Classificação da Informação
e
Gestão dos Riscos
[email protected]
1
Administração: Gestão (Aurélio)
Pela Administração:
Administrador – administra e organiza a
realidade atual (nível tático)
Gestor – planeja e cria negócios e processos
(nível estratégico).
Gerenciamento: Dirigir (Aurélio)
Pela Administração:
Diretor, Gestor (nível estratégico)
Gerente (nível tático)
É desejável que todos
sejam gestores de suas atividades!
2
Tipos de Gestor
Reativo: que reage
Ativo: que age
Proativo: que antecipa, muda o curso
Contemplativo: que medita
Os administradores hábeis na leitura da vida organizacional
têm a capacidade de permanecer abertos e flexíveis,
substituindo julgamentos consolidados e pré-estabelecidos
por uma visão mais abrangente da situação.
3
“Não se gerencia o que não se mede,
não se mede o que não se define,
não se define o que não se entende,
não há sucesso no que não se gerencia.”
William Edwards Deming, 1900 - 1993
(professor americano de gestão da qualidade)
4
Gestão de Riscos
“O maior risco é crer que não há riscos”.
“Uma corrente é tão segura
quanto seu elo mais fraco”.
5
Definições
Segurança: estado, qualidade ou condição de seguro.
Condição daquele(ilo) em que se pode confiar. Certeza,
firmeza, convicção [Aurélio].
Um sistema é seguro se ele se comporta da forma que
você espera que ele o faça.
Segurança Corporativa resume-se a uma série de
soluções técnicas para problemas não técnicos. É um
mecanismo que providencia meios para reduzir as
vulnerabilidades existentes.
6
Gestão de Riscos
Escopo
Segurança envolve (contexto):
 Tecnologia,
 Processos
 Pessoas e
 Aspectos Jurídicos.
Segurança envolve:
 Segurança Financeira;
 Segurança Patrimonial;
 Segurança de produtos, processos, projetos e Informações.
7
Importância da Segurança
Princípio básico:
Não existe sistema totalmente seguro!
• Quanto vale um ativo para uma instituição?
• Sem um ativo uma instituição
sobreviver? Por quanto tempo?
pode
• O que exatamente precisa ser protegido?
8
Objetivos
da Segurança da Informação
(Propriedades da Informação)
 Confidencialidade
 Autenticação
 Não repúdio
 Integridade
 Disponibilidade
Legalidade
9
Ameaças
 Naturais
 Involuntárias
 Voluntárias
10
Riscos envolvendo Informações
• De forma geral, os mesmos riscos presentes em
um ambiente de grandes computadores também
existem em ambientes de microcomputadores
ou redes.
• Nem todos os riscos relacionados com o
processamento de informações surgiram com o
advento dos computadores; entretanto, estes
contribuíram sobremaneira para o seu
agravamento.
11
Exemplos de Riscos
– Obscuridade das Informações
Devido ao fato de não serem “vistas” diretamente, tais informações são
de controle mais difícil e podem ser facilmente roubadas ou
fraudadas.
– Falta de Controle
– Retenção
Como as informações em papel (que só desaparecem quando o papel é
destruído) as informações armazenadas em meios magnéticos
podem ser roubadas ou fraudadas se não forem destruídas a
contento.
– Introdução de Erros
“O lixo que entra é o lixo que sai”. Na realidade, o lixo que sai é maior,
pois os computadores têm o poder de multiplicação.
12
Principais Riscos Operacionais
1. Risco de liquidação.
Refere-se a problemas no sistema de pagamentos. Ele ocorre quando
uma das partes não recebe seu direito no vencimento da
operação/transação.
2. Risco humano.
É associado à tomada de decisão no processo, suas principais causas
são:
a) Autoconfiança excessiva;
b) Estresse;
c) Ingenuidade;
d) Carência Afetiva...
3. Risco de controle interno inadequado ou insuficiente.
Decorre da falta de consistência e adequação dos sistemas de controle
interno e dos sistemas de processamento e informações. A
controladoria procura avaliar esse tipo de risco.
13
Riscos Operacionais
4. Risco inadequado para gestão dos negócios.
Fatores geradores destes riscos são processos inadequados de:
alçadas e limites da área de tecnologia para alteração de programas;
• suporte tecnológico para novos negócios;
• atualização do parque tecnológico para garantir a entrega dos produtos
e serviços da instituição;
• testes nos sistemas internos, tanto em ambiente de desenvolvimento,
quanto de homologação;
• relacionamento entre tecnologia e área de negócios; dentre outros.
5. Risco sistêmico.
Decorre de problemas que uma ou mais instituições passam a enfrentar e
que podem afetar negativamente o próprio sistema em que elas
transacionam por transmitir dificuldades a outras instituições. A atuação
das autoridades reguladoras procura evitar esse tipo de risco para o
sistema.
6. Risco de Fraude.
Relativo ao inadequado registro contábil. A governança corporativa e sua
14
adequada utilização minimizam consideravelmente esse risco.
Riscos Operacionais
7. Risco legal.
Decorre de questionamentos jurídicos referentes às transações da
instituição, que podem gerar perdas ou contingências não-previstas
quando da realização da transação. Como:
• Falta ou insuficiência de definição legal quando da realização da
transação – risco contratual;
• Perdas em processos judiciais – análise e defesa inadequadas;
• Perdas com alteração na regulamentação quando da realização da
transação – risco de regulamentação.
8. Risco reputacional ou de imagem.
Decorre da veiculação de informações que afetam negativamente a
imagem da instituição, colocando em risco a manutenção de cliente e a
realização de transações com os mesmos. A área de marketing se
encarrega de avaliar esse tipo de risco. Medidas para afastar esse
risco:
• pesquisa periódica com clientes, autoridades e concorrentes para
saber como está a aceitação da marca da instituição;
• análise de notícias divulgadas na mídia sobre a instituição;
• gerenciamento do relacionamento com autoridades reguladoras;
• foco no atendimento às reclamações de clientes, inibindo-as na
15
origem.
Uma previsão é uma afirmativa ou
inferência sobre o futuro, usualmente
baseada em informação histórica.
16
Planejamento, predição e previsão
Planejamento: processo lógico que descreve as atividades
necessárias para ir do ponto no qual estamos até o objetivo
definido.
Predição: processo para determinação de um acontecimento
futuro baseado em dados completamente subjetivos e sem
uma metodologia de trabalho clara.
Previsão: processo metodológico para determinação de
dados futuros baseados em modelos estatísticos, matemáticos
ou econométricos ou ainda em modelos subjetivos apoiados
em metodologia de trabalho clara e previamente definida.
17
Definição de Risco
Aurélio
1. Perigo ou possibilidade de perigo.
2. Situação em que há probabilidades mais ou menos
previsíveis de perda ou ganho como, p. ex., num
jogo de azar, ou numa decisão de investimento.
3. Em contratos de seguros, evento que acarreta o
pagamento da indenização: a apólice cobre o risco
de incêndio.
4. Possibilidade de perda ou de responsabilidade pelo
dano.
18
Risco de Projeto
(PMBOK 2000 ISO 10.006)
• Evento ou condição incerta que, se ocorrer,
tem um efeito positivo ou negativo sobre o
objetivo do projeto.
– Ameaças aos objetivos do projeto
– Oportunidades de melhorias desses
objetivos
• Um risco tem uma causa e, se o risco ocorrer,
uma conseqüência.
19
Tipos de Riscos de Projeto
• Riscos conhecidos
– Identificados e analisados
– Pode-se planejar como lidar com esses riscos
• Riscos desconhecidos
– Só podem ser gerenciados através de planos de
contingência gerais, baseados em experiência prévia
20
Gerenciamento de Riscos
• Processo sistemático para identificar, analisar e
responder a riscos de projeto.
– Maximizar a probabilidade e conseqüências de
eventos positivos
– Minimizar a probabilidade e conseqüências de
eventos adversos aos objetivos do projeto.
• Aplica-se também a outras áreas.
• Envolve aspectos subjetivos em graus variados. A
subjetividade irá variar em função do grau de
familiaridade que o avaliador tiver em relação
mecanismo de avaliação.
21
Incerteza
• Um dos principais fatores de risco.
• Associada à falta de informação.
• Fase de planejamento - informação disponível
varia de 40 a 80% da informação necessária para
decisão.
• Nível de incerteza varia ao longo do projeto.
• Exemplos: impasses tecnológicos; tecnologia
disponível; interfaces internas do projeto...
22
23
Processo Análise / Decisão
1. Pró-ativamente
identificar oportunidades
de decisão
2. Definir o problema
3. Identificar alternativas
4. Desenvolver o modelo
decisório
Brainstorming, Análise SWOT (strenghs,
weakness, opportunities and threats –
forças, fraquezas, oportunidades e
ameaças).
Entenda o problema: veja as causas e
não os sintomas.
Avalie os modos de ataque e deixe
os ajustes finos para depois.
Identifique as chances dos eventos, os
relacionamentos, a seqüência. É
aconselhável iniciar pela árvore de
decisão.
A etapa final da análise de risco é a geração do plano de segurança da
organização. Não existe padrão. Deve ser montado em função da organização
para a qual se aplique. Porém, existem preocupações básicas.
24
Gerência de Riscos
Planejamento da Gerencia
dos Riscos
Análise Qualitativa dos
Riscos
Planejamento de
Respostas aos Riscos
Identificação
dos Riscos
Análise Quantitativa
dos Riscos
Controle e Monitoração
dos Riscos
25
Gerência dos Riscos
Planejamento da Gerência dos Riscos
Objetivo: Decidir como abordar e planejar
a gerência de risco no projeto.
• Plano de Gerência dos Riscos: Descreve
como a identificação, a análise
qualitativa e quantitativa, o planejamento
das respostas, a monitoração e o
controle do risco será estruturado e
realizado durante o ciclo de vida do
projeto.
26
Gerência dos Riscos
Planejamento da Gerência dos Riscos
• Plano de Gerência dos Riscos: Descreve
como a identificação, a análise
qualitativa e quantitativa, o planejamento
das respostas, a monitoração e o
controle do risco será estruturado e
realizado durante o ciclo de vida do
projeto.
27
Gerência dos Riscos
Identificação dos Riscos
Objetivo: Determinar o riscos prováveis
do projeto e documentar as
características de cada um.
28
Gerência dos Riscos
Análise Qualitativa dos Riscos
Objetivo: Avaliar o impacto e probabilidade
dos riscos identificados. Este processo
prioriza riscos de acordo com seu efeito
potencial nos objetivos do projeto.
29
Exemplo:
classificação de impactos de riscos
Avaliação do Impacto de um Risco nos Objetivos do Projeto
Objetivo
Muito Baixo
.05
Baixo
.1
Moderado
.2
Alto
.4
Muito Alto
.8
Custo
Aumento de
custo
insignificante
Aumento de
custo <5%
Aumento de
custo 5-10%
Aumento de
custo 1020%
Aumento de
custo > 20%
Prazo
Aumento de
prazo
insignificante
Aumento de
prazo <5%
Aumento de
prazo 5-10%
Aumento de
prazo 1020%
Aumento de
prazo > 20%
Escopo
Diminuição do
escopo quase
que
imperceptível
Áreas de
menor
importância
do escopo
são afetadas
Áreas de
maior
importância
do escopo
são afetadas
Redução do
escopo
inaceitável
para o
Cliente
Término do
projeto é
efetivamente
inútil
Qualidade
Diminuição da
qualidade é
quase que
imperceptível
Apenas
aplicações
muito
exigentes são
afetadas
Redução da
qualidade
requer
aprovação do
Cliente
Redução da
qualidade
inaceitável
para o
Cliente
Término do
projeto é
efetivamente
inútil
30
Gerência dos Riscos
Análise Quantitativa dos Riscos
Objetivo: Analisar numericamente a
probabilidade e o impacto de cada
risco e sua conseqüência nos objetivos
do Projeto, bem como a extensão do
risco global do projeto.
31
Matriz Probabilidade versus Impacto
Escore para um Risco Específico
Probabilidade
Escore = P X I
0,9
0,05 0,09 0,18 0,36
0,7
0,04 0,07 0,14 0,28
0,5
0,03 0,05 0,10 0,20
0,3
0,02 0,03 0,06 0,12
0,1
0,01 0,01 0,02 0,04
0,05 0,10 0,20 0,40
Impacto em um objetivo
0,72
0,56
0,40
0,24
0,08
0,80
Combina probabilidade e impacto para determinar o
risco: baixo, moderado ou alto.
32
Gerência dos Riscos
Planejamento de Respostas aos Riscos
Objetivo: Desenvolver opções e
determinar ações para ampliar
oportunidades e reduzir ameaças aos
objetivos do projeto.
RISCO= Vulnerabilidade x Ameaça x Impacto.
Medidas de segurança
33
Respostas aos Riscos: Estratégias
Prevenção. Evitar o risco, mudar o plano do projeto para eliminar o risco.
•
•
Reduzir escopo;
Adicionar recursos ou prazo.
Transferência. Passar as conseqüências e a responsabilidade de de um risco
para um terceiro.
•
•
•
Não elimina o risco;
Mais efetivo na exposição ao risco financeiro;
Seguros, bônus, fianças, garantias.
Mitigação. Reduzir as conseqüências e/ou probabilidade de um evento de
risco adverso para uma tolerância aceitável, pró-ativamente.
•
•
Custo proporcional à probabilidade e conseqüência;
Realizar testes mais completos; adotar processos menos complexos;
adicionar recursos ou prazo.
Aceitação. Não mudar o plano do projeto para lidar com o risco.
•
•
•
Plano de Contingência (ativa);
A equipe lida com os riscos caso eles aconteçam (passiva);
Estabelecer uma margem de reserva de contingência, incluindo aspectos de
prazo, dinheiro ou recursos (habitual).
34
Respostas aos Riscos: Conceitos
•
Riscos Residuais. Aqueles que permanecem após as
respostas de fuga, transferência ou mitigação.
•
Riscos Secundários. Surgem como resultado da
implementação de uma resposta a um risco.
•
Acordos Contratuais. Responsabilidades das partes.
•
Entradas para outros processos. Tempo, custos, recursos,
etc...
35
Gerência dos Riscos
Controle e Monitoração dos Riscos
Objetivos: Manter rastreabilidade dos riscos
identificados, monitorar riscos residuais e
identificar novos riscos, assegurar a
execução dos planos de risco e avaliar a
efetividade na redução dos riscos.
36
Gerência dos Riscos
Controle e Monitoração dos Riscos
Deve responder:
• As respostas aos riscos estão sendo implementadas
como planejadas?
• As ações de resposta aos riscos são adequadas?
• Ocorreu ou surgiu risco que não foi identificado
previamente?
37
Dicas para Análise de Riscos em Projetos
1. Abordagem
A empresa deve decidir quais abordagens podem ser utilizadas e qual
metodologia é mais adequada para determinada situação ou projeto. A
metodologia é que descreve as características de risco as quais o projeto
está sujeito.
2. Informações
A base para a correta identificação dos riscos está nas informações dos
projetos, obtidos por meio de três fontes: visão dos recursos do projeto,
visão dos clientes e documentação de avanço do projeto.
3. Probabilidades e impactos
Identificados os riscos, impactos e probabilidades de ocorrência do risco
devem ser analisados, orientando o plano de ação.
4. Continuidade
Embora não ocorram como processos isolados, as diferentes partes de
uma empresa possuem impactos e ameaças diferentes diante de cada
risco. O monitoramento deve ser contínuo para se chegar a uma situação
ideal de gestão de riscos.
38