Risco não é um conceito novo. A Teoria Moderna das Carteiras e da Diversificação, que se originou do trabalho pioneiro de Henriy Markowitz no inicio da década de 50, visava basicamente a eliminação do risco não sistemático. Logo após, Willian Sharpe introduziu os conceitos de risco e retorno com a precificação de ativos (CAPM). Em linguagem popular: No risk, no fun. Bem, o risco cobre quatro principais grupos: Operacional, Mercado, Crédito e Legal. Nos tempos em que estudava na FIPE / USP (Fundação Instituto de Pesquisas Econômicas) minhas fontes favoritas no assunto eram os livros de Jorion (Value at Risk), Damodaram e também Corporate Finance de Ross, Westerfield e Jordan. Meu professor de Gestão de Investimentos brincava que riscos poderia ser traduzido como desvio padrão. Simples assim. Qualquer medida numérica da incerteza poderia ser chamada de risco. Em outras palavras, o grau de dispersão dos possíveis resultados em termos do valor esperado é uma medida de risco. Já o Coeficiente de Variação indica o risco por unidade de retorno esperado e é obtido pela relação 
desvio-padrão e a média aritmética da amostra (ou população). Em Finanças Corporativas aprendi também que o Risco Total é a soma do Risco Sistemático ou Conjuntural (não diversificável e que apresenta comportamento do ativo frente a eventos de natureza política, econômica e social) e o Risco Não Sistemático (diversificável e próprio de cada ativo).Bem, e quanto à Riscos de TI. O Risco em serviço de TI enquadra-se no conceito de Risco Operacional. Riscos Operacionais envolvem riscos de produção, segurança, tecnologia da informação, obsolescência, capacidade, confiabilidade, equipamentos, fraudes, qualificação, regulamentação, requisitos etc. Há algumas décadas atrás não havia uma preocupação maior com esse tipo de risco. Termos regulatórios como a Sarbanes-Oxley, PCI, HIPAA, GxP e Basel II forçaram as empresas a observarem melhor os seus riscos operacionais.
Vamos então para a prática de Gestão de Riscos em TI. A cena é mesma. As ocorrências de problemas em segurança da informação ou de entrega de serviços de TI são escaladas para a alta administração. Contrata-se uma equipe interna ou uma consultoria externa. Realiza-se um processo de risk analysis. Elabora-se um plano de ação para os riscos mais graves e implementa-se os controles necessários, baseado no que foi identificado. Mas, e quanto à gestão contínua dos riscos, o dia-a-dia, como deveria funcionar? alguns frameworks ajudam na rotina diária de gestão de riscos de TI, a exemplo do VAR, ISO 27005, NIST SP800-30, ISO 31000, Risk IT e COSO ERM. Ferramentas ajudam a automatizar (Corporate Metrics, Risk Navigator, CA GRC). Dos modelos, o NIST SP800-30 é um dos mais simples e objetivos para uso em Risk Management.
A gestão diária dos riscos é muito importante. É mais do que um simples risk assessment do que ocorreu, elaboração de um plano de ação e tentativas de colocar em prática o planejado. Em uma matéria na revista HBR de outubro/2009, professores da NYU sugeriram que a gestão moderna de riscos envolve reduzir o
impacto daquilo que não entendemos e não criar técnicas sofisticadas para prever o ambiente futuro, baseado em análise do passado. Não vivemos no mundo para o qual o típico manual ou uma norma de gestão de riscos nos prepara. Eventos de baixa probabilidade e alto impacto, impossíveis de prever, são cada vez mais comuns. Por causa de internet e da globalização, o mundo virou um sistema complexo. Em vez de tentar antecipar esses eventos, devíamos reduzir nossa vulnerabilidade a esse tipo de fenômeno. O Gerente de Riscos erra em fazer um risk analysis olhando no retrovisor para enxergar o futuro. Pesquisas da Universidade de Harvard (HBR out/2009), sugerem que eventos passados não guardam relacionamento com os riscos futuros. Governança, Fundamentos Sólidos de TI e Forte Cultura de Riscos são requisitos fundamentais para uma efetiva Gestão de Riscos.
Isaca Journal, Mar/2010
Em um artigo publicado no ISACA Journal em mar/2010 (edição totalmente dedicada à gestão de riscos), Westerman e Barnier relatam que uma efetiva gestão de riscos compreende um processo de governança de riscos, fundamentos sólidos da TI e também uma cultura em riscos. Essas ações melhoram os fundamentos de controle e gestão de TI e dos riscos. A governança de riscos compreende um conjunto de políticas, processos, indicadores de riscos, auditorias e regras que permitem à organização, comitês e gestores tomarem as decisões corretas sobre os riscos de TI. O comprometimento dos stakeholders presume envolvimento contínuo e provisão de informações de fornecedores, clientes, funcionários e parceiros na Gestão de Riscos. Problemas relacionados a riscos residem em fundamentos imaturos de TI, a exemplo de ausência de controle na gestão de mudanças, testes e release, gestão ineficiente dos ativos, identidades e pessoas ou ausência de um eficiente gerenciamento de ameaças. O uso de práticas e padrões como Cobit, ISO 27001, ITIL / ISO 20000, CMMI, PMBoK e outros ajudam em uma gestão eficiente desses fundamentos.
Já uma cultura de riscos não deve ser considerada apenas como treinamentos em conscientização, mas também liderança, comunicação constante e realização de eventos sobre o tema riscos. Dessa forma todos reconhecerão que o risco faz parte das suas atividades e evitá-los ou mitigá-los é o objetivo. Abre também uma discussão colaborativa sobre o tema riscos e também ajuda no trabalho conjunto para o funcionamento correto dos controles internos. O objetivo é uma gestão eficiente dos riscos, no seu dia-a-dia e também uma melhor gestão de TI. Eis um bom tema para debate.
Nenhum comentário:
Postar um comentário