Direcionar a gestão de risco

O subdomínio que trata do direcionamento da implementação de práticas de gestão de risco para fornecer segurança razoável de que as práticas de gestão do risco de TI são adequadas para garantir que o risco de TI observado não exceda o apetite de risco do conselho de administração é constituído por seis questionamentos (Q38 a Q43). As questões, em totalidade, foram postas em análise conforme o grau

de concordância dos respondentes. Para tanto, apresenta-se o gráfico 15 para demonstrar a análise descritiva.

Gráfico 15 – Grau de concordância do direcionamento na gestão de risco

Fonte: Elaborada pelo autor.

Como é possível observar na interpretação dos dados, para o subdomínio que trata o direcionamento da gestão de riscos, a média e a mediana estão apontando, respectivamente, para 2,20 e 2,17. Estes indicadores, diferentemente da maior parte dos outros subdomínios, demonstram a existência de uma percepção abaixo da média para o subdomínio avaliado, deixando evidente, conforme a tabela 10, em que se enquadra em discordo parcialmente, que há uma ausência de políticas de gestão de risco, objetivos a serem monitorados e processos para medir a gestão de riscos.

0 0,5 1 1,5 2 2,5 3 3,5 4 38. A organização possui um plano de capacitação para identificação dos riscos de TI.

39. A organização integra a estratégia de risco de TI com

as decisões de risco estratégicos.

40. A organização possui plano de comunicação de risco em todos os níveis

organizacionais.

41. A organização possui mecanismo implementado para reportar riscos de forma rápida para níveis adequados

de gestão. 42. A organização possui

metas de gestão de risco. 43. A organização possui métricas de gestão de risco.

Grau de concordância do direcionamento na gestão de risco

É importante observar que quase todos os pontos, o que envolve a organização enquanto possuinte de um plano de capacitação para identificação dos riscos de TI, a integração de uma estratégia de risco de TI com as decisões de riscos estratégicos, um plano de comunicação de risco em todos os níveis organizacionais, um mecanismo implementado para que se possa reportar riscos de forma rápida para níveis adequados de gestão e as métricas de gestão de risco, são para os respondentes fragmentados e não atingem sequer um nível de concordância parcial.

Em se tratando do grau de concordância, vê-se que a única questão que atinge mediana (3,0), satisfatória ao grau de concordância parcial, é a Q42, que aborda as metas de gestão de risco. Todas as demais (Q38, Q39, Q40, Q41 e Q43), conforme a mediana, estão em um grau de discordância parcial. No que propõe a média, em sequência de melhor avaliação e que permeiam valores superiores a 2,0, seguem as questões Q42, Q41, Q43, Q39 e Q40.

Com uma média de 1,81, o que compreende a questão menos bem avaliada, está o questionamento Q38. Esta questão considera a organização enquanto portadora de um plano de capacitação para identificação dos riscos de TI. Conforme visto, esse número se evidencia apontando uma necessidade latente de atenção pela organização para esse plano. Conforme ISACA (2012), para que se aperfeiçoem os resultados, devem-se implantar determinadas políticas e práticas de gestão de risco para que se torne possível a promoção da segurança considerada satisfatória pela TI da organização (ISACA, 2012). Ainda para fins de maior compreensão, se estabelece um diálogo com as vozes teóricas para os elementos envolvidos neste subdomínio.

No concernente a questão 38, que foi a questão menos bem avaliada, é muito importante trazer que toda organização precisa ter um plano de capacitação para a identificação dos riscos de TI. E isso é extremamente importante, já que existe um plano de gestão de risco em que se especifica a abordagem, os componentes de gestão e os recursos a serem aplicados para gerenciar tais riscos, havendo assim a capacitação na identificação de risco, a qual envolve conjuntamente as fontes de riscos, os eventos, as suas causas, as suas consequências e também os seus potenciais (ABNT, 2009).

Para tanto, a considerar tamanha complexidade, é fundamental que também permeie dados históricos, opiniões de especialistas e pessoas com capacidade de informação, análises teóricas e as necessidades das partes interessadas. Portanto,

esforços devem ser desprendidos para que se consiga capacitar pessoas para que identifiquem os riscos de TI (FERNANDES; ABREU, 2014).

O questionamento 39 que também não teve uma boa avaliação trata da integração da estratégia de risco de TI com as decisões de risco estratégicas, muito embora seja um ponto elementar para uma organização. Como anteriormente abordado, a gestão de risco é parte que integra todos os processos organizacionais e qualquer tomada de decisão. Existem, de fato, os riscos de TI e os riscos estratégicos, portanto, deve-se haver um direcionamento da integração da estratégia de risco de TI e das operações com as decisões de risco estratégicas e operações da organização (FERNANDES; ABREU, 2014).

Referente à questão Q40, que foi uma das menos bem avaliadas, é essencial que isso seja reajustado, uma vez que toda organização deve ter um plano de comunicação de risco em todos os níveis organizacionais. Sobre a questão 41, onde a organização possui um mecanismo implementado para reportar riscos de forma rápida para níveis adequados de gestão, alguns pontos precisam ser revistos. A comunicação de risco, em si, trata-se de um compartilhamento de informações a respeito do risco entre quem está tomando alguma decisão e as demais partes interessadas.

Em todo e qualquer processo de gestão de riscos, os participantes precisam estar envolvidos e este envolvimento é oportunizado diante de campanhas de conscientização e treinamento. Também é importante saber que a comunicação não existe apenas antes do início de um processo, mas sim ao longo do seu desenvolvimento e até mesmo depois da sua conclusão quando se retornam com dados sobre as metas e os resultados atingidos. São mediante a comunicação que as informações vão sendo transmitidas juntamente com as informações, o conhecimento, as percepções. Então, se trata de uma atividade crítica para o êxito dos trabalhos desenvolvidos.

Este processo de comunicação envolve uma troca interativa que é feita através de documentação formal, de maneira contínua, intencionalmente. E é por meio disto que se consegue tomar decisões de forma mais rápida, proporcionando o controle dos riscos e evitando possíveis danos. É importante que na equipe se tenha um profissional que acompanhe diretamente as ações de comunicação, além de a realização de reuniões regularmente para esse acompanhamento, dando um status,

ou retorno, sobre a gestão dos riscos para a equipe, a direção da organização e qualquer outra parte interessada.

Ponto relevante dos questionamentos Q40 e Q41 é que a criação de relatórios de comunicação apoiará também a tomada de decisões. É por isso que convém que a organização designe mecanismos de comunicação que reporte, para fins de apoio e incentivo, a responsabilização e a propriedade dos riscos. Esses mecanismos envolvem e garantem, como assegurado pela ABTN ISO GUIA 73: 2009 que os componentes-chave da estrutura da gestão de risco estejam sendo comunicados adequadamente, que haja um processo que reporte sobre a estrutura, a eficácia e os resultados, que as informações pertinentes que derivam da aplicação da gestão de riscos possam estar disponíveis nos momentos e, sobretudo, nos níveis apropriados, e que existam processos de consulta às partes interessadas internas.

É também essencial que se entenda que, quando existe um plano de comunicação efetivo, é possível que se auxilie a estabelecer o contexto, assegurar o interesse das partes interessadas, a garantia que os riscos sejam identificados adequadamente, que reúna as mais diferentes áreas de especialização para o momento de uma análise, que considere um maior número de pontos de vista, que exista o aval para um plano de tratamento e que se aprimore a gestão de mudanças. Quando as partes interessadas estão comunicadas desse processo, além da tranquilidade, ainda se tem o endosso e a aceitação de posteriores decisões. Ainda vale acrescentar que os riscos precisam ser comunicados de forma planejada, em que cada nível possa acessar essas mensagens.

Não menos importante que comunicar os riscos, as questões 42 e 43 partem de um subdomínio com um nível de discordância parcial e precisam ser ajustadas, uma vez que a organização necessita de metas e métricas de gestão de risco. Para que exista uma melhoria contínua na gestão de riscos, é essencial que se estabeleçam metas de desempenho organizacional, o que podem ser postos mediante mensuração e análises críticas, bem como por meio das mudanças de sistemas, processos, recursos, habilidades e capacidades. Devem existir metas explícitas de desempenho e isto, como os demais pontos, precisa ser também comunicado.

Havendo uma análise crítica do desempenho, é possível revisar os processos e estabelecer novas metas e determinar métricas para que se revisem sempre os objetivos de desempenho para o período que se segue. É importante também saber

que mensurar os riscos não significa avaliá-los. Dessa forma, mais que conhecer os tipos de risco que o negócio pode sofrer, é elementar saber qualificar e quantificar estes riscos. Logo, os indicadores de desempenho, bem como as metas organizacionais, precisam considerar os eventos externos e internos que possam ocorrer ou serem considerados como riscos. Quantificar as incertezas é parte crucial do planejamento estratégico de uma organização. Só é possível ter assertivas nas projeções de resultados quando há essa quantificação.

Além disso, precisa haver métricas financeiras. É importante que o impacto financeiro seja medido também em caráter quantitativo conforme a variação potencial do valor econômico, do resultado econômico, do fluxo de caixa. Para tanto, se sugere o uso de determinadas ferramentas que atuem nas simulações e gerenciem esses cenários conforme as variáveis e consistentes que existam. E neste cenário, também se encontra a identificação e detalhamento dos fatores que estão afetando o desempenho, o que automaticamente envolve os riscos identificados e a dinâmica de impacto nas operações. É ainda importante dizer que tais métricas precisam envolver conhecimento e previsões de cada uma das áreas estratégias da empresa, pois, a evolução precisa ser conjunta. E é definindo métricas, analisando cenários e mapeando probabilidades que se antecipam às decisões.

Sabendo dos questionados que não responderam, e considerando os demais pontos da escala, ainda se interessou por distribuir essas respostas em função de valores mínimo e máximo. É importante este feito por possibilitar a visualização de qualquer discrepância que possa surgir entre os elementos e dar base às proposições de estudos futuros. Para agregar mais fatores à análise e interpretação dos dados, também são distribuídas as respostas dos respondentes referentes ao subdomínio que envolve o direcionamento da gestão de risco, expostas na Tabela 11.

Tabela 11 – Direcionamento na gestão de risco Nível de Concordância 1 = Discordo totalmente 2 = Discordo parcialmente 3 = Concordo parcialmente 4 = Concordo totalmente Não sei responder Q38 25% 28,1% 12,5% 0% 34,4% Q39 9,4% 25% 18,8% 3,1% 43,8% Q40 21,9% 25% 25% 0% 28,1% Q41 12,5% 28,1% 37,5% 0% 21,9%

Q42 12,5% 18,8% 28,1% 6,3% 34,4%

Q43 12,5% 28,1% 18,8% 6,3% 34,4%

Fonte: Elaborada pelo autor.

É também significativo verificar a quantidade de questionados que, em algumas questões, posicionaram-se como não as sabendo responder. Vê-se o maior percentual na questão Q39, com 43,8%. Tal dificuldade pode ser justificada pela ausência de compreensão sobre as estratégias de risco de TI e das próprias operações em relação às decisões de riscos estratégicos e as operações da organização. Ainda com um alto nível, de 34,4%, está a questão Q38, que até mesmo pode justificar a Q39, a saber, trata da promoção de uma cultura de conscientização dos riscos de TI e também sobre a capacitação da organização para que se identifiquem de forma proativa os riscos de TI, bem como as oportunidades e os impactos potenciais aos negócios.

Juntas a essa, tem-se as questões Q42 e Q43, com 34,4%, onde a dificuldade pode ser entendida por não terem o conhecimento preciso sobre essas metas e métricas e até a aprovação de abordagens, métodos, técnicas e processos para uma possível captura e relato das informações de medição. Em seguida, estão as questões Q40 e Q41, respectivamente, com 28,1% e 21,9%, em que se percebe a dificuldade dos respondentes em identificar os mecanismos apropriados para se responder de forma rápida às mudanças aos riscos e isto perpassar todos os níveis adequados de gestão, conhecendo o que reportar, quando, onde e como, deixando visível a necessidade de ampliação dos conhecimentos da organização sobre tais pontos.

O valor mínimo (1) e máximo (4) mostra um grau de dispersão. Contudo, é concordante afirmar que essa distribuição da frequência se encontra, em inteiro, dentro dos níveis de normalidade, por não exporem divergências de compreensão significativas. Ademais, importa inferir que a média e a mediana são elementos importantes na compreensão dos respondentes e, por fim, vê-se que a sua maior parte discorda parcialmente no concernente ao direcionamento da gestão de riscos, mostrando a necessidade de investimento nestes elementos.