9. Final Concept Specification
9.1 Control Levers
Riscos podem ser definidos como a chance de que um evento interfira no atingimento de objetivos (COMMITTEE OF SPONSORING ORGANIZATIONS, 2004), ou ainda como o
“impacto negativo do exercício de uma vulnerabilidade, considerando tanto a probabilidade quanto o impacto de sua ocorrência” (STONEBURNER; GOGUEN; FERINGA, 2002).
Os riscos são inerentes à natureza dos negócios e mercado em que uma organização está inserida. Uma empresa que atua no mercado de ações é intrinsecamente mais exposta ao risco que outra que lida com mercadorias (BENAROCH et al., 2007). Mesmo assim organizações encontram suas maneiras próprias de tratar riscos. Wilkin e Chenhall (2010) citam tipos de atitude da organização perante o risco:
- Evitar risco: não assumir contratos ou atividades diferentes das convencionais, que introduzem incertezas no dia a dia da operação;
- Reduzir/mitigar o risco: identificar e tratar os riscos, deixando claros os planos de ação a serem implantados para reduzir possíveis impactos frente a novas atividades;
- Compartilhar/transferir o risco: dividir os riscos com os clientes e parceiros da organização, ou mesmo transferi-los a outra organização, sem que responsabilidade ou possíveis penalizações contratuais sejam aplicáveis;
- Aceitar o risco: assumir eventuais impactos em nome de atender aos clientes e ganhar concorrências.
Muito comumente se vê em contratos de terceirização de serviços de TI um pensamento voltado à transferência de riscos (BAHLI; RIVARD, 2005), em que a organização prestadora passaria a ser integralmente responsabilizada pelo sucesso ou insucesso da operação de TI e consequente desempenho do negócio. Esta premissa leva a contratações equivocadas principalmente pela diferença de expectativas entre prestadores de serviços de TI e os contratantes. Os riscos não são completamente transferidos (PRADO; CRISTOFOLI; SCHMIDT, 2012), uma vez que a inteligência sobre o processo de negócio e sua ligação direta com os objetivos da organização continuam sob responsabilidade do gestor que contrata os serviços de TI.
Os riscos, quando não mitigados, podem trazer consequências negativas de duas naturezas à organização (CHEN; ZHANG; LAI, 2009; MEIRELLES, 2012; Nikolic e Ruzic-Dimitrijevic, 2009):
- Tangíveis: perda de receita, perda de produtividade (tempo dos profissionais, horas- extras), número e volume de transações não realizadas ou concluídas, penalidades contratuais, multas regulatórias;
- Intangíveis: desgaste da imagem corporativa, perda de tempo de clientes, perda da confiança dos clientes.
O gerenciamento de riscos requer a ciência dos riscos pela alta administração, a adequada avaliação da tolerância ao risco da organização, a necessidade de atendimento a demandas regulatórias, a identificação da exposição a riscos significativos e o estabelecimento de responsabilidades (ISACA, 2009). Van Grembergen; de Haes e Guldentops (2004) colocam o gerenciamento do risco centrando-se na preservação do valor de negócios. Há vasta cobertura na literatura sobre gerenciamento de riscos, que não será explorada neste trabalho, uma vez que os fatores relevantes a este gerenciamento foram utilizados como insumos para a coleta e análise de dados desta pesquisa.
O fator localização geográfica também influi na atitude perante o risco. Fleury A. e Fleury M.T.L. (2012) apresentam um estudo sobre as organizações multinacionais brasileiras, destacando características que influenciam nestas decisões. Hofstede (2012) propôs um estudo
originado nas diferenças entre profissionais da mesma organização localizados em países diversos. Para tanto, estabeleceu cinco fatores para medir tais diferenças, chamados de distância psíquica. Especificamente sobre riscos, definiu a repulsão ao risco (UAI), sendo a tolerância de
uma sociedade ante a incerteza e ambiguidade. Esta característica pode ser comparada entre organizações, e entre uma organização e o país em que se encontra.
Para a organização de TI, avaliar as mudanças e planejá-las de maneira adequada são atividades fundamentais para evitar impactos negativos ao negócio. A governança corporativa trata das definições de estratégia da empresa, às quais a governança de TI deve estar alinhada. A análise não deve se limitar aos impactos que podem ser causados pela mudança, mas também aqueles relacionados à não execução da mudança: deixar de alterar regras de negócio, aplicar implantações de segurança ou conformidades regulatórias podem implicar em multas, sanções
ou perdas de receita para a organização. Para Xue; Liang e Boulton (2008) a atitude de uma organização perante o risco interfere diretamente em suas características de investimento em tecnologia da informação.
Sobre gerenciamento de riscos de TI, foi feito um levantamento sobre o relacionamento entre os temas de governança, sendo considerados 70.137 artigos publicados entre 2009 e 2011, das bases Scopus, AiSEL e RA-USP. Estes foram pesquisados pelas palavras-chave em inglês
(“technology governance”, “corporate governance” e “risk management”) e em português (“governança de TI”, “governança corporativa” e “gerenciamento de risco”), de acordo com a
base de publicação. Os resultados foram sintetizados na Tabela 1.
Tabela 1 – Levantamento de publicações sobre governança corporativa, governança de TI e risco. Quantidade de publicações Governança Corporativa Governança de TI Gerenciamento de Riscos Governança Corporativa 2.780 322 835 Governança de TI - 1.652 1.034 Gerenciamento de Riscos - - 68.079 Relacionamento entre os três temas 183
O levantamento mostra interação significativa do gerenciamento de riscos com os modelos de governança (30,0% em corporativa e 62,5% em TI). Uma distorção inicial dos dados é dada pelo gerenciamento de riscos, uma vez que é uma disciplina utilizada em diversos outros campos das ciências, por isso sua alta incidência. Isto se ajusta ao buscar os artigos com palavras-chave em comum.
Kobelsky; Hunter e Richardson (2008) apresentam riscos como eventos que podem levar a falhas de TI. Segundo sua classificação, os riscos podem ser dos seguintes tipos:
- Técnico: conhecimento dos profissionais não é adequado às atividades que precisam ser executadas;
- Projeto: especificação das atividades e definição das expectativas do cliente não foram suficientemente detalhados;
- Operacional: erros cometidos na execução das atividades de gerenciamento e operação dos serviços de TI;
- Política interna: conflitos entre diferentes áreas levam a problemas nos serviços de TI, seja por falta de colaboração, ou iniciativas concorrentes;
- Otimismo da gerência: que leva a subestimar potenciais problemas, desconsiderando a geração e acompanhamento de planos de mitigação.
Wilkin e Chenhall (2010) propõem, através de estudo sobre revisão de governança de TI, considerações fundamentais para entendimento do gerenciamento do risco de TI:
- Quais os tipos de risco?
- Quais as estratégias para gerenciar os riscos?
- Qual o papel da alta liderança perante o gerenciamento de riscos? - Qual o papel da gerência perante o gerenciamento de riscos?
Alves e Cherobim (2004) apresentam riscos operacionais corporativos que afetam o desempenho das organizações. Observando a dependência das organizações sobre tecnologia da informação, sendo que nesta pesquisa são tratadas empresas cujo negócio-fim é TI, é possível estabelecer uma relação entre os riscos corporativos e de tecnologia, apresentada na Tabela 2.
Tabela 2 - Relacionamento entre riscos operacionais corporativos e de TI. Tipos de
evento
Fraudes
Internas
Omissão intencional de posições, roubo por
empregados, e negociadores entrantes em uma
conta própria de empregado.
Segurança da
informação, ISO 27001.
Fraudes
Externas
Roubo, falsificação, cheque sem fundos, dano
decorrente de fraude por computador.
Ataques digitais (internos
e externos). Práticas empregatícias e segurança no ambiente de trabalho
Reclamações trabalhistas, questões de saúde
laboral e regras de segurança, atividades de
trabalho organizadas, reclamações por
discriminação, e obrigações gerais.
Teletrabalho, legislações
específicas para centros
de serviço.
Clientes,
produtos e
práticas de
negócio
Brechas fiduciárias, uso indevido de
informação confidencial de cliente, atividades
de negociação impróprias nas contas dos
bancos, lavagem de dinheiro, e venda de
produtos não autorizados.
Manipulação indevida de dados, erro de processamento, ações intencionais. Danos a ativos físicos
Terrorismo, vandalismo, terremotos, incêndios
e enchentes.
Ataques digitais (internos
e externos), falta de plano
de contingência.
Interrupção
dos negócios
e falhas de
sistemas
Falhas de hardware e de software, problemas
de telecomunicações, interrupção no fornecimento de energia. Gerenciamento da Continuidade de Serviços de TI. Execução, entrega e
Erros na entrada de dados, falhas na gestão de
colaterais, documentação legal incompleta,
acesso não consentido a conta de clientes,
Falta de automatização
gestão de
processos
desempenho indevido da contraparte não-
cliente, disputa de fabricantes.
fontes de informação
inadequadas.
FONTE: adaptado de Alves e Cherobim, 2004.
Em complemento, estudos apresentam riscos ao desempenho do ponto de vista interno à organização devido a falhas da infraestrutura de TI (HUANG et al., 2006) ou erros em entradas de dados, perdas de dados acidentais (ABU-MUSA, 2007). Do ponto de vista externo, Yeh e Chang (2007) apresentam um estudo sobre perdas devidas a ameaças de vírus e ataques de
hackers contra a confidencialidade e privacidade de dados corporativos. Maizlish e Handler
(2005) apontam a importância da segurança da informação e da estrutura de TI para avaliação dos riscos ao negócio.
Ao observar as referências estudadas, são definidos fatores que representam a análise de riscos para pesquisa, conforme apresentados na Tabela 3.
Tabela 3 – Fatores de risco para tecnologia da informação considerados nesta pesquisa.
Contexto Fator de risco Descrição Referências
Externo Decisão sobre Investimentos
As decisões sobre os
investimentos em TI mostram como a organização se comporta perante o cenário competitivo e exigências do mercado. de Haes e Van Grembergen (2010); Wilkin e Chenhall (2010); Xue; Liang e Boulton (2008); Lunardi (2008); Hughes (2006). Segurança da informação
As perdas ocasionadas por invasões, roubos e fraudes causadas por agentes externos à organização podem ser evitadas por TI. Cobit (ISACA, 2012); Wilkin e Chenhall (2010); Lunardi (2008); Hughes (2006); Alves e Cherobim (2004); Van Grembergen e de Haes (2000).
Continuidade de serviços
De acordo com a dependência do negócio da TI, ações devem ser tomadas para garantir a continuidade dos serviços em caso de ocorrência de desastres ou falhas mais graves dos serviços.
Cobit (ISACA, 2012); ITIL (TAYLOR et al., 2007).
Interno Segurança da informação
As perdas ocasionadas por roubos e fraudes causadas por agentes internos à organização podem ser evitadas por TI.
Bulchand-Gidumal e Melián-González (2011); Alves e Cherobim (2004).
Operação de TI - Falhas de hardware e de software, problemas de telecomunicações, interrupção no fornecimento de energia.
- A tecnologia necessária para a mitigação de riscos estar presente ou disponível.
- Falta de conhecimentos específicos dos profissionais, seja na nova tecnologia ou processos, coloca em risco os serviços de TI. - Interesses pessoais que podem influenciar negativamente a utilização de melhores práticas de governança de TI na prática do dia- a-dia. Wilkin e Chenhall (2010); Kobelsky; Hunter e Richardson (2008); Alves e Cherobim (2004). Atitude perante o risco
A estratégia adotada pela organização para tratamento e gerenciamento de riscos influencia seus resultados.
Hofstede (2012).
Salvaguarda de ativos
Os serviços de TI podem ser prestados aos clientes através dos
ativos de TI, que devem ser preservados. Tomada de decisão baseada em informações
Para que os processos sejam mais maduros, é necessário que as métricas e informações geradas sejam utilizadas nas tomadas de decisão da organização.
Cobit (ISACA, 2012).
Gerenciamento das mudanças
Dado que a mudança é uma constante, seu controle é importante para a manutenção
adequada das práticas,
especialmente ao se tratar de um ambiente certificado em uma norma de referência.
Cobit (ISACA, 2012).