Risk IT Auditoria e a Gestão de Riscos Tecnológicos 10º Congresso Febraban de Auditoria Interna, Compliance e Gestão de Risco 1 e 2 de Outubro de 2009 Jose Luis Diniz, CGEIT ISACA parceria@isaca.org.br joseluisdiniz@terra.com.br
Jose Luis Diniz, CGEIT Economista, Consultor independente de TI, atua a 30 anos na área de TI em carreira desenvolvida em empresas nacionais e multinacionais dos segmentos industrial e de serviços. Desenvolveu projetos e liderou equipes em todas as área de TI. Em carreira prévia atuou como auditor e gerente na área financeira e controladoria em empresa de renome nacional. Possui certificação em ITIL Service Manager, COBIT Foundation e GGEIT. Como trabalho voluntário ajudando a comunidade de profissionais da área de TI é atualmente Coordenador do Comitê da ABNT CE 21:007 25 responsável pelo projeto de tradução das normas ISO/IEC 20000 Gerenciamento de Serviços de TI e ISO/IEC 38500 Governança Corporativa de TI para a língua portuguesa. Também participa da diretoria da ISACA Capítulo São Paulo como Diretor Institucional da organização. Sócio proprietário da DNZ Consultoria realizou trabalhos na área de governança, planejamento, compliance, assurance e performance na área de TI em empresas nacionais de porte. joseluisdiniz@terra.com.br parceria@isaca.org.br 11 7697 4080
ISACA ISACA Capítulo São Paulo possui 400+ associados sendo 40% gerentes e diretores. Os demais são consultores e cargos operacionais Globalmente tem mais de 86.000 associados Quadro de associados com profissionais provenientes de 160 países 170 capítulos locais estabelecidos em 70 países provendo educação, compartilhamento da propriedade intelectual e networking profissional
The Certified Information Systems Auditor (CISA) is ISACA s cornerstone certification. The CISA certification has been earned by more than 70,000 professionals since inception and is for the IS audit, control, assurance and/or security professional who wishes to set themselves apart from their peers. Since 1978, the CISA certification has been renowned as the globally recognized achievement for those who control, monitor and assess an organization s information technology and business systems. More information on CISA.
The Certified Information Security Manager (CISM) certification is a unique management focused certification that has been earned by over 10,000 professionals since its introduction in 2003. Unlike other security certifications, CISM is for the individual who manages, designs, oversees and assesses an enterprise's information security program. CISM defines the core competencies and international performance standards that those who have information security management responsibilities must master. More information on CISM.
The Certified in the Governance of Enterprise IT the new certification is intended to recognize a wide range of professionals for their knowledge and application of IT governance principles and practices. It has been earned by more than 200 professionals. It is designed for professionals who have management, advisory, or assurance responsibilities as defined by a "job practice" consisting of IT governance related tasks. Earning this designation will enable professionals to respond to the growing business demand for a comprehensive IT governance program that defines responsibility and accountability across the entire enterprise. More information on the IT Governance Certification
Agenda Introdução Risco X Incerteza A definição do risco Os riscos na concessão de crédito Características dos tipos de operações de crédito Uma perspectiva histórica Como construir a organização que assume riscos Os princípios mais importantes O risco é o futuro da TI Motivos para adotar o Risk IT Risk IT Os Domínios do framework Risk IT 7
Introdução O Que é Risco? Risco: A experiência (pré)histórica Risco: A experiência Individual É possível medir o risco? Risco como um aspecto cultural O comportamento em relação ao risco Riscos versus interesses pessoais Risco versus acomodação A reação ao risco 8
Risco versus acomodação Alan Greenspan, ex-presidente da Federal Reserve Bank dos Estados Unidos, que confessou: "Eu me enganei ao acreditar que os interesses particulares de organizações, principalmente de bancos e afins, eram no mínimo capazes de proteger seus próprios acionistas e as equidades deles nas firmas." 9
A reação ao risco Todos têm propensão a correr riscos; Essa propensão varia de um indivíduo para outro; A propensão é influenciada pelas possíveis recompensas A propensão é influenciada pelas possíveis perdas Correr risco é um ato de equilíbrio As perdas e recompensas são conseqüência da assunção dos riscos 10
Risco X Incerteza Se você não sabe ao certo o que acontecerá, mas conhecem as probabilidades, isso é risco. Se você não conhece nem mesmo as probabilidades, é incerteza. 11
A definição do risco IT risk is business risk (ITGI) Variabilidade dos retornos de um investimento em comparação com o retorno esperado (Financeiro) É a incerteza de um evento ou conjunto deles que pode ocorrer e afetará o resultado esperado. (M_o_R) "Effect of uncertainty on objectives" (ISO Guide 73) A definição chinesa 12
Ideograma Chinês que define a crise
Definição de Valor Assegura que a organização realize um ótimo valor a partir de um investimento em TI para o negócio a um preço justo com riscos conhecidos e aceitáveis
Os riscos na concessão de crédito Risco de o crédito concedido não ser pago durante a vigência da transação, Risco de liquidação financeira 15
Características dos tipos de operações de crédito Variáveis Prazo; Tipo de indexador (fixo variável); Moeda; Tipo de receita; Características de funding; Tipo de devedor. Produtos Capital de giro; Cheque especial; Crédito parcelado; Hot money; Leasing; Crédito direto ao consumidor; Repasses internos; Repasses externos ; Operações de comércio exterior
Uma perspectiva histórica 1771 Revolução Industrial [0] 1829 Era do aço e das ferrovias [58] 1875 Era do aço, eletricidade e engenharia pesada [104] 1908 Era do petróleo, auto e da prod. em massa [137] 1913 Criação do Banco Central Americano [142] 1929 Quebra da Bolsa de Nova York [158] 1933 Criação as SEC [162] 1944 Bretton Woods, FMI e BIRD [173] 1946 ENIAC [0] [175] 1960 SEC recomenda compliance officers [14] [189] 17
Uma perspectiva histórica (2) 1971 Era da TIC, 1º microprocessador INTEL [25] [200] 1974 Criação do Comitê da Basiléia [28] [203] 1985 COSO [39] [214] 1995 Criação do IBGC n o Brasil [49] [224] 1998 Controles internos, inicio Basiléia II, 2.554 [52] [227] 2001 Enron [55] [230] 2002 Worldcom, Sarbanes Oxley [56] [231] 2004 Basiléia II, COSO ERM, Com 12.746 [58] [233] 2006 Res. 3.380 [60] [228] 2007 Res. 3.464 Ger. de risco de mercado [61] [229] 2009 COSO Guidance, ISO 31000, Risk IT [62] [230] 18
Como construir a organização que assume riscos Governança de TI alinhada com a Governança Corporativa O quadro de pessoal Mecanismos de punição e recompensas Cultura organizacional voltada ao gerenciamento do risco 19
Os princípios mais importantes Reações esperadas (Negação, Medo, Aceitação) O risco está em todos os lugares O risco éuma ameaça e uma oportunidade A ambivalência do ser humano em relação ao risco Os riscos não são gerados de uma única maneira O risco pode ser mensurado Quais evitar, repassar ou explorar Gestão de risco adiciona valor às empresas A gestão do risco éum trabalho de todos A gestão de riscos habilita o sucesso e a excelência operacional 20
O risco éo futuro da TI Não há existência objetiva para ele O futuro é construído no presente! Duas certezas Não se pode saber o que será. Será diferente do que existe agora e do que esperamos. Duas Abordagens Antecipação de um futuro que já aconteceu. Fazer o futuro acontecer. 21
Motivos para adotar o Risk IT Os riscos se originam em lugares onde menos se espera, e assumem formas que não previstas O risco éuma mescla de possibilidades de ganhos e de perdas. O sucesso da gestão do risco está diretamente relacionada com a competência das pessoas que a manejam Entender as ferramentas de gestão do risco é fundamental As ferramentas devem ser adaptadas ao processe de tomada de decisão 22
Motivos para adotar o Risk IT (2) A proteção contra riscos éuma pequena parcela do processo de gestão Os riscos devem ser gerenciados em função do valor que eles adicionam aos negócios A gestão correta do risco éa essência da prática correta dos negócios, e é responsabilidade de todos O gerenciamento dos riscos deve estar disseminado nas mentes das pessoas por meio de uma cultura voltado a resultados 23
Risk IT Introdução Risco de TI éo risco do negócio associado ao associado ao uso da TI Categorias de riscos de TI Risco e recompensa Audiência As bases do Risk IT (COSO ERM, ASNZS 4360) Os princípios do Risk IT A efetividade do Risk IT Risk IT não éum padrão 24
Categorias de riscos de TI Entrega de serviços de TI Entrega de soluções de TI Risco de realização de benefícios 25
Categorias de riscos de TI
Audiência Executivos Gerentes de TI e negócio Profissionais da área de gerenciamento de riscos Stakeholders Externos 27
Os princípios do Risk IT Governança corporativa efetiva do risco de TI Gerenciamento efetivo do risco de TI A Base da construção 28
Governança corporativa efetiva do risco de TI Sempre conectado com os objetivos do negócio Alinhamento do gerenciamento dos riscos de negócio relacionados com TI com o gerenciamento dos riscos corporativos Balanceamento dos custos e benefícios do gerenciamento de riscos 29
Gerenciamento efetivo do risco de TI Promover a comunicação dos riscos de TI de forma justa e aberta Estabelecer o tom correto de cima para baixo enquanto define e reforça a responsabilidade pela operação, dentro de níveis de tolerância bem definidos e aceitos Éum processo contínuo e faz parte das atividades diárias 30
A Base da construção Atribui responsabilidades para o gerenciamento dos riscos de TI Atribui objetivos e define o apetite para o risco e a tolerância Identifica analisa e descreve o risco Monitora a exposição ao risco Trata o risco de TI Vinculação com a orientação existente sobre gerenciamento de riscos 31
Os cenários do risco
Os Domínios do framework Risk IT Risk Governance (RG) Risk Evaluation (RE) Risk Response (RR) 33
OS componentes do Risk IT framework
Risk Governance (RG) RG1 Establish and Maintain a Common Risk View RG2 Integrate With Enterprise Risk Management (ERM) RG3 Make Risk aware Business Decisions 35
Risk Evaluation (RE) RE1 Collect Data RE2 Analyse Risk RE3 Maintain Risk Profile 36
Risk Response (RR) RR1 Articulate Risk RR2 Manage Risk RR3 React to Events 37
O modelo de processos do Risk IT
O modelo de maturidade
Gerenciar risco e oportunidade éuma estratégia chave para o sucesso
Matriz de responsabilidades
Fluxo de comunicação do risco
Risk IT, Cobit & Val IT
Formato do guia de técnicas
Entrada e saídas dos processos
Matriz RACI de cada atividade de processo
Objetivos e métricas
Bibliografia Adams, John. 2009. Risco. [ed.] MArcus Vinucius Barilli Alves. São Paulo : Editora SENAC, 2009. Traduzido do Original RISK de 1995. Brasil, Banco do. Basliéia II. Banco do Brasil. [Online] [Citado em: 27 de 09 de 2009.] http://www.bacen.gov.br/?basileia2. Brito, Osias. 2007. Gestão de riscos Uma Abordagem orientada a Riscos Operacionais. [ed.] Marcio Coelho, Rita de Cassia da Silva e Frederico Marchiori. São Paulo : Editora Saraiva, 2007. ISBN 978 85 02 05866 8. COSO. Committee of Sponsoring Organizations of the Treadway Commission. COSO. [Online] [Citado em: 27 de 09 de 2009.]. 2004. Enterprise Risk Management Integrated Framework Executive Summary. s.l. : Committee of Sponsoring Organizations of the Treadway Commission., 2004. Damodaran, Aswath. 2009. Gestão Estratégica do Risco. [ed.] Arysinha Jacques Affonso e Elisa Viali. [trad.] Félix Nonnenmacher. São Paulo : Artmed Editora S.A., 2009. ISBN 978 0 13 199048 7. Drucker, Peter Ferdinand. 2002. O Melhor de Peter Drucker O Homem, A Administração, A Sociedade. São Paulo : Nobel, 2002. Reimpressão de 2006. (c) 2001 de Peter F. Drucker. ISBN 85 213 1163 X. Hilb, Martin. 2009. A Nova Governança Corporativa Ferramentas Bem Sucedidas para Conselho de Adminstração. 2009. ISBN 978 85 98838 71 7. HM Treasury. 2004. The Orange Book Management of Risk Principles and Concepts. London : (c) Crown copyright 2004, 2004. ISBN 1 84532 044 1. IBGC. 2009. Código das Melhores Práticas de Governança Corporativa. 4ª. São Paulo : IBGC, 2009. ISBN 978 85 99645 14 7.. 2006. Uma década de Governança Corporativa História do IBGC, marcos e lições da experiência. [ed.] José Cláudio Securato. 1ª. São Paulo : Saint Paul Editora Ltda, 2006. ISO. ISO/FDIS 31000. ISO International Organization fos Standardization. [Online] [Citado em: 27 de 09 de 2009.] http://www.iso.org/iso/catalogue_detail.htm?csnumber=43170. ITGI. 2009. Enterprise Risk: Identify, Govern and Manage IT Risk The Risk IT Framework EXPOSURE DRAFT. IT Risk Task Force, IT Governance Institute, ISACA. Rolling Meadows, Chicago : ITGI, 2009. Manzi, Vanessa Alessi. 2008. Compliance no Brasil Consolidação e perspectivas. [ed.] José Cláudio Securato. 1ª Edição. São Paulo : Saint Paul Editora Ltda., 2008. ISBN 978 85 98838 60 1. OGC. 2007. Management of Risk Guidance for Practitioner. [ed.] Office of Government Commerce. London : TSO The Stationaty Office, 2007. Second Edition. ISBN 978 0 11 331038 8. Perez, Carlota. 2002. Technological Revolutions and Financial Capital. Cheltenham : Edward Elgar Publishing Limited, 2002. ISBN 1 84376 331 1. Wikipédia. Diversos Assuntos. Wikipédia. [Online] [Citado em: 27 de 09 de 2009.] http://pt.wikipedia.org/wiki/coso.
Obrigado! Risk IT Auditoria e a Gestão de Riscos Tecnológicos 10º Congresso Febraban de Auditoria Interna, Compliance e Gestão de Risco 1 e 2 de Outubro de 2009 Jose Luis Diniz, CGEIT ISACA parceria@isaca.org.br joseluisdiniz@terra.com.br FIM 49
Perguntas? SLIDES DE APOIO 50
Benefícios da conscientização e comunicação Conseqüências Quando ébem feito Quando émal feito Consciência do risco: A cultura do risco O Risco éuma parte integral dos negócios A cultura da busca dos culpados deve ser evitada Comunicação do risco: O que comunicar? Políticas, procedimentos, ações de sensibilização, reforço constante de princípios, etc. Capacidade de gestão de risco e desempenho Dados de gestão de risco operacional 51
Benefícios da conscientização e comunicação (2) A Comunicação efetiva Clara Concisa Útil Tempestiva Dirigida para a audiência correta Comunicação do risco - Stakeholders 52
A resposta ao risco Evitar o risco Reduzir/Mitigar o risco Compartilhar ou transferir o risco Aceitar do risco 53
Seleção e priorização da resposta ao risco Possíveis ações Quick wins para respostas rápidas ao risco Oportunidades quando possível Elaboração de Business Case nos casos mais complexos e dispendiosos Adiamento nos casos de riscos baixos e com pouco impacto Eficácia na resposta (fazer a coisa certa) Effectiveness (do the right thing) Eficiência na resposta (fazer as coisas direito) Efficiency (to do things right) Outros investimentos com base em TI Outras respostas 54
Seleção e priorização da resposta ao risco Importância do endereçamento do risco em função de sua resposta A habilidade da empresa para responder aos riscos Custo da Resposta No caso de transferência do risco No caso de mitigação do risco 55
Risk IT Framework The exposure draft is posted on the downloads page www.isaca.org/downloads. The comment period ended 16 March and the final publication revised for comments, as well as a practitioner s guide, are expected to be issued in the fourth quarter of 2009. http://www.isaca.org/content/contentgroups/research1/pr ojects/research_current_projects.htm#project1 Enterprise Risk: Identify, Govern and Manage Risk The Risk IT Framework (Exposure Draft) (PDF, 1.2M) Jan 2009 http://www.isaca.org/template.cfm?section=downloads3&t emplate=/taggedpage/taggedpagedisplay.cfm&tplid=63&c ontentid=13742 56
IT Governance Institute ISACA Chapter São Paulo IT Governance Institute O IT Governance Institute (ITGITM) (www.itgi.org) foi criado em 1998 para promover consciência e padrão internacionais no direcionamento e controle da tecnologia da informação corporativa. A governança de TI efetiva ajuda a assegurar que TI suporte os objetivos de negócio, otimiza investimentos de negócio em TI, e apropriadamente gerenciar riscos e oportunidades relacionados de TI. O IT Governance Institute oferece pesquisa original, recursos eletrônicos e dados de estudos para assistir os lideres e diretores das corporações em suas responsabilidades relacionadas com a governança de TI Aviso de Isenção O IT Governance Institute e a ISACA São Paulo Chapter (os Proprietários ) desenvolveram e criaram esta apresentação, intitulada Val IT TM Integrando Valor ao Negócio (a Apresentação ), primariamente como um recurso didático para executivos de TI, executivos do negócio e a gerência de TI. Os proprietários não garantem que o uso de qualquer parte desta Apresentação assegurará um resultado bem sucedido. Esta Apfresentação não deveria ser considerada inclusiva de qualquer informação própria, procedimentos e testes ou exclusiva de outra informação, procedimentos e testes que são razoavelmente direcionados para obter os mesmos resultados. Na determinação da propriedade de qualquer informação específica, procedimento, executivos de TI, executivos do negócio e a gerência de TI deveriam aplicar seu próprio julgamento profissional nas circunstâncias específicas apresentadas por um sistema em particular ou pelo ambiente de tecnologia. Revelação Direitos Reservados 2006 IT Governance Institute. Todos os direitos são reservados. Nenhuma parte desta Apresentação pode ser usada, copiada, reproduzida, modificada, distribuída, divulgada, armazenada em um sistema ou transmitida de qualquer forma ou por qualquer meio (eletrônico, mecânico, fotocopia, gravação ou de qualquer outra forma), sem a prévia autorização por escrito dos Proprietários. Reprodução de partes desta publicação para uso interno e não comercial ou uso acadêmico épermitida e deve incluir completa atribuição da fonte do material. Nenhum outro direito ou permissão éconcedido com respeito a este trabalho. IT Governance Institute I SACA São Paulo Chapter 3701 Algonquin Road, Suite 1010 Rua Vergueiro, 2087 cj. 101 Vila Mariana Rolling Meadows, IL 60008 USA São Paulo SP 04101 000 Brasil Phone: +1.847.590.7491 Telefone: +55 11 50876 8822 Fax: +1.847.253.1443 Fax: +55 11 5087 8810 E mail: info@itgi.org E mail: info@isaca.org.br Web site: www.itgi.org Web site: www.isaca.org.br