A fase de análise e avaliação representa a análise dos ativos e riscos de segurança identificados e classificados na fase anterior, procedendo a uma quantificação e mensuração dos mesmos. Esta fase engloba o processo de priorização e uma primeira definição do planeamento. Daí a necessidade de efetuar uma mensuração ao conjunto de ativos e respetivos riscos de segurança, por forma a estabelecer uma ordem a seguir no tratamento dos riscos e na implementação do plano de ação.
4.3.1 Modelo de Mensuração de Ativos
O modelo desenvolvido surge com o propósito de colmatar o problema existente na mensuração de ativos usualmente não quantificados na contabilidade. Por isso, antes de introduzir o modelo de mensuração, há relevância em falar da problemática dos ativos intangíveis. O termo “intangível” é um conceito para o qual não existe ainda uma definição consensual. Dependente das regras da contabilidade, autores como Brockington (1996), Lev (2001), Andriessen (2004) e Cohen (2005) discutem acerca do seu impacto nas empresas e na criação de valor. Segundo Blair e Wallman (2003), os intangíveis são fatores não físicos que contribuem ou são usados na produção de bens ou na prestação de serviços ou que se espera que gerem benefícios futuros para os indivíduos ou empresas que controlam o seu uso. Lev (2001) define intangíveis como “uma reivindicação de benefícios futuros que não tem uma existência física ou financeira”. De acordo com Lopes e Rodrigues (2007), os intangíveis emergiram na última década como uma questão importante entre as teorias de contabilidade das empresas, isto é, na fronteira das regras de contabilidade - uma tensão evidente entre os responsáveis pelo estabelecimento das normas contabilísticas e aqueles que usam a informação. No entanto, de acordo com a sua ligação e contribuição para determinadas empresas, a sua importância para os stakeholders é inquestionável. É deste modo que os relatórios financeiros baseados em regras de contabilidade tradicionais que excluem o retorno potencial dos ativos intangíveis, parecem ser irrelevantes para a tomada de decisões. O ciclo da inovação ou a cadeia de valor da inovação reivindicam, portanto, uma análise profunda sobre a identificação e medição de ativos intangíveis.
O investimento em bens intangíveis, como o capital humano e estrutural, é provavelmente o primeiro passo para a inovação e consequentemente para a criação de riqueza. Observam-se novos modelos de negócio nos quais a criação, captura, utilização, reutilização e difusão do
Categorias de Ameaças
Forças Superiores/Maiores
Negligência da
Figura 29 – Raciocínio Lógico do Modelo de Mensuração de Ativos
conhecimento constitui o caminho a seguir na criação de valor. De facto, as estratégias baseadas em processos de inovação são fortemente apoiadas por investimentos em ativos intangíveis (Lev, 2001). A estagnação dos sistemas contabilísticos e a sua natureza conservadora são os principais responsáveis pela falta de perceção entre o valor contabilístico e o valor de mercado. A gestão do capital intelectual pode, numa base viável, suportar esta lacuna. A identificação, gestão e medição de ativos intangíveis agem como um fator-chave no processo de criação de valor das empresas e estão fortemente interligados com várias estratégias eficazmente seguidas (Lopes e Rodrigues, 2007). Embora esses ativos não estejam incluídos no balanço patrimonial e outras demonstrações financeiras devido à sua natureza volátil e dificuldades na sua mensuração, eles devem ser relatados às partes interessadas, uma vez que podem contribuir para uma melhor análise da empresa e aparecem, muitas vezes, como a principal fonte de vantagem competitiva, responsável pela melhoria da produtividade organizacional.
A literatura destaca três técnicas de avaliação para a mensuração de ativos intangíveis: as abordagens de rendimento, mercado e custo (Reilly e Schweihs, 1998; Cohen, 2005; Lopes e Rodrigues, 2007). A abordagem de rendimento é uma aplicação direta usando a metodologia de “discounted cash flows”. Esta abordagem apresenta, no entanto, a debilidade de poder ser muito difícil encontrar fluxos de caixa futuros razoáveis e imparciais. De acordo com uma abordagem de mercado, assume-se que o valor de ativo pode ser associado ao valor de ativos comparáveis, avaliados no mercado. Porém, no caso de ativos mais heterogéneos, a utilização desta abordagem torna-se difícil. A abordagem de custo para os intangíveis é provavelmente a mais linear, que considera o custo registado nas demonstrações financeiras tradicionais ou o custo de substituição. Reilly e Schweihs (1998) argumentam que “a abordagem de custo é uma maneira fundamental de estimar o valor dos ativos intangíveis e propriedades intelectuais”. De acordo com Talbot e Jakeman (2009), estamos diante de um futuro cada vez mais complexo e interdependente, no qual a informação e os ativos intangíveis tornam-se cada vez mais valiosos, e os ativos tangíveis tendem a diminuir o valor, por comparação. No Sucesso de um Programa de Segurança, os ativos intangíveis ganham, assim, uma posição de destaque, uma vez que o sucesso já não passa apenas pela questão da performance organizacional, integrando cada vez mais componentes como a satisfação profissional e ainda, arrisco-me a dizer, a satisfação pessoal dos colaboradores.
Para estabelecer o modelo matemático de mensuração de ativos, definiu-se inicialmente a lógica de análise. Assim sendo, entende-se que cada ativo composto consiste num conjunto de diferentes componentes, cada uma com um grupo de vulnerabilidades. Para cada vulnerabilidade são definidas medidas do Sistema de Controlo e ações do Plano de Contingência. A Figura 29 retrata o raciocínio da estrutura do modelo.
Tendo por base o conceito de Total Cost of Ownership, o modelo fornece um Valor Total de Posse do Ativo através de três dimensões distintas e apelidadas de: Valor de Ativo, Valor de Ausência e Valor de Contingência. A Figura 30 apresenta as variáveis e a expressão matemática do modelo matemático por detrás da ferramenta de mensuração de ativos.
OAnexo G apresenta os templates realizados em Microsoft Office Excel, para introdução de
valores e obtenção direta das três vertentes do Valor Total de Posse do Ativo.
i - Componente do Ativo j - Vulnerabilidade k - Medida w - Ação t - Período Temporal Yk - Medida Aplicada (S/N) Yw - Ação Aplicada (S/N)
VMi - Valor Monetário/Contabilístico Direto (Componente i) COi - Custo de Oportunidade (Componente i)
CMi - Custo de Manutenção Acumulado (Componente i)
VCijk - Valor de Controlo (Componente i, Vulnerabilidade j, Medida k) VEijk - Valor Extraído (Componente i, Vulnerabilidade j, Medida k)
CMCijk - Custo da Medida de Controlo (Componente i, Vulnerabilidade j, Medida k) VRijw - Valor Resultante (Componente i, Vulnerabilidade j, Ação w)
CACijw - Custo da Ação de Contingência (Componente i, Vulnerabilidade j, Ação w) CAi - Custo de Ausência (Componente i)
VMi, COi, CMi, VCij, VEijk, CMCijk, VRijw, CACijw, CAi є IR
i є {Physical; Health and Well-Being; Finance; Data; Software; Reputation; Know-how and Knowledge}; j, k, w є IN; Yk, Yw є {0;1}
Modelo do Problema Variáveis i - Componente do Ativo j - Vulnerabilidade k - Medida w - Ação t - Período Temporal Yk - Medida Aplicada (S/N) Yw - Ação Aplicada (S/N)
VMi - Valor Monetário/Contabilístico Direto (Componente i) COi - Custo de Oportunidade (Componente i)
CMi - Custo de Manutenção Acumulado (Componente i)
VCijk - Valor de Controlo (Componente i, Vulnerabilidade j, Medida k) VEijk - Valor Extraído (Componente i, Vulnerabilidade j, Medida k)
CMCijk - Custo da Medida de Controlo (Componente i, Vulnerabilidade j, Medida k) VRijw - Valor Resultante (Componente i, Vulnerabilidade j, Ação w)
CACijw - Custo da Ação de Contingência (Componente i, Vulnerabilidade j, Ação w) CAi - Custo de Ausência (Componente i)
i є {Physical; Health and Well-Being; Finance; Data; Software; Reputation; Know-how and Knowledge}; j, k, w є IN; Yk, Yw є {0;1}
VMi, COi, CMi, VCij, VEijk, CMCijk, VRijw, CACijw, CAi є IR
O valor de contigência representa uma estimativa do diferencial do valor do ativo para valorização posterior
Expressão Matemática
Valor de Ativo
= 𝑀
Valor Total de Posse do Ativo
i - Componente do Ativo j - Vulnerabilidade k - Medida w - Ação t - Período Temporal Yk - Medida Aplicada (S/N) Yw - Ação Aplicada (S/N)
VMi - Valor Monetário/Contabilístico Direto (Componente i)
COi - Custo de Oportunidade (Componente i)
CMi - Custo de Manutenção Acumulado (Componente i)
VCijk - Valor de Controlo (Componente i, Vulnerabilidade j, Medida k)
VEijk - Valor Extraído (Componente i, Vulnerabilidade j, Medida k)
CMCijk - Custo da Medida de Controlo (Componente i, Vulnerabilidade j, Medida k)
VRijw - Valor Resultante (Componente i, Vulnerabilidade j, Ação w)
CACijw - Custo da Ação de Contingência (Componente i, Vulnerabilidade j, Ação w)
CAi - Custo de Ausência (Componente i)
Variáveis
Valor de Ativo
Componente i Componente i Componente i
- Valor Monetário Directo - Valor Monetário Directo - Valor Monetário Directo
Vulnerabilidade j - Plano de Controlo Vulnerabilidade j - Custo de Oportunidade - Custo de Manutenção Vulnerabilidade j - Plano de Controlo Vulnerabilidade j - Custo de Oportunidade - Custo de Manutenção Vulnerabilidade j - Plano de Controlo Vulnerabilidade j - Custo de Oportunidade - Custo de Manutenção
Se CTij>0: Se CTij>0: Se CTij>0: Valor Total de Posse do Ativo
Valor de Ausência
Valor de Contingência
4.3.2 Quantificação do Nível de Risco de Segurança
Para além da necessidade de mensuração dos ativos, nomeadamente para a atividade de priorização dos mesmos, é também crucial implementar um processo de análise e avaliação dos riscos de segurança. Este processo envolve a consideração das causas e fontes de risco, as suas consequências e a probabilidade dessas consequências ocorrerem. A quantificação do nível de risco para os vários riscos de segurança identificados revela-se preponderante para o estabelecimento das prioridades no tratamento dos mesmos e para a comparação face aos critérios de aceitação de risco definidos.
No âmbito da Gestão do Risco, o risco é usualmente obtido a partir da combinação entre a probabilidade de ocorrência e a magnitude dos impactos envolvidos (Josang et al, 2007). Porém, uma vez que a Gestão da Segurança Organizacional passa por uma análise específica de riscos de segurança, considerou-se importante incluir um parâmetro associado à relevância dos ativos relativos aos vários riscos de segurança. Para tal, desenvolveu-se um modelo baseado na metodologia PSR (Probabilidade, Severidade, Relevância) proposta por Espinha e Sousa (2007), e apoiado também no mapa de risco do COSO, embora este apenas contemple a Probabilidade e o Impacto.
De seguida, é apresentado o modelo desenvolvido para quantificação do risco de segurança, que abrange três parâmetros: Probabilidade (P), probabilidade de ocorrência de uma dada ameaça, explorando determinada vulnerabilidade de um ativo; Impacto (I) – impacto causado pela exploração de uma dada vulnerabilidade de um ativo, decorrente da ocorrência de uma dada ameaça e da sua concretização bem sucedida; Relevância (R), grau de importância do recurso/ativo no qual se observa o risco, para a continuidade do negócio da organização. O parâmetro R estará intimamente ligado ao valor do ativo, alcançado através do modelo de mensuração referido anteriormente.
O nível do risco de segurança é calculado a partir do produto dos três parâmetros definidos, tendo sido estabelecidas categorias para avaliação de cada um destes. A Figura 31 evidencia as categorias de avaliação dos parâmetros e o cálculo do nível do risco de segurança, bem como a introdução das três colunas referentes aos três parâmetros no template já mostrado anteriormente, assim como a coluna com o valor do ativo.
Designação Categoria Impacto ( I )
Ativos Perfil de Ameaças e Vulnerabilidades baseado nos Ativos
Designação do Ativo Owner do Ativo Valor do Ativo Relevância ( R ) Ameaça Designação da Vulnerabilidade Probabilidade ( P ) 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5
Segurança Física Segurança Lógica Segurança das Pessoas Segurança da Informação
Designação do Risco
de Segurança Descrição
Categoria do Risco de Segurança - Área de Foco Nível do Risco de
Segurança (P*I*R)
Cibersegurança
Riscos de Segurança
1 2 3 4 5
Raro 1 Baixo 1 Muito Baixa 1
Improvável 2 Ligeiro 2 Baixa 2
Possível 3 Moderado 3 Média 3
Provável 4 Grave 4 Alta 4
Frequente 5 Extremo 5 Muito Alta 5
Probabilidade (P) Impacto (I) Relevância (R )
Raro 1 Baixo 1 Muito Baixa 1
Improvável 2 Ligeiro 2 Baixa 2
Possível 3 Moderado 3 Média 3
Provável 4 Grave 4 Alta 4
Frequente 5 Extremo 5 Muito Alta 5
Probabilidade (P) Impacto (I) Relevância (R )
Raro 1 Baixo 1 Muito Baixa 1
Improvável 2 Ligeiro 2 Baixa 2
Possível 3 Moderado 3 Média 3
Provável 4 Grave 4 Alta 4
Frequente 5 Extremo 5 Muito Alta 5
Probabilidade (P) Impacto (I) Relevância (R )
𝑁í𝑣𝑒𝑙 𝑑𝑜 𝑅 𝑠𝑐𝑜 𝑑𝑒 𝑆𝑒𝑔𝑢𝑟𝑎𝑛ç𝑎 = 𝑃 𝐼 𝑅
Níveis do Riscos de Segurança:
[0, 10[ Nível 1
[10, 25[ Nível 2
[25, 50[ Nível 3
[50, 80[ Nível 4
[80, 125[ Vermelho Escuro Nível 5
Verde Amarelo Laranja Vermelho
Figura 33 – Métodos de Tratamento dos Riscos de Segurança
Este modelo, envolvendo três parâmetros distintos e resultando do produto dos três, tomará valores entre 0 e 125, com uma atribuição de níveis em cinco classes distintas de valores. Variando cada parâmetro de 1 a 5, criou-se um cubo para retratar os níveis dos riscos de segurança, em função da Probabilidade, Impacto e Relevância, cada um representado num dos três eixos do referencial. A Figura 32 apresenta, assim, a visualização estrutural do modelo desenvolvido, disponibilizando-se no Anexo H o conjunto de valores resultantes do produto, representando todo o cubo.