segunda-feira, ago 10, 2020

Proteger a sua organização com gestão proativa de riscos de conduta

O risco de conduta envolve todas as partes da estrutura de uma empresa, e as organizações de Serviços Financeiros, em particular, precisam manter padrões muito altos de integridade de mercado e comportamento. Nos últimos anos, os reguladores do setor de serviços financeiros aumentaram sua atenção para reduzir conduta inadequada, enfatizando a necessidade de administrar o risco de conduta com eficácia em toda a organização.

Embora não exista uma forma definida universalmente para administrar o risco de conduta, há dois riscos essenciais cuja consideração é crítica:

  • O risco de que as instituições de serviços financeiros e seus funcionários causem danos negativos para seus clientes ou tenham impacto negativo na integridade do mercado financeiro
  • O risco de um incidente de relações públicas que terá impacto negativo na reputação de uma instituição  

O elemento central para entender "conduta" é o funcionário que assume as responsabilidades de impulsionar resultados positivos tanto para a instituição como para os clientes que dependem dos produtos e serviços da instituição. A maioria dos funcionários cumpre essas responsabilidades de boa fé, mas a história demonstrou diversos exemplos do contrário. Nesses casos, o funcionário desviou-se da criação de valor para a contribuição de risco – ou seja, sua conduta apresentou um risco para a organização ao causar danos para o cliente, o mercado e a reputação da instituição.   

Em resposta, muitos líderes de segurança proporiam desenvolver ou fortalecer seus programas de Ameaças Internas. Nessa situação, um colega de gestão de riscos também proporia adotar medidas para fortalecer o programa de Risco de Conduta. As duas funções são responsáveis por proteger a organização, e as duas têm foco no funcionário para reduzir a exposição a riscos. O passado sugere que esses esforços diferenciados e às vezes em silos prosseguiriam ao longo de um caminho desigual, porém paralelo. Na realidade, são esforços complementares que, quando combinados, podem ser mais eficazes e explicitamente impulsionar a meta compartilhada – proteger as instituições e seus clientes. 

Como fazemos isso?   

Conclusão: os líderes de segurança devem tomar a iniciativa, reformulando o problema de Ameaça Interna pela lente do Risco de Conduta. 

  • Redefinir a unidade de medida – Os funcionários (usuários ou pessoas internas) não podem ser vistos como uma ameaça inerente à instituição. Ao mudar o foco para entender a conduta, em vez de medir violações de políticas e eventos, os líderes reconhecem a natureza dinâmica das atividades de funcionários que oscilam entre criação de valor e contribuição para riscos
  • Evoluir a cobertura de coleta – Alavancar os recursos existentes de Monitoramento da Atividade dos Usuários (UAM, User Activity Monitoring) para entender continuamente as ações dos funcionários e o impacto potencial sobre a empresa. Colaborar de perto com gerentes de riscos para identificar novas fontes de dados, tipicamente fora da segurança, que podem ajudar a desenvolver um entendimento mais abrangente do funcionário. Isso pode incluir dados derivados de aplicativos de negócios, outras fontes de monitoramento (como vigilância comercial) e também dados de desempenho de RH
  • Entender melhor o risco pelo contexto – Alavancar análises detalhadas para correlacionar e identificar relacionamentos significativos entre pontos de dados aparentemente díspares. Isso habilita as instituições a aumentar seu entendimento, identificando indicadores de risco no primeiro ponto de detecção. Investir em soluções de análise que pesquisem de forma abrangente o comportamento humano e dados de atividades fraudulentas ou conduta inadequada, habilitando “trilhas de auditoria” e indicadores de aviso antecipado que, em geral, só são encontrados com atividades de investigação após incidentes
  • Passar de uma postura reativa para proativa – Instrumentalizar controles com base no entendimento de riscos em nível de funcionários individuais. Os líderes de segurança devem automatizar aplicação graduada (e redução) de políticas de segurança no ambiente, enquanto também habilitam os gerentes de riscos na primeira linha de defesa a tomar decisões mais informadas

Partes interessadas principais

  • Segurança – Incorporar o programa de Ameaças Internas na estrutura de Risco de Conduta. Promover a adesão dos executivos e garantir que investimentos em segurança e processos de negócios estejam alinhados de forma adequada. 
  • Conformidade – Possui a estrutura de Risco de Conduta. Os líderes de segurança devem trabalhar de forma proativa e colaborativa com conformidade e unidades de negócios para determinar papéis com valor agregado nas linhas de defesa operacionais. Exemplos incluem:
    • 1a linha:  medição de riscos, correlação/agregação, e priorização, controles
    • 2a linha: relatórios de riscos corporativos, governança, desenvolvimento de políticas
    • 3a linha: auditoria interna
  • Diretor de Riscos - Responsável pela mitigação da abordagem de riscos geral

À medida que os líderes de segurança continuam a evoluir suas estratégias, cada vez mais precisam desenvolver caminhos claros para justificar como os investimentos relacionados estão fornecendo valor de negócios demonstrável em toda a organização. Ao mapear as iniciativas de segurança para a estratégia mais abrangente de Risco de Conduta, podemos comprovar valor não apenas para a instituição, mas também para os órgãos reguladores que fornecem supervisão.

About the Author

Homayun Yaqub

Homayun Yaqub is Forcepoint’s Senior Security Strategist with more than 20 years of security experience in the US military, government and private sector. Prior to Forcepoint, Yaqub led JPMorgan Chase & Company’s Global Safeguard Program a firm-wide initiative to analyze interactions between...