O que é Gestão de Riscos Digitais?

Gerenciamento de riscos é um tema recorrente em todas as disciplinas de gestão. Estruturas tradicionais — desde gerenciamento de projetos e gerenciamento de serviços, até governança de TI e arquitetura corporativa — consistentemente enfatizam sua importância. Até mesmo as estruturas Agile reconhecem seu valor.

Essencialmente, o gerenciamento de riscos é (ou melhor, deveria ser) uma forma de lidar com a incerteza. No entanto, na prática, frequentemente é aplicado como um exercício burocrático, seguindo ritualisticamente procedimentos sem uma compreensão adequada de seu propósito ou impacto.

Uma razão para isso é o pensamento mágico (ou o que chamamos de "culto cargo" do gerenciamento de riscos): a convicção de que o risco será gerenciado corretamente apenas aplicando um conjunto predeterminado de procedimentos.

Outra razão é uma mudança de propósito de realmente gerenciar riscos para demonstrar que as atividades prescritas de gerenciamento de riscos foram realizadas. Neste caso, o foco real torna-se conformidade: provar que controles apropriados estão em vigor para atender requisitos regulamentares e políticas internas.

Como resultado, o gerenciamento de riscos tende a exibir um forte viés em direção à mitigação de ameaças (e especialmente em direção a ameaças relacionadas à segurança), enquanto negligencia completamente o gerenciamento de oportunidades. No entanto, nos negócios como nos esportes, um time que se concentra exclusivamente na defesa e negligencia o ataque acabará se tornando ineficaz em ambos.

O desafio mais urgente que as empresas enfrentam hoje é como navegar ondas contínuas de disrupção impulsionadas por tecnologias de ponta, como inteligência artificial, Internet das Coisas, blockchain, robótica e computação em nuvem. A aceleração tecnológica tornou o mundo digital VUCA: Volátil, Incerto, Complexo e Ambíguo. Consequentemente, é crucial mudar a abordagem do desenvolvimento de negócios de uma visão determinística "se-então-senão" para uma visão probabilística "se-então-talvez", alinhando-se mais estreitamente com a mentalidade Agile que enfatiza adaptabilidade, experimentação e aprendizado contínuo.

"Gerenciamento de Riscos Digitais" é o processo contínuo de identificar, avaliar, priorizar e tratar riscos tanto positivos quanto negativos, para otimizar seu impacto nos objetivos da empresa. O Gerenciamento de Riscos Digitais eficaz ajuda as empresas a prosperar em um cenário digital cada vez mais hipercompetitivo.

É importante enfatizar que o Gerenciamento de Riscos Digitais não é uma ruptura do gerenciamento de riscos tradicional, mas sim sua evolução natural em um contexto onde, como destacado no The DevOps Handbook, toda organização pode ser vista como uma empresa de tecnologia, independentemente do setor em que opera[i].

Muitas inovações tecnológicas não se originam de invenções inéditas, mas da recombinação de ideias e tecnologias pré-existentes. Por exemplo, a tecnologia blockchain está enraizada na integração de redes peer-to-peer, criptografia e uma forma revisada de escrituração por partidas dobradas.

De forma similar, a inteligência artificial avançou graças à convergência de capacidade computacional aprimorada, conjuntos de dados em larga escala e décadas de pesquisa algorítmica; enquanto a computação em nuvem emergiu da combinação de virtualização, sistemas distribuídos e conectividade de internet de alta velocidade.

As disciplinas de gestão deveriam seguir a mesma abordagem, contextualizando seus princípios consolidados à luz das novas condições. Gestão de Riscos Digitais (GRD) exemplifica essa abordagem ao reconfigurar práticas tradicionais de risco para abordar a realidade digital contemporânea. No contexto das transformações digitais em andamento, a GRD pode ser reimaginada como composta pelos seguintes componentes.

Uma definição rigorosa dos principais conceitos de risco é fundamental para uma gestão de riscos eficaz. Em um ambiente VUCA, há uma nova relevância para conceitos do século XX, como probabilidade epistêmica (que foi desenvolvida pela epistemologia e teoria Bayesiana).

Tais conceitos abordam o desafio fundamental de raciocinar e tomar decisões sob incerteza em contextos digitais, onde cada fenômeno se desenvolve a partir de uma configuração única e irrepetível de condições, forças e variáveis em jogo — cujos efeitos são frequentemente não lineares e complexos de isolar.

Decompor um risco em seus componentes lógicos constituintes, e compreender suas interdependências, permite melhor observação, análise e controle de cada um, oferecendo assim mais oportunidades para intervenção eficaz.

Todo risco pode ser entendido como uma combinação da probabilidade de um evento e seu tamanho de efeito (caso ocorra). Por exemplo, considere uma empresa que quer entrar em um novo segmento de mercado, e tem uma oportunidade de deslocar um concorrente já estabelecido. Esta oportunidade pode ser conceituada como o produto da probabilidade de sucesso e seu tamanho de efeito (ou seja, a extensão da participação de mercado capturada).

A probabilidade de alcançar o objetivo, no entanto, depende de vários subfatores. Um deles é o grau em que o alvo é acessível ou protegido por barreiras de entrada: para obter uma melhor compreensão deste aspecto, a empresa pode tentar adquirir conhecimento mais profundo dos clientes-alvo. Outro é a confiança da empresa em iniciar uma ação, baseada em um business case que pesa benefícios, custos e riscos (incluindo potenciais contra-ataques de concorrentes).

Outros fatores incluem a possibilidade de pegar os concorrentes de surpresa (prevenindo assim ações defensivas) e as capacidades e recursos relativos mobilizados tanto pela empresa quanto por seus concorrentes.

Finalmente, note que o efeito geral de capturar com sucesso um ativo pode exceder seu valor intrínseco: por exemplo, pode também melhorar a reputação da empresa. Redes sociais, em particular, podem servir como poderosos amplificadores tanto de vitórias quanto de derrotas — como frequentemente é o caso em esportes, onde torcedores, mídia e atenção viral rapidamente amplificam o resultado de uma partida.

Controles direcionados são específicos para cada elemento da Decomposição Conceitual de Risco. Eles podem ser exercidos tanto por atores que buscam uma oportunidade (ou seja, procurando superar obstáculos e obter acesso a algum valor) quanto por aqueles que se defendem contra uma ameaça (ou seja, tentando evitar perda ou interrupção).

Em ambos os casos, os controles ajudam a remodelar as probabilidades e os efeitos potenciais dos cenários de risco em desenvolvimento, transformando o gerenciamento de riscos em um processo dinâmico e bidirecional que é mais semelhante a um jogo do que a um mecanismo puramente defensivo.

O processo de gerenciamento de riscos abrange a identificação de riscos, sua avaliação qualitativa e quantitativa, e o planejamento e execução iterativos de respostas aos riscos, que envolvem a implementação de um conjunto equilibrado de controles baseados em RCD. Durante todo o processo, a comunicação e o gerenciamento de premissas e informações relacionadas aos riscos são mantidos como atividades contínuas, garantindo transparência e adaptabilidade.

O Gerenciamento de Riscos Digitais pode operar como um processo independente no nível empresarial, em operações de negócio e em contextos onde abordagens não-Ágeis são adotadas. Ao mesmo tempo, em ambientes Ágeis, ele deve funcionar como uma técnica complementar integrada dentro dos frameworks existentes.

Ágil pode ser considerado como intrinsecamente preocupado com gerenciamento de riscos, pois reduz progressivamente a incerteza iteração por iteração[i]. Portanto, metodologias iterativas e incrementais (como Scrum ou AgilePM3) podem incorporar DRM como uma camada integrativa.

Seguindo essa abordagem, Product Owners de Scrum devem identificar riscos especificando seus agentes e causas, os eventos de risco e seus efeitos nos ativos; então estimá-los e avaliar seu valor monetário para priorizá-los junto com outros itens do Product Backlog. Deve-se dar prioridade a um item do backlog que gerará um lucro garantido de um milhão em um ano, ou a uma oportunidade que tem 50% de chance de render três milhões no mesmo período?

Técnicas tradicionais, como simulações de Monte Carlo, podem ser usadas para fornecer estimativas precisas da probabilidade e efeito de cada elemento do RCD. Uma Árvore de Decisão pode ajudar o Product Owner a otimizar a ordem dos itens no Product Backlog levando em conta a natureza não-linear do valor.

Além disso, assim como o refinamento do backlog decompõe user stories grosseiras em mais refinadas, os riscos podem ser decompostos em suas múltiplas causas usando Diagramas de Ishikawa, permitindo assim o reforço ou mitigação direcionados de cada uma. Se soubermos qual borboleta no Brasil causará um tornado no Texas, podemos facilmente pegá-la e pregá-la na parede, evitando assim o risco com muito pouco gasto.

Durante cada sprint, desenvolvedores podem planejar e implementar os controles fornecidos pelo RCD para seus vários elementos. Mais importante, eles podem testar a modelagem de cada risco identificado e os controles aplicados a ele, seguindo o ciclo de Deming (Planejar, Fazer, Estudar, Agir).

A mente humana quer basear suas escolhas em certezas; no entanto, em um mundo VUCA, as certezas são frequentemente ilusões. Aqueles que não conseguem aprender a gerenciar riscos não podem competir; o remédio está na mudança cultural. Novamente: imagine que uma empresa investe em um item do backlog que gerará um lucro garantido de um milhão em um ano, enquanto outra coloca seus recursos em uma oportunidade que tem 50% de chance de render três milhões no mesmo período. Qual está melhor posicionada para sobreviver à disrupção digital?

O principal benefício do Gerenciamento de Risco Digital não é a maior eficácia na mitigação de ameaças digitais; é a capacidade de reestruturar a empresa para aumentar sua adaptabilidade e sobrevivência a longo prazo.

O DRM busca transformar empresas em sistemas fractais, capazes de trocar continuamente informações e conhecimento, e de replicar modelos operacionais eficazes em múltiplos níveis da organização. Uma empresa que pratica DRM desenvolve estruturas adaptativas e autossimilares que aumentam a flexibilidade, promovem o compartilhamento de conhecimento e sustentam a competitividade a longo prazo, ao mesmo tempo que estabelece uma estrutura para modelagem de risco e tomada de decisões habilitadas por IA.

Esta transformação estrutural aumenta a capacidade da organização para aprendizado contínuo, posicionando-a para capitalizar oportunidades digitais e alcançar vantagem competitiva sustentada.

Para construir capacidades eficazes de gestão de riscos, as empresas podem reutilizar métodos comprovados de áreas como ciência militar e cibersegurança. Exercícios militares baseados em cenários e o purple teaming da cibersegurança podem ser adaptados para contextos empresariais.

Por exemplo, uma equipe interna pode simular o ataque de um concorrente, enquanto outra equipe responde corrigindo vulnerabilidades expostas e lançando contramedidas, e uma terceira equipe assume o papel dos clientes, decidindo qual lado apoiar.

Este tipo de simulação não apenas fortalece o trabalho em equipe e o pensamento competitivo, mas também acelera o desenvolvimento de uma cultura de Gestão de Riscos Digitais — uma onde a resiliência, adaptabilidade e tomada de decisões baseada em dados se tornam integrais à empresa.

O Gerenciamento de Riscos Digitais transforma disrupção em impulso, tornando-o o motor de crescimento eficaz e sustentável na era digital.

[i] Kim, G., Humble, J., Debois, P. & Willis, J. (2016). The DevOps Handbook: How to Create World-Class Agility, Reliability, & Security in Technology Organizations. Portland, OR: IT Revolution Press.

[ii]  "Quando adequadamente implementada, a agilidade em projetos é uma forma eficaz de lidar com riscos de projeto – não há necessidade nem valor em um processo paralelo para 'gerenciar riscos'." Agile Project Management v3 Reference Book, Agile Business Consortium, 2024.