GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO_materia

Prévia do material em texto

Unidade I - Riscos 
Unidade: 01 - Vídeo: 1/4 - RISCOS E EXPOSIÇÃO A RISCOS 
 
Introdução: 
Operacional / Mercado / Crédito / Legal. 
Variação entre resultado e o esperado é uma medida de risco. 
Pode ser Determinado: 
RUR = Desvio Padrão / Média aritmética 
(risco por unidade de retorno esperado é a relação entre o desvio padrão e a média aritmética da amostra ou população). 
RT = Risco Conjuntural + Risco Assistemático. 
(risco total, soma do risco conjuntural – não diversificável – apresenta comportamento do ativo frente a eventos de natureza 
política, econômica e social com o risco não sistemático – diversificável e próprio de cada ativo). 
Na Tecnologia da Informação: 
Risco em Serviço = Risco Operacional 
- Envolve os riscos: 
* Produção / Segurança / Tecnologia da Infor. / Obsolescências / Capacidade / Confiabilidade. 
E ainda: 
* Equipamentos / Fraudes / Qualificação / Regulamentação / Requisitos / Etc. 
- A partir das agências regulatórias, a Lei Sarbanes-Oxley eo acordo Basiléia II, as empresas se obrigaram a observar melhor 
 
O que é Risco? 
É a possibilidade de que um evento ocorra e afete negativamente a realização de um objetivo. 
Qualquer evento ou ação que se ocorrer, irá impactar negativamente na empresa, caso sua vulnerabilidade ou fraqueza seja 
explorada. 
O risco traz consigo a incerteza. 
 
Antecipar-se aos Problemas: 
É melhor do que negligenciar e depois tentar buscar possível solução – que pode demorar. 
Reduzindo as ameaças e as incertezas ao máximo é mais eficiente e mais econômico. 
Sua total eficácia dependerá do quanto será (ou não) negligenciado na análise dos riscos, já que nenhum deles, por menor que 
seja, deve ser descartado. 
 
 
Impacto dos Riscos: 
São diversos os riscos que podem impactar uma organização. 
A intensidade será maior ou menor, conforme o tipo e foco da empresa. 
Podem atingir elevados valores, a ponto de comprometer um projeto ou até mesmo as operações da organização. 
Ricos Típicos: 
Ambientais, vinculados a situações ou desastres ambientais. 
Políticos, como postura do governo quanto aos demais países, comunismo, guerra, terrorismo, decisões incongruentes ou 
corruptas. 
Econômicos, como a competitividade, oscilação natural de mercado, as condições micro ou macro econômicas. 
Tecnologia e sua evolução, ao impactar em alterações nos processos, cultura da organização ou gere deficiências nas 
informações. 
Outros aspectos como demora na adequação dos sistemas de informação frente as novas necessidades para enfrentar a 
competitividade. 
Qualidade dos produtos ou serviços da empresa, sofrendo impactos em toda a cadeia produtiva, seja em retrabalhos, atrasos ou 
ajustes. 
Infraestrutura na cadeia produtiva, com aumentos nos custos com a evolução, manutenção ou obsolescência (inclusive tecnologia 
da informação). 
Pessoas, desde acidentes de trabalho por negligência, erros, omissões ou fraudes. 
Exposição a Riscos: 
O risco de relacionamento surge quando há uma colaboração ineficaz. 
O risco de envolvimento no processo torna-se um problema quando são aplicados procedimentos operacionais ineficazes. 
Isto provoca a redução da produtividade dos especialistas, diminui a relação custo-benefício, a rentabilidade, o nível de serviço, a 
qualidade, a reputação, o valor da marca e a qualidade dos ganhos. 
Refere-se aos possíveis resultados decorrentes de que os riscos possam a vir a ocorrer. 
Já a causa dos riscos e a determinação do principal fator externo ou interno à organização que pode resultar em risco. 
 
 
 
Unidade: 01 - Vídeo: 2/4 - CONTROLES INTERNOS E COMPLIANCE 
 
Controles Internos: 
- São as atividades de controle que são realizadas e que dão suporte aos processos e operações da empresa. 
- São aquelas criadas para garantir que as operações sejam exequíveis e podem incluir normas , leis ou regulamentos. 
- Referem-se as atividades que necessitam garantir que sua entrada (ou saída) seja correta, segura, confiável e possibilite que 
cada etapa do processo esteja adequadamente ajustada à anterior. 
- São as regras e/ou procedimentos que as organizações estabelecem para a execução de suas atividades, alinhadas com sua 
missão e cultura organizacional, podendo assim, variar. 
- Os controles internos são avaliados pelos auditores internos e externos mediante os QACI – questionários de avaliação de 
controle interno. 
- Conforme sua validação, determinam seu grau de confiabilidade. 
“... o controle interno compreende o plano de organização e o conjunto coordenado de métodos e medidas, adotados pela 
empresa, para proteger seu patrimônio, verificar a exatidão e a fidedignidade de seus dados contábeis, promover a eficiência 
operacional e encorajar a adesão à política traçada pela administração ...” 
- Com a dependência dos computadores, grande parte (senão todos) os controles internos passam a ser automatizados. 
Devem existir garantias que esses controles internos assegurem e salvaguardem os dados. 
Devem existir garantias que possibilitem, na pior das hipóteses, a recuperação das informações. 
Compliance: 
Uma organização está em “conformidade ou compliance” quando a mesma está cumprindo os regulamentos e as normas externas 
e internas relativas a um assunto específico. 
O conceito é, na verdade, mais abrangente do que simplesmente se a empresa age de acordo com os instrumentos regulatórios. 
Com o tempo este conceito evoluiu e hoje está bastante focado em fraudes e corrupção. Até pouco tempo não existia punição 
para as empresas, apenas para as pessoas envolvidas. 
A partir da Lei 12.846:2013 não só a empresa é punida, como também seus gestores – que agora não podem mais alegar 
desconhecimento. 
 
 
 
Unidade: 01 - Vídeo: 3/4 - GESTÃO DE RISCOS E BENEFICIOS 
 
Conceitos Relacionados com a gestão de Riscos e seus Benefícios para as organizações. 
Gerenciar riscos é uma forma de buscar o aumento da probabilidade de antecipar ou minimizar o efeito de eventos que possam 
impactar negativamente os serviços de tecnologia e buscas efeitos positivos. 
A gestão de riscos, tal como os demais tipos de gestão, pode ser medida mediante as métricas, específicas para essa finalidade. 
Gestor do processo pode e deve fazer a auto avaliação do processo de controle a fim de identificar e conhecer suas fragilidades e 
as necessidades de melhorias. 
Programa administrativo geral e abrangente que defina quais conceitos e práticas serão aplicados na organização visando 
monitorar e tratar os riscos no ambiente empresarial. 
O programa deve estar alicerçado por políticas internas e ser operacionalizado por processos bem definidos para surtir os efeitos 
desejados. 
A organização periodicamente – e conforme a materialidade nas suas transações, deve proceder a avaliação de riscos, obtendo e 
gerando diagnósticos. 
Conforme os riscos que realmente sejam ameaças potenciais e fraquezas à empresa e suas operações, os investimentos nos 
controles internos devem ser proporcionais. 
A gestão dos riscos diariamente é muito mais importante do que uma Risk Assessment do que pode ocorrer, a elaboração de um 
plano de ação ou tentativas de praticar o planejado. 
Matéria da revista Harvard Business Review 10/2009 dá conta que professores da NYU já sugeriam que a gestão moderna de 
riscos envolve reduzir o impacto daquilo que não entendemos em vez de criar técnicas sofisticadas para prever o ambiente futuro 
baseado em análise do passado. 
 
 
 
 
A cultura de riscos não deve ser lembrada apenas nos treinamentos para se conscientizar, mas sim deve ser aplicada também 
para a liderança e para comunicar constantemente a realização de eventos relativos a riscos. 
Ações melhoram os fundamentos de controle e gestão de tecnologia da informação e dos riscos, e a governança compreende um 
conjunto de políticas, processos, indicadores de riscos, auditorias e regras que permitem à organização, comitês ou executivos 
tomarem as decisões corretas. 
O comprometimento dos Stakeholders exige continuo envolvimento e provisionamento de informações relativas a clientes, 
fornecedores,parceiros e funcionários envolvidos na gestão de riscos. 
Problemas relacionados a riscos, normalmente estão relacionados em fundamentos imaturos de tecnologia da informação, na falta 
de controles na gestão de mudanças, testes e releases, na gestão inadequada ou ineficiente de ativos, identidades e pessoas, ou 
na ausência de um bom e eficiente gerenciamento de riscos e ameaças. 
O gerenciamento de riscos ajuda a envolver a equipe de tecnologia da informação na busca da identificação de problemas ou 
vulnerabilidades e de suas respectivas ações preventivas. 
Sabe-se que risco é a possibilidade de ocorrer um evento que afete negativamente execução de um objetivo. Ou seja, junto com a 
incerteza vem o risco. 
Uma gestão do risco intangível pode identificar um novo tipo de risco cuja probabilidade de ocorrer é de 100%, mas é ignorado 
porque há incapacidade de detecção. 
Se um conhecimento deficiente é aplicado a uma situação, um risco de conhecimento se materializa. 
O risco de relacionamento surge quando há uma colaboração ineficaz: o envolvimento no processo pode ser um problema quando 
são aplicados procedimentos operacionais ineficazes. 
Estes riscos reduzem diretamente a produtividade dos trabalhadores do conhecimento, diminuem a relação custo-benefício, 
rentabilidade, serviço, qualidade, reputação, valor da marca e qualidade dos ganhos. A gestão do risco intangível possibilita criar 
valor imediato e reduzir os riscos que reduzem a produtividade a partir de sua identificação. 
Um bom gerenciamento de risco reduz as despesas (mão-de-obra ou outros recursos) e minimiza os efeitos negativos dos riscos. 
Mas há dificuldade na alocação de recursos: é o custo de oportunidade - aplicar os recursos da gestão de risco em atividades 
mais lucrativas. 
 
 
 
Unidade: 01 - Vídeo: 4/4 - PROGRAMA DE GESTÃO DE RISCOS E RESPONSABILIDADES 
 
Principais aspectos relacionados para a implantação de um Programa de Gestão de Riscos. 
Numa gestão de risco ideal deve-se priorizar: riscos com maior perda (ou impacto) e maior probabilidade de ocorrer são tratados 
primeiro, e os riscos com menor probabilidade de ocorrer e menor perda são tratados decrescentemente. 
Eventos de baixa probabilidade e alto impacto, impossíveis de prever, são cada vez mais comuns, e com a internet e a 
globalização, o processo ficou mais complexo. 
Uma pesquisa de Harvard identificou que em vez de tentar antecipar os eventos, devemos reduzir a nossa vulnerabilidade, pois os 
eventos passados não guardam relacionamento com os riscos futuros. 
Em tecnologia da informação inclui-se um plano de ação para lidar com invasores, cyber-roubo, negação de serviços, incêndios, 
inundações e todos os demais eventos relacionados com a segurança. 
O processo de avaliação do risco global pode ser complexo tanto quanto equilibrar os recursos utilizados para mitigação dos 
riscos de alta probabilidade de ocorrer, mas menor perda versus um risco com perda elevada, mas menor probabilidade de 
ocorrência. 
- Um programa de gestão de riscos pode conter algumas responsabilidades como: 
Elaborar políticas para a gestão de riscos, contendo todos os processos, a definição da missão e a definição dos objetivos dessa 
gestão. 
Propiciar suporte e capacitação para a implementação e a manuteção das políticas, dos processos e dos procedimentos da 
gestão de riscos. 
Pesquisar, analisar e identificar riscos proativamente, criando planos de ação para minimiza-los. 
Melhorar continuamente as atividades e os controles internos com o cumprimento dos planos de ação. 
Acompanhar e supervisionar o cumprimento das políticas e procedimentos definidos. 
Executar as atividades de analise visando disgnosticar os riscos da organização. 
Garantir que as recomendações ou sugestões originadas das analises dos diagnósticos sejam implementadas, 
independentemente dos executores. 
Programar e executar avaliações periódicas planejadas ou não para monitorar os controles internos e sua conformidade. 
Propor, divulgar, incentivar, rever e executar a política de auto avaliação com as revisões periódicas. 
- O programa para a gestão de riscos pode iniciar com uma equipe interna ou externa para realizar um trabalho inicial de anaãlise 
de riscos, conforme o porte, a estrutura e a natureza da organização e grau de sua exposição a riscos. 
- Prepara-se então um plano de ação para mitigar os riscos mais graves, implementando-se os controles necessários com base no 
que foi identificado. 
 
 
Unidade II - Gestão de Riscos I 
Unidade: 02 - Vídeo: 1/4 - Framework de gestão de riscos IBGC 
 
O IBGC – Instituto Brasileiro de Governança Coorporativa publicou três documentos chamados de cadernos de governança e um 
deles é o Guia de Orientação para gerenciamento de riscos corporativos. 
- Para o IBGC: 
* “Gerenciamento de Riscos: o Conselho de administração deve assegurar-se de que a Diretoria identifique previamente - por 
meio de sistema de informação adequado – e liste os principais riscos aos quais a sociedade esta exposta, sua probabilidade de 
ocorrência, bem como as medidas e os planos adotados para sua prevenção ou minimização”. 
 
Metodologia para Implantação 
Identificar e classificar os riscos. 
- Associar objetivos estratégicos e perfil de riscos. 
- Categorizar os riscos. 
Avaliar os Riscos. 
Mensurar os riscos. 
Tratamento dos riscos: 
- Evitar o risco 
- Aceitar o risco. 
- Prevenir e reduzir os danos 
- Capacitar 
Monitorar os riscos. 
Informar e comunicar. 
 
Identificar e classificar os riscos. 
- Definir ao máximo possível os eventos internos ou externos que poderão afetar os objetivos estratégicos da organização, 
incluindo aqueles que se relacionam com os ativos intangíveis. 
- Este podem ser considerados como os ativos e métodos responsáveis pela diferença entre o valor de mercado e o valor contábil 
da organização. 
 
Associar objetivos estratégicos e perfil de risco: 
- Os objetivos estratégicos definem como a empresa deve trabalhar para gerar mais valia dependem do perfil de riscos 
corporativos. O perfil de riscos significa o quanto a empresa aceitar se expor (é tolerante) aos riscos. 
- A identificação do perfil depende de claras definições de: 
 * Indicadores de desempenho. 
 * Índices de volatilidade de naturezas: 
 - FINANCEIRA: (valor de mercado, capacidade de gerar, distribuição de dividendos). 
 - QUALITATIVA: (transparência, idoneidade, marca, ambiente de trabalho, responsabilidade socioambiental). 
b. Categorizar os Riscos: 
 - Há diversos critérios, e, portanto, não há consenso para se classificar os riscos, mas dois componentes sempre são 
relacionados: 
 -- Pessoas: como causas 
 -- Reputação: como consequência. 
* Pessoas, quanto a falhas de comunicação e integração é risco que gera perda de sinergia e valor empresarial. 
* Reputação, quanto a imagem, consequência de práticas administrativas inadequadas. 
 - A classificação de riscos deve ser elaborada conforme as características de cada empresa, contemplando suas 
particularidades. 
 
Categorizar os riscos 
 
Origem dos eventos: riscos externos ou internos. 
Natureza dos Riscos: riscos estratégicos, operacionais ou financeiros. 
Tipos de Riscos: tecnologia, ambiental ou conformidade. 
 
2. Avaliar os Riscos. 
 
* Para determinar o efeito sobre a organização deve-se, para cada risco, identificar sua probabilidade de ocorrer e seu impacto no 
desempenho econômico-financeiro. Quantificar o grau de exposição deve levar em conta: 
 - Evento pode gerar inúmeros impactos e em diferentes áreas da empresa. 
 - Eventos podem ou não serem independentes entre si. 
 
 
 
 
 
3. Mensurar os Riscos 
 
O gerenciamento de riscos pode iniciar com uma abordagem mais qualitativa sobre os objetivos estratégicos e os impactos dos 
riscos, e após direcionar as estratégias adequadamente, passar a ser medido quantitativamente. 
O planejamento visa identificar, dentro outros dados, as receitas e as despesas operacionais, os custos, os investimentos e o fluxo 
de caixa projetado. 
Deve elaborar projeções com diferentescenários e múltiplas alternativas de mercado, economia e finanças. 
O impacto financeiro pode ser medido em termos da variação potencial do seu valor econômico, fluxo de caixa e resultado 
econômico, com a modelagem e medições dos diversos cenários propostos. 
Obtem-se um processo decisório antecipado, para se reduzir perdas e aumentar as receitas, com maior previsibilidade. 
 
4. Tratar os Riscos. 
 
A elaboração de mapa de riscos ajuda a priorizar os esforços para novos projetos e planos de ação para minimizar os eventos 
negativos e maximizar aqueles que tragam benefícios para a organização. 
Esse tratamento dos riscos pode ser para evitar (não se envolver ou se retirar de uma situação de risco ou de aceitação do risco), 
ou aceitar (reter, reduzir, transferir / compartilhar ou explorar os riscos). 
A organização (pessoas e processos) deve estar capacitada para avaliar e lidar com os riscos, ou seja, ser capaz de identificar, 
antecipar, mensurar, monitorar e se possível, diminuir. 
 
 
5. Monitorar os ricos. 
 
Os ricos devem ser monitorados constantemente, visando assegurar o funcionamento de todos os componentes ao longo do 
tempo. 
A frequencia de avaliações ou revisões específicas irão depender da avaliação do perfil de riscos e da eficária dos procedimentos. 
Os controles internos da empresa já são uma medida de monitoramento, mas o uso de uma matriz de controle de riscos como 
metodologia para o processo de avaliação deve ser considerado. 
 
6. Informar e Comunicar. 
 
A comunicação com as diversas partes interessadas visa permitir avaliações mais rápidas e objetivas a respeito dos riscos a que 
esta exposta a organização. 
O conteúdo da comunicação deve conter os processos e procedimentos para alinhar atitudes e reforçar a cultura da organização. 
Deve existir um estimulo à comunicação de desvios ou suspeitas de violações dos códigos de conduta os dos princípios éticos. 
 
 
 
Unidade: 02 - Vídeo: 2/4 - Estrutura para o framework IBGC 
 
 
A implementação depende da analise custo-benefício em função do porte, especificidades e complexidade da organização, pois 
pode ser feita de várias maneiras e em qualquer estrutura. 
Os esforços e recursos para enfrentamento dos riscos operacionais são diferentes entre uma empresa sujeita à Lei Sarbanes-
Oxley (SOX) e as pequenas empresas. 
É importante introduzir na empresa a prática de tratar os riscos de forma crítica, qualitativa e quantitativa, identificando, avaliando, 
tratando e calculando seus impactos de uma forma integrada. 
O processo de implantação do modelo é de longa duração, e continuamente deve ser aprimorado, dinâmico, interativo e integrado 
ao processo de planejamento estratégico da organização. 
 
Arquitetura para o modelo do IBGC 
 
A arquitetura deve facilitar e viabilizar a gestão do risco propriamente e devem ser alinhadas com a organização, quanto a: 
 
Aderência dos processos internos ao perfil de riscos estabelecido pelo conselho de administração. 
Clareza com relação as regras de governança para gerir a exposição; 
Endereçamento de lacunas de capacitação de pessoas, processos e sistemas; 
Implementação de sistemas de controles eficazes. 
 
A Arquitetura do modelo da IBGC tem cinco características que devem estar em consonância com os objetivos estratégicos e 
metas da organização. 
Os objetivos estratégicos e metas de desempenho devem estar definidos e gerenciados; 
A gestão desses objetivos e metas estratégicas deve priorizar os riscos; 
As mudanças de cenário devem ser previamente contempladas e gerenciadas quanto aos objetivos, metas, riscos e controles. 
 
Processos críticos do modelo do IBGC: 
- Devem estar devidamente identificados e definidos. 
 * os macroprocessos essenciais; 
 * os princípios requeridos para causais redesenhos de processo; 
 * os procedimentos para criar ou descontinuar processos; 
 * As ações críticas para minimizar os riscos. 
 
Governança de Gerenciamento de Riscos: 
- Devem estar devidamente identificados e definidos. 
 * Os níveis de decisão envolvidos; 
 * Os papéis e responsabilidades da equipe; 
 * A formação e os componentes da equipe; 
 * As alçadas de decisão do grupo; 
 * As políticas para decisão ágil e eficaz. 
 
Organização e Pessoas: 
- Os envolvidos devem estar devidamente capacitados e eventuais necessidades devem ser solucionadas. 
- A estrutura organizacional deve permitir e facilitar identificar, monitorar e mitigar os riscos. 
 
Sistemas de Controle: 
- Os controles existentes devem ser adequados para mensurar a exposição a riscos. 
- Os relatórios gerenciais devem facilitar identificar, monitorar e minimizar os riscos. 
- Os sistemas e processos de tecnologia da informação devem possibilitar a serem adequados a uma cultura de riscos. 
 
 
Comunicação: 
- A comunicação com e entre os colaboradores deve ser adequada. 
- O método deve estar uniformemente conceituado nos envolvidos. 
- O perfil de riscos deve ser de conhecimento da empresa. 
 
Estrutura Funcional 
 
O gerencimaneto dos riscos de cada processo é uma ação que deve ser atribuída aos gestores. 
A estrutura para o gerenciamento de riscos deve estar adequada ao perfil de cada organização. 
Usualmente cria-se uma unidade composta por representantes das diversas áreas funcionais, com a responsabilidade de integrar 
e orientar os vários esforços e de interagir com a alta administração. Essa unidade deve ser coordenada pelo principal executivo 
da empresa. 
 
O Gerenciamento de Riscos e o Conselho de Administração 
 
O conselho de administração deve ser o responsável por determinar os objetivos estratégicos e o perfil de riscos da organização. 
E isto também consiste em determinar o grau de ambição a riscos da organização, assim como as faixas de tolerância a desvios 
em relação aos níveis de riscos determinados como aceitáveis. 
O conselho de administração deve estabelecer a política de responsabilidade da diretoria em: 
Avaliar a quais riscos a organização pode ficar exposta; 
Desenvolver procedimentos para administra-los. 
O papel fundamental para implementar uma estrutura de gerenciamento de riscos e controle é delegado aos gestores, com o 
comitê de auditoria (ou instância que desempenha sua função), em nome do conselho de administração, exercendo a função de 
supervisão. 
 
 
 
 
Unidade: 02 - Vídeo: 3/4 - Framework de gestão de riscos COSO ERM 
 
Comitê de Organizações patrocinadas da Comissão Treadway - COSO 
 
O Commitee of Sponsoring Organizations of the Treadway Commission – COSO, vem atualizando suas propostas desde que foi 
criado , em 1985. 
O COSO é formado por representantes da American Accounting Association, American institute of Certified Public Accountants, 
Finance Executives Internation, institute of Managements Accountants e pelo Institute of internal Auditors, ao qual esta ligado a 
AUDIBRA – Instituto dos Auditores Internos do Brasil, através da FLAI – Federação Latino-Americano de Auditores Internos. 
 
Seu Propósito é: 
 
Fornecer liderança de pensamento através do desenvolvimento de quadros abrangentes e orientações sobre gestão de riscos 
empresariais, de controle e de discussão da fraude, destinado ao desempenho organizacional e governança, para reduzir a 
extensão da fraude nas organizações. 
As atualizações que vem ocorrendo são necessárias para melhorar seu conteúdo e relevância devido a complexidade crescente 
no ambiente industrial, de forma a colaborar com a valorização da organização. 
O Documento tem uma estrutura bastante utilizada para melhorar a capacidade da organização em gerir as incertezas e contribuir 
para identificar o grau de risco que podem aceitar. 
Essa atualização vem para contribuir com os programas de gestão de risco, inclusive com ferramentas de auxílio na divulgação 
das informações de risco e na revisão e avaliação do grau de risco a que elas podem se submeter. 
 
COSO – ERM 
 
Para COSO – ERM Environmental Resources Management, o gerenciamento de riscos corporativos é: 
“ Um processo efetuado pelo conselho de administração de uma entidade,gestão e outros funcionários, aplicados de forma 
estratégica e em toda a empresa, concebidos para identificar os eventos potenciais que podem afetar a entidade, e gerenciar o 
grau de risco assumido pela organização, de forma que seja possível assegurar a realização de seus objetivos”. 
 
O gerenciamento de riscos corporativos, envolve: 
 
Utilidade / transparência / Proposição de valor / Relevância / Aptidão / Eficácia . 
 
 
Garantias: 
 
O gerenciamento de riscos corporativos e dos controles internos implantados, não garante que sempre atingirá seus objetivos, 
considerando-se as limitações desse mesmo gerenciamento. 
O risco se relaciona com o futuro, que intrinsecamente é incerto. 
O gerenciamento de riscos corporativos deve atuar em diversos níveis, e cada qual com objetivos diferentes. 
O gerenciamento de riscos não pode oferecer garantias com relação a nenhuma categoria de objetivos. 
Pode contribuir para garantir que a administração e o conselho administrativo exercem a supervisão e que estão cientes da 
evolução da empresa quanto a seus objetivos, mas não é capaz de fornecer qualquer garantia que serão atingidas as metas. 
Outro organismo que se envolveu com a gestão de riscos foi o RMG – Risk-Metrics-Group. 
O RMG, com o apoio da J.P. Morgan, forte conglomerado no mercado de investimentos há 150 anos, em mais de 40 países, 
elaborou um extenso documento relativo a pesquisa comparativa na qual apresenta diversos dados e cálculos utilizados para 
análise e gestão de riscos. 
 
 
 
 
 
 
Unidade: 02 - Vídeo: 4/4 - Framework de gestão de riscos ISACA CobiT 
 
Conceito de ISACA - CoBit 
 
A associação internacional Information Systems Audit and Control Association (Associação de Auditoria e Controle de Sistemas de 
informação – ISACA), responsável pelo desenvolvimento e distribuição do Control Objectives for information and Related 
Technologies – CoBit, atuamente na versão 5, é um framework de governança e gestão corporativa de TI. 
 
Essa estrutura integra e se alinha a outras: 
 
CoBit 4 Val IT Risk IT BMIS ITAF TGF 
BBIG ITIL ISO PMBOK PRINCE2 TOGAF 
 
O CoBit 5 vem contribuir com as organizações para a criação de valor da tecnolgoai da informação, de maneira a buscar o 
equilíbrio entre os benefícios e a potencialização dos níveis de risco e uso de recursos. 
Disponibiliza um framework extenso e genérico para ajudar as empresas a otimizar o valor gerado pela TI. 
Colabora para que a TI seja regida e administrada da melhor forma e em toda a organização. 
Proporciona linguagem comum entre a TI e os negócios visando a governança e gestão de TI corporativa. 
A principal novidade do CoBit 5 é que ele enfoca a governança corporativa de TI, e mostra a diferença entre governança e gestão, 
além de aumentar seu uso e enfatizar a utilização corporativa deste framework, ressaltando o papel da alta administração nas 
tomadas de decisões de TI. 
O novo framework estabelece cinco princípios de governança corporativa de TI que possibilitam a empresa criar uma estrutura 
efetiva para a governança e a gestão de TI baseado em um grupo abrangente de habilitadores para otimizar investimentos em 
tecnologia e em informação usados em prol do benefício das partes interessadas. 
O COBIT 5 permite que a TI seja governada e gerida de forma integral para toda a organização, abrangendo todas as áreas e 
funções de TI. 
Considera os interesses internos e externos relacionados com TI. É genérico e pode ser útil para empresa de todos os portes e de 
qualquer natureza. 
 
Evolução do COBIT: 
 
 
 
Princípios do COBIT: 
 
Atender as necessidades das partes interessadas. 
Cobrir a empresa de ponta a ponta. 
Aplicar um framework Único e integrado. 
Permitir uma abordagem holística. 
Distinguir a Governança da Gestão. 
 
1º. Princípio: Atender as necessidades das partes interessadas. 
- Objetivo da Governança: Criação de Valor. 
 - Realização de benefícios. 
 - Otimização de riscos. 
 - Otimização de recursos 
 
 
2º. Princípio: Cobrir a empresa de ponta a ponta. 
- Habilitadores da Governança 
- Escopo da Governança 
- Funções, Atividades e Relacionamentos 
 
 
 
3º. Princípio: Ambiente colaborativo online do COBIT 5. 
- 
 
 
 
4º. Princípio: 
- 1. Principios, políticas e estruturas. 
- 2. Processos. 
- 3. Estruturas organizacionais. 
- 4. Cultura, ética e comportamento. 
- 5. Informações. (recursos) 
- 6. Infraestrutura de serviços e aplicações. (recursos) 
- 7. Pessoas, habilidades e competências. (recursos) 
 
 
 
 
5º. Princípio: São 37 processos divididos em duas áreas: Gestão e Governança, que se subdividem e se relacionam. 
 
 
 
 
 
Unidade III - Gestão de Riscos 2 
Unidade: 03 - Vídeo: 1/4 - Framework de gestão de riscos ISACA – VAL IT e RISK IT 
 
ISACA – Information Systems Audit and Control Association (VAL IT e RISK IT) 
 
A ISACA é responsável e patrocina o desenvolvimento de ferramentas, metodologias e certificações que visam à performance das 
atividades relativas a controle e auditoria em sistemas da informação. 
A ISACA mantém o IT Governance institute (instituto de Governança de Tecnologia da informação ITGI, que direciona suas 
atividades na formação profissional e na pesquisa relativa à governança de tecnologia da informação. 
A proposta do ITGI é contribuir com os gestores e auxiliar a compreender que os objetivos de tecnologia da informação devem 
estar em consonância com os negócios empresariais. 
Igualmente importante, o instituo busca demonstrar como a tecnologia da informação proporciona valor aos negócios e como é 
possível medir seu desempenho, avaliar se os recursos estão adequadamente alocados e se os riscos da organização estão 
sendo abrandados e reduzidos. 
Com isto, há maiores possibilidades de aumentar as perspectivas e práticas globais relacionadas ao uso da TI na empresa. 
 
Val IT 
 
O ValIT é um framework de governança corporativa bastante utilizada para agregar valor nos negócios da organização a partir dos 
investimentos em tecnologia da informação, e é composto por diversos princípios e processos norteadores para as melhores 
práticas de gestão. 
Val IT é usado para criar valor para o negócio por meio de investimentos de TI. 
Contém 7 princípios básicos e três deles estão direcionados aos investimentos da organização na tecnologia da informação e 
devem: 
Ser geridos como uma carteira de investimentos; 
Manter o direcionamento às atividades requeridas para gerar valor nos negócios; 
Gerenciados e controlados com o ciclo econômico. 
Os investimentos em tecnologia da informação devem ser permanentemente avaliados conforme ocorrem e devem ser 
monitorados se estão: 
Sendo feitos da maneira correta. 
Fazendo bem feito. 
Trazendo benefícios. 
Fazendo o que deve ser feito. 
Voltar a 1. 
A definição do retorno sobre o investimento – ROI deve considerar: 
A definição clara do relacionamento da TI com os negócios e com as funções da organização responsáveis pela governança. 
O gerenciamento da “carteira” de investimentos na TI. 
Potencialização da qualidade dos negócios viabilizados pelo investimento. 
 
Risk IT 
 
O Risk IT, compõem-se de uma estrutura abrangente que contempla os riscos relacionados ao uso da tecnologia da informação e 
sua proposta é que a gestão ocorra nos mesmos moldes da gestão de riscos, do mais alto ao mais baixo nível da organização. 
Engloba as estruturas genéricas de avaliação de riscos e as específicas de TI relacionadas com a segurança, com uma proposta 
mais detalhada e abrangente quanto a todos os riscos relacionados com o uso da tecnologia da informação e em todos os seus 
procedimentos operacionais. 
 
 
Isto acontece, inclusive, devido a serem de responsabilidade e serem tratados com desprezo pelos especialistas técnicos ou 
devido ao principal executivo de tecnologia da informação não ser ouvido no processo decisório – por distintas razões. 
 
BMIS – Business Model for Information Security 
 
O BMIS – modelo de negócios para a segurança da informação, é um modelo de negócios com vistas para a segurançada 
informação e esclarecimentos detalhados a partir de uma visão holística. 
Esse modelo de negícios para segurança da informação fornece a explicação para um modelo de negócio holístico que examina 
questões de segurança a partir de uma perspectiva de sistemas. 
Sua proposta é uma linguagem para proteção de informações para maior segurança e um melhor gerenciamento de negócios. 
 
 
 
Unidade: 03 - Vídeo: 2/4 - Framework de gestão de riscos ISO 20000 27001 e 27005 
 
ISO/IEC 20000 
 
A international Organization for Standardization, International Electrotechnical Commision 20000 foi publicada em 2005, é um 
normal internacional que define que as práticas de gerenciamento de serviços de TI propostas pelo ITIL possam ser auditadas 
objetivamente por uma organização externa. 
A norma compõe-se de 2 partes: 
Especificação: descreve os requisitos mandatórios que o provedor deve satisfazer mediante sua capacidade de executar e 
gerenciar a qualidade de seus serviços prestados; 
Códigos de Práticas: relação de orientações e recomendações sobre como serão executados aqueles requisitos mandatórios. 
É importante notar que: 
- A normal refere-se a processos de gestão, ou seja, é um sistema de gestão, e não um padrão para um serviço ou produto nem 
sua avaliação. 
- Para os provedores a normal pode ser um diferencial competitivo. Para os clientes, garantia de qualidade. 
 
Prestadores de serviço, sejam eles externos ou internos, são aqueles que executam serviços habilitados por tecnologia da 
informação a seus clientes (usuários) internos ou externos, e mantém o controle gerencial sobre estes serviços, excluindo-se as 
empresas que fornecem apenas mão de obra. 
 
 
 
 
ISO/IEC 27001 
 
A normal, de 2005, define os requisitos para a implantação de um sistema de gestão de segurança da informação – SGSI e aplica-
se a toda a organização, independentemente do tipo, tamanho e natureza. 
Além dos diversos critérios relacionados a segurança da informação, esta norma ainda considera os aspectos relacionados aos 
riscos organizacionais. 
Em seu escopo de SGSI, para efeitos de gestão de riscos, a norma determina que a empresa deve: 
Estar em alinhamento com o conteúdo estratégico de gestão de riscos. 
Estabelecer critérios com os quais os riscos serão avaliados. 
Definir quais abordagens serão utilizadas para a analise de riscos da empresa. 
Estabelecer como identificar, analisar e avaliar, e definir objetivos e ações para o tratamento dos riscos. 
O ciclo da gestão de riscos segue o mesmo das demais modalidades de ISS 27001, e tem por base o ciclo PDCA de W. Edwards 
Deming. 
 
 
 
ISO/IEC 27005 
 
A norma aplica-se a toda organização que tenha a pretensão de gerir os riscos que possam comprometer a segurança da 
informação da organização, e está em conformidade com a ISO27001. 
Visa facilitar a implementação da SI. Tendo como princípio as diretrizes para o processo de gestão de riscos de segurança da 
informação – GRSI. 
Não inclui uma metodologia específica para essa gestão. Compete a organização definir sua abordagem relativa ao processo de 
riscos. 
Essa abordagem deve considerar o propósito de seu sistema de gestão de SI. – SGSI, o cenário da gestão de riscos e o setor de 
sua atividade econômica. 
A gestão de riscos de SI. É integrante da gestão de riscos e devem esta em sintonia. 
Idealmente a gestão de riscos de SI. Deve ser um processo contínuo de definição, avaliação e tratamento aos riscos. 
É bom lembrar que o processo GRSI pode ser aplicado também a uma área específica da empresa, aos controles existentes ou a 
uma parte específica de um controle. 
Etapas da gestão de Riscos da SI.: 
Definir o cenário. 
Analisar ou avaliar os riscos. 
Tratar os riscos. 
Aceitar os riscos. 
Comunicar os riscos. 
Monitorar os riscos. 
Fazer uma análise crítica dos riscos. 
 
Clico da GRSI 
 
 
 
 
 
 
Unidade: 03 - Vídeo: 3/4 - Framework de gestão de riscos ISO 31000 e pelo NIST 
 
Norma ISO 31000 
 
A international Organization for Standardization, International Electrotechnnical Commision – ISO 31000 – Gestão de Riscos - 
Princípios e diretrizes, publicada em 2009, é normal internacional que estabelece um conjunto de princípios que devem ser 
atendidos para tornar a gestão de riscos eficaz numa organização. 
“Esta normal recomenda que as organizações desenvolvam, implementem e melhorem continuamente uma estrutura cuja 
finalidade é integrar o processo para gerenciar riscos de governança, estratégia e planejamento, gestão, processos de reportar 
dados e resultados, políticas, valores e cultura em toda a organização”. 
Sua abordagem genérica fornece princípios e diretrizes para o gerenciamento de qualquer forma de risco de maneira sistemática, 
transparente e confiável, em qualquer sentido e contexto. 
Cada setor tem suas necessidades particulares e suas percepções de risco atende a diversas comunidades. Estabelecer o 
contexto retém os objetivos da empresa, o cenário e seu ambiente, ajudando a identificar e avaliar a natureza e complexidade de 
seus riscos. 
 
Atende aos responsáveis: 
Pelo desenvolvimento da política de gestão de riscos na empresa. 
Por assegurar que os riscos sejam gerenciados de forma eficaz no todo, em uma área ou projeto específico. 
Que avaliam a eficácia da organização na gerencia de riscos. 
Pelo desenvolvimento de normas, procedimentos ou práticas que estabelecem como deve ser gerenciado o risco. 
 
 
 
 
Relacionamento entre os Príncipios da ISO31000. 
 
 
Relacionamento entre os Componentes da Estrutura de Gestão de Riscos 
 
 
Processo da ISO31000. 
 
 
NIST 800-30 
Conforme o National Institute of Standards and Tecnology – NIST (NIST-ITL), 2012, os conceitos fundamentais associados a 
avaliação de riscos de segurança de informação dentro de uma organização incluem: 
Visão geral na alta administração do processo de gerenciamento de risco, as avaliações de risco e seu papel nesse processo. 
Os conceitos básicos utilizados na realização de avaliações de risco. 
Como as avaliações de risco podem ser aplicadas em níveis de gestão de risco da organização. 
De acordo com o NIST, os processos de gestão de risco englobam: 
Enquadrar o risco. 
Avaliar o risco. 
Responder ao risco. 
Monitorar o risco. 
 
 
O PRIMEIRO COMPONENTE da gestão de riscos aborda como as organizações estabelecem o cenário ou o contexto do risco, 
descrevendo o ambiente no qual ocorrem as decisões baseadas no risco. 
O enquadramento de risco visa produzir em estratégia de gestão de risco abordando como as empresas visam avaliar e responder 
ao risco, e monitorar explícita e transparentemente sua percepção de risco que usam para decidir sobre investimento e operações 
diárias. 
A estratégia de gestão de riscos estabelece uma base para o gerenciamento de riscos e identifica os limites de risco tendo por 
base as decisões baseadas em risco dentro das organizações. 
Esse componente deve abordar como a organização quer avaliar, responder e monitorar os riscos. 
 
O SEGUNDO COMPONENTE cita como o risco é avaliado no contexto da estrutura de risco. Sua finalidade é identificar: 
Ameaças, (operações, ativos ou indivíduos), as ameaças a todas as organizações. 
O prejuízo que pode ocorrer dado o potencial de ameaças. 
A probabilidade de ocorrer danos. 
O resultado será a determinação de risco (função entre o grau do dano e a probabilidade de ocorrer). 
 
O TERCEIRO COMPONENTE da gestão de risco aborda como as organizações respondem ao risco, já que é o resultado da 
avaliação de risco. Objetiva prover resposta consistente, conforme sua estrutura de risco: 
Elaborar ações alternativas para responder a riscos. 
Avaliar as alternativas de ação. 
Determinar as diretrizes adequadas para ação conforme a tolerância ao risco. 
Implementar respostas de risco de acordo com as ações selecionadas. 
 
 
 
O QUARTO COMPONENTE da gestão de risco trata de como as organizações monitoram o risco ao longo do tempo. Seus 
objetivos são: 
Determinar o quanto é efetiva as respostas ao risco. 
Identificar mudançasque podem impactar os sistemas de informação organizacional e os ambientes onde operam. 
Verificar se as ações planejadas são implementadas, e se os requisitos de segurança são derivados e rastreáveis para missões 
organizacionais, funções empresariais, legislação, diretrizes, regulamentos, políticas e padrões. 
Visão geral da Avaliação Geral de Riscos 
 
 
Após completar as 9 etapas de avaliação de risco, o próximo passo é sua mitigação. 
A redução do risco engloba priorizar, avaliar e implementar controles apropriados para a redução de risco, decorrentes do 
processo de avaliação de risco. 
 
Unidade: 03 - Vídeo: 4/4 - Framework de gestão de riscos PMBOK e PRINCE 2 
 
Project management Body of Knowledge - PMBok 
 
O guia Project Management Body of Knowledge – PMBok , é um conjunto de práticas a serem utilizadas na gestão de projetos. 
Organizado pelo Project Management Institute – PMI, é considerado a base do conhecimento sobre a gestão de projeto. 
Na sua 6ª. Edição, contém 10 áreas de conhecimento e totaliza 49 processos para gestão: 
Integração do projeto. 
Escopo do projeto. 
Tempo do projeto. 
Custos do projeto. 
Qualidade do projeto. 
Recursos humanos do projeto. 
Comunicações do projeto. 
Riscos do projeto. 
Aquisições do projeto. 
Envolvidos do projeto. 
O risco de um projeto pode ser um evento qualquer ou uma determinada situação incerta que, caso ocorra, produzirá efeito 
positivo ou negativo que irá afetar a um ou mais de seus objetivos, tais como escopo, tempo, custo ou qualidade. 
Como um risco qualquer pode ter uma ou mais causas, podendo gerar um ou mais impactos, o guia visa determinar ações para 
que se possa mitiga-los. 
O guia descreve os processos relacionados com identificação, análise e resposta a riscos do projeto. 
 
Etapas de Riscos do Projeto 
PMBOK 
Quanto a componentes de riscos do projeto, o guia contém processos que visam, com relação a estes: 
Planejar seu gerenciamento. 
Identifica-los. 
Analisá-los qualitativamente. 
Analisá-los quantitativamente. 
Planejar as respostas. 
Monitorar e controla-los. 
 
Planejar seu Gerenciamento 
 
Identificar Riscos 
 
Analisar Qualitativamente 
 
 
 
 
 
Planejar respostas à Tolerância 
 
 
Monitorar e Controlar 
 
 
 
 
 
Project in a Controlled Environment – Prince 2 
O Project in a Controlled Environment – Prince 2 é outro método para gestão de projetos. 
Adapta-se a qualquer tipo ou tamanho de projeto, gerência, controla e organiza o projeto. 
Principais característica: 
É compatível com o PMBOK. 
Faz o controle e a organização do projeto do início ao fim. 
Possibilita revisões dos progressos com base nos planos. 
Tem pontos de decisão flexíveis 
Faz a gestão efetiva de qualquer desvio. 
Proporciona envolvimentos dos envolvidos em marcos durante toda a execução do projeto. 
 
 
Praticando 
Matriz do Risco