Pablo Escobar pode nos ensinar algo sobre gestão de risco?

Pablo Escobar é um dos narcoterroristas mais infames do nosso tempo. Ele é menos conhecido como um profissional de gerenciamento de risco de o. A verdade é que mitigar o risco foi uma de suas maiores conquistas!

Pablo Escobar é um dos narcoterroristas mais infames do nosso tempo. Seu nome é sinônimo de drogas ilegais, assassinatos brutais e um talento notável para evitar a captura. Ele é talvez menos conhecido como um profissional de gerenciamento de risco de o.

Mas a verdade é que mitigar o risco foi uma das maiores conquistas de Pablo Escobar. E a maneira como ele operou nos fornece alguns grandes princípios que podemos aplicar à segurança SAP e ao gerenciamento de risco de o.

Agora, não estou de forma alguma glorificando as travessuras de Escobar, mas o fato é que ele istrava uma indústria de vários bilhões de dólares por ano que tinha muitas partes móveis – tudo sem a ajuda do tipo de tecnologia sofisticada a que muitos de nós temos o hoje . Isso não é pouca coisa.

Embora eu não esteja sugerindo que você saia e cometa crimes, há algumas lições importantes que você pode tirar de Escobar para ajudar a gerenciar riscos, aprimorar a segurança SAP e melhorar o gerenciamento de riscos de o em sua organização.

As três linhas de defesa para a segurança SAP

O maior medo de Escobar era ser pego e extraditado para os EUA. Então, como é possível que ele tenha sido a pessoa mais procurada do mundo por um período de 10 a 15 anos, todos conheciam a cidade onde ele residia, mas algumas das agências governamentais mais poderosas não conseguiram pegá-lo?

A resposta é que Escobar foi brilhante na gestão de riscos. Ele não apenas tinha uma ideia muito clara de quais eram seus riscos, mas implementou uma estratégia melhor do que qualquer organização hoje para mitigar esses riscos.

Escobar apreciou e aperfeiçoou as três linhas de defesa. Nos negócios ou não, você tem três linhas de defesa quando se trata de segurança SAP:

• Primeira linha: usuários operacionais / de negócios
• Segunda linha: departamentos de risco/conformidade
• Terceira linha: departamentos de auditoria / garantia

Sua primeira linha de defesa deve ser sua mais forte

Escobar implementou uma primeira linha de defesa excepcionalmente eficaz.

Em sua cidade de Medellín, ele era quase intocável. Ele percebeu a importância de ter muitos olhos e ouvidos no chão, então havia todas as esferas da vida que lhe davam informações quando havia algum risco. De meninos de rua a avós vendendo comida nas esquinas, no momento em que algo parecia suspeito, Escobar foi informado.

Se um ocidental chegasse ao aeroporto de Medellín, presumia-se que ele era um agente da DEA e eles seriam seguidos e monitorados. Quando o exército colombiano fez seu movimento em Escobar, um vendedor ambulante notou muitos caminhões do exército saindo do quartel e pensou que só poderia ser por um motivo – e posteriormente alertou Escobar.

Pode-se argumentar que a segunda linha de defesa de Escobar foi subornar a polícia e o exército. Sua terceira linha de defesa foi possivelmente seu exército de assassinos. No entanto, foi a primeira linha de defesa de Escobar que foi a mais eficaz, pois o tirou de problemas com mais frequência.

Para as organizações, isso também é verdade: sua primeira linha de defesa deve ser sempre a mais forte.

A primeira linha de defesa de uma organização geralmente são os funcionários (super/usuários-chave) que estão na organização há 15 a 20 anos. Eles entendem sua área de negócios e processos de negócios melhor do que ninguém.

Infelizmente, na maioria das organizações, esta é normalmente a linha de defesa mais fraca. Isso não é porque esses funcionários não conhecem os riscos em sua área, é porque a organização não implementou os processos e soluções corretos para capacitar esses usuários a participar das atividades de gerenciamento de riscos.

Capacite sua primeira linha de defesa com soluções centradas nos negócios

Se você tem funcionários que estão na sua organização há muitos anos e/ou têm um conhecimento profundo de sua área de negócios, bem como uma compreensão clara dos riscos – você está em uma boa posição.
Mas apenas ter essas pessoas disponíveis não é suficiente.

Você precisa capacitá-los com as soluções e processos certos para gerenciar o risco de o e fortalecer a segurança SAP.

Muitas vezes, as organizações acabam implementando soluções complexas que são muito técnicas para os usuários de negócios, o que resulta em soluções subutilizadas ou redundantes. Na melhor das hipóteses, essas soluções técnicas acabam sendo usadas como soluções ‘back-end’ pela equipe de TI ou técnica.

Quando isso acontece, você perde sua primeira linha de defesa.

Seja mais como Escobar (menos as drogas e mortes)

Escobar implementou um sistema e um processo onde as pessoas no terreno poderiam atuar efetivamente como a primeira linha de defesa. Esses primeiros forros foram educados sobre o que era considerado um risco para Escobar. Ao identificar um risco, havia um processo claro no qual os primeiros colocados poderiam usar essa informação para as pessoas relevantes na organização. Escobar autorizou seus primeiros navios a dar o alarme se notassem algo que representasse um risco.
Embora você não tenha as armas que Escobar tinha, você tem uma arma poderosa no gerenciamento de risco à sua disposição – usuários operacionais e de negócios leais e experientes.

Ao aumentar a adesão dos negócios e melhorar sua primeira linha de defesa, sua organização se tornará mais consciente dos riscos e será capaz de identificar e responder mais rapidamente às ameaças de segurança.

Para dar à sua organização a melhor chance de combater o risco, você precisa equipar seus usuários com as armas certas – e uma de suas melhores armas hoje é uma solução GRC amigável aos negócios. Ao fornecer ao seu pessoal ferramentas que eles não apenas entendem, mas também não têm medo de usar, você os capacita a gerenciar com eficácia os riscos da sua organização.

Sobre Soterion

A Soterion é uma fornecedora líder internacional de soluções de governança, risco e conformidade para organizações que executam SAP. As soluções GRC de fácil utilização da Soterion fornecem relatórios detalhados de risco de o para permitir que as organizações gerenciem efetivamente sua exposição ao risco de o. A Soterion é apaixonada por simplificar os processos de governança, risco e conformidade, com foco em traduzir essa complexidade em uma linguagem amigável aos negócios para melhorar a tomada de decisões e a responsabilidade dos negócios.

Sobre o autor

Dudley Cartwright é cofundador e CEO da Soterion. Com mais de uma década de experiência em Autorização SAP, o forte conhecimento técnico de Dudley combinado com seu profundo conhecimento de negócios permitiu que ele implementasse soluções de segurança da mais alta qualidade para empresas em todo o mundo. Dudley tem paixão pela implementação de soluções de valor agregado “adequadas à finalidade” – uma filosofia que se tornou a pedra angular da missão da Soterion.