Análise de Cenários de TI em Gestão de Riscos Corporativos 

 
Download Article

Os cenários são uma ferramenta poderosa no arsenal do gerente de riscos. Eles ajudam os profissionais a fazerem as perguntas certas e a se prepararem para o inesperado. A análise de cenários se tornou uma ‘nova’ e melhor prática na gestão de riscos corporativos (ERM) (consulte a figura 1). Além disso, a análise de cenários é uma peça central no modelo de Risk IT da ISACA.1, 2

Figura 1

A análise de cenários de riscos é uma técnica para tornar o risco de TI mais concreto e tangível e de possibilitar uma análise e avaliação de riscos apropriada.3 É a abordagem central para levar realismo, conhecimento, envolvimento organizacional, análise aprimorada e estrutura para a complexa questão do risco de TI.

Fluxo da Análise de Cenário

Um dos desafios da gestão de riscos de TI é identificar os riscos relevantes entre tudo que pode dar errado. Uma técnica para superar esse desafio é o desenvolvimento e o uso de cenários de riscos. Após esses cenários serem desenvolvidos, eles são usados durante a análise de riscos, quando são feitas estimativas da frequência em que os cenários ocorrem e do impacto que causam nos negócios.

A figura 2 mostra que os cenários de riscos de TI podem ser derivados de duas formas diferentes:

  • Uma abordagem “top-down”, que começa a partir dos objetivos de negócios gerais e na qual é feita uma análise dos cenários de riscos de TI mais relevantes e prováveis que estão afetando os objetivos de negócios
  • Uma abordagem “bottom-up”, na qual uma lista de cenários genéricos é usada para definir cenários mais concretos e personalizados

Figura 2

As abordagens são complementares e devem ser usadas simultaneamente. De fato, os cenários de riscos devem ser relevantes e vinculados a riscos corporativos reais. Por outro lado, o uso de um conjunto de cenários de riscos genéricos de exemplo ajuda a assegurar que nenhum risco seja ignorado e fornece uma visão mais abrangente e completa do risco de TI.

A seguir está uma abordagem prática que se provou ser útil no desenvolvimento de um conjunto de cenários de riscos relevantes e importantes:

  1. Usar uma lista de cenários de riscos genéricos como exemplo4 para definir um conjunto inicial de cenários de riscos concretos para a organização.
  2. Executar uma validação com relação aos objetivos de negócios da organização.
  3. Refinar os cenários selecionados com base na validação, categorizá-los em um nível alinhado à importância5 da organização.
  4. Reduzir o número de cenários a um conjunto gerenciável.6
  5. Manter todos os riscos em uma lista para que eles possam ser reavaliados na próxima iteração e incluídos para análise detalhada, caso tenham se tornado relevantes nesse momento.
  6. Incluir ‘evento inesperado’ nos cenários para tratar dos incidentes que não estiverem previstos nos cenários especificados.

Assim que o conjunto de cenários de riscos for definido, poderá ser usado para a análise de riscos. Na análise de riscos, a frequência e o impacto do cenário são avaliados. Os componentes importantes dessa avaliação são os fatores de risco, que serão descritos na próxima seção.

Isso não é tão complicado assim, então por que as organizações não usam os cenários de riscos com maior frequência e rotineiramente? Lembre-se de que os cenários são, na realidade, mais difíceis de desenvolver do que parecem. Um bom cenário leva tempo para ser construído e requer um bom conhecimento de inúmeras áreas da empresa e, dessa forma, um conjunto completo exige um grande investimento de tempo e energia.

Fatores de Risco

Fatores de risco são os fatores que influenciam a frequência e/ou o impacto corporativo dos cenários de riscos. Eles podem ter naturezas diferentes e ser classificados em duas categorias principais:

  • Fatores ambientais, que podem ser divididos em fatores internos e externos, sendo a diferença o grau de controle que a empresa tem sobre eles:
    • Os fatores ambientais internos estão amplamente sob o controle da empresa.
    • Os fatores ambientais externos estão amplamente fora do controle da empresa.
  • Capacidades, por exemplo, como a empresa está trabalhando em diversas atividades relacionadas a TI. Elas podem ser distinguidas alinhadas aos três modelos (frameworks) principais da ISACA:
    • Capacidades de gestão de riscos de TI — Até que nível a empresa tem maturidade para realizar os processos de gestão de riscos definidos no Risk IT
    • Capacidades de TI — Qual é a qualidade dos processos de TI, conforme definidos no COBIT
    • Capacidades corporativas relacionadas a TI (ou gestão de valores) — Expressos por meio dos processos do Val IT

A importância dos fatores de risco está na influência que eles têm sobre o risco de TI. Eles são grandes influenciadores da frequência e do impacto dos cenários de TI e devem ser levados em consideração durante cada análise de risco, quando a frequência e o impacto forem avaliados. A figura 3 representa os fatores de risco.7

Figura 3

Componentes Dos Cenários de Riscos

Um cenário de riscos de TI é uma descrição de um evento relacionado a TI que pode causar um impacto nos negócios, quando e se ele ocorrer. Para os cenários de riscos estarem completos e serem úteis para fins de análise, eles devem conter determinados componentes, como mostra a figura 4.

Figura 4

Desenvolvimento de Cenários

O uso de cenários é a chave para a gestão de riscos e a técnica pode ser aplicada a qualquer empresa. Cada empresa deve criar um conjunto de cenários (contendo os componentes descritos anteriormente) como ponto inicial para conduzir sua análise de riscos. Construir um cenário significa combinar todos os valores possíveis de todos os componentes.

Cada combinação deve ser avaliada de acordo com sua relevância e realismo e, caso seja relevante, registrada na lista de riscos. Na prática, isto não é possível pois resultaria em um número muito grande de cenários. O número de cenários a serem desenvolvidos deve ser mantido em um número bem menor para permanecer gerenciável, pois todas as combinações possíveis não podem ser armazenadas.8

Conclusão

Os cenários têm três benefícios que os tornam muitos poderosos para a compreensão de riscos e oportunidades.9

Primeiro, os cenários expandem o pensamento. Se as pessoas desenvolverem uma variedade de resultados possíveis, pensarão de forma mais abrangente. Ao demonstrar como, e por que, as situações poderiam ficar rapidamente melhores ou piores, elas se preparam melhor para a gama de possibilidades que o futuro pode trazer.

Segundo, os cenários revelam futuros inevitáveis ou quase inevitáveis. Ao desenvolver cenários, as pessoas buscarão resultados predeterminados, principalmente cenários inesperados, que costumam ser a origem mais poderosa de novo conhecimento revelado no processo de desenvolvimento de cenários.

E, por último, os cenários protegem contra o ‘pensamento de grupo’. Geralmente, a hierarquia de uma organização inibe o fluxo livre de debate. Os funcionários aguardarão (principalmente em reuniões) o executivo sênior declarar sua opinião antes de arriscar-se dizendo a sua própria, que, então, magicamente espelha a do executivo sênior. Os cenários permitem que a organização se livre dessa armadilha fornecendo um ‘porto seguro’ político para pensamentos contrários.

Os cenários não fornecerão todas as respostas, mas ajudarão os executivos a fazerem perguntas melhores e a se prepararem para o inesperado. Isso os tornam uma ferramenta extremamente valiosa, de fato.

Notas Finais

1 ISACA, The Risk IT Framework, EUA, 2009
2 ISACA, The Risk IT Practitioner Guide, EUA, 2009
3 Análise de riscos é a estimativa real da frequência e magnitude/impacto de um cenário de riscos. Avaliação de riscos é um termo ligeiramente mais amplo e inclui as atividades preliminares e auxiliares à análise de riscos, ou seja, identificação de cenários de riscos detalhados e definição de respostas.
4 The Risk IT Practitioner Guide fornece uma lista de cenários de riscos genéricos de TI. Essa lista pode ser usada como base para a criação do próprio conjunto de cenários de riscos relevantes da empresa.
5 Entidades críticas merecem ter cenários de riscos definidos detalhadamente; entidades não críticas podem ter cenários genéricos que não foram elaborados com tantos detalhes. Observe que a entidade pode ser uma unidade organizacional, mas também pode ser algo interorganizacional, como, por exemplo, um grupamento de processos e atividades corporativos.
6 ‘Gerenciável’ não significa um número fixo, mas deve estar alinhado à importância geral (tamanho) e à importância da unidade. Não há regra geral. No entanto, se cenários forem razoavel e realisticamente delimitados, a empresa deverá esperar desenvolver pelo menos algumas dezenas de cenários.
7 Os fatores de risco são discutidos em detalhes no The Risk IT Practitioner Guide.
8 Algumas orientações e considerações sobre o desenvolvimento e a manutenção de números gerenciáveis de cenários relevantes podem ser encontradas no The Risk IT Practitioner Guide.
9 Baseado em Roxburgh, Charles; ‘The Use and Abuse of Scenarios’, McKinsey Quarterly, novembro de 2009

Urs Fischer, CISA, CRISC, CPA Swiss
é um consultor independente de governança, risco e conformidade de TI. De 2003 a 2010, foi vice-presidente e diretor de governança de TI e gestão de riscos na Swiss Life Group. Antes, foi diretor de auditoria de TI do departamento de auditoria da SwissLife em Zurich, na Suíça. Desde 1989, Fischer trabalha nas áreas de governança, auditoria e segurança de TI e ganhou extensa experiência em governança de TI, gestão de riscos e conformidade de sistemas de informação. Envolvido no desenvolvimento do COBIT® 4.0 e 4.1, também ajudou a desenvolver o COBIT 5. Membro do Comitê de Orientação e Práticas da ISACA, em junho de 2010 recebeu o prêmio John Lainhart IV da ISACA.