Arquivo original em Inglês: http://www.isaca.org/knowledge-center/risk-it-it-risk- Management/Documents/Risk-IT-Brochure.pdf Risk IT - Um conjunto de princípios orientadores e o primeiro framework que ajuda as empresas a identificar, governar e gerenciar riscos de TI. Nos negócios de hoje, os riscos tem um papel crítico. Quase toda decisão corporativa requer que executivos e gerentes façam um balanço de risco e recompensa. Gerenciar efetivamente os riscos nos negócios é essencial para o sucesso de uma empresa. Muito frequentemente, os riscos de TI (riscos de negócios relacionados ao uso de TI) são negligenciados. Outros riscos de negócios tais como riscos de mercado, riscos de crédito e riscos operacionais tem sido incorporados nos processos de tomadas de decisões corporativas. Os riscos de TI têm sido relegados a especialistas técnicos fora da sala de reuniões, apesar de terem caído na mesma categoria genérica de risco assim como outros riscos de negócios: falha em obter objetivos estratégicos. O problema é claro. A solução? Incerta. Até agora: APRESENTANDO OS RISCOS DE TI O Risk IT é um framework baseado em um conjunto de princípios orientadores para a gestão efetiva dos riscos de TI. O framework complementa o COBIT, um compreensivo framework para a governança e controle de serviços e soluções baseadas em TI e voltadas para negócios. Enquanto o COBIT provê um conjunto de controles para mitigar os riscos de TI, o Risk IT oferece um framework para que as empresas identifiquem, governem e gerenciem os riscos de TI. Resumindo, o COBIT provê os recursos para o gerenciamento de riscos; o Risk IT provê os fins. Empresas que tenham adotado (ou estão planejando adotar) o COBIT como o seu framework de governança de TI podem usar o Risk IT para melhorar a sua gestão de risco.
Os princípios do Risk IT O framework Risk IT aborda riscos de TI riscos de negócios relacionados ao uso de TI. A conexão com os negócios é fundamentada nos princípios no qual o framework é construído. Efetiva gestão de riscos de TI e governança de empresas: Sempre se conecta aos objetivos do negócio; Alinha a gestão de riscos de negócios relacionados a TI com gestão global de riscos de empresas (ERM, na sigla em Inglês) se aplicável, por exemplo, se o ERM estiver implementado na empresa; Equilibra os custos e benefícios da gestão de riscos de TI; Promove comunicações abertas e justas dos riscos de TI; Estabelece o tom certo desde a administração superior enquanto define e reforça a responsabilidade pessoal final para operar dentro de níveis de tolerância aceitáveis e bem definidos; É um processo contínuo e parte das atividades diárias Gerenciando e entendendo os riscos de TI Para priorizar e gerenciar os riscos de TI, os executivos seniores precisam de um modelo de referência e de um entendimento claro do funcionamento da TI e de seus riscos. Contudo, os principais acionistas da empresa, incluindo membros da diretoria e da gestão executiva, as próprias pessoas que deveriam ser responsáveis pela gestão de riscos dentro da empresa, frequentemente não tem um entendimento completo do assunto. Os riscos de TI não são apenas um problema técnico. Enquanto especialistas em assuntos de TI ajudam a entender e gerenciar os aspectos dos riscos de TI, a gestão de negócios é o ativo mais importante. Os gerentes de negócios determinam o que a TI precisa fazer para oferecer suporte ao seu negócio; eles escolhem os objetivos para a TI e são responsáveis por gerenciar os riscos associados a ela. O framework Risk IT explica os riscos de TI, permite que a empresa tome decisões adequadas de reconhecimento de riscos e permitirá aos usuários: Integrar a gestão de riscos de TI à gestão de risco empresarial global (ERM) da organização; Tomar decisões bem informadas sobre a extensão dos riscos, o apetite por riscos e a tolerância a riscos da empresa; Compreender como responder aos riscos.
Em síntese, o framework permitirá que as empresas possam entender e gerenciar todos os tipos significativos de risco. O framework Risk IT provê uma visão compreensiva ponto a ponto de todos os riscos relacionados ao uso de TI, bem como uma visão semelhante de gestão de riscos. Ele preenche o espaço entre os frameworks de gestão de riscos genéricos como o COSO ERM e o AS/NZS 4360 (que em breve será substituído pela ISO31000) e o seu equivalente Britânico, o ARMS6 e outros detalhados (principalmente relacionados à segurança) frameworks de gestão de risco de TI. Publicações da Risk IT A Risk IT consiste de duas publicações: a Risk IT Framework e a Risk IT Practitioner Guide. A Risk IT Framework oferece: Um conjunto de práticas de governança para gestão de riscos; Um framework de processo ponto a ponto para uma gestão de riscos de TI bem sucedida; Uma lista genérica de cenários comuns, potencialmente adversos, de riscos relacionados a TI que poderiam impactar a realização dos objetivos de negócios; Ferramentas e técnicas para entender os riscos concretos às operações de negócios, ao contrário de listas genéricas de verificação de controle ou cumprimento de atividades. Da estrutura que é oferecida pelo framework, um modelo de processo abrangente para riscos de TI é construído. Para os usuários do COBIT e do Val IT, isso lhes irá parecer familiar. São fornecidas orientações sobre as principais atividades dentro de cada processo, as responsabilidades para o processo, os fluxos de informação entre os processos e gestão de desempenho para cada processo. O modelo é dividido em três domínios Governança de Riscos, Avaliação de Riscos e Resposta a Riscos cada um contendo três processos: Governança de Riscos: estabelecer e manter uma visão comum dos riscos, fazer a integração com a gestão de riscos de empresas (ERM), tomar decisões de negócios com reconhecimento de riscos; Avaliação de Riscos: coletar informações, analisar riscos, manter um perfil dos riscos; Resposta a Riscos: articular os riscos, gerenciar os riscos, reagir a eventos. O Risk IT Practitioner Guide é um documento de apoio ao framework da Risk IT que provê exemplos de técnicas possíveis para lidar com as questões dos riscos relacionados a TI em uma orientação mais detalhada sobre como abordar os conceitos demonstrados no modelo de processo. Os conceitos e técnicas explorados em mais detalhes incluem:
Construir cenários baseados em um conjunto de cenários de riscos genéricos de TI; Construir um mapa de riscos usando técnicas para descrever o impacto e freqüência dos cenários; Construir critérios de impacto com relevância para negócios; Definir KRIs (Indicadores de riscos-chave, na sigla em Inglês); Usar o CORBIT e o Val IT para mitigar riscos; a relação entre riscos e objetivos de controle do COBIT e do Val IT e das práticas chave de gestão. A sua solução para os riscos de TI Aplicar boas práticas de gestão de risco como as descritas no Risk IT irá fornecer benefícios tangíveis aos negócios, por exemplo, menos surpresas e falhas operacionais, aumento da qualidade da informação, maior confiança acionária e redução de preocupações regulatórias, utilizações inovadoras dando apoio a novas iniciativas de negócios. O framework Risk IT é parte do portfólio de produtos de governança de TI da ISACA. Embora este documento forneça um framework completo e independente, ele não inclui referências ao COBIT e ao Val IT. Como o Guia Prático, emitido em apoio à este framework faz referência extensa ao COBIT e ao Val IT, é recomendado que os gestores e profissionais se familiarizem com os principais princípios e conteúdos destes dois frameworks. Como o COBIT e o Val IT, o Risk IT não é um framework padrão, mas sim flexível. Isso significa que as empresas podem e devem personalizar os componentes fornecidos pelo framework para atenderem suas organizações particulares. O que é o Risk IT? O Risk IT é: Um framework para ajudar a estabelecer gestão e governança efetivas de gestão de riscos de TI; É parte do portfólio de produtos de governança de TI da ISACA; Um framework baseado em um conjunto de princípios orientadores para gestão efetiva dos riscos de TI.
O que o Risk TI faz? O Risk IT: Ajuda as empresas a personalizarem os componentes fornecidos pelo framework para atenderem suas organizações particulares; Fornece uma visão abrangente ponto a ponto de todos os riscos relacionados ao uso de TI e uma forma semelhante de tratamento profundo de gestão de risco, a partir da atmosfera e cultura desde a administração superior até os aspectos operacionais; Permite que as empresas entendam e gerenciem todos os tipos significativos de riscos de TI; Fornece benefícios tangíveis aos negócios; Permite que a empresa tome decisões adequadas para o reconhecimento de riscos; Explica como capitalizar um investimento feito em um sistema e controle interno de TI já em vigor para gerenciar riscos relacionados a TI; Permite a integração com os riscos e estruturas de cumprimento globais dentro da empreso ao avaliar e gerenciar os riscos de TI. Quais são os benefícios de usar o Risk IT? Os benefícios por usar o Risk IT incluem: Uma linguagem comum para ajudar na comunicação entre gestões de negócios, TI, riscos e auditoria; Orientação ponto a ponto sobre como gerenciar riscos relacionados a TI; Um perfil completo de riscos para melhor entender os riscos, de modo a utilizar melhor os recursos da empresa; Uma melhor compreensão dos papéis e responsabilidades em referência a gestão de riscos de TI; Alinhamento com ERM; Uma melhor visão dos riscos relacionados a TI e suas implicações financeiras; Menos falhas e surpresas operacionais; Melhora da qualidade da informação; Maior confiança acionária e preocupações regulatórias reduzidas; Utilizações inovadoras dando apoio a novas iniciativas de negócios. Traduzido Por Rafael Soares Nunes