Gestão de Riscos de Tecnologias de Informação – a framework Risk IT O dia-a-dia das empresas é cada vez mais pautado pela gestão das diversas tipologias de riscos – como o risco de mercado, risco de crédito ou o risco operacional – sendo cada vez mais frequente a sua incorporação nos processos de decisão das organizações, muito em especial nas que operam em sectores como o financeiro ou o segurador. No entanto, muito embora se trate de uma tipologia de risco com influência directa nos negócios (cada vez mais automatizados e dependentes de Informação), o risco de Sistemas de Informação continua a ser relegado para áreas técnicas, com pouca visibilidade para a gestão. Para endereçar este desafio das organizações, a ISACA desenvolveu uma framework a que chamou Risk IT. Com este artigo procuraremos apresentar a framework e demonstrar as vantagens da sua adopção pelas organizações, quer seja de forma isolada ou em articulação com as demais frameworks da ISACA como sendo o CobiT ou o Val IT. Visão geral da framework Risk IT A framework Risk IT surgiu para colmatar a necessidade de alinhamento dos riscos de Tecnologias de informação com os objectivos globais da organização, identificando os princípios basilares para uma gestão efectiva do risco de Tecnologias de Informação. Esta framework complementa a framework CobiT na medida em que, enquanto o CobiT disponibiliza um conjunto de objectivos de controlo associados a processos nas áreas de IT, o Risk IT é responsável pela identificação e gestão dos riscos de IT: ou seja, se o CobiT é o automóvel, o Risk IT é o mapa que permite conduzi-lo até ao destino. Esta framework preenche as lacunas de outras mais genéricas de gestão de risco (ex. COSO ERM, ISO 31000) e ainda de outras frameworks mais detalhadas, tipicamente relacionadas com segurança de informação. O Risk IT é composto por dois documentos: o Risk IT Framework e o Figura 1 - Complementaridade do Risk IT com CobiT e Val IT. Fonte: ISACA Risk IT Practitioner Guide, disponíveis em http://www.isaca.org para utilizadores registados. O modelo de processos O documento Risk IT Framework descreve os princípios basilares da framework e organiza-os num modelo de processos para a gestão do risco de TI, de forma similar ao modelo de processos descrito na framework CobiT. Cada processo Risk IT é caracterizado pelas seguintes componentes: Actividades-chave; Responsabilidades; Fluxos de informação entre processos; e Gestão da performance do processo (objectivos e métricas). O modelo está dividido em três domínios, cada qual contendo três processos: Domínio Processo 1. Governance do 1.1 Estabelecer e Manter uma Visão Comum sobre o Risco risco 1.2 Integrar com Enterprise Risk Management (ERM) 1.3 Incorporar o risco nas decisões de negócio 2. Avaliação do risco 2.1 Obtenção de dados 2.2 Análise do risco 2.3 Manutenção do perfil de risco 3. Resposta ao risco 3.1 Comunicação do risco 3.2 Gestão do risco 3.3 Reacção a eventos Tabela 1 - Domínios e processos Risk IT Para os três domínios, o documento apresenta também um modelo de maturidade, permitindo a avaliação das seguintes características: Conhecimento e comunicação; Responsabilidade; Definição e medição de objectivos; Políticas, standards e procedimentos; Experiência; e Ferramentas e automatismos. Manual prático para a implementação O Risk IT Practitioner Guide é um documento de apoio à framework que apresenta exemplos de técnicas para descrever, comunicar e avaliar o risco de TIs, bem como detalhe adicional sobre a forma de abordar os conceitos inerentes ao modelo de processos. Os conceitos e técnicas que são explorados em maior detalhe incluem: A construção de cenários de risco, tomando por base um conjunto genérico de cenários de risco de TI; A construção de um mapa de risco, usando técnicas que descrevem o impacto e a frequência dos cenários; A construção de critérios de impacto de acordo com a sua relevância para o negócio; A definição de Key Risk Indicators (KRIs); e A utilização do Cobit e do Val IT para mitigar risco e as ligações entre estas três frameworks. Case Study - MetLife melhora a gestão de risco Sobre a empresa A MetLife, Inc. (www.metlife.com) é uma companhia líder mundial em seguros de vida, capitalização, acidentes pessoais e benefícios a colaboradores de empresas, servindo mais de 90 milhões de clientes em mais de 60 países. Enquadramento e benefícios do Risk IT A MetLife tem programas robustos de gestão de risco operacional e está focada na melhoria contínua de forma a garantir o melhor nível de protecção possível. A gestão do risco operacional nunca foi tão importante como actualmente e, como líder na indústria seguradora, a MetLife considera como fulcral a adequada gestão dos riscos dos seus clientes, stakeholders e do seu risco reputacional. Muito embora todos os negócios estejam expostos a algum nível de risco, foi o cuidado prestado pela MetLife na gestão dos riscos da sua actividade que fizeram destacar esta empresa face à concorrência. A implementação de processos de gestão de risco de TI e o facto de estes estarem embebidos nos processos de negócio permitiu à Metlife reduzir as perdas operacionais, garantir eficiência nos seus investimentos, reagir rapidamente às mudanças no ambiente de negócios e concentrar recursos nas áreas de alto risco. Desta forma, quando a ISACA lançou a versão draft da framework Risk IT, os gestores de risco da MetLife compararam esta framework com as práticas de gestão de risco de TI que usavam, com o objectivo de identificar áreas de melhoria para os seus programas de gestão de risco. Aquando da publicação do draft final da framework, os profissionais de gestão de risco de TI da Metlife utilizaram os documentos de forma a criar uma framework específica de gestão de risco. Muito embora esta framework da ISACA fosse de fácil entendimento pelos técnicos de gestão de risco, a framework da Metlife utilizou terminologia interna, resumiu algumas áreas e detalhou outras, de modo a que o documento fosse facilmente entendido e utilizado em toda a companhia. Esta versão feita “à medida” permitiu à Gestão compreender, avaliar e comunicar de forma consistente todos os aspectos da gestão de riscos de TI pela empresa, assegurando a ligação dos riscos de TI e a sua ligação às actividades operacionais do negócio. De forma semelhante à framework Risk IT, a framework específica da MetLife agrupou os processos em três domínios (Governance do risco, Avaliação do risco e Resposta ao risco), detalhando cada processo em actividades cuja implementação permite alcançar os objectivos de cada um destes domínios. Adicionalmente, foi desenvolvida uma matriz de responsabilidades (RACI) para cada actividade e métricas, que podem ser usadas para monitorizar as actividades de gestão de risco e o nível de conformidade com as políticas e standards de gestão de risco. Após elaborarem o draft da Framework, os gestores de risco de TI, em coordenação com a Auditoria Interna, realizaram uma análise da maturidade de forma a identificar processos e actividades prioritários para as acções de melhoria. O Grupo de Gestão de Risco de TI e Compliance criou um road map de melhoria a três anos com o foco na convergência de actividades de gestão de risco. Esta estratégia permitiu evoluir no sentido da uniformização dos processos e da diminuição de redundâncias, incrementando a eficiência e eficácia dos processos. A supervisão da execução do road map ficou a cargo de um grupo composto pelas aras de Gestão de Risco Operacional, Auditoria Interna, Gestão de Risco de TI e Compliance. Por último - e factor crítico de sucesso da iniciativa - o plano foi apresentado à Comissão de Auditoria e à Gestão de topo de TI, de forma a obter o patrocínio aos esforços de melhoria contínua. Planos para o futuro O Grupo de Gestão de Risco de TI e Compliance da MetLife planeia utilizar a MetLife IT Risk Management Framework de forma a avaliar anualmente a maturidade dos processos, actualizando de forma contínua o road map com base nos resultados da análise, nos requisitos regulatórios, nos recursos disponíveis e nos objectivos de maturidade dos processos que sejam determinados pela Gestão. Conclusão Com o framework Risk IT a ISACA disponibiliza uma ferramenta valiosa que, muito embora tenha uma solidez teórica baseada nos modelos comummente aceites – COSO, ISO 31000 – tem características muito práticas e adaptáveis a todas as organizações. O modelo foi desenhado para ser adaptado aos requisitos de cada organização e os processos propostos são adaptáveis à gestão de riscos de TI e não só. O Risk IT é um útil e pragmático “livro de receitas” para gerir eficazmente o risco em qualquer organização. José Tinoco, CISA, CIA, CFE, ISO 27001 LA ISACA Lisbon Chapter Industry Officer Informação extraída de materiais disponibilizados pela ISACA no site http://www.isaca.org, acedido em 17 de Maio de 2011. Tradução e adaptação da responsabilidade do autor.