Gestão de Riscos de Tecnologias de Informação – a framework Risk IT
O dia-a-dia das empresas é cada vez mais pautado pela gestão das diversas tipologias de riscos – como o risco de
mercado, risco de crédito ou o risco operacional – sendo cada vez mais frequente a sua incorporação nos processos
de decisão das organizações, muito em especial nas que operam em sectores como o financeiro ou o segurador. No
entanto, muito embora se trate de uma tipologia de risco com influência directa nos negócios (cada vez mais
automatizados e dependentes de Informação), o risco de Sistemas de Informação continua a ser relegado para
áreas técnicas, com pouca visibilidade para a gestão.
Para endereçar este desafio das organizações, a ISACA desenvolveu uma framework a que chamou Risk IT. Com
este artigo procuraremos apresentar a framework e demonstrar as vantagens da sua adopção pelas organizações,
quer seja de forma isolada ou em articulação com as demais frameworks da ISACA como sendo o CobiT ou o Val IT.
Visão geral da framework Risk IT
A framework Risk IT surgiu para colmatar a necessidade de alinhamento dos riscos de Tecnologias de informação
com os objectivos globais da organização, identificando os princípios basilares para uma gestão efectiva do risco de
Tecnologias de Informação.
Esta framework complementa a framework CobiT na medida em que,
enquanto o CobiT disponibiliza um conjunto de objectivos de controlo
associados a processos nas áreas de IT, o Risk IT é responsável pela
identificação e gestão dos riscos de IT: ou seja, se o CobiT é o
automóvel, o Risk IT é o mapa que permite conduzi-lo até ao destino.
Esta framework preenche as lacunas de outras mais genéricas de
gestão de risco (ex. COSO ERM, ISO 31000) e ainda de outras
frameworks mais detalhadas, tipicamente relacionadas com segurança
de informação.
O Risk IT é composto por dois documentos: o Risk IT Framework e o
Figura 1 - Complementaridade do Risk IT com
CobiT e Val IT. Fonte: ISACA
Risk IT Practitioner Guide, disponíveis em http://www.isaca.org para
utilizadores registados.
O modelo de processos
O documento Risk IT Framework descreve os princípios basilares da framework e organiza-os num modelo de
processos para a gestão do risco de TI, de forma similar ao modelo de processos descrito na framework CobiT.
Cada processo Risk IT é caracterizado pelas seguintes componentes:

Actividades-chave;

Responsabilidades;

Fluxos de informação entre processos; e

Gestão da performance do processo (objectivos e métricas).
O modelo está dividido em três domínios, cada qual contendo três processos:
Domínio
Processo
1. Governance do
1.1 Estabelecer e Manter uma Visão Comum sobre o Risco
risco
1.2 Integrar com Enterprise Risk Management (ERM)
1.3 Incorporar o risco nas decisões de negócio
2. Avaliação do risco
2.1 Obtenção de dados
2.2 Análise do risco
2.3 Manutenção do perfil de risco
3. Resposta ao risco
3.1 Comunicação do risco
3.2 Gestão do risco
3.3 Reacção a eventos
Tabela 1 - Domínios e processos Risk IT
Para os três domínios, o documento apresenta também um modelo de maturidade, permitindo a avaliação das
seguintes características:

Conhecimento e comunicação;

Responsabilidade;

Definição e medição de objectivos;

Políticas, standards e procedimentos;

Experiência; e

Ferramentas e automatismos.
Manual prático para a implementação
O Risk IT Practitioner Guide é um documento de apoio à framework que apresenta exemplos de técnicas para
descrever, comunicar e avaliar o risco de TIs, bem como detalhe adicional sobre a forma de abordar os conceitos
inerentes ao modelo de processos. Os conceitos e técnicas que são explorados em maior detalhe incluem:

A construção de cenários de risco, tomando por base um conjunto genérico de cenários de risco de TI;

A construção de um mapa de risco, usando técnicas que descrevem o impacto e a frequência dos cenários;

A construção de critérios de impacto de acordo com a sua relevância para o negócio;

A definição de Key Risk Indicators (KRIs); e

A utilização do Cobit e do Val IT para mitigar risco e as ligações entre estas três frameworks.
Case Study - MetLife melhora a gestão de risco
Sobre a empresa
A MetLife, Inc. (www.metlife.com) é uma companhia líder mundial em seguros de vida, capitalização, acidentes
pessoais e benefícios a colaboradores de empresas, servindo mais de 90 milhões de clientes em mais de 60 países.
Enquadramento e benefícios do Risk IT
A MetLife tem programas robustos de gestão de risco operacional e está focada na melhoria contínua de forma a
garantir o melhor nível de protecção possível. A gestão do risco operacional nunca foi tão importante como
actualmente e, como líder na indústria seguradora, a MetLife considera como fulcral a adequada gestão dos riscos
dos seus clientes, stakeholders e do seu risco reputacional. Muito embora todos os negócios estejam expostos a
algum nível de risco, foi o cuidado prestado pela MetLife na gestão dos riscos da sua actividade que fizeram
destacar esta empresa face à concorrência. A implementação de processos de gestão de risco de TI e o facto de
estes estarem embebidos nos processos de negócio permitiu à Metlife reduzir as perdas operacionais, garantir
eficiência nos seus investimentos, reagir rapidamente às mudanças no ambiente de negócios e concentrar recursos
nas áreas de alto risco.
Desta forma, quando a ISACA lançou a versão draft da framework Risk IT, os gestores de risco da MetLife
compararam esta framework com as práticas de gestão de risco de TI que usavam, com o objectivo de identificar
áreas de melhoria para os seus programas de gestão de risco.
Aquando da publicação do draft final da framework, os profissionais de gestão de risco de TI da Metlife utilizaram os
documentos de forma a criar uma framework específica de gestão de risco. Muito embora esta framework da ISACA
fosse de fácil entendimento pelos técnicos de gestão de risco, a framework da Metlife utilizou terminologia interna,
resumiu algumas áreas e detalhou outras, de modo a que o documento fosse facilmente entendido e utilizado em
toda a companhia. Esta versão feita “à medida” permitiu à Gestão compreender, avaliar e comunicar de forma
consistente todos os aspectos da gestão de riscos de TI pela empresa, assegurando a ligação dos riscos de TI e a
sua ligação às actividades operacionais do negócio.
De forma semelhante à framework Risk IT, a framework específica da MetLife agrupou os processos em três
domínios (Governance do risco, Avaliação do risco e Resposta ao risco), detalhando cada processo em actividades
cuja implementação permite alcançar os objectivos de cada um destes domínios. Adicionalmente, foi desenvolvida
uma matriz de responsabilidades (RACI) para cada actividade e métricas, que podem ser usadas para monitorizar as
actividades de gestão de risco e o nível de conformidade com as políticas e standards de gestão de risco.
Após elaborarem o draft da Framework, os gestores de risco de TI, em coordenação com a Auditoria Interna,
realizaram uma análise da maturidade de forma a identificar processos e actividades prioritários para as acções de
melhoria. O Grupo de Gestão de Risco de TI e Compliance criou um road map de melhoria a três anos com o foco
na convergência de actividades de gestão de risco. Esta estratégia permitiu evoluir no sentido da uniformização dos
processos e da diminuição de redundâncias, incrementando a eficiência e eficácia dos processos. A supervisão da
execução do road map ficou a cargo de um grupo composto pelas aras de Gestão de Risco Operacional, Auditoria
Interna, Gestão de Risco de TI e Compliance. Por último - e factor crítico de sucesso da iniciativa - o plano foi
apresentado à Comissão de Auditoria e à Gestão de topo de TI, de forma a obter o patrocínio aos esforços de
melhoria contínua.
Planos para o futuro
O Grupo de Gestão de Risco de TI e Compliance da MetLife planeia utilizar a MetLife IT Risk Management
Framework de forma a avaliar anualmente a maturidade dos processos, actualizando de forma contínua o road map
com base nos resultados da análise, nos requisitos regulatórios, nos recursos disponíveis e nos objectivos de
maturidade dos processos que sejam determinados pela Gestão.
Conclusão
Com o framework Risk IT a ISACA disponibiliza uma ferramenta valiosa que, muito embora tenha uma solidez
teórica baseada nos modelos comummente aceites – COSO, ISO 31000 – tem características muito práticas e
adaptáveis a todas as organizações. O modelo foi desenhado para ser adaptado aos requisitos de cada organização
e os processos propostos são adaptáveis à gestão de riscos de TI e não só. O Risk IT é um útil e pragmático “livro
de receitas” para gerir eficazmente o risco em qualquer organização.
José Tinoco, CISA, CIA, CFE, ISO 27001 LA
ISACA Lisbon Chapter Industry Officer
Informação extraída de materiais disponibilizados pela ISACA no site http://www.isaca.org, acedido em 17 de Maio
de 2011. Tradução e adaptação da responsabilidade do autor.
Download

Gestão de Riscos de Tecnologias de Informação – a framework Risk