Dinâmica de Negócios e Gestão – Um olhar ampliado para Gestores de TI e Segurança
Por Paulo Mordehachvili – CEO – CECyber
Nos cursos de Pós Graduação e MBA da CECyber, fui imbuído de desenvolver um módulo extra, chamado Dinâmica de Negócios, que traz à tona diversos aspectos relacionados a gestão, governança, análise de retorno, contabilidade e estratégia de negócios, para dentro da esfera de cursos com ampla cobertura dos aspectos da TI, SI, IA, cibersegurança, inteligência defensiva, e outros temas notadamente técnicos.
Minha ideia foi por um lado compartilhar a minha experiência como gestor e investidor, a partir de uma carreira em finanças, investimentos e empreendimento diversos, para contribuir com noções que precisam permear a atuação de pessoas cujas carreiras foram prioritariamente técnicas, mas que evoluíram para cargos de gestão, e por outro trazer insights em prol do crescimento profissional dos alunos dos cursos de Pós Graduação da CECyber.
Trouxe, inclusive, diversas entrevistas em formato podcast para que mais profissionais experientes em áreas diversas pudessem, também, contribuir com insights, curiosidades, dicas e, quem sabe, ideias.
Os entrevistados selecionados são executivos e executivas da segurança cibernética (CISO), da comunicação sobre a segurança da informação em organizações, um dos mais destacados headhunters de tecnologia e segurança do Brasil, um dos mais reconhecidos investidores do setor de venture capital do país com foco em tecnologia, e até empreendedor de destaque no setor de educação, entre outros.
Afinal, quando falamos em dinâmica de negócios, estamos diante de um campo muito amplo, que conecta estratégia, finanças, organizações e cultura, tecnologia e pessoas.
Muitos profissionais de TI e Segurança ainda enxergam gestão como algo distante, mas será que não está justamente aí a oportunidade de ampliar sua relevância e ocupar espaço estratégico dentro das organizações?
Esta carta do CEO é um mergulho nos temas que são expostos no Módulo Dinâmica de Negócios; é um pouco, de fato, de spoiler, mas as dores e desafios de líderes e gestores trazem complexidade. Vale pecar pela redundância, se for o caso.
A proposta do Módulo é olhar para gestão não apenas como teoria, mas como prática viva, baseada nas experiencias pessoais de players com décadas de carreira, traduzida em insights, decisões, números e histórias que moldam o entendimento de fatores críticos e decisivos em organizações.
E a pergunta que fica é: você, como gestor ou futuro gestor, está preparado para jogar esse jogo?
Na estrutura empresarial, governança é sempre a camada acima da operação, na qual o processo decisório é realizado, normalmente pelos donos do negócio, e/ou por seus representantes (Conselho de Administração), para direcionar o time de execução, liderado pelo(a) Chief Executive Officer (CEO) ou Diretor Executivo.
Gestão é sempre a camada de execução na operação. Enquanto a governança traça a direção estratégica, a gestão decide o que será priorizado, para onde vai o orçamento e como medir resultados – que por sua vez serão insumos dos donos do negócio, que podem ser um dono, uma família, governo, sócios ou investidores, ou todos os acima.
Será que um CISO pode se dar ao luxo de não entender essa disputa? Olhar para o CIO ajuda a entender esse cenário. Por estar mais próximo da área de segurança, vale ter um olhar atento.
As dores desse executivo são múltiplas: alinhar tecnologia à estratégia empresarial, equilibrar inovação com redução de custos, gerenciar segurança e compliance em um ambiente regulatório cada vez mais rigoroso, atrair e reter talentos de TI, justificar gastos diante do CFO e do conselho.
Se o CIO já tem tanto na mesa, como o CISO e sua equipe podem se destacar, muitas vezes justamente se reportando para o CIO da empresa? Talvez a resposta esteja em mostrar que segurança não traz apenas custo, mas também valor estratégico.
Pensar em estratégia empresarial exige um entendimento claro do que é um negócio, e do que é o negócio da empresa.
Logo o módulo começa por expor as bases do que é um Negócio.
Negócios podem ser definidos de maneira simples: a venda de produtos ou serviços com a expectativa de lucro. A partir da mera definição do produto ou serviço, em competição com outros produtos, a expectativa de vendas e lucros crescentes e sustentáveis passa por inúmeros aspectos.
Posicionamento de mercado, precificação, a capacidade de gerar o produto de forma consistente, e o processo de venda em si estão no rol das questões mais críticas – perfeitamente alinhadas com a definição de negócio. Tão relevante quanto é a necessidade de atender às diversas exigências do Governo em suas várias esferas, desde a Receita até órgãos reguladores, reportar adequadamente os resultados e estado das coisas para os donos do negócio, e lidar com stakeholders diversos.
Negócios são sistemas vivos que dependem de fluxos de caixa, de decisões sobre investimentos (CAPEX) e gastos operacionais (OPEX), além de um equilíbrio delicado do capital de giro. Capital de giro, muitas vezes negligenciado ou mal entendido, pode ser a diferença entre o sucesso e o fracasso de muitas empresas. Empresas lucrativas quebram. Mas como?
E onde entra a área de TI e segurança nisso tudo? Se a disputa pelo caixa e pelo investimento existe, não fica claro que todo gestor precisa entender minimamente de finanças?
“Cash is king” não é apenas uma frase de efeito dos livros de Finanças.
Para quem trabalha em segurança, significa também compreender como justificar cada real investido. Projetos de segurança não devem ser analisados, assim como qualquer outro, em termos de impacto financeiro?
Se negócios existem para gerar valor, é interessante entrar no debate sobre o que é valor, que pode ter múltiplas definições. Para donos e acionistas, valor se traduz em lucro, rentabilidade e valorização do patrimônio. Para stakeholders mais amplos – clientes, reguladores, sociedade e ainda, os donos – valor também envolve confiança, responsabilidade social e sustentabilidade.
Qual o papel da sua área na entrega de valor em suas múltiplas definições?
Se o tema é valorização do patrimônio, a compreensão da distinção entre lucratividade e rentabilidade é essencial. Lucratividade mede o quanto sobra em relação à receita em um período, após o impacto de impostos, custos e despesas. Mas não mede geração de caixa.
O que falta? Capital de giro, investimentos, dívidas e alguns ajustes de despesas, como depreciação, que não impactam o caixa, mesmo que impactem a base de ativos.
Rentabilidade mede o retorno sobre o investimento ao longo do tempo – com base no capital investido, por um lado, e no caixa (não lucro) gerado, por outro.
Uma empresa pode ser altamente lucrativa no curto prazo e inviável no longo prazo, assim como pode não gerar lucro imediato, mas ser altamente rentável no futuro.
Será que não é assim também com a segurança da informação? Uma forma de analisar a proteção digital é justamente a de reduzir perdas e garantir sustentabilidade no longo prazo, mesmo que tenha impacto negativo no curto prazo. Mas… isso não é nada sexy.
Estratégia é o caminho que guia o negócio. Não é um documento guardado em gaveta, mas um processo vivo de análise, decisão e adaptação. A discussão estratégica olha para fora, analisa o mercado, os competidores, os clientes e ajuda a definir o posicionamento da empresa. Isso é sexy.
E a segurança, pode fazer parte desta discussão?
No Módulo, eu exemplifico estratégia com o case do pipoqueiro. Se até um pipoqueiro, com um único carrinho de pipoca, tem que contemplar decisões sobre onde montar seu carrinho, como atrair clientes, como se diferenciar dos concorrentes e como ter vantagens competitivas, será que a área de SI não tem que seguir roteiro semelhante?
O exemplo do pipoqueiro é provocativo.
Estratégia também tem como meta o crescimento sustentável. É visar perenidade. É alinhar missão, visão e valores a metas de curto, médio e longo prazo. É equilibrar riscos e oportunidades. É inovar por necessidade.
E aqui entra novamente a pergunta: será que sua área está preparada para pensar além do imediato, sem deixar o imediato de lado?
Mais importante, será que a sua área está pronta para demonstrar uma combinação de ganhos de curto prazo enquanto agrega valor para a meta do crescimento sustentável? Para fazer isso, é necessário “conversar” com a Governança Corporativa, mesmo que não diretamente.
Governança é a camada acima da gestão executiva. É o conselho de administração, os comitês, os acionistas. É onde se define a direção, se cobra resultado e reporte com transparência, e onde se garante alinhamento de interesses.
TI e SI podem ficar fora dessa conversa?
Cada vez mais, a governança exige controles claros, relatórios consistentes, compliance e transparência. Para o gestor de segurança, isso significa traduzir riscos técnicos em relatórios estratégicos, capazes de dialogar com conselhos e reguladores. Tradução faz parte da comunicação.
A linguagem corporativa passa por alguns outros elementos básicos. Um deles são demonstrações financeiras construídas com o processo da contabilidade – a linguagem universal dos negócios.
Assim como logs em sistemas registram eventos, a contabilidade registra as transações financeiras. Esses registros se transformam em relatórios: balanço patrimonial, demonstração de resultados, fluxo de caixa. E é com base neles que investidores, conselhos e gestores tomam decisões.
Um gestor não pode se dar ao luxo de não entender essa linguagem.
Saber do que se tratam Demonstrações Financeiras, como DRE, Balanço patrimonial e Demonstrativo de Fluxo de Caixa, e quem sabe saber interpretá-las, pode fazer a diferença.
A exposição de ROIC – return on invested capital – é essencial, pois permite justificar investimentos, comparar opções e dialogar com outros executivos. Para quem está na SI, é também a chave para mostrar que projetos não são apenas custos, mas geram valor, reduzem riscos e aumentam a competitividade. Como convencer alguém disso sem falar em números?
Se decisões de investimento são baseadas em números e indicadores, e se a aplicação de recursos financeiros são baseadas na análise de retorno, o entendimento sobre onde estão os recursos financeiros pode valer a pena.
O mercado de capitais é o espaço onde empresas, governos e investidores trocam recursos financeiros. Bolsas, balcões, bancos – todos são ambientes de negociação de ativos financeiros. Para empresas de capital aberto, isso significa que decisões relacionadas aos investimentos em TI ou segurança podem impactar diretamente a percepção de investidores – os donos do negócio em empresas de capital aberto. Aliás, o termo capital aberto simplesmente indica que qualquer um pode comprar uma ação (ou participação) do negócio acessando o mercado de ações – logo o capital é aberto a investidores.
Importante reiterar que o detentor de uma ação é um detentor de participação, é um dono de parte do negócio, com direito a voto inclusive, como acionista. Investimento em ações que não olha a dinâmica do negócio não pode ser tratado como investimento no negócio: é mera especulação, com chance maior de dar errado do que de dar certo, no longo prazo.
Pensando na dinâmica do negócio, fica claro que um incidente cibernético pode afetar o resultado do negócio, a reputação, a estabilidade operacional e, logo, o valor do negócio – traduzido na cotação de uma ação.
Está cada vez mais claro que qualquer organização será atacada, logo uma parte do esforço de entendimento do impacto de incidentes no negócio já está evoluindo. O que mais a área de segurança pode contemplar para ganhar relevância, seja no cuidado com os ativos da empresa, seja na geração de caixa de curto prazo?
Se stakeholders são múltiplos, impactos sobre e a partir de clientes, fornecedores, reguladores, colaboradores, podem e devem ser contemplados. A questão de fraude, por exemplo, é corriqueira, regular e muito impactante. E o link com segurança é óbvio.
Será que sua área já pensa em como suas ações impactam cada um desses stakeholders?
Finalmente, tudo converge para comunicação, e a linguagem da TI e de negócios são diferentes. Agora, qual a linguagem que prevalecerá, a do gestor da área ou a do dono do negócio? Ou seja, quem tem o desafio de aprender a linguagem do outro? Pense antes de responder… nessa você não pode errar rs.
Será que não está aí o maior desafio do gestor moderno?
Comunicar riscos e oportunidades exige storytelling corporativo, relatórios claros, reuniões objetivas. Exige escuta ativa e adaptação da linguagem à audiência. Você já está preparado para traduzir sua realidade técnica em mensagens estratégicas?
Dinâmica de negócios não é teoria, mas justamente uma lente prática para apoiar você na compreensão de como decisões técnicas se conectam à estratégia, à competitividade e à sustentabilidade da empresa, e como isso precisa ser comunicado.
É a ponte entre técnica e gestão, entre operação e conselho, entre curto prazo e perenidade.
Além das aulas do módulo, incluí entrevistas e materiais e insumos de apoio. Será que vale o investimento?