Socorro, reduziram meu orçamento!

Por Gustavo Dietz, CPP

Imagine um mundo fictício em que é hora de planejar o orçamento do próximo ano e você recebe a notícia de que terá que apertar o cinto e cortar custos. Se identificou com isso? Tenho absoluta certeza de que todos nós já passamos (ou passaremos) por isso.

Sempre que há uma discussão sobre corte de custos, estamos na mira da área financeira e temos que aprender a lidar com essa situação. Isso acontece com todas as áreas que, em teoria, não contribuem diretamente para o resultado financeiro da companhia. Sendo um setor que muitas vezes é visto essencialmente como CUSTO, não poderia ser diferente com a área de Segurança, mesmo que já estejamos trabalhando de maneira enxuta.

Não acredito que seja possível fazer “mais com menos”. Esta é apenas mais um daqueles “chavões” corporativos que não fazem o menor sentido no mundo real, porém é possível sim fazer mais de maneira diferente!

Neste artigo vamos abordar algumas opções para ajudá-lo a endereçar as pressões financeiras da sua organização, de maneira a não ultrapassar os níveis de tolerância ao risco impostos pela sua liderança.

Defina a tolerância aos riscos

Tudo começa no total entendimento dos níveis de tolerância aos riscos de sua organização.

Quando recebemos a tarefa de reduzir custos, outras áreas da companhia muito provavelmente estão na mesma situação. Então, o primeiro passo é entender tudo o que está sendo reduzido e que não está sob nossa responsabilidade. Alguma operação que atualmente é protegida será eliminada ou terceirizada? Isso altera o cenário de risco originalmente analisado?

Estamos falando de qualquer operação, atividade ou configuração que altere o cenário de risco, e consequentemente a necessidade de proteção. Aquela operação logística que, por definição da empresa, será terceirizada, ou a mudança do escritório central para um novo ambiente de co-working.

Seja qual for a mudança, é importante perceber que não é o seu risco que aumentará ou reduzirá em nenhum destes cenários. Tanto o orçamento quanto o risco pertencem à toda a organização e é a missão e os objetivos da companhia que estão em risco nesta conversa.

Então, antes de ativar o modo defensivo nas conversas sobre o orçamento de segurança, é muito importante que você entenda o cenário e estabeleça acordos com os executivos sobre os níveis de risco aceitos pela sua organização. Você estará pronto para esta conversa tão logo tenha bastante claro qual o apetite de risco da sua empresa. Quais os incidentes de segurança inaceitáveis pelas áreas de negócios e quais aqueles toleráveis, e em que níveis são toleráveis. Isso te dará o material necessário para pensar no plano de mitigação considerando as prioridades da sua companhia e você terá as informações iniciais para a conversa sobre o orçamento necessário para custear estas operações.

Evite ser pego de surpresa com o “corte de orçamento”

Um pedido de corte de orçamento em 20% pode surpreender qualquer líder. O cérebro humano está programado para reagir a surpresas e nossa resposta instintiva é a de negar a possibilidade.

A primeira pergunta que vem à mente é como fazer para operar com 20% menos recursos, e com isso entramos no modo improdutivo de tentar encontrar uma saída para evitar o corte de orçamento a qualquer custo.

E se invertêssemos o jogo, e ao invés de reagir negativamente ao pedido de corte no orçamento, fizéssemos a nossa lição de casa e encontrássemos eficiências de maneira proativa? E se ao invés do automático “não”, você começasse a dizer “sim”?

Uma alternativa possível ao ser desafiado a cortar o orçamento de segurança é adotar uma postura colaborativa e se programar para responder com um “tudo bem, deixe-me ver o que posso fazer e volto para você em algumas semanas”.

Desta maneira você não se compromete com a redução de 20%, mas se compromete a avaliar a situação e encontrar meios adequados para atender àquela demanda. O simples fato de se engajar no exercício e se comprometer a avaliar o que pode ser feito, te coloca em uma posição ativa, engajada e comprometida em identificar possíveis otimizações.

Volto a dizer que não devemos nos apegar ao orçamento da área de segurança. O recurso é da companhia e somos confiados uma parte destes recursos com o único propósito de gerenciar os riscos de segurança da empresa que ameaçam o atingimento dos objetivos de negócio.

Mais importante ainda é ter em mente que todo dinheiro gasto pela área de segurança deve ter um propósito claro e específico. Deve estar servindo para contribuir ativamente para a mitigação de algum risco específico de segurança de sua companhia, de maneira que a simples redução destas proteções sem considerar o impacto e avaliar as consequências, requer obrigatoriamente o realinhamento com os executivos de negócios que definiram os níveis de tolerância ao risco anteriormente.

Quem fica com o “risco de segurança” quando o orçamento de segurança é cortado?

O principal motivo pelo qual nem você e nem o financeiro estão em posição de entrar em um acordo sobre um possível corte de orçamento de segurança, é porque nenhum de vocês é o dono do risco.

O risco de segurança pertence ao gestor de negócios da área que será impactada caso as proteções ali instaladas sejam diminuídas ou deixem de existir. Você é o especialista em segurança em que eles confiam para gerenciar os riscos de segurança a que estão expostos, então é fundamental que você engaje com estes gestores de negócios para comunicar apropriadamente o cenário.

Embora seja perfeitamente possível que eles aceitem o risco adicional, eles não podem ser deixados de fora desta conversa e devemos apresentar de maneira clara e transparente a nossa estratégia de mitigação de riscos corporativos de segurança e os riscos residuais remanescentes na operação.

Cabe exclusivamente aos gestores das áreas de negócios, suportados pelas informações fornecidas por nós, a decisão pela aceitação ou não destes riscos.  

Orçamento alinhado à proteção de recursos e atividades de mitigação de riscos

Partindo do pressuposto de que você já está trabalhando com seu parceiro de negócios no entendimento dos recursos críticos e do apetite ao risco, há um exercício que você pode fazer com seu time para facilitar a discussão orçamentária da área de segurança.

Antes de mais nada, precisamos entender todas as atividades de mitigação desempenhadas em todos os níveis da organização. Quais os riscos mitigados por estas atividades e quais ativos estão recebendo a proteção?

Na sequência, pergunte à pessoa responsável por esta atividade o que aconteceria ao nível de risco do ativo caso as atividades de mitigação sejam reduzidas em 10%, 20% ou 50%. É possível manter o mesmo nível de risco com um corte de 10% nas medidas de proteção? Qual é a exposição ao risco neste cenário? E se pensarmos em um corte de 50%? Temos que tentar identificar em que nível alcançamos o balanço entre a probabilidade de um impacto e o nível de mitigação de risco acordado com os gestores de negócio.

Outro exercício que requer maior engajamento é entender os detalhes dos riscos e avaliar se as medidas atualmente utilizadas estão servindo para efetivamente gerenciar os riscos da melhor maneira. Em outras palavras, existe uma alternativa mais eficiente para a gestão daquele risco específico?

Uma vez que você e seu time tenham um entendimento dos potenciais impactos dos cortes, é hora de engajar com os gestores de negócios dos ativos protegidos para entender se os novos níveis de risco são aceitáveis ou não.

Caso a resposta seja positiva em qualquer um dos níveis e eles (enquanto líderes das funções expostas ao risco) estejam cientes e de acordo com as mudanças em seu perfil de risco, então o corte no orçamento é uma decisão aceita pela área de negócio que você pode reportar de volta ao time financeiro.

Por outro lado, caso eles não estejam favoráveis com o potencial aumento da exposição ao risco decorrente da redução das atividades de mitigação, você tem a responsabilidade de comunicar ao time financeiro explicando a necessidade da manutenção do orçamento, ou alternativamente solicitar uma redução do volume de corte solicitado. A diferença neste caso é que você certamente terá um aliado nesta discussão, pois o líder da área de negócios pode (e deve) explicar os impactos reais e tangíveis no negócio com o corte orçamentário proposto.

Com esta abordagem você consegue demonstrar ao time financeiro que você fez o seu “dever de casa”, que você e seus parceiros de negócios analisaram os impactos reais dos cortes e que você não está simplesmente defendendo sua posição atual para não perder uma fatia do orçamento.

Esta abordagem demonstra que você está sendo cuidadoso com os recursos recebidos de sua organização e que na verdade você está trabalhando lado a lado com seus parceiros de negócios para a entrega dos resultados financeiros e operacionais da companhia.

A decisão / resultado sobre o orçamento de segurança

É importante perceber que esta abordagem pode ou não resultar em um corte de orçamento. Você e seu parceiro de negócios podem encontrar líderes na organização que, entendendo os potenciais impactos, decidam pelo corte. Pode até ser um outro nível de corte reduzindo o plano de mitigação, mas ainda mantendo o investimento de alguma maneira.

Ainda assim, é um resultado muito positivo para o executivo e para a área de segurança, porque o exercício foi conduzido com base nos termos de negócios. as novas expectativas de risco foram redefinidas e claramente comunicadas a todos os tomadores de decisão. Todos estão cientes do novo nível de exposição e potenciais impactos derivados da adoção de um nível de proteção mais brando.

Mas eu sofri um corte no orçamento! Como isso pode ser considerado um resultado positivo?

Pergunte a um líder de negócios se eles aceitam o novo nível de risco e a resposta certamente será positiva. Mas pergunte a eles como se sentem com surpresas e certamente a resposta será diferente.

Esta abordagem está em linha com a prática de ESRM (Enterprise Security Risk Management / Gestão de Riscos Corporativos de Segurança) desenvolvida pela ASIS International, garantindo que que não tenhamos surpresas e que todos os participantes estejam plenamente informados em uma discussão sobre uma potencial redução orçamentária. Não há mais espaço para o “jogo de culpas” em caso de concretização de um risco anteriormente previsto e aceito em todos os níveis decisórios e você conduziu o tema com profissionalismo e compromisso com o resultado da empresa.

Gustavo Dietz é Diretor de Segurança para as Américas da Philip Morris International, Certified Security Professional (CPP) pela ASIS International, graduado em Administração de Empresas e pós-graduado em Enterprise Security Management. Sua carreira foi desenvolvida em empresas líderes em seus segmentos, como MRM, Pfizer, Google, Microsoft, Diageo, BAT / Souza Cruz e Philip Morris International. Ele acredita que a única forma de mudar o presente é através da colaboração e por isso tem se dedicado muito ao desenvolvimento da área de segurança, tendo atuado por mais de 9 anos como Presidente, Vice-Presidente e Secretário da OSAC em São Paulo, como Presidente e Diretor de Mentoring do Capítulo do Rio de Janeiro e agora como ARVP da região 8A da ASIS International.