análise de cenários de ti em gestão de riscos corporativos · pdf fileurs...
TRANSCRIPT
Urs Fischer, CISA,
CRISC, CPA Swiss, é um
consultor independente
de governança, risco e
conformidade de TI. De 2003
a 2010, foi vice-presidente
e diretor de governança de
TI e gestão de riscos na
Swiss Life Group. Antes, foi
diretor de auditoria de TI do
departamento de auditoria da
SwissLife em Zurich, na Suíça.
Desde 1989, Fischer trabalha
nas áreas de governança,
auditoria e segurança de TI e
ganhou extensa experiência
em governança de TI, gestão
de riscos e conformidade
de sistemas de informação.
Envolvido no desenvolvimento
do COBIT® 4.0 e 4.1, também
ajudou a desenvolver o
COBIT 5. Membro do Comitê
de Orientação e Práticas da
ISACA, em junho de 2010
recebeu o prêmio John
Lainhart IV da ISACA.
Artigo
1ISACA JOURNAL VOLUME 2, 2011
Os cenários são uma ferramenta poderosa no arsenal do gerente de riscos. Eles ajudam os profissionais a fazerem as perguntas certas e a se prepararem para o inesperado. A análise de cenários se tornou uma ‘nova’ e melhor prática na gestão de riscos corporativos (ERM) (consulte a figura 1). Além disso, a análise de cenários é uma peça central no modelo de Risk IT da ISACA.1, 2
A análise de cenários de riscos é uma técnica para tornar o risco de TI mais concreto e tangível e de possibilitar uma análise e avaliação de riscos apropriada.3 É a abordagem central para levar realismo, conhecimento, envolvimento organizacional, análise aprimorada e estrutura para a complexa questão do risco de TI.
FLUXO DA ANÁLISE DE CENÁRIOUm dos desafios da gestão de riscos de TI é identificar os riscos relevantes entre tudo que pode dar errado. Uma técnica para superar esse desafio é o desenvolvimento e o uso de cenários de riscos. Após esses cenários serem desenvolvidos, eles são usados durante a análise de riscos, quando são feitas estimativas da frequência em que os cenários ocorrem e do impacto que causam nos negócios.
A figura 2 mostra que os cenários de riscos de TI podem ser derivados de duas formas diferentes:• Uma abordagem “top-down”, que começa a
partir dos objetivos de negócios gerais e na qual é feita uma análise dos cenários de riscos de TI mais relevantes e prováveis que estão afetando os objetivos de negócios
• Uma abordagem “bottom-up”, na qual uma lista de cenários genéricos é usada para definir cenários mais concretos e personalizadosAs abordagens são complementares e devem
ser usadas simultaneamente. De fato, os cenários de riscos devem ser relevantes e vinculados a riscos corporativos reais. Por outro lado, o uso de um conjunto de cenários de riscos genéricos de exemplo ajuda a assegurar que nenhum risco seja ignorado e fornece uma visão mais abrangente e completa do risco de TI.
A seguir está uma abordagem prática que se
provou ser útil no desenvolvimento de um conjunto de cenários de riscos relevantes e importantes:1. Usar uma lista de cenários de riscos genéricos
como exemplo4 para definir um conjunto inicial de cenários de riscos concretos para a organização.
2. Executar uma validação com relação aos objetivos de negócios da organização.
3. Refinar os cenários selecionados com base na validação, categorizá-los em um nível alinhado à importância5 da organização.
4. Reduzir o número de cenários a um conjunto gerenciável.6
5. Manter todos os riscos em uma lista para que eles possam ser reavaliados na próxima iteração e incluídos para análise detalhada, caso tenham se tornado relevantes nesse momento.
6. Incluir ‘evento inesperado’ nos cenários para tratar dos incidentes que não estiverem previstos nos cenários especificados.Assim que o conjunto de cenários de riscos for
definido, poderá ser usado para a análise de riscos. Na análise de riscos, a frequência e o impacto do cenário são avaliados. Os componentes importantes dessa avaliação são os fatores de risco, que serão descritos na próxima seção.
Isso não é tão complicado assim, então por que as organizações não usam os cenários de riscos com maior frequência e rotineiramente? Lembre-se de que os cenários são, na realidade, mais difíceis de desenvolver do que parecem. Um bom cenário leva tempo para ser construído e requer um bom conhecimento de inúmeras áreas da empresa e, dessa forma, um conjunto completo exige um grande investimento de tempo e energia.
FATORES DE RISCOFatores de risco são os fatores que influenciam a frequência e/ou o impacto corporativo dos cenários de riscos. Eles podem ter naturezas diferentes e ser classificados em duas categorias principais:• Fatores ambientais, que podem ser divididos em
fatores internos e externos, sendo a diferença o grau de controle que a empresa tem sobre eles:
Análise de cenários de TI em gestão de riscos corporativos
Você tem algo a dizer sobre esse artigo?
Visite as páginas do Journal no site da ISACA (www.isaca.org/journal), localize o artigo e escolha a guia Comentários para compartilhar suas opiniões.
2 ISACA JOURNAL VOLUME 2, 2011
Figura 1—Visão geral da análise de riscos e resposta a riscos
Fonte: ISACA, The Risk IT Practitioner Guide, EUA, 2009
Figura 2—Desenvolvimento de cenário de riscos de TI
Fonte: ISACA, The Risk IT Framework, EUA, 2009
Estimarfrequênciae impacto
Riscos excedendo o nívelde tolerância ao risco
Parâmetros para a seleçãode resposta ao risco
Custo da resposta parareduzir o risco dentro
dos níveis de tolerância
Importância do risco
Capacidade deimplementara resposta
Eficáciade resposta
Eficiênciada resposta
1. Evitar 2. Reduzir/mitigar
3. Compartilhar/transferir 4. Aceitar
Opções de resposta ao risco
Respostas ao risco priorizadas
Resposta ao risco
Plano de açãocontra o risco
Selecionar opçõesde resposta ao risco
Priorizar opçõesde resposta ao risco
Risco
Casocorporativo
Adiar
Ganhosrápidos
Priorização da resposta ao risco
Níve
l de
risco
atu
al
Relação eficácia-custo
Casocorporativo
Tolerânciaao risco
Análise de riscos
Resposta ao risco
Análisede riscos
Fatoresambientais
externos
Identificaçãodo cenáriotop-down
Identificaçãode cenáriobottom-up
Fatores de risco
Fatoresambientais
internos
Capacidadede gestãode riscos
Capacidadede TI
Capacidadecorporativarelativa a TI
Objetivosde negócios
Cenáriosgenéricosde risco
Cenáriosde riscos
de TI refinadose específicos
Fatoresambientais
externos
Identificaçãodo cenáriotop-down
Objetivosde negócios
Cenáriosgenéricosde risco
Cenáriosde riscos
de TI refinadose específicos
• Identificar objetivos de negócios.• Identificar cenários com o maior impacto sobre a realização de objetivos.
• Identificar todos os cenários hipotéticos.• Reduzir riscos por meio de análise de alto nível.
Estimar frequênciae impacto
Identificaçãode cenáriobottom-up
Fatores de risco
Fatoresambientais
internos
Capacidadede gestãode riscos
Capacidadede TI
Capacidadecorporativarelativa a TI
Riscode TI
3ISACA JOURNAL VOLUME 2, 2011
– Os fatores ambientais internos estão amplamente sob o controle da empresa.
– Os fatores ambientais externos estão amplamente fora do controle da empresa.
• Capacidades, por exemplo, como a empresa está trabalhando em diversas atividades relacionadas a TI. Elas podem ser distinguidas alinhadas aos três modelos (frameworks) principais da ISACA:
– Capacidades de gestão de riscos de TI — Até que nível a empresa tem maturidade para realizar os processos de gestão de riscos definidos no Risk IT
– Capacidades de TI — Qual é a qualidade dos processos de TI, conforme definidos no COBIT
– Capacidades corporativas relacionadas a TI (ou gestão de valores) — Expressos por meio dos processos do Val ITA importância dos fatores de risco está na influência que
eles têm sobre o risco de TI. Eles são grandes influenciadores da frequência e do impacto dos cenários de TI e devem ser levados em consideração durante cada análise de risco, quando a frequência e o impacto forem avaliados. A figura 3 representa os fatores de risco.7
COMPONENTES DOS CENÁRIOS DE RISCOSUm cenário de riscos de TI é uma descrição de um evento relacionado a TI que pode causar um impacto nos negócios, quando e se ele ocorrer. Para os cenários de riscos estarem completos e serem úteis para fins de análise, eles devem conter determinados componentes, como mostra a figura 4.
DESENVOLVIMENTO DE CENÁRIOSO uso de cenários é a chave para a gestão de riscos e a técnica pode ser aplicada a qualquer empresa. Cada empresa deve criar um conjunto de cenários (contendo os componentes descritos anteriormente) como ponto inicial para conduzir sua análise de riscos. Construir um cenário significa combinar todos os valores possíveis de todos os componentes.
Cada combinação deve ser avaliada de acordo com sua relevância e realismo e, caso seja relevante, registrada na lista de riscos. Na prática, isto não é possível pois resultaria em um número muito grande de cenários. O número de cenários a serem desenvolvidos deve ser mantido em um número bem menor para permanecer gerenciável, pois todas as combinações possíveis não podem ser armazenadas.8
CONCLUSÃOOs cenários têm três benefícios que os tornam muitos poderosos para a compreensão de riscos e oportunidades.9
Primeiro, os cenários expandem o pensamento. Se as pessoas desenvolverem uma variedade de resultados possíveis, pensarão de forma mais abrangente. Ao demonstrar como, e por que, as situações poderiam ficar rapidamente melhores ou
Figura 3—Fatores de risco em detalhes
Fonte: ISACA, The Risk IT Practitioner Guide, EUA, 2009
• Fatores de mercado/ econômicos• Velocidade de mudança• Setor/concorrência• Situação geopolítica• Ambiente regulatório• Status e evolução de tecnologia
Fatoresambientais
externos
• Importância estratégica de TI• Complexidade da TI• Complexidade da entidade• Grau de mudança• Capacidade de gestão de mudanças• Gestão de riscos filosofia e valores• Modelo operacional• Prioridades estratégicas
Fatoresambientais
internos
(Risk IT)• Governança de riscos• Avaliação de riscos• Resposta ao risco
Capacidadede gestãode riscos
(COBIT)• Planejar e organizar• Adquirir e implementar• Entregar e suportar• Monitorar e avaliar
Capacidadede TI
(Val IT)• Governança de valor• Gestão de portfólio• Gestão de investimento
Capacidadecorporativarelativa a TI
• Leia a publicação da ISACA Global Status Report on the Status of Governance of Enterprise IT (GEIT)—2011
www.isaca.org/research• Junte-se a esse autor na conferência 2011 Asia-
Pacific CACS em Dubai, nos Emirados Árabes Unidos, onde ele ministrará um workshop sobre gestão de riscos de TI e a utilização do modelo de Risk IT da ISACA, e na conferência 2011 EuroCACS em Manchester, Inglaterra, RU
www.isaca.org/asiacacswww.isaca.org/eurocacs2011• Acesse o tópico Risk Management (Gestão de
riscos) no Centro de conhecimento da ISACA
www.isaca.org/knowledgecenter
4 ISACA JOURNAL VOLUME 2, 2011
piores, elas se preparam melhor para a gama de possibilidades que o futuro pode trazer.
Segundo, os cenários revelam futuros inevitáveis ou quase inevitáveis. Ao desenvolver cenários, as pessoas buscarão resultados predeterminados, principalmente cenários inesperados, que costumam ser a origem mais poderosa de novo conhecimento revelado no processo de desenvolvimento de cenários.
E, por último, os cenários protegem contra o ‘pensamento de grupo’. Geralmente, a hierarquia de uma organização inibe o fluxo livre de debate. Os funcionários aguardarão (principalmente em reuniões) o executivo sênior declarar sua opinião antes de arriscar-se dizendo a sua própria, que, então, magicamente espelha a do executivo sênior. Os cenários permitem que a organização se livre dessa armadilha fornecendo um ‘porto seguro’ político para pensamentos contrários.
Os cenários não fornecerão todas as respostas, mas ajudarão os executivos a fazerem perguntas melhores e a se prepararem para o inesperado. Isso os tornam uma ferramenta extremamente valiosa, de fato.
NOTAS FINAIS1 ISACA, The Risk IT Framework, EUA, 20092 ISACA, The Risk IT Practitioner Guide, EUA, 20093 Análise de riscos é a estimativa real da frequência e
magnitude/impacto de um cenário de riscos. Avaliação de riscos é um termo ligeiramente mais amplo e inclui as atividades preliminares e auxiliares à análise de riscos,
ou seja, identificação de cenários de riscos detalhados e definição de respostas.
4 The Risk IT Practitioner Guide fornece uma lista de cenários de riscos genéricos de TI. Essa lista pode ser usada como base para a criação do próprio conjunto de cenários de riscos relevantes da empresa.
5 Entidades críticas merecem ter cenários de riscos definidos detalhadamente; entidades não críticas podem ter cenários genéricos que não foram elaborados com tantos detalhes. Observe que a entidade pode ser uma unidade organizacional, mas também pode ser algo interorganizacional, como, por exemplo, um grupamento de processos e atividades corporativos.
6 ‘Gerenciável’ não significa um número fixo, mas deve estar alinhado à importância geral (tamanho) e à importância da unidade. Não há regra geral. No entanto, se cenários forem razoavel e realisticamente delimitados, a empresa deverá esperar desenvolver pelo menos algumas dezenas de cenários.
7 Os fatores de risco são discutidos em detalhes no The Risk IT Practitioner Guide.
8 Algumas orientações e considerações sobre o desenvolvimento e a manutenção de números gerenciáveis de cenários relevantes podem ser encontradas no The Risk IT Practitioner Guide.
9 Baseado em Roxburgh, Charles; ‘The Use and Abuse of Scenarios’, McKinsey Quarterly, novembro de 2009
Figura 4—Componentes do cenário de riscos de TI
Fonte: ISACA, The Risk IT Framework, EUA, 2009
+
+ +
+Cenáriode risco
Tipo de ameaça• Malicioso• Acidental/erro• Falha• Natural• Requisito externo
[Ator]• Interno (equipe, contratado)• Externo (concorrente, desconhecido, parceiro de negócios, regulador, mercado)
Evento• Divulgação• Interrupção• Modificação• Roubo• Destruição• Projeto ineficiente• Execução ineficiente• Normas e regulamentações• Uso inapropriado
Ativo/recurso• Pessoal e organização• Processo• Infra-estrutura (instalações)• Infra-estrutura de TI• Informações• Aplicativos
Hora• Duração• Tempo da ocorrência (crítica, não-crítica)• Tempo para detectar