|
|
A tecnologia no contexto do gerenciamento de riscos corporativos
Márcia Andréa Peres
Presidente da IplanRio
Para auxiliar os administradores das organizações a identificarem e tratarem com eficácia as incertezas com as quais convivem em seus segmentos, o Committee of Sponsoring Organization of the Treadway Commission (COSO), organização não governamental composta por diversos órgãos internacionais representativos das classes financeira, contábil e de Auditoria, editou a obra Gerenciamento de Riscos Corporativos - Estrutura Integrada. Essas incertezas podem gerar efeitos no alcance dos resultados das organizações. Quando positivos devem ser tratados como oportunidades; quando negativos devem ser definidos como riscos.
Por isso, Risco pode ser definido como potencial de perda para uma organização devido a erro, fraude, ineficiência, falta de aderência aos requisitos estatutários ou ações que tragam descrédito à organização e que possam afetar negativamente o alcance de seus objetivos. O estudo define Gerenciamento de Risco como processo conduzido em uma organização pelo Conselho de Administração, Diretoria e demais empregados aplicado no desenvolvimento de estratégias formuladas para identificar em toda a organização eventos em potencial capazes de afetá-la.
Após a avaliação desses riscos, a administração decide a estratégia a ser adotada para seu gerenciamento: evita, aceita, reduz ou compartiha o risco com terceiros estabelecendo, para tal, o seu apetite a riscos - a quantidade total de riscos que a organização aceita na busca de sua missão ou visão.
Esse estudo define a composição do risco em oito componentes: ambiente interno, fixação de objetivos, identificação de eventos, avaliação de riscos, resposta a riscos, atividades de controle, informações e comunicação e monitoramento. Em todos esses componentes a Tecnologia da Informação representa uma função primordial para assegurar a integridade, precisão e validade das informações e das operações. A Tecnologia da Informação é tratada em especial no componente "atividades de controle", representadas pelas políticas e procedimentos que contribuem para assegurar que as respostas ao risco sejam executadas.
Para auxiliar as operações e o cumprimento dessas políticas, sistemas de informação têm sido amplamente utilizados. Dois grupos de atividades de controle relacionadas à TI foram estabelecidos. O primeiro é classificado como Controles Gerais, os quais se aplicam a todos os sistemas: de grande porte ou mainframe para cliente/servidor aos ambientes de computadores portáteis e os de mesa e contribuem para assegurar uma operação adequada e contínua. Enquadram-se nesse grupo: a administração da TI, a infra-estrutura de TI, a administração da segurança e a aquisição, desenvolvimento e manutenção de software. Um segundo grupo é o dos controles de aplicativos, que incluem etapas para avaliar o processo por meio de códigos de programação dentro do software. Para isso são realizados controles diários mediante cálculos e comparações com o objetivo de evitar e detectar a coleta e o processamento incompleto, inexato, inconsistente e inadequado de dados. São classificados nesse grupo: balanço das atividades de controle - erros de captura de dados -, dígitos de verificação, listagens pré-definidas de dados, teste de razoabilidade de dados e testes lógicos.
Na área de TI é amplamente praticada a análise de risco em contextos específicos e restritos, tais como segurança, infra-estrutura, desenvolvimento de sistemas. O estudo citado traz à reflexão a necessidade de que a TI tenha um olhar mais amplo acerca dos riscos, a partir das estratégias definidas pela organização. Ao invés de somente identificar e gerenciar os riscos inerentes às atividades de TI é preciso que essa tarefa esteja incluída na discussão das estratégias definidas pela alta administração e, a partir daí, a TI deve funcionar como um dos agentes que concorram para o alcance desses objetivos globais, a partir da identificação dos riscos de TI associados a essas estratégias.
Integrar os riscos de TI a riscos inerentes às estratégias definidas como um todo é atividade que permite aos profissionais da área apresentar uma contribuição focada e efetiva para o alcance dos objetivos das organizações. É preciso que os setores de TI sejam integrados às estratégias de negócio, a fim de que possam participar ativamente tanto do processo decisório como dos resultados obtidos, convergindo esforços e fazendo com que toda a organização usufrua dos resultados dessa integração. É preciso que os setores de TI percebam que são importantes para a Gestão dos Riscos Corporativos e não somente para os riscos de TI.
