uma avaliação formal e holística dos riscos em metade de suas transformações digitais e analíticas. Surpreendentemente, 14% nunca avaliaram formalmente os riscos dessas iniciativas – um extraordinário descuido para empresas bem estabelecidas.
As empresas não sabem ao certo como gerenciar os riscos digitais.
Ao contrário de como agiram no caso da gestão de riscos financeiros (ou seja, instituindo vários tipos de funções e processos (p.ex., gestão de riscos-modelo [isto é, utilizando modelos quantitativos]), as empresas em nossa pesquisa ainda não têm funções e processos estabelecidos, ou mesmo um entendimento consolidado das causas dos riscos digitais e analíticos. O maior desafio que os líderes dizem enfrentar na gestão de riscos digitais e analíticos é simplesmente identificá-los. É um desafio que confirma a máxima: “Não se pode gerenciar o que não se mede”.
Vale notar que, no caso de transformações digitais e analíticas, os resultados mostram praticamente nenhuma relação entre os níveis de gastos com TI e a maturidade geral da gestão de riscos. Em termos mais simples, não é aumentando o orçamento que os desafios serão resolvidos (Quadro 2).
Papéis e responsabilidades não são suficientemente claros.
Não há muito acordo entre os entrevistados sobre quem deve ser responsável por enfrentar os riscos das transformações digitais e analíticas. Para quase todos eles, é o diretor de informações ou o diretor de dados que lidera as atividades da transformação digital e analítica; todavia, não há concordância quanto a quem deve liderar a identificação e mitigação dos riscos associados. Para mais de 40% dos entrevistados, a tarefa recai sobre os próprios líderes da transformação digital e analítica. Infelizmente, esses indivíduos muitas vezes não têm conhecimento detalhado dos fatores intrínsecos de risco e são incentivados “levar a cabo a transformação” – logo. Mesmo para os indivíduos efetivamente focados na gestão de riscos, as responsabilidades são percebidas como secundárias e menos prioritárias do que a conclusão do projeto.
Empresas líderes adotam uma série de práticas e ferramentas eficazes para gerenciar riscos.
Em nossa pesquisa, as empresas com mais maturidade na gestão de riscos são as que se sentem mais à vontade gerenciando as transformações digitais e analíticas. Essas empresas são mais propensas a centralizar ou automatizar suas funções de gerenciamento de riscos, e utilizam uma variedade de práticas e ferramentas para identificar e reduzir os riscos de suas transformações digitais e analíticas (Quadro 3).
Aqui estão as abordagens mais relevantes citadas pelos líderes:
- Reengenharia dos processos e recapacitação de funcionários. Respectivamente, 74% e 69% dos entrevistados em todos os setores e regiões citam essas práticas, o que as torna as mais populares para gerenciar a transformação digital e analítica. Essas práticas são especialmente importantes para maneiras ágeis de trabalhar. Quando bem implementadas, podem ser essenciais para eliminar os riscos da tecnologia por meio de metodologias ágeis. A abordagem ágil permite que as empresas automatizem, criem novas organizações ou implantem novas ferramentas com menos esforço. É uma abordagem em que a identificação e correção precoces de defeitos são inerentes à sua cultura..
- Avaliações formais de riscos. As empresas não efetuam essas avaliações de modo tão amplo quanto deveriam; no entanto, aquelas que as realizam relatam aumento de 75% na sua compreensão dos riscos das transformações digitais e analíticas. Há também correlação entre a avaliação formal dos riscos e um maior grau de tranquilidade (+47%) e de maturidade (+33%) na gestão desses riscos.
- Ciclos de feedback automatizados. Empresas que adotam ciclos automatizados têm maturidade 30% acima da média no combate a riscos.
- Centralização. As empresas com a melhor gestão de riscos são mais propensas a monitorar os riscos digitais e analíticos por meio de uma única fonte centralizada (em oposição a várias fontes).
Pontos críticos na gestão dos riscos da transformação digital e analítica
Os participantes da pesquisa também descrevem os principais pontos críticos na identificação e mitigação dos riscos.
Entender os riscos
A principal preocupação, citada por 48% dos entrevistados, é simplesmente entender os riscos associados às transformações digitais e analíticas (Quadro 4). Para todos os efeitos, muitos líderes de transformação estão voando às cegas: a responsabilidade pelos riscos não é clara; a tecnologia complexa e em constante mudança, e os ambientes regulatórios não são bem decifrados; e os planos de desenho e teste não consideram os riscos desde o início do processo. Ao contrário dos riscos financeiros, os riscos não financeiros são difíceis de quantificar e não existe um padrão específico para gerenciá-los.
Gerenciando mudanças em velocidade
As transformações digitais e analíticas costumam ser entregues rapidamente graças às metodologias ágeis, entre outras. Todavia, se as práticas tradicionais de gestão de riscos não forem também transformadas junto com as novas formas de trabalhar, poderão provocar atrasos e ameaçar cronogramas ambiciosos. Em certos casos, até mesmo a adoção de novas políticas pode criar problemas devido a interdependências imprevistas. Por exemplo, um distribuidor norte-americano lançou uma transformação analítica e, durante a fase de implementação, também instituiu uma nova política de segurança das informações. De uma hora para outra, todo o trabalho sendo realizado na transformação ficou sujeito à nova política – o que significou que os dados tinham de ser registrados diariamente, mantidos na nuvem e removidos após 30 dias. Por causa dessas mudanças nos processos de tratamento de dados, a transformação sofreu atraso de quatro semanas, provocando prejuízo de mais de $20 milhões – um risco financeiro diretamente ligado à nova maneira digital de trabalhar. A gestão de riscos deve ser desenhada, implementada e apoiada para que consiga acompanhar o ritmo das equipes da transformação digital e analítica, e evitar estes e outros riscos semelhantes.
Acessando recursos
Quase um terço dos entrevistados cita a falta de patrocínio ou adesão dos executivos ou outros stakeholders na priorização das atividades de identificar e gerenciar riscos. A geração de receitas de curto prazo tem prioridade sobre a gestão dos riscos inerentes à transformação. A gestão dos riscos, evidentemente, é fundamental para preservar o valor de longo prazo. Mais da metade dos entrevistados enfrenta limitações de recursos quando busca melhorar a gestão dos riscos com os talentos e capacidades necessários. As empresas também têm dificuldades para instituir as ferramentas e processos certos. Por exemplo, algumas organizações ainda gerenciam manualmente os riscos da transformação digital e analítica utilizando uma variedade de planilhas. Mesmo aquelas que adotaram ferramentas mais avançadas não as utilizam de modo consistente na organização como um todo.
Superando limitações operacionais
Nas transformações digitais e analíticas, a organização como um todo precisa ser treinada a trabalhar de novas maneiras (p.ex., adotando a abordagem ágil) e manter-se atenta à mitigação de novos riscos. Um objetivo comum a todas as transformações digitais e analíticas é atender melhor os usuários finais, que geralmente são o elo mais fraco na cadeia de gestão de riscos. A empresa que não está atenta aos riscos fica suscetível aos riscos significativos associados às novas ferramentas e processos digitais e analíticos. Os riscos podem ser provocados até mesmo por erros dos usuários na linha de frente, se, por exemplo, os buckets de armazenamento forem mal configurados ou os direitos de acesso forem concedidos indevidamente.
A infraestrutura de TI também pode ser uma fonte de restrições operacionais. As transformações digitais e analíticas implantam novos sistemas e desativam sistemas antigos, mas às vezes a organização carece de treinamento e experiência adequados para gerenciar os patches e vulnerabilidades dos novos sistemas. Além disso, os sistemas legados, se não forem desativados corretamente, podem deixar vulnerabilidades que agentes mal-intencionados podem vir a explorar posteriormente. Por exemplo, certa empresa implementou uma peça de hardware em um data center para fins de pesquisa, mas não incluiu essa peça nos ciclos regulares de patching da produção. Quando uma vulnerabilidade desse dispositivo foi explorada, o malware espalhou-se por todo o data center, provocando perda de dados e tirando o sistema do ar. Migrações para a nuvem podem atenuar ou até eliminar muitos riscos desse tipo, mas apenas se a migração for feita corretamente, tendo a segurança como um dos valores máximos.
Um modelo para transformações digitais e analíticas
Os riscos que surgem em uma transformação digital e analítica podem ser diferentes daqueles que as empresas normalmente enfrentam – ou podem ser riscos tradicionais que ocorrem com frequência acima do normal e com impacto potencialmente mais significativo. Felizmente, a maioria das empresas já possui um alicerce a partir do qual enfrentar esses riscos: sua infraestrutura existente de gestão de riscos corporativos, já utilizada para riscos financeiros e regulatórios. A gestão de riscos corporativos geralmente consiste em várias atividades comuns, incluindo:
- definir uma estrutura madura para enfrentar esse tipo de riscos
- desenvolver uma governança de riscos eficaz, com taxonomia, apetite por riscos, sistema de relatórios e indicadores-chave de risco
- construir uma organização e um modelo operacional para lidar com riscos (incluindo as três linhas de defesa, quando pertinente) e reunir os recursos e talentos necessários
- instituir processos de gestão de riscos
- criar uma cultura atenta a riscos
Essas atividades têm importância crucial nas transformações digitais e analíticas. Todavia, é preciso que sejam transformadas lado a lado com as equipes digitais e analíticas. Isso porque a gestão de riscos deve acompanhar o cenário altamente volátil de riscos digitais se quiser continuar mitigando os riscos sem desacelerar os negócios. Nosso modelo torna mais fácil para as organizações fazerem isso. É composto por quatro etapas que definem, operacionalizam, incorporam e reforçam os elementos da transformação. O modelo promove uma abordagem dinâmica e ajuda a adaptar a infraestrutura existente de ERM para o fluxo crescente de informações e ações de mitigação de riscos. De acordo com esse modelo, as organizações desenham atividades de transformação e realizam as intervenções apropriadas. O modelo é atualizado à medida que as atividades vão modificando a forma de trabalhar, o apetite por riscos, a exposição ao risco e as necessidades de talentos (Quadro 5).
- Definir: Na primeira etapa, a organização aplica os elementos tecnológicos específicos da estrutura de gestão de riscos existente – que é utilizada para lidar com categorias tradicionais de riscos, como os financeiros e regulatórios – ao cenário da transformação. Organizações que não possuem uma estrutura de ERM devem começar por aí. O ideal é que criem essa estrutura a partir de um modelo capaz de lidar com os riscos digitais e analíticos específicos da transformação. O objetivo é articular os riscos e conceber soluções potenciais por meio de uma matriz de riscos relevante que explicite uma taxonomia clara, os responsáveis pelos riscos, os controles e recursos disponíveis, e uma estrutura de governança para a iniciativa.
- Operacionalizar: Na segunda etapa, os líderes da transformação trabalham com especialistas em riscos específicos ou com uma central de excelência em riscos para converter hipóteses de gestão de riscos em soluções. Ações específicas podem incluir a introdução de software e controles de dados, validação de modelos algorítmicos, implementação de patches para sistemas e infraestrutura, ensino de práticas de cibersegurança relevantes para tecnólogos de linha de frente, e validação da resiliência dos produtos por meio de testes de defeitos e de unidades. Como parte dessa etapa, as equipes também começam a gerar relatórios de riscos a partir de métricas claramente definidas (p.ex., indicadores-chave de risco e indicadores-chave de desempenho) que meçam com precisão a eficácia da mitigação dos riscos e a eficiência da gestão de riscos.
- Incorporar: Esta etapa foi desenhada para incorporar as lições da gestão de riscos – incluindo resultados de testes, avaliações de risco, relatórios de incidentes e medição de desempenho – ao que já existe em termos de modelos operacionais de implementação de controle, processos, governança e, se necessário, desenho organizacional. Nesta etapa, novas iniciativas de eliminação de riscos são geradas a partir dessas lições. Os colegas da linha de frente na equipe de transformação e nas unidades sendo transformadas recebem treinamento completo em conscientização, identificação e mitigação de riscos.
- Reforçar: Nesta etapa final do ciclo, as equipes de transformação fortalecem e dimensionam as práticas de mitigação de riscos, consolidando essas práticas na gestão de talentos e na mudança da cultura. Elas também fornecem insights críticos, aprendizados e novos riscos às principais equipes de combate a riscos a fim de atualizar a infraestrutura de riscos conforme necessário, e encaminham os inputs e feedbacks de volta para a etapa “Definir”. Desse modo, a gestão e a mitigação dos riscos (e também a performance no enfrentamento de riscos) podem se manter emparelhadas com as atividades de transformação.
Benefícios do modelo e dos papéis de transformação
Esse modelo permite que as empresas gerenciem sistematicamente os riscos da transformação digital e analítica para que esta acompanhe o ritmo das inovações da organização. O modelo também incorpora lições da linha de frente para melhorar a matriz conceitual e ajusta os métodos de gestão de riscos ao longo da jornada de transformação. Ele se mescla com estruturas de trabalho ágil para aperfeiçoar a gestão de riscos, incentiva a colaboração e promove uma cultura atenta aos riscos mais aprimorada.
Graças a essa abordagem, as empresas têm percebido benefícios significativos na eficácia da mitigação dos riscos e na eficiência da gestão dos riscos. Embora ainda em seus estágios iniciais, a abordagem promete gerar mais benefícios para os gerentes de riscos e as equipes de transformação (Quadro 6).
Para darem suporte a esse modelo e colocarem em prática a abordagem que o modelo propõe, as empresas também precisarão definir os seguintes papéis e responsabilidades para os riscos da transformação digital e analítica:
- Líder da transformação digital e analítica. Esse líder é responsável por entregar as atividades da transformação digital e analítica.
- Responsável pelos riscos da transformação digital e analítica. Esse papel assume responsabilidade por todos os riscos da transformação.
- Equipes de trabalho da transformação. Esses grupos normalmente trabalham em squads ágeis, aos quais são designados recursos para gerenciar os riscos.
- Clientes do produto da transformação. São os usuários finais dos produtos, funcionalidades e serviços transformados. As mudanças feitas aqui podem afetar o apetite por riscos e a postura perante os riscos da transformação.
- Organizações parceiras no controle e gestão de riscos corporativos. Os líderes dos riscos da transformação trabalharão de perto com o grupo de gestão de riscos corporativos e com cada grupo de parceiros de controle para garantir que os riscos da transformação sejam contabilizados no nível corporativo e que os riscos corporativos sejam considerados no nível da transformação.
- Gerente dos riscos da transformação. Os gerentes de riscos são especializados nos riscos das mudanças e nos riscos decorrentes de transformações digitais e analíticas. Eles trabalham de perto com as equipes de transformação na linha de frente e contribuem para desenhar controles de risco desde as fases iniciais de planejamento da transformação.
- Patrocinadores da transformação. Os patrocinadores da transformação devem estar ativamente envolvidos durante todo o processo de mudança.
Na maioria dos casos, preencher esses papéis não exigirá a contratação de novos funcionários. As empresas constataram que os membros atuais de suas equipes estão prontos e ansiosos para assumir essas responsabilidades. Talvez precisem de algum treinamento para se tornarem plenamente eficazes, mas no geral a maioria dos membros das equipes já está motivada a aceitar esse treinamento, pois conhece os riscos que estão sendo gerados ou exacerbados pelas atividades de transformação.
Por fim, as empresas terão de aumentar o grau de conscientização dos riscos digitais e analíticos na organização – o que inclui conscientizar a equipe executiva e o conselho de administração. Do mesmo modo, devem incorporar devidamente a gestão de riscos digitais e analíticos a seus modelos formais de governança de riscos. (Veja coluna, “Retrato de uma transformação bem-sucedida”.).
No atual ambiente de negócios, as transformações digitais e analíticas são essenciais para o sucesso. Entretanto, se as transformações ocorrerem sem a abordagem correta de gestão de riscos, as empresas simplesmente estarão trocando um conjunto de problemas por outro, potencialmente maior. À medida que as capacidades digitais e analíticas se tornam mais difundidas, as empresas que extrairão o máximo valor de longo prazo de suas transformações digitais e analíticas serão aquelas que conseguirem atingir seus objetivos e, ao mesmo tempo, identificarem, entenderem e mitigarem sistematicamente os riscos associados.