Risk IT Auditoria e a Gestão de Riscos Tecnológicos

Transcrição

1 Risk IT Auditoria e a Gestão de Riscos Tecnológicos 10º Congresso Febraban de Auditoria Interna, Compliance e Gestão de Risco 1 e 2 de Outubro de 2009 Jose Luis Diniz, CGEIT ISACA parceria@isaca.org.br joseluisdiniz@terra.com.br

2 Jose Luis Diniz, CGEIT Economista, Consultor independente de TI, atua a 30 anos na área de TI em carreira desenvolvida em empresas nacionais e multinacionais dos segmentos industrial e de serviços. Desenvolveu projetos e liderou equipes em todas as área de TI. Em carreira prévia atuou como auditor e gerente na área financeira e controladoria em empresa de renome nacional. Possui certificação em ITIL Service Manager, COBIT Foundation e GGEIT. Como trabalho voluntário ajudando a comunidade de profissionais da área de TI é atualmente Coordenador do Comitê da ABNT CE 21: responsável pelo projeto de tradução das normas ISO/IEC Gerenciamento de Serviços de TI e ISO/IEC Governança Corporativa de TI para a língua portuguesa. Também participa da diretoria da ISACA Capítulo São Paulo como Diretor Institucional da organização. Sócio proprietário da DNZ Consultoria realizou trabalhos na área de governança, planejamento, compliance, assurance e performance na área de TI em empresas nacionais de porte. joseluisdiniz@terra.com.br parceria@isaca.org.br

3 ISACA ISACA Capítulo São Paulo possui 400+ associados sendo 40% gerentes e diretores. Os demais são consultores e cargos operacionais Globalmente tem mais de associados Quadro de associados com profissionais provenientes de 160 países 170 capítulos locais estabelecidos em 70 países provendo educação, compartilhamento da propriedade intelectual e networking profissional

4 The Certified Information Systems Auditor (CISA) is ISACA s cornerstone certification. The CISA certification has been earned by more than 70,000 professionals since inception and is for the IS audit, control, assurance and/or security professional who wishes to set themselves apart from their peers. Since 1978, the CISA certification has been renowned as the globally recognized achievement for those who control, monitor and assess an organization s information technology and business systems. More information on CISA.

5 The Certified Information Security Manager (CISM) certification is a unique management focused certification that has been earned by over 10,000 professionals since its introduction in Unlike other security certifications, CISM is for the individual who manages, designs, oversees and assesses an enterprise's information security program. CISM defines the core competencies and international performance standards that those who have information security management responsibilities must master. More information on CISM.

6 The Certified in the Governance of Enterprise IT the new certification is intended to recognize a wide range of professionals for their knowledge and application of IT governance principles and practices. It has been earned by more than 200 professionals. It is designed for professionals who have management, advisory, or assurance responsibilities as defined by a "job practice" consisting of IT governance related tasks. Earning this designation will enable professionals to respond to the growing business demand for a comprehensive IT governance program that defines responsibility and accountability across the entire enterprise. More information on the IT Governance Certification

7 Agenda Introdução Risco X Incerteza A definição do risco Os riscos na concessão de crédito Características dos tipos de operações de crédito Uma perspectiva histórica Como construir a organização que assume riscos Os princípios mais importantes O risco é o futuro da TI Motivos para adotar o Risk IT Risk IT Os Domínios do framework Risk IT 7

8 Introdução O Que é Risco? Risco: A experiência (pré)histórica Risco: A experiência Individual É possível medir o risco? Risco como um aspecto cultural O comportamento em relação ao risco Riscos versus interesses pessoais Risco versus acomodação A reação ao risco 8

9 Risco versus acomodação Alan Greenspan, ex-presidente da Federal Reserve Bank dos Estados Unidos, que confessou: "Eu me enganei ao acreditar que os interesses particulares de organizações, principalmente de bancos e afins, eram no mínimo capazes de proteger seus próprios acionistas e as equidades deles nas firmas." 9

10 A reação ao risco Todos têm propensão a correr riscos; Essa propensão varia de um indivíduo para outro; A propensão é influenciada pelas possíveis recompensas A propensão é influenciada pelas possíveis perdas Correr risco é um ato de equilíbrio As perdas e recompensas são conseqüência da assunção dos riscos 10

11 Risco X Incerteza Se você não sabe ao certo o que acontecerá, mas conhecem as probabilidades, isso é risco. Se você não conhece nem mesmo as probabilidades, é incerteza. 11

12 A definição do risco IT risk is business risk (ITGI) Variabilidade dos retornos de um investimento em comparação com o retorno esperado (Financeiro) É a incerteza de um evento ou conjunto deles que pode ocorrer e afetará o resultado esperado. (M_o_R) "Effect of uncertainty on objectives" (ISO Guide 73) A definição chinesa 12

13 Ideograma Chinês que define a crise

14 Definição de Valor Assegura que a organização realize um ótimo valor a partir de um investimento em TI para o negócio a um preço justo com riscos conhecidos e aceitáveis

15 Os riscos na concessão de crédito Risco de o crédito concedido não ser pago durante a vigência da transação, Risco de liquidação financeira 15

16 Características dos tipos de operações de crédito Variáveis Prazo; Tipo de indexador (fixo variável); Moeda; Tipo de receita; Características de funding; Tipo de devedor. Produtos Capital de giro; Cheque especial; Crédito parcelado; Hot money; Leasing; Crédito direto ao consumidor; Repasses internos; Repasses externos ; Operações de comércio exterior

17 Uma perspectiva histórica 1771 Revolução Industrial [0] 1829 Era do aço e das ferrovias [58] 1875 Era do aço, eletricidade e engenharia pesada [104] 1908 Era do petróleo, auto e da prod. em massa [137] 1913 Criação do Banco Central Americano [142] 1929 Quebra da Bolsa de Nova York [158] 1933 Criação as SEC [162] 1944 Bretton Woods, FMI e BIRD [173] 1946 ENIAC [0] [175] 1960 SEC recomenda compliance officers [14] [189] 17

18 Uma perspectiva histórica (2) 1971 Era da TIC, 1º microprocessador INTEL [25] [200] 1974 Criação do Comitê da Basiléia [28] [203] 1985 COSO [39] [214] 1995 Criação do IBGC n o Brasil [49] [224] 1998 Controles internos, inicio Basiléia II, [52] [227] 2001 Enron [55] [230] 2002 Worldcom, Sarbanes Oxley [56] [231] 2004 Basiléia II, COSO ERM, Com [58] [233] 2006 Res [60] [228] 2007 Res Ger. de risco de mercado [61] [229] 2009 COSO Guidance, ISO 31000, Risk IT [62] [230] 18

19 Como construir a organização que assume riscos Governança de TI alinhada com a Governança Corporativa O quadro de pessoal Mecanismos de punição e recompensas Cultura organizacional voltada ao gerenciamento do risco 19

20 Os princípios mais importantes Reações esperadas (Negação, Medo, Aceitação) O risco está em todos os lugares O risco éuma ameaça e uma oportunidade A ambivalência do ser humano em relação ao risco Os riscos não são gerados de uma única maneira O risco pode ser mensurado Quais evitar, repassar ou explorar Gestão de risco adiciona valor às empresas A gestão do risco éum trabalho de todos A gestão de riscos habilita o sucesso e a excelência operacional 20

21 O risco éo futuro da TI Não há existência objetiva para ele O futuro é construído no presente! Duas certezas Não se pode saber o que será. Será diferente do que existe agora e do que esperamos. Duas Abordagens Antecipação de um futuro que já aconteceu. Fazer o futuro acontecer. 21

22 Motivos para adotar o Risk IT Os riscos se originam em lugares onde menos se espera, e assumem formas que não previstas O risco éuma mescla de possibilidades de ganhos e de perdas. O sucesso da gestão do risco está diretamente relacionada com a competência das pessoas que a manejam Entender as ferramentas de gestão do risco é fundamental As ferramentas devem ser adaptadas ao processe de tomada de decisão 22

23 Motivos para adotar o Risk IT (2) A proteção contra riscos éuma pequena parcela do processo de gestão Os riscos devem ser gerenciados em função do valor que eles adicionam aos negócios A gestão correta do risco éa essência da prática correta dos negócios, e é responsabilidade de todos O gerenciamento dos riscos deve estar disseminado nas mentes das pessoas por meio de uma cultura voltado a resultados 23

24 Risk IT Introdução Risco de TI éo risco do negócio associado ao associado ao uso da TI Categorias de riscos de TI Risco e recompensa Audiência As bases do Risk IT (COSO ERM, ASNZS 4360) Os princípios do Risk IT A efetividade do Risk IT Risk IT não éum padrão 24

25 Categorias de riscos de TI Entrega de serviços de TI Entrega de soluções de TI Risco de realização de benefícios 25

26 Categorias de riscos de TI

27 Audiência Executivos Gerentes de TI e negócio Profissionais da área de gerenciamento de riscos Stakeholders Externos 27

28 Os princípios do Risk IT Governança corporativa efetiva do risco de TI Gerenciamento efetivo do risco de TI A Base da construção 28

29 Governança corporativa efetiva do risco de TI Sempre conectado com os objetivos do negócio Alinhamento do gerenciamento dos riscos de negócio relacionados com TI com o gerenciamento dos riscos corporativos Balanceamento dos custos e benefícios do gerenciamento de riscos 29

30 Gerenciamento efetivo do risco de TI Promover a comunicação dos riscos de TI de forma justa e aberta Estabelecer o tom correto de cima para baixo enquanto define e reforça a responsabilidade pela operação, dentro de níveis de tolerância bem definidos e aceitos Éum processo contínuo e faz parte das atividades diárias 30

31 A Base da construção Atribui responsabilidades para o gerenciamento dos riscos de TI Atribui objetivos e define o apetite para o risco e a tolerância Identifica analisa e descreve o risco Monitora a exposição ao risco Trata o risco de TI Vinculação com a orientação existente sobre gerenciamento de riscos 31

32 Os cenários do risco

33 Os Domínios do framework Risk IT Risk Governance (RG) Risk Evaluation (RE) Risk Response (RR) 33

34 OS componentes do Risk IT framework

35 Risk Governance (RG) RG1 Establish and Maintain a Common Risk View RG2 Integrate With Enterprise Risk Management (ERM) RG3 Make Risk aware Business Decisions 35

36 Risk Evaluation (RE) RE1 Collect Data RE2 Analyse Risk RE3 Maintain Risk Profile 36

37 Risk Response (RR) RR1 Articulate Risk RR2 Manage Risk RR3 React to Events 37

38 O modelo de processos do Risk IT

39 O modelo de maturidade

40 Gerenciar risco e oportunidade éuma estratégia chave para o sucesso

41 Matriz de responsabilidades

42 Fluxo de comunicação do risco

43 Risk IT, Cobit & Val IT

44 Formato do guia de técnicas

45 Entrada e saídas dos processos

46 Matriz RACI de cada atividade de processo

47 Objetivos e métricas

48 Bibliografia Adams, John Risco. [ed.] MArcus Vinucius Barilli Alves. São Paulo : Editora SENAC, Traduzido do Original RISK de Brasil, Banco do. Basliéia II. Banco do Brasil. [Online] [Citado em: 27 de 09 de 2009.] Brito, Osias Gestão de riscos Uma Abordagem orientada a Riscos Operacionais. [ed.] Marcio Coelho, Rita de Cassia da Silva e Frederico Marchiori. São Paulo : Editora Saraiva, ISBN COSO. Committee of Sponsoring Organizations of the Treadway Commission. COSO. [Online] [Citado em: 27 de 09 de 2009.] Enterprise Risk Management Integrated Framework Executive Summary. s.l. : Committee of Sponsoring Organizations of the Treadway Commission., Damodaran, Aswath Gestão Estratégica do Risco. [ed.] Arysinha Jacques Affonso e Elisa Viali. [trad.] Félix Nonnenmacher. São Paulo : Artmed Editora S.A., ISBN Drucker, Peter Ferdinand O Melhor de Peter Drucker O Homem, A Administração, A Sociedade. São Paulo : Nobel, Reimpressão de (c) 2001 de Peter F. Drucker. ISBN X. Hilb, Martin A Nova Governança Corporativa Ferramentas Bem Sucedidas para Conselho de Adminstração ISBN HM Treasury The Orange Book Management of Risk Principles and Concepts. London : (c) Crown copyright 2004, ISBN IBGC Código das Melhores Práticas de Governança Corporativa. 4ª. São Paulo : IBGC, ISBN Uma década de Governança Corporativa História do IBGC, marcos e lições da experiência. [ed.] José Cláudio Securato. 1ª. São Paulo : Saint Paul Editora Ltda, ISO. ISO/FDIS ISO International Organization fos Standardization. [Online] [Citado em: 27 de 09 de 2009.] ITGI Enterprise Risk: Identify, Govern and Manage IT Risk The Risk IT Framework EXPOSURE DRAFT. IT Risk Task Force, IT Governance Institute, ISACA. Rolling Meadows, Chicago : ITGI, Manzi, Vanessa Alessi Compliance no Brasil Consolidação e perspectivas. [ed.] José Cláudio Securato. 1ª Edição. São Paulo : Saint Paul Editora Ltda., ISBN OGC Management of Risk Guidance for Practitioner. [ed.] Office of Government Commerce. London : TSO The Stationaty Office, Second Edition. ISBN Perez, Carlota Technological Revolutions and Financial Capital. Cheltenham : Edward Elgar Publishing Limited, ISBN Wikipédia. Diversos Assuntos. Wikipédia. [Online] [Citado em: 27 de 09 de 2009.]

49 Obrigado! Risk IT Auditoria e a Gestão de Riscos Tecnológicos 10º Congresso Febraban de Auditoria Interna, Compliance e Gestão de Risco 1 e 2 de Outubro de 2009 Jose Luis Diniz, CGEIT ISACA parceria@isaca.org.br joseluisdiniz@terra.com.br FIM 49

50 Perguntas? SLIDES DE APOIO 50

51 Benefícios da conscientização e comunicação Conseqüências Quando ébem feito Quando émal feito Consciência do risco: A cultura do risco O Risco éuma parte integral dos negócios A cultura da busca dos culpados deve ser evitada Comunicação do risco: O que comunicar? Políticas, procedimentos, ações de sensibilização, reforço constante de princípios, etc. Capacidade de gestão de risco e desempenho Dados de gestão de risco operacional 51

52 Benefícios da conscientização e comunicação (2) A Comunicação efetiva Clara Concisa Útil Tempestiva Dirigida para a audiência correta Comunicação do risco - Stakeholders 52

53 A resposta ao risco Evitar o risco Reduzir/Mitigar o risco Compartilhar ou transferir o risco Aceitar do risco 53

54 Seleção e priorização da resposta ao risco Possíveis ações Quick wins para respostas rápidas ao risco Oportunidades quando possível Elaboração de Business Case nos casos mais complexos e dispendiosos Adiamento nos casos de riscos baixos e com pouco impacto Eficácia na resposta (fazer a coisa certa) Effectiveness (do the right thing) Eficiência na resposta (fazer as coisas direito) Efficiency (to do things right) Outros investimentos com base em TI Outras respostas 54

55 Seleção e priorização da resposta ao risco Importância do endereçamento do risco em função de sua resposta A habilidade da empresa para responder aos riscos Custo da Resposta No caso de transferência do risco No caso de mitigação do risco 55

56 Risk IT Framework The exposure draft is posted on the downloads page The comment period ended 16 March and the final publication revised for comments, as well as a practitioner s guide, are expected to be issued in the fourth quarter of ojects/research_current_projects.htm#project1 Enterprise Risk: Identify, Govern and Manage Risk The Risk IT Framework (Exposure Draft) (PDF, 1.2M) Jan emplate=/taggedpage/taggedpagedisplay.cfm&tplid=63&c ontentid=

57 IT Governance Institute ISACA Chapter São Paulo IT Governance Institute O IT Governance Institute (ITGITM) ( foi criado em 1998 para promover consciência e padrão internacionais no direcionamento e controle da tecnologia da informação corporativa. A governança de TI efetiva ajuda a assegurar que TI suporte os objetivos de negócio, otimiza investimentos de negócio em TI, e apropriadamente gerenciar riscos e oportunidades relacionados de TI. O IT Governance Institute oferece pesquisa original, recursos eletrônicos e dados de estudos para assistir os lideres e diretores das corporações em suas responsabilidades relacionadas com a governança de TI Aviso de Isenção O IT Governance Institute e a ISACA São Paulo Chapter (os Proprietários ) desenvolveram e criaram esta apresentação, intitulada Val IT TM Integrando Valor ao Negócio (a Apresentação ), primariamente como um recurso didático para executivos de TI, executivos do negócio e a gerência de TI. Os proprietários não garantem que o uso de qualquer parte desta Apresentação assegurará um resultado bem sucedido. Esta Apfresentação não deveria ser considerada inclusiva de qualquer informação própria, procedimentos e testes ou exclusiva de outra informação, procedimentos e testes que são razoavelmente direcionados para obter os mesmos resultados. Na determinação da propriedade de qualquer informação específica, procedimento, executivos de TI, executivos do negócio e a gerência de TI deveriam aplicar seu próprio julgamento profissional nas circunstâncias específicas apresentadas por um sistema em particular ou pelo ambiente de tecnologia. Revelação Direitos Reservados 2006 IT Governance Institute. Todos os direitos são reservados. Nenhuma parte desta Apresentação pode ser usada, copiada, reproduzida, modificada, distribuída, divulgada, armazenada em um sistema ou transmitida de qualquer forma ou por qualquer meio (eletrônico, mecânico, fotocopia, gravação ou de qualquer outra forma), sem a prévia autorização por escrito dos Proprietários. Reprodução de partes desta publicação para uso interno e não comercial ou uso acadêmico épermitida e deve incluir completa atribuição da fonte do material. Nenhum outro direito ou permissão éconcedido com respeito a este trabalho. IT Governance Institute I SACA São Paulo Chapter 3701 Algonquin Road, Suite 1010 Rua Vergueiro, 2087 cj. 101 Vila Mariana Rolling Meadows, IL USA São Paulo SP Brasil Phone: Telefone: Fax: Fax: E mail: info@itgi.org E mail: info@isaca.org.br Web site: Web site: