Aula 5: Gestão de Riscos

Prévia do material em texto

AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
SEGURANÇA DE REDES DE COMPUTADORES
Aula 5: Gestão de Riscos
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Riscos
Conviver com o risco é um velho dilema da sociedade: “Proteger-se
contra todos os riscos é impossível, porque qualquer oportunidade
invariavelmente acarreta riscos.”
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Riscos
O risco é uma precondição essencial para o desenvolvimento humano;
se parássemos de assumir riscos, inovações técnicas e sociais
necessárias para solucionar muitos dos problemas mundiais
desapareceriam. De fato, muitos dos riscos existentes na sociedade
moderna resultam de benefícios gerados por inovações sociais e
tecnológicas. Por outro lado, a imprudência insensata também não é
uma boa ideia. Em vez disso, precisamos definir um caminho
intermediário no qual o acaso – com suas incertezas e ambiguidades
inerentes – seja levado em consideração de maneira objetiva, racional e
eficiente.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Riscos
Assim, riscos são eventos inesperados, ocorridos na prática da
operação das organizações e que impactam seus objetivos e não
qualquer coisa que pode dar errado.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
RISCO: OPÇÃO OU DESTINO?
A palavra “risco” deriva do italiano risicare, que significa “ousar”. Nesse
contexto, risco é uma opção, e não um destino (Bernstein, 1997).
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
RISCO: POSITIVO OU NEGATIVO?
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Estudo de caso
Ataques de 11 de setembro de 2001
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Causas 
e 
Consequências
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Classificação de Risco 
Para o COSO, nos processos de gerenciamento de riscos a
administração da entidade deve levar em consideração dois tipos
específicos de riscos, a saber: risco inerente e risco residual.
Risco inerente é o que existe independentemente de controles para sua 
mitigação. Residual é o risco que permanece após a resposta da
administração (COSO, 2006).
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
a) riscos operacionais: eventos que podem comprometer as atividades
do órgão ou entidade, normalmente associados a falhas, deficiência ou
inadequação de processos internos, pessoas, infraestrutura e sistemas;
b) riscos de imagem/reputação do órgão: eventos que podem
comprometer a confiança da sociedade (ou de parceiros, de clientes ou
Gestão de Riscos em relação à capacidade do órgão ou da entidade em
cumprir sua missão institucional;
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
c) riscos legais: eventos derivados de alterações legislativas ou
normativas que podem comprometer as atividades do órgão ou
entidade;
d) riscos financeiros/orçamentários: eventos que podem
comprometer a capacidade do órgão ou entidade de contar com os
recursos orçamentários e financeiros necessários à realização de suas
atividades, ou eventos que possam comprometer a própria execução
orçamentária, como atrasos no cronograma de licitações”.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Gestão de riscos
O gerenciamento de riscos corporativos é o processo conduzido em
uma organização pelo Conselho de Administração, pela diretoria
executiva e pelos demais funcionários, aplicado no estabelecimento de
estratégias formuladas para identificar, em toda a organização, eventos
em potencial, capazes de afetar a referida organização, e administrar os
riscos para mantê-los compatíveis com o seu apetite a risco e
possibilitar garantia razoável de cumprimento dos objetivos da entidade
(COSO, 2006).
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
O objetivo da gestão de riscos nas entidades é permitir a administração
lidar de modo eficaz com a incerteza e seus riscos e oportunidades
associados, reforçando a capacidade de criar valor, para oferecer
serviços mais eficientes, eficazes e econômicos, e para orientá-las
tendo em conta valores como equidade e justiça. (INTOSAI, 2007).
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
MODELOS DE REFERÊNCIA
ISO 31000/2009
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
COSO II
Trata-se do modelo de gestão de riscos predominante no cenário
corporativo internacional, especialmente na América do Norte. COSO é
a sigla de Committee of Sponsoring Organizations da National
Commission on Fraudlent Financial Reporting, também conhecida como
Treadway Comission. Criada em 1985 nos Estados Unidos, constitui
uma entidade do setor privado, sem fins lucrativos, voltada para o
aperfeiçoamento da qualidade de relatórios financeiros por meio de
éticas profissionais, implementação de controles internos e governança
corporativa.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
COSO II
Em 1992, o COSO publicou a obra Controle Interno – Estrutura
Integrada (Internal Control – Integrated Framework), que obteve grande 
aceitação em todo o mundo e tem sido aplicada amplamente. É
reconhecida como uma estrutura modelo para desenvolvimento,
implementação e condução do controle interno, bem como para a
avaliação de sua eficácia.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
COSO II
Embora tenha havido ampla adesão ao modelo COSO I, isso não foi
suficiente para evitar escândalos econômico-financeiros e contábeis
envolvendo entidades de grande porte. O COSO, então, intensificou a
preocupação com gerenciamento de riscos – em decorrência de uma
série de escândalos e quebras de negócios de grande repercussão – e
o desenvolvimento de uma estratégia de fácil utilização pelas
organizações para avaliar e melhorar o próprio gerenciamento de riscos.
O resultado foi a publicação, em 2004, do modelo Gerenciamento de
Riscos Corporativos – Estrutura Integrada), também conhecida como
COSO ERM ou COSO II (Brasil, 2013).
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
COSO II
Incorporando e ampliando o COSO I, o modelo de gerenciamento de
riscos corporativos do COSO II definiu quatro categorias de objetivos,
que seriam comuns a praticamente todas as organizações, e identificou
oito componentes como partes integrantes da estrutura de controles
internos e do gerenciamento de riscos. Segundo o COSO II (2004), o
modelo é orientado para alcançar os objetivos de uma organização, que
podem ser divididos nas seguintes categorias:
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
COSO II
a) Estratégicos – relacionados à sobrevivência, continuidade e
sustentabilidade da organização. Consistem em metas gerais,
alinhadas e dando suporte à missão da organização;
b) Operações – diz respeito à eficácia e eficiência na utilização dos
recursos;
c) Comunicação – confiabilidade de relatórios, isto é, da informação
produzida e sua disponibilidade para a tomada de decisão e para fins
de prestação de contas;
d) Conformidade – cumprimento de leis e regulamentos aplicáveis à
organização.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
COSO II
Por sua vez, os oito componentes do gerenciamento de riscos
corporativos considerados indispensáveis para sua eficácia são:
1) Ambiente interno – representa o tom da organização e fornece a base
pela qual os riscos são identificados e abordados. Inclui a filosofia de
gerenciamento de riscos, o apetite a risco, a integridade e os valores
éticos, além do ambiente que os cerca;
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
COSO II
2) Fixação de objetivos – os objetivos devem ser fixados antes que aadministração identifique os eventos em potencial que poderão afetar o
alcance destes. Os objetivos estabelecidos devem estar alinhados com
a missão da organização e precisam ser compatíveis com seu apetite a
risco;
3) Identificação de eventos – os eventos em potencial, oriundos de fontes
internas ou externas, que podem afetar a realização dos objetivos da
organização, devem ser identificados. Durante o processo de
identificação os eventos poderão ser classificados em riscos,
oportunidades, ou ambos;
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
COSO II
4) Avaliação de riscos – os riscos identificados devem ser analisados com
o fim de determinar o modo como serão administrados e, em seguida,
associados aos objetivos que podem afetar. Os riscos são avaliados
considerando seus efeitos inerentes ou residuais, assim como sua
probabilidade e seu impacto;
5) Resposta a risco – as respostas aos riscos podem ser: evitar, aceitar,
reduzir/mitigar ou transferir/compartilhar. Compete à administração
selecionar o conjunto de ações destinadas a alinhar os riscos à
tolerância e ao apetite a risco da organização;
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
COSO II
6) Atividades de controle – consistem em políticas e procedimentos
estabelecidos e implementados com vistas a assegurar que as
respostas aos riscos selecionadas pela administração sejam
executadas com eficácia;
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
COSO II
7) Informações e comunicações – a comunicação é considerada eficaz
quando flui na organização em todas as direções e quando os
funcionários recebem informações claras sobre suas funções e
responsabilidades. A forma e tempestividade com que informações
relevantes são identificadas, colhidas e comunicadas permite que os
agentes cumpram com suas atribuições. Assim, para identificar, avaliar
e oferecer resposta ao risco, a organização necessita de informações
em todos os níveis hierárquicos.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
COSO II
8) Monitoramento – a integridade do processo de gerenciamento de
riscos deve ser monitorada para que as modificações necessárias
sejam realizadas e a organização possa reagir ativamente segundo as
circunstâncias. O monitoramento pode ser feito por meio de atividades
gerenciais contínuas, por avaliações independentes, ou por uma
combinação de ambos.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Cubo do COSO
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
COSO II
Os objetivos da organização são representados pelas colunas verticais,
enquanto os oito componentes são mostrados nas linhas horizontais.
Na terceira dimensão aparecem as unidades da organização,
demonstrando que o gerenciamento de riscos abrange todos os níveis
organizacionais.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
COMO IMPLANTAR
A estrutura conceitual COSO II é um dos modelos mais utilizados para
estruturação e avaliação do gerenciamento de riscos, tanto no setor
público, quanto setor privado. Entretanto, sua utilização no âmbito do
setor público no Brasil ainda é bastante incipiente, pois são escassos na
literatura especializada estudos e trabalhos técnicos que buscam
traduzir os conceitos abstratos desse modelo, transformando-os em
procedimentos de aplicação prática.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Ambiente Interno
O ambiente interno abrange os seguintes aspectos:
(...) a cultura da organização, a influência sobre a consciência de risco
de seu pessoal, sendo a base para todos os outros componentes do
gerenciamento de riscos corporativos, possibilita disciplina e estrutura.
Os fatores do ambiente interno compreendem a filosofia administrativa
de uma organização no que diz respeito aos riscos; a supervisão do
conselho de administração; os valores éticos e a competência do
pessoal da organização; e a forma pela qual a administração atribui
alçadas e responsabilidade, bem como organiza e desenvolve o seu
pessoal (...) (COSO, 2007).
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Em relação à Política de Gestão de Riscos é importante ressaltar que é
o instrumento que formaliza a avaliação de risco na entidade. Segundo
a ISO 31000/2009, éa “declaração das intenções e diretrizes gerais de
uma organização relacionadas à gestão de riscos” (ABNT, 2009).
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
O acrônimo "RACI" descreve (em inglês) os papéis:
a) Responsável (Responsible): quem executa a atividade;
b) Autoridade (Accountable): quem aprova a tarefa ou produto. Pode
delegar a função, mas mantém a responsabilidade;
c) Precisa ser consultado (Consulted): quem pode agregar valor ou é
essencial para a implementação;
d) Precisa ser informado (Informed): quem deve ser notificado de
resultados ou ações tomadas, mas não precisa se envolver na decisão.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
MATRIZ RACI
Atividade/Responsável
Comitê de Governança, Riscos e 
Controles (CGRC)
Coordenadoria de Transparência, 
Governança e Gestão de Riscos 
(CTGR)
Grupo Técnico de Trabalho 
Permanente de Gestão de Riscos 
(GTTPGR)
Assessoria de Controle Interno 
(ACI) Setor Mapeado
Comunicação e consulta I R/C/I C R/I A/C
Estabelecimento do Contexto I R/C/I C I A/C
Identificar os riscos
I C/I C/I I R
Analisar os riscos
I C/I C/I I R
Avaliar os riscos I C/I C/I I R
Tratar os riscos
I C/I C/I I R
Elaborar plano de tratamento 
dos riscos I C/I C/I I R
Monitorar e acompanha R/I R I R/I R
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
“Define-se risco como a possibilidade de que um evento
ocorra e afete adversamente a realização dos objetivos.”
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Identificação de Eventos
A administração identifica os eventos em potencial que, se ocorrerem,
afetarão a organização e determina se estes representam
oportunidades ou se podem ter algum efeito adverso na sua capacidade
de implementar adequadamente a estratégia e alcançar os objetivos.
Eventos de impacto negativo representam risco que exigem avaliação e
respostada administração (COSO, 2006).
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Identificação de Eventos
De acordo com a ISO 31000/2009, na etapa de identificação de
riscos, é recomendado que a organização: (...) identifique as fontes
de risco, áreas de impactos, eventos (incluindo mudanças nas
circunstâncias) e suas causas e consequências potenciais. A
finalidade desta etapa é gerar uma lista abrangente de riscos baseada
nestes eventos que possam criar, aumentar, evitar, reduzir, acelerar ou
atrasar a realização dos objetivos. É importante identificar os riscos
associados com não perseguir uma oportunidade. A identificação
abrangente é crítica, pois um risco que não é identificado nesta fase não
será incluído em análises posteriores (ABNT, 2009).
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Identificação de Eventos
Como auxílio na etapa de identificação de riscos, para cada objetivo
elencado, o gestor responsável pelo levantamento poderá utilizar o
seguinte questionário, anotando as respostas que apresentarem uma
ameaça possível:
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadoresITEM DESCRIÇÃO
1. O que pode dar errado?
2. Como e onde podemos falhar?
3. Onde somos vulneráveis?
4. Quais ativos devemos proteger?
5. Como podemos ser roubados ou furtados?
6. Como sabemos se nossos objetivos foram (ou não) a lcançados? 
7. Onde gastamos mais dinheiro?
8. Quais atividades são mais complexas?
9. Quais são nossas maiores exposições aos ri scos legais?
10. Quais decisões requeremmais análise?
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
A ISO 31000/2009 preconiza, ainda, que os riscos identificados e
priorizados para tratamento devem ser atribuídos a pessoas que têm
responsabilidade e autoridade para gerenciá-los. A designação dos
proprietários dos riscos é fundamental para que haja um gerenciamento
de riscos efetivo.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Cuidados no momento de identificar eventos de risco. Não
descrever:
• a falta de controle – representa a vulnerabilidade que
explorada pela ameaça, pode resultar no evento;
• o não alcance do objetivo – descreve o resultado do
evento de risco, caso se concretize.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Como Tratar os Riscos
Transferir: implica na compensação dos danos causados
por um risco, como a contratação de um seguro, contudo a
responsabilidade sobre o risco nunca é transferida.
Mitigar: implantação de controles que reduzam os riscos à
níveis aceitáveis, em sinergia com o apetite de risco da
organização.
Eliminar: cessão da atividade que causa a
exposição ao risco, como por exemplo, a
retirada de um produto ou serviço do
mercado.
Aceitar: quando o risco esta dentro dos limites aceitáveis
pela organização ou quando o custo de implantação de
controles supera os possíveis danos.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Negar o (Objetivo), devido à (Evento de Risco)
Ex.: Deixar de [exemplo do objetivo apresentado], devido à [evento de
risco que pode impactar adversamente o objetivo].
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Objetivos Eventos de risco
 Eficácia: [Exemplificar objetivo para auxiliar no workshop]. - [Exemplificar evento de ri sco]
 Eficiência e Desempenho: [Exempl ificar objetivo para 
auxi liar no workshop].
- [Exemplificar evento de ri sco]
 Salvaguarda: [Exemplificar objetivo para auxiliar no 
workshop].
- [Exemplificar evento de ri sco]
 Divulgação: [Exemplificar objetivo para auxiliar no 
workshop].
- [Exemplificar evento de ri sco]
 Conformidade: [Exempl ificar objetivo para auxiliar no 
workshop].
- [Exemplificar evento de ri sco]
Exemplos de eventos de risco
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Prática 03
Identificação de riscos relacionados aos objetivos 
construídos.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Objetivos Eventos de risco
 Eficácia: [Objetivo definido pelos responsáveis pelo processo no workshop]. - [Evento de risco identificado pelos responsáveis].
 Eficiência e Desempenho: [Objetivo definido com os responsáveis pelo processo no 
workshop].. - [Evento de risco identificado pelos responsáveis].
 Salvaguarda: [Objetivo definido com os responsáveis pelo processo no workshop].. - [Evento de risco identificado pelos responsáveis].
 Divulgação: [Objetivo definido com os responsáveis pelo processo no workshop]. - [Evento de risco identificado pelos responsáveis].
 Conformidade: [Objetivo definido com os responsáveis pelo processo no workshop].. - [Evento de risco identificado pelos responsáveis].
Eventos de risco
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Avaliação de Riscos
Após a identificação dos riscos, é necessário avaliar quais deles
possuem maiores chances de impactar na consecução dos objetivos
dos processos.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Avaliação de Riscos
De acordo com o COSO ERM – Application Techniques, os riscos
identificados devem ser avaliados sob as perspectivas de probabilidade
de ocorrência (frequência) e impacto (efeito que o risco pode trazer para
a organização): (...) a avaliação de riscos permite que uma organização
considere até que ponto os eventos em potencial podem impactar a
realização dos objetivos. Essa avaliação fundamenta-se em duas
perspectivas – probabilidade e impacto – e geralmente utiliza uma
combinação de métodos qualitativos e quantitativos (...) (COSO, 2007).
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Avaliação de Riscos
Geralmente utiliza técnicas de avaliação qualitativa, quando os riscos
não se prestam à quantificação ou quando não existem dados
quantitativos ou a análise é muito dispendiosa. Tipicamente, técnicas
quantitativas trazem maior precisão e são mais utilizadas em atividades
mais complexas e sofisticadas para complementar as técnicas
qualitativas (COSO, 2006).
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Avaliação de Riscos
Apresentamos a seguir exemplos de escalas quantitativas e qualitativas
de probabilidade e impacto que podem ser utilizadas para avaliação dos
riscos:
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Escala Qualitativa de Probabilidade
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadoresEscala Qualitativa de Impacto
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadoresResposta a Riscos
A resposta a riscos representa qualquer ação adotada pela organização
para lidar com risco, tendo por finalidade a seleção e a implementação
de medidas para contrapor os riscos. Deve levar em consideração o
nıv́el de tolerância a riscos da organização e as prioridades no que
tange à alocação de recursos.
A resposta a risco é assim comentada no COSO ERM – Application
Techniques (COSO, 2006, p. 65): após avaliar os riscos importantes, a
organização determina de que forma responderá a estes. As respostas
incluem: evitar, reduzir, compartilhar ou aceitar os riscos.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores
Agradecimentos: Prof. Tiago Alencar - UFCA.
AULA 5: GESTÃO DE RISCOS
Segurança de redes de computadores