sexta-feira, 10 de abril de 2009

Gestão de Riscos: Uma Avaliação do Risk IT Framework do ISACA/ITGI


Risco não é um conceito novo. A Teoria Moderna das Carteiras (base do que conhecemos como riscos corporativos) originou-se do trabalho pioneiro de Markowitz por volta de 1950 e ainda é muito estudada em Finanças Corporativas e MBA’s pelo mundo afora. Esta teoria está baseada nos conceitos de retorno e risco. Risco assumiu sua justa posição de destaque somente mais recentemente, seguindo-se a escândalos internacionais, como aqueles envolvendo nomes como Barings Bank (1997), Enron (2001) e mais recentemente com o Lehman Brothers e AIG.
Os três conceitos fundamentais para qualquer investidor são retorno, incerteza e risco. Retorno pode ser entendido como a apreciação de capital ao final do horizonte de investimento. Infelizmente, existem incertezas associadas ao retorno que efetivamente será obtido ao final do período de investimento. Qualquer medida numérica desta incerteza pode ser chamada de risco. Retorno e risco estão presentes em qualquer operação no mercado financeiro e também em tecnologia da informação. Existe um ditado antigo: “no risk, no fun”. Se o retorno é alto, geralmente o risco acompanha. Enquanto a definição de retorno é intuitiva, o mesmo não se pode dizer sobre risco. Isto porque o risco é um conceito “multidimensional” que cobre quatro grandes grupos:
  • Risco Operacional
  • Risco de Mercado
  • Risco de Crédito
  • Risco Legal
Vários frameworks foram desenvolvidos para riscos corporativos, sendo os mais conhecidos o VAR – Value at Risk e o COSO Enterprise Risk Management, assim como softwares para gerenciar estes riscos. Alguns sistemas mais conhecidos e que tive contato são o Risk Metrics e Corporate Metrics do JP Morgan, utilizados pela maior parte das instituições financeiras mundiais e por empresas como a Braskem e também o Risk Navigator, utilizado no Brasil pela Vale do Rio Doce. No que se refere a riscos operacionais e, sendo mais preciso, aos riscos de tecnologia da informação, existem alguns frameworks conhecidos como o NIST Risk Management e a ISO/IEC 27005.
Eis que chega mais um modelo no mercado e que eu gostaria de compartilhar com os colegas da CPM Braxis. Trata-se do Risk IT do ISACA. Este novo framework foi lançado em fevereiro/2009 e ainda está em formato de draft para consulta e contribuição por parte dos seus associados. A audiência deste modelo são os CIOs, CSOs, CFOS e Gestores de Negócios em geral. O Risk IT inclui três áreas de conhecimento: Risk Governance, Risk Evaluation e Risk Response. O framework é bastante extenso. As três áreas de conhecimento são desdobradas em 46 processos. Uma breve descrição de cada uma delas é mostrada abaixo:

1. Risk Governance
  • Estabelecer e manter uma visão comum dos riscos
  • Integração com Gerenciamento de Riscos Corporativos
  • Incluir consciência de riscos nas decisões de negócios
2. Risk Evaluation
  • Coleta dados
  • Analisar os riscos
  • Manter um perfil dos riscos.
3. Risk Response
  • Articular os Riscos
  • Gerenciar os Riscos
  • Reagir aos Eventos
Fazendo uma analogia com o modelo do NIST, Risk Evaluation (Risk IT) está bem próximo do Risk Assessment. O Risk Response (Risk IT) está alinhado com os processos de Risk Mitigation do NIST. Comparando também com a ISO 27005, o Risk Evaluation (Risk IT) está relacionado ao Risk Assesment / Risk Analysis. Já o Risk Response (Risk IT) pode ser relacionado ao Risk Treatment / Risk Acceptance. A ISO 27005 também utiliza outros processos como Risk Communication e Risk Monitoring and Review que também podem ser relacionados ao Risk Response. O interessante da ISO 27005 é que os processos são colocados dentro de um PDCA (a exemplo de outras normas ISO). O NIST Risk Management possui uma extrema facilidade de entendimento e aplicação. Já uma vantagem do Risk IT é que, seguindo a linha do CobiT, para cada processo são apresentadas metas vinculadas com indicadores de negócio, processo, e de atividades, matriz RACI, input/output etc.

A diferença maior do Risk IT em relação aos demais modelos está no conceito de Risk Governance ou alinhamento do risco de TI com os demais riscos corporativos. Outra vantagem é a sua total integração com o CobiT v4.1 (Governança de TI) e Val IT (Gestão de Valor em TI). Por trás de todas as interfaces está o know-how do ITGI/ISACA. Não percebi em outros modelos que eu conheço um nível de sinergia tão forte para tomada de decisões em riscos de TI. A área de Risk Governance envolve alguns processos como Accountability de Riscos e Adaptação dos riscos de TI com os riscos organizacionais.O processo de conectar os riscos operacionais de TI com os riscos corporativos (financeiro, crédito e legais) ajuda a formar uma visão comum da visão dos riscos. Também foram montados processos para realizar o relacionamento com o COSO ERM.



Conforme mostrado na figura acima, o relacionamento do Risk IT com o Cobit e com o Val IT funcionará da seguinte forma: As atividades de TI e os eventos relacionados são controlados pelo Cobit, os quais são avaliados quanto aos seus riscos e oportunidades, gerando informações para a Gestão dos Riscos (IT Risk) e Gestão de Valor (Val IT), responsáveis pela diretrizes. Na figura abaixo, apresento o modelo geral com todos seus processos e relacionamentos necessários.




Após as contribuições, o objetivo do ITGI / ISACA será lançar o framework ainda neste ano de 2009. Na minha opinião, será muito útil em termos de complementação aos modelos existentes. Vamos esperar para ver.

Nenhum comentário:

Postar um comentário

Postar um comentário