Série GRC: “Riscos de TI”
“Risco de TI” é o risco de negócio associado ao uso, gerenciamento, operação, suporte, inovação, influência ou adoção de TI para efetuar os negócios da organização, como definido no Framework Risk IT, do ISACA.
Antes um pouco, gostaria de definir risco. Risco é a probabilidade de algum resultado esperado não acontecer, pela definição de MOF. Em outras palavras, é a probabilidade de algo dar errado. E essa probabilidade deve ser avaliada, teoricamente entre 1% e 99%. 0% e 100% indicam certezas e não são mais tratados como riscos.
Alguns frameworks e organizações, inclusive o PMI, definem risco como algo diferente do que foi planejado. Mas, eu pergunto, se esse algo diferente é positivo, isso não é um risco e sim uma oportunidade e deveria ser potencializada. Todos devem trabalhar para evitar riscos e não faria sentido evitar alguma coisa positiva. Então, como definição, eu sempre uso a citada acima: risco é algo negativo e devo trabalhar para evitá-lo.
As atividades de prevenção ao risco são chamadas de mitigação do risco. E as atividades de reação quando o risco aconteceu (virou fato) são chamadas de contigência do risco.
Na definição acima é dito risco de negócio associado ao uso de TI. Sim, logicamente, em última análise, é o único risco que importa realmente – o risco de deixar de fazer negócios, deixar de faturar. Se existir algum risco mapeado que não gere indisponibilidade do negócio em si, esse não é um risco importante de TI e não será análisado pelo negócio. Cuidado, não estou dizendo, de forma alguma, que riscos menores, que não afetam a capacidade de fazer negócios, não devem ser analisados e cuidados. Estou apenas constatando que isso não será feito pelos níveis mais altos de análise de risco da empresa. Deve ser feito pelos gestores intermediários da prórpia TI.
Então, Risco de TI é a probabilidade de algum serviço de TI, seus componentes, processos e pessoas, gerar algum impacto negativo na capacidade de negócio da organização.
Os riscos de TI podem ser caracterizados como:
- Risco de Entrega de Serviço de TI – quando a performance ou a disponibilidade dos serviços de TI impactam o negócio;
- Risco de Realização de Solução de Negócio – quando os serviços de TI não conseguem viabilizar novas soluções ou serviços de negócio;
- Risco de Realização do Benefício de TI – quando o negócio não consegue usar a tecnologia de forma eficiente e efetiva para otimizar processos de negócio ou ainda dar mais confiabilidade aos mesmos;
Como a tecnologia atualmente é muito pervasiva, riscos de TI existem sempre, sejam eles conhecidos ou não. Por isso, cuidado com as pessoas que preferem não conhecer os riscos e trabalhar como super-heróis. Esses, na verdade, trabalham como bombeiros, sempre correndo atrás para apagar incêndios, e depois ficam reclamando que não têm tempo de fazer o que é mais nobre e importante… Para isso é necessário planejamento e trabalho preventivo em riscos de TI !
O framework Risk IT tem o objetivo de cubrir uma ampla gama de audiências, a saber:
- Executivos e Conselhos diretivos, que precisam conhecer, determinar direcionamento e monitorar gestão de riscos em nível executivo;
- Gerentes de TI, segurança da informação e de departamento de negócios, que precisam definir e gerenciar o processo de gerenciamento de riscos;
- Analistas de riscos e de negócio, que precisam de um guia de como tratar riscos de TI;
- Envolvidos externos, sejam eles auditores, fornecedores, etc…
O mais importante na gestão de riscos é conscientizar os envolvidos que:
- Riscos sempre existem, sejam conhecidos ou não;
- Tratamento proativo de risco é muito mais eficiente e barato;
- Analisar e avaliar o custo-benefício das ações de mitigação de riscos;
- Estar sempre alinhado com os objetivos e controles de governança da organização;
- Comunicação clara e direta evita desentendimentos e ações ineficientes;
- Gerenciamento de riscos é uma atividade constante e nem sempre muito visível;
- Gerenciamento de riscos não pode ser um impeditivo, mas sim um habilitador de negócios, no sentido de garantir continuidade e disponibilidade;
- Deve existir um líder para a Gerência de Riscos, mas a responsabilidade é de todos!
Espero que tenha ajudado a clarificar e consolidar algumas idéias do Gerenciamento de Riscos e gerar uma atitude mais positiva e proativa em relação a um tema tão importante.
Abraços e até o próximo post,
Ronaldo Smith Jr.