GESTÃO DE RISCOS

SUMÁRIO

LISTA DE FIGURAS 3

INTRODUÇÃO 5

1. GOVERNANÇA DO RISCO 7

1.2 APETITE DE RISCO E TOLERÂNCIA AO RISCO 7

1.2.1 Responsabilidades e prestação de contas para os riscos da gestão de TI 10

2 AVALIAÇÃO DE RISCO 18

3 RESPOSTA AO RISCO 24

4 CONSIDERAÇÕES FINAIS 25

5 REFERÊNCIAS 27

INTRODUÇÃO

Risco não é um conceito novo. A Teoria Moderna das Carteiras (base do que conhecemos como riscos corporativos) originou-se do trabalho pioneiro de Markowitz por volta de 1950 e ainda é muito estudada em Finanças Corporativas e MBA’s pelo mundo afora. Esta teoria está baseada nos conceitos de retorno e risco. Risco assumiu sua justa posição de destaque somente mais recentemente, seguindo-se a escândalos internacionais, como aqueles envolvendo nomes como Barings Bank (1997), Enron (2001) e mais recentemente com o Lehman Brothers e AIG.

Os três conceitos fundamentais para qualquer investidor são retorno, incerteza e risco. Retorno pode ser entendido como a apreciação de capital ao final do horizonte de investimento. Infelizmente, existem incertezas associadas ao retorno que efetivamente será obtido ao final do período de investimento. Qualquer medida numérica desta incerteza pode ser chamada de risco. Retorno e risco estão presentes em qualquer operação no mercado financeiro e também em tecnologia da informação. Existe um ditado antigo: “no risk, no fun”. Se o retorno é alto, geralmente o risco acompanha. Enquanto a definição de retorno é intuitiva, o mesmo não se pode dizer sobre risco. Isto porque o risco é um conceito “multidimensional” que cobre quatro grandes grupos:

• Risco Operacional

• Risco de Mercado

• Risco de Crédito

• Risco Legal

Vários frameworks foram desenvolvidos para riscos corporativos, sendo os mais conhecidos o VAR – Value at Risk e o COSO Enterprise Risk Management, assim como softwares para gerenciar estes riscos. Alguns sistemas mais conhecidos são o Risk Metrics e Corporate Metrics do JP Morgan, utilizados pela maior parte das instituições financeiras mundiais e por empresas como a Braskem e também o Risk Navigator, utilizado no Brasil pela Vale do Rio Doce. No que se refere a riscos operacionais e, sendo mais preciso, aos riscos de tecnologia da informação, existem alguns frameworks conhecidos como o NIST Risk Management e a ISO/IEC 27005. Eis que chega mais um modelo no mercado, trata-se do Risk IT do ISACA. Este novo framework foi lançado em fevereiro/2009 e ainda está em formato de draft para consulta e contribuição por parte dos seus associados. A audiência deste modelo são os CIOs, CSOs, CFOS e Gestores de Negócios em geral. O Risk IT inclui três areas do conhecimento: Risk Governance, Risk Evalution e Risk Response. O framework é bastante extenso, as três áreas do conhecimento são desdobradas em 46 processos, a seguir faremos uma descrição de cada uma delas.

1. GOVERNANÇA DO RISCO

Este capítulo exemplifica alguns componentes essenciais do domínio Governança do Risco. Os tópicos discutidos aqui incluem:

• O apetite ao risco e tolerância ao risco.

• As responsabilidades e prestação de contas de TI gestão de riscos.

• Sensibilização e comunicação.

• Cultura de risco.

1.2 APETITE DE RISCO E TOLERÂNCIA AO RISCO

O apetite ao risco e tolerância são conceitos que são usados com frequência, mas o potencial de mal-entendido é alta. Algumas pessoa usam a conceitos como sinônimos, outros veem de uma forma clara. As definições quadro de risco de TI são compatíveis com as definições do COSO ERM (que são equivalentes à definições ISO 31000 em guia 73):

- O apetite de risco - quantidade ampla de risco de uma empresa ou outra entidade está disposta a aceitar na prossecução da sua missão (ou visão).

- Tolerância ao risco - de variação aceitável em relação à realização de um objetivo (e muitas vezes é a melhor medida nas mesmas unidades como os utilizado para medir o objetivo relacionado).

Ambos os conceitos acima são introduzidos no Risk IT Process Model, nas praticas de gerenciamento de chaves, para dessa forma estabelecer uma visão de risco comum.

O apetite pelo risco pode ser definido através de mapas de risco. Faixas diferentes de risco o significado pode ser definido através das faixas coloridas no mapa de risco mostrado na figura abaixo.

Figura 1: Mapa de risco.

No exemplo acima, são definidos quatro faixas de importância:

Vermelho – Indica risco realmente inaceitável. (A empresa estima que está em um nível de risco muito além de seu apetite de risco normal. Qualquer risco encontrado nessa faixa pode desencadear um retorno não esperado).

Amarelo – Indica risco elevado, ou seja, também acima do apetite de risco aceitável. (A empresa pode, por uma questão de politica, exigir uma resposta adequada a ser definida dentro de certos limites de tempo).

Verde – Indica um nível aceitável de risco normal, geralmente sem especial ação necessária, exceto para a manutenção dos controles atuais.

Azul – Indica risco muito baixo, onde as oportunidades de redução de custos pode ser encontrado. (Nessa fase é onde as oportunidades de assumir mais riscos podem surgir).

O esquema de apetite de risco acima é apenas um exemplo, casa empresa tem que definir os seus próprios níveis de apetite de risco e revê-los cuidadosamente. Não existe um direito universal ou errado, mas ele precisa ser definido, bem compreendida e comunicada. O apetite pelo risco e tolerância ao risco deve ser aplicada não só para as avaliações de risco, mas também para todas as decisões do framework Risk IT.

Já tolerância ao risco é o desvio tolerável do nível definido pelo apetite de risco e objetivos de negócios, por exemplo, as normas exigem que os projetos se foram

...