Governança e a Gestão de Riscos em TI
Vamos falar hoje sobre um assunto que vem ganhando muita atenção nestes últimos tempos, isto em função das constantes transformações que as organizações estão inseridas(também em TI) e nesta economia globalizada e instável que estamos vivendo: a gestão de riscos de TI.
Para antes entrar efetivamente no assunto, vamos primeiramente entender o que é um risco. Segundo a Wikipédia “O termo Risco é utilizado para designar o resultado objetivo da combinação entre a probabilidade de ocorrência de um determinado evento, aleatório, futuro e que independa da vontade humana, e o impacto resultante caso ele ocorra. É também uma a probabilidade de ocorrência de um determinado evento que gere prejuízo econômico.”
Bom, acredito que o final da explicação “prejuízo econômico” já nos diz tudo. Podemos dizer que as empresas assumem riscos ao colocar produtos ou serviços novos no mercado. Um risco pode ser classificado como uma oportunidade e/ou uma ameaça. Uma empresa corre o risco de ganhar muito dinheiro com o novo produto/serviço (oportunidade) ou corre o risco de ter um grande prejuízo (ameaça). Grande parte dos riscos fogem do controle das empresas, portanto, a única opção é ter planos para caso os riscos se tornem verdade. A importância de se analisar os riscos cresce a cada dia. Um exemplo é o que está acontecendo no momento, às bolsas brasileiras sendo afetadas pelas crises da Grécia e Irlanda. O mundo globalizado é isto.
Os termos “risco”, “análise de risco”, “gestão de risco” vem ganhando espaço dentro das organizações. Podemos dizer que praticar Governança seja ela empresarial, seja de TI ou de outra área, também é através ferramentas, processos e estruturas organizacionais diminuir os riscos de algo inesperado e ruim acontecer.
Na área de TI, podemos encontrar referências sobre como mitigar/controlar riscos no PMBOK, ITIL, COBIT entre outros frameworks. Temos frameworks focados em gestão de riscos como o M_O_R da OGC (https://www.mor-officialsite.com/home/home.asp) que é a mesma mantenedora da ITIL e o Risk IT (https://www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages/Risk-IT1.aspx) que foi concebida pela ISACA, mesma mantenedora do COBIT.
Um dos acontecimentos mais conhecidos relacionados à mitigação de riscos é o “Acordo de Basiléia I” de 1988 na cidade de Basiléia na Suíça. O acordo de Basiléia tem o objetivo de fixar índices, criando uma padronização financeira mundial, tendo como objetivo diminuir o risco operacional, e conseqüentemente o risco das instituições financeiras “quebrarem”. Um exemplo do acordo é que os bancos só podem emprestar 12 vezes o valor de seu capital e reservas. Em 2004 o acordo ganhou sua segunda versão, o Basiléia II, trazendo melhorias nas regras estabelecidas. Existem uma série de outras regras, entre elas regras que impactam diretamente a área de TI.
Alguns pontos que o Acordo Basiléia II impacta em TI são: capacidade de armazenamento de dados, integridade das transações, segurança, contingência, planejamento da capacidade, integridade na emissão de relatórios entre outros.
A Gestão de Riscos de TI precisa estar no dia-a-dia dos CIOs através de: processos que precisam ser implementados para mitigação de riscos, ajustes na estrutura organizacional para acomodar estes novos processos, definição de indicadores “de riscos”, incluir a análise de riscos no Plano Diretor de TI ou Plano de Tecnologia da Informação, fazendo com que este assunto seja recorrente dentro da TI.
A primeira norma mundial (similar a ISO) referente Gestão de Riscos é a AS/NZS 34, elaborada em 1999. As etapas da gestão dos riscos são divididas em 2 fases: Identificação e avaliação.
Fase 1) Identificação
Estabelecimento do contexto: Relacionada ao escopo da avaliação que será realizada. Dentro de qual cenário o risco será analisado. Exemplo: E se uma enchente ocorrer em Blumenau?
Identificação de Riscos: É identificar o que pode dar errado dentro do escopo definido. O que uma enchendo afetaria na nossa organização para clientes e colaboradores?
Análise dos Riscos: Quais as conseqüências do risco caso ocorra. Dentro da análise dos riscos, temos 2 sub-atividades:
Análise qualitativa dos riscos: Identificar o impacto que certo risco poderá trazer para a organização e qual a probabilidade dela ocorrer.
Análise quantitativa: Estimar em valores $$ o quanto este risco poderá custar para a organização.
Fase 2) Avaliação
Plano de Resposta aos Riscos: Diante de um risco pode-se tomar 4 tipos de ação.
Evitar: Tomar uma ação para evitar totalmente um risco. Por exemplo, proibir o acesso a internet dentro da organização. Isto evita que vírus sejam copiados da internet.
Transferir: Pode-se transferir o risco para um terceiro. Exemplo: passar a administração de um servidor para um terceiro, e colocar em contrato penalidades caso o acordo estabelecido não seja cumprido.
Mitigar: Tomar ações para minimizar riscos. Exemplo: Limitar o uso da internet para alguns sites confiáveis somente.
Aceitar: Existem alguns riscos que são tão caros de serem “combatidos” que vale mais á pena aceitar o risco e ter um “plano B” para caso o mesmo ocorra. Exemplo: Guardar backup fora da empresa caso algum sinistro ocorra. Isso é geralmente utilizado pois o custo de se ter uma estrutura de TI de continuidade a parte não justifica (que é a realidade da maioria das organizações). Guarda-se somente um backup fora da empresa para restaurar o ambiente caso o sinistro ocorra.
Monitorar e controlar os Riscos: Acompanhar o dia-a-dia, fazendo o monitoramento dos riscos atuais e identificando novos riscos. Esta etapa também tem o objetivo de verificar se as políticas e procedimentos quanto a gestão dos riscos estão sendo seguidas. Também os indicadores referentes riscos são acompanhados nesta etapa.
Bem, a gestão de riscos é um processo importante e contínuo, e deve fazer parte da estratégia das organizações, já que como sabemos, os riscos de TI, não são de responsabilidade somente de TI, mas sim de toda a organização, principalmente dos tomadores de decisão.
Emerson Dorow
Certificado em ITILv2 Foundation, Cobit v4.1 Foundation, Linux Professional Institut.
PROFISSIONAIS DE TI.COM