O que é Gestão de Riscos Digitais?

O gerenciamento de risco é um tema recorrente em todas as disciplinas de gestão. Estruturas tradicionais — desde gerenciamento de projetos e gerenciamento de serviços, até governança de TI e arquitetura empresarial — consistentemente enfatizam sua importância. Até mesmo as estruturas Ágeis reconhecem seu valor.

Essencialmente, o gerenciamento de risco é (ou melhor, deveria ser) uma forma de lidar com a incerteza. No entanto, na prática, é frequentemente aplicado como um exercício burocrático, seguindo ritualisticamente procedimentos sem uma compreensão adequada de seu propósito ou impacto.

Uma razão para isso é o pensamento mágico (ou o que chamamos de "culto cargo" do gerenciamento de risco): a convicção de que o risco será gerenciado corretamente apenas aplicando um conjunto predeterminado de procedimentos.

Outra razão é uma mudança de propósito: de realmente gerenciar riscos, para demonstrar que as atividades de gerenciamento de risco prescritas foram executadas. Neste caso, o foco real torna-se a conformidade: provar que os controles apropriados estão em vigor para atender aos requisitos regulamentares e políticas internas.

Como resultado, o gerenciamento de risco tende a exibir um forte viés em direção à mitigação de ameaças (e especialmente em direção a ameaças relacionadas à segurança), enquanto negligencia completamente o gerenciamento de oportunidades. No entanto, nos negócios como nos esportes, um time que foca apenas na defesa e negligencia o ataque eventualmente se tornará ineficaz em ambos.

O desafio mais urgente que as empresas enfrentam hoje é como navegar ondas contínuas de disrupção impulsionadas por tecnologias de ponta, como inteligência artificial, Internet das Coisas, blockchain, robótica e computação em nuvem. A aceleração tecnológica tornou o mundo digital VUCA: Volátil, Incerto, Complexo e Ambíguo. Consequentemente, é crucial mudar a abordagem ao desenvolvimento de negócios de uma visão determinística "se-então-senão" para uma probabilística "se-então-talvez", alinhando-se mais estreitamente com a mentalidade Ágil que enfatiza adaptabilidade, experimentação e aprendizado contínuo.

"Gerenciamento de Risco Digital" é o processo contínuo de identificar, avaliar, priorizar e tratar riscos tanto positivos quanto negativos, para otimizar seu impacto nos objetivos da empresa. Um Gerenciamento de Risco Digital eficaz ajuda as empresas a prosperar em um cenário digital cada vez mais hipercompetitivo.

É importante ressaltar que o Gerenciamento de Risco Digital não é uma ruptura com o gerenciamento de risco tradicional, mas sim sua evolução natural em um contexto onde, como destacado em The DevOps Handbook, toda organização pode ser vista como uma empresa de tecnologia, independentemente do setor em que opera[i].

Muitas inovações tecnológicas não se originam de invenções inéditas, mas da recombinação de ideias e tecnologias pré-existentes. Por exemplo, a tecnologia blockchain está enraizada na integração de redes peer-to-peer, criptografia e uma forma revisada de escrituração por partidas dobradas.

De forma similar, a inteligência artificial avançou graças à convergência de capacidade computacional aprimorada, conjuntos de dados em larga escala e décadas de pesquisa algorítmica; enquanto a computação em nuvem emergiu da combinação de virtualização, sistemas distribuídos e conectividade de internet de alta velocidade.

As disciplinas de gestão deveriam seguir a mesma abordagem, contextualizando seus princípios estabelecidos à luz das novas condições. A Gestão de Risco Digital (GRD) exemplifica essa abordagem ao reconfigurar práticas tradicionais de risco para abordar a realidade digital contemporânea. No contexto das transformações digitais em curso, a GRD pode ser reimaginada como compreendendo os seguintes componentes.

Uma definição rigorosa dos conceitos centrais de risco é fundamental para o gerenciamento eficaz de riscos. Em um ambiente VUCA (definido por volatilidade, incerteza, complexidade e ambiguidade), há uma nova relevância para conceitos do século XX, como probabilidade epistêmica (que foi desenvolvida pela epistemologia e teoria Bayesiana).

Tais conceitos abordam o desafio fundamental de raciocinar e tomar decisões sob incerteza em contextos digitais, onde cada fenômeno se desdobra a partir de uma configuração única e irrepetível de condições, forças e variáveis em jogo — cujos efeitos são frequentemente não lineares e complexos de isolar.

Decompor um risco em seus componentes lógicos constituintes, e compreender suas interdependências, permite melhor observação, análise e controle de cada um, oferecendo assim mais oportunidades para intervenção eficaz.

Todo risco pode ser entendido como uma combinação da probabilidade de um evento e seu tamanho do efeito (caso ocorra). Por exemplo, considere uma empresa que quer entrar em um novo segmento de mercado, e tem uma oportunidade de deslocar um concorrente já estabelecido. Esta oportunidade pode ser conceituada como o produto da probabilidade de sucesso e seu tamanho do efeito (ou seja, a extensão da participação de mercado capturada).

A probabilidade de alcançar o objetivo, no entanto, depende de vários subfatores. Um é o grau em que o alvo é acessível ou protegido por barreiras de entrada: para obter uma melhor compreensão deste aspecto, a empresa pode tentar adquirir conhecimento mais profundo dos clientes alvejados. Outro é a confiança da empresa em iniciar ação, baseada em um caso de negócio que pondera benefícios, custos e riscos (incluindo potenciais contra-ataques de concorrentes).

Outros fatores incluem a possibilidade de pegar concorrentes desprevenidos (prevenindo assim ações defensivas) e as capacidades e recursos relativos mobilizados tanto pela empresa quanto por seus concorrentes.

Finalmente, note que o efeito geral de capturar com sucesso um ativo pode exceder seu valor intrínseco: por exemplo, também pode aumentar a reputação da empresa. Redes sociais, em particular, podem servir como amplificadores poderosos tanto de vitórias quanto de derrotas — como é frequentemente o caso em esportes, onde torcedores, mídia e atenção viral rapidamente magnificam o resultado de uma partida.

Os controles direcionados são específicos para cada elemento da Decomposição Conceitual de Risco. Eles podem ser exercidos tanto por atores que buscam uma oportunidade (ou seja, procurando superar obstáculos e obter acesso a algum valor) quanto por aqueles que se defendem contra uma ameaça (ou seja, tentando evitar perdas ou interrupções).

Em ambos os casos, os controles ajudam a reformular as probabilidades e os efeitos potenciais dos cenários de risco em desenvolvimento, transformando o gerenciamento de riscos em um processo dinâmico e bidirecional que é mais semelhante a um jogo do que a um mecanismo puramente defensivo.

O processo de gerenciamento de riscos abrange a identificação de riscos, sua avaliação qualitativa e quantitativa, e o planejamento e execução iterativos de respostas aos riscos, que envolvem a implantação de um conjunto equilibrado de controles baseados em RCD. Durante todo o processo, a comunicação e o gerenciamento de premissas e informações relacionadas aos riscos são mantidos como atividades contínuas, garantindo transparência e adaptabilidade.

O Gerenciamento de Riscos Digitais pode operar como um processo independente no nível empresarial, nas operações de negócio e em contextos onde abordagens não-Ágeis são adotadas. Ao mesmo tempo, em ambientes Ágeis, deve funcionar como uma técnica complementar incorporada aos frameworks existentes.

O Ágil pode ser considerado como intrinsecamente voltado ao gerenciamento de riscos, pois reduz progressivamente a incerteza iteração por iteração[i]. Portanto, metodologias iterativas e incrementais (como Scrum ou AgilePM3) podem incorporar DRM como uma camada integrativa.

Seguindo essa abordagem, os Product Owners do Scrum devem identificar riscos especificando seus agentes e causas, os eventos de risco e seus efeitos nos ativos; então estimá-los e avaliar seu valor monetário para priorizá-los junto com outros itens do Product Backlog. Deve-se dar prioridade a um item do backlog que gerará um lucro garantido de um milhão em um ano, ou a uma oportunidade que tem 50% de chance de render três milhões no mesmo período?

Técnicas tradicionais, como simulações de Monte Carlo, podem ser usadas para fornecer estimativas precisas da probabilidade e efeito de cada elemento do RCD. Uma Árvore de Decisão pode ajudar o Product Owner a otimizar a ordem dos itens no Product Backlog levando em conta a natureza não-linear do valor.

Além disso, assim como o refinamento do backlog quebra histórias de usuário grosseiras em mais refinadas, os riscos podem ser decompostos em suas múltiplas causas usando Diagramas de Espinha de Peixe, permitindo assim o reforço ou mitigação direcionados de cada uma. Se soubermos qual borboleta no Brasil causará um tornado no Texas, podemos facilmente pegá-la e pregá-la na parede, evitando assim o risco com gastos muito pequenos.

Durante cada sprint, os desenvolvedores podem planejar e implementar os controles fornecidos pelo RCD para seus vários elementos. Mais importante ainda, eles podem testar a modelagem de cada risco identificado e os controles aplicados a ele, seguindo o ciclo de Deming (Planejar, Fazer, Estudar, Agir).

A mente humana quer basear escolhas em certezas; no entanto, em um mundo VUCA, as certezas são frequentemente ilusões. Aqueles que falham em aprender como gerenciar riscos não conseguem competir; o remédio está na mudança cultural. Novamente: imagine uma empresa que investe em um item de backlog que gerará um lucro garantido de um milhão em um ano, enquanto outra coloca seus recursos em uma oportunidade que tem 50% de chance de render três milhões no mesmo período. Qual está melhor posicionada para sobreviver à disrupção digital?

O principal benefício da Gestão de Riscos Digitais não é o aumento da eficácia na mitigação de ameaças digitais; é a capacidade de reestruturar a empresa para aumentar sua adaptabilidade e sobrevivência a longo prazo.

A DRM busca transformar empresas em sistemas fractais, capazes de trocar continuamente informações e conhecimento, e de replicar modelos operacionais eficazes em múltiplos níveis da organização. Uma empresa que pratica DRM desenvolve estruturas adaptáveis e autossimilares que aprimoram a flexibilidade, promovem o compartilhamento de conhecimento e sustentam a competitividade a longo prazo, ao mesmo tempo que estabelece uma estrutura para modelagem de riscos e tomada de decisões habilitadas por IA.

Esta transformação estrutural aprimora a capacidade da organização para aprendizado contínuo, posicionando-a para capitalizar oportunidades digitais e alcançar vantagem competitiva sustentada.

Para construir capacidades eficazes de gestão de riscos, as empresas podem reutilizar métodos comprovados de áreas como ciência militar e cibersegurança. Exercícios militares baseados em cenários e o purple teaming da cibersegurança podem ser adaptados para contextos empresariais.

Por exemplo, uma equipe interna pode simular o ataque de um concorrente, enquanto outra equipe responde corrigindo vulnerabilidades expostas e lançando contramedidas, e uma terceira equipe atua como clientes, decidindo qual lado apoiar.

Este tipo de simulação não apenas fortalece o trabalho em equipe e o pensamento competitivo, mas também acelera o desenvolvimento de uma cultura de Gestão de Riscos Digitais — uma onde a resiliência, adaptabilidade e tomada de decisões baseada em dados se tornam integrais à empresa.

O Gerenciamento de Riscos Digitais transforma a disrupção em momentum, tornando-o o motor de crescimento eficaz e sustentável na era digital.

[i] Kim, G., Humble, J., Debois, P. & Willis, J. (2016). The DevOps Handbook: How to Create World-Class Agility, Reliability, & Security in Technology Organizations. Portland, OR: IT Revolution Press.

[ii]  "Quando adequadamente implementada, a agilidade em projetos é uma maneira eficaz de lidar com riscos de projeto – não há necessidade ou valor em um processo paralelo para 'gerenciar riscos'." Agile Project Management v3 Reference Book, Agile Business Consortium, 2024.