Destaque

Ronke Oyemade, CISA, CRISC,

PMP o principal consultor
e CEO da Strategic Global
Consulting LLC e tem mais
de 14 anos de experincia
em consultoria em setores
como petroleiro, de assistncia
mdica, educao, hotelaria,
gerenciamento de dados,
finanas, telecomunicaes,
varejo, produo e seguros.
Suas reas de especialidade
incluem segurana e auditoria
de TI, desenvolvimento de
software, anlise de dados
e minerao, alm da
conformidade com a Comisso
Federal de Comrcio dos EUA
(US Federal Trade Commission)
e com a lei norte-americana
Sarbanes-Oxley. Oyemade
j trabalhou com empresas
como Ernst & Young e Deloitte
e uma experiente instrutora
que j ministrou treinamentos
para funcionrios de empresas
da Fortune 500. possvel
contat-la pelo e-mail
strategicglobalconsult@
gmail.com.

Voc tem
algo a dizer
sobre este
artigo?
Visite as pginas do
Journal no website da
ISACA (www.isaca.
org/journal), encontre
o artigo e selecione
a guia Comments
(Comentrios) para
compartilhar suas
ideias.
V diretamente para o artigo:

ISACA JOURNAL VOLUME 1, 2012

Governana eficaz de TI por meio do modelo das

Trs Linhas de Defesa, com o Risk IT e COBIT
Quando o Comit Bancrio do Senado dos EUA
(US Senate Banking Committee) perguntou ao
presidente do Banco Central norte-americano
(US Federal Reserve), Ben S. Bernanke, que
lies haviam sido aprendidas com a atual crise
econmica, ele respondeu, A importncia de ser
muito agressivo e no estar disposto a conceder
aos bancos muita liberdade, especialmente
quando eles no agem corretamente em reas
como o gerenciamento de riscos.1
Muitas instituies financeiras sofreram
grandes perdas durante a crise econmica que
est em andamento, com vrios fatores externos
tendo sido responsabilizados por elas. No
entanto, observou-se que, apesar desses fatores,
um pequeno nmero de bancos prosperou neste
perodo e evitou muitas perdas. Um estudo
minucioso destes bancos revelou que eles
prosperaram porque se beneficiaram de uma slida
cultura de risco em conjunto com um foco claro
em trs eficientes linhas de defesa. Descobriu-se
que esta slida cultura de risco estava funcionando
de modo ineficaz nos bancos que sofreram perdas.
As linhas de defesa e a slida cultura de risco, em
conjunto com uma estrutura eficaz de governana,
fornecem um caminho mais forte e eficiente
para que os bancos e outras corporaes saiam
desta crise econmica e lidem com as questes
fundamentais dentro de suas operaes que
resultaram em recesso.2
Este artigo define governana de TI, trata de
sua importncia e descreve como aplicar as trs
linhas de defesa implementando uma combinao
dos modelos Risk IT e COBIT para produzir uma
estrutura mais eficiente de governana de TI, de
modo a fortalec-la.
Importncia da governana de TI
A TI um poderoso recurso utilizado pelas
empresas para atingirem seus objetivos mais
importantes. A TI pode, por exemplo, representar
um fator fundamental de economia de custos em
grandes transaes como fuses, aquisies e
liquidaes; possibilitar a automao de processos
fundamentais de negcios, como a cadeia de
suprimentos; e pode ser a pedra fundamental de
novos modelos ou estratgias comerciais. Embora

a TI tenha o potencial de transformar os negcios,

ao mesmo tempo representa um investimento
bastante significativo, normalmente de 1 a 8%
da receita bruta. Em alguns casos, o custo real
no claro, e os oramentos podem distribuir-se
entre unidades de negcios, departamentos e
setores geogrficos, sem uma superviso geral. Isto
costuma impedir que os resultados esperados sejam
alcanados e, portanto, resulta em uma gama de
riscos relacionados TI, como a indisponibilidade
de sistemas de negcios voltados para o cliente, a
divulgao de dados proprietrios ou de clientes
ou a perda de oportunidades de negcios em
decorrncia de uma arquitetura de TI inflexvel.
Esses fatores e o complexo ambiente regulatrio
atualmente enfrentado pelas empresas levou a um
foco significativo na governana de TI.3
A governana de TI uma parte integral
da governana corporativa. Enquanto a
necessidade de governana no nvel corporativo
impulsionada predominantemente pela demanda
de transparncia nos riscos corporativos e
pela proteo de valor para o acionista, os
significativos custos, riscos e oportunidades
associados TI exigem um foco dedicado, porm
integrado, na governana de TI. Embora os
termos governana corporativa e governana
de TI possam ter significados diferentes para
pessoas diferentes, eles podem ser definidos da
seguinte forma:
Governana corporativa o conjunto de
responsabilidades e prticas exercidas
pela diretoria e pela gerncia executiva
com os objetivos de fornecer uma direo
estratgica, garantir que as metas sejam
atingidas, certificar-se de que os riscos
sejam gerenciados corretamente e garantir
que os recursos da empresa sejam
utilizados de modo responsvel; enquanto
a governana de TI de responsabilidade
dos executivos e diretorias e consiste
na liderana, processos e estruturas
organizacionais que garantem que
a TI da empresa apoie e expanda as
estratgias e objetivos da organizao.4

Aplicao do modelo das Trs Linhas de Defesa

O modelo das trs linhas de defesa pode ser utilizado
como o principal modo de demonstrar e estruturar papis,
atribuies e responsabilidades por tomadas de decises,
riscos e controles, para conquistar um gerenciamento de
riscos eficiente da governana.5 Este modelo baseia-se em
uma estrutura de gerenciamento de riscos de conformidade
resiliente, ainda que flexvel, que composto por trs
elementos fundamentais: identificao e avaliao de riscos,

gerenciamento de riscos e monitoramento de riscos. Como

demonstrado na figura 1, para implementar este modelo com
xito, dois modelos conhecidos - Risk IT e COBIT - podem
ser adotados. O Risk IT define boas prticas fornecendo uma
estrutura para que as empresas identifiquem, administrem
e gerenciem os riscos de TI, enquanto o COBIT define boas
prticas de gerenciamento de riscos fornecendo um conjunto
de controles que mitigam os riscos de TI.6

Figura 1 - Trs linhas de defesa: Identificao e anlise de riscos, gerenciamento de riscos e monitoramento de riscos
TRS LINHAS DE DEFESA
Primeira linha de defesa:
IDENTIFICAO E AVALIAO DE RISCO
Responsabilidade: Operaes de
negcios executam atividades dirias
de gerenciamento de riscos.

MODELO

MODELO
RISK IT

Funo: Um ambiente estabelecido de

risco e controle
MODELO
COBIT
Segunda linha de defesa:
GERENCIAMENTO DE RISCOS
Responsabilidade: Funes de superviso,
como finanas, recursos humanos,
garantia de qualidade e gerenciamento
de risco, definem polticas e provm
certificao.
Funo: Gerenciamento estratgico,
definio de polticas e procedimentos,
superviso de funes.
Terceira linha de defesa:
MONITORAMENTO DE RISCO
Responsabilidade: Certificao independente
inclui auditoria interna, auditoria externa e
outros fornecedores de certificao
independentes, e oferece questionamentos
independentes aos nveis de segurana
fornecidos pelas operaes de negcios
e funes de superviso.
Funo: Oferece desafios e certificao
independentes

ISACA JOURNAL VOLUME 1, 2012

A primeira linha de defesa implica na identificao e

avaliao dos riscos de TI, no fornecimento de respostas
aos riscos, na definio e implementao de controles
que mitigam os riscos fundamentais de TI e no relato de
progressos. Isto significa identificar ameaas empresa e
causas de possveis perdas e problemas nos negcios e, depois,
avaliar o grau de impacto que as ameaas identificadas podem
ter sobre a empresa.
O risco de TI um componente do universo geral de riscos
da empresa. Uma vez que a TI utilizada extensivamente
em todas as reas da empresa, o risco de TI um risco de
negcios e tambm um componente de todos os outros riscos,
como risco estratgico, risco ambiental, risco de crdito, risco
de mercado, risco operacional e risco de conformidade. Como
demonstrado na figura 2, a implementao do modelo Risk IT
ajuda a garantir que:
A empresa identifique e analise riscos e oportunidades
relacionados TI e apresente-os em termos de negcios
Questes, oportunidades e eventos relacionados TI sejam
tratados de modo econmico e alinhado com as prioridades
de negcios
Prticas de gerenciamento de riscos de TI sejam
incorporadas empresa, garantindo um retorno
proporcional aos riscos

Figura 2 - O modelo Risk IT

Governana de risco

Garante que prticas de gerenciamento

de riscos de TI sejam incorporadas
empresa, garantindo um retorno ideal
proporcional aos riscos.

Integrar
com
ERM
Estabelecer
e manter uma
viso comum
de risco

Gerenciar
risco

Articular
risco

Tomar
decises de
negcios com
conscincia
dos riscos

Analisar
risco

Objetivos
de negcios
Reagir a
eventos

Comunicao

Coletar
dados

Resposta ao risco

Avaliao de risco

Garantir que questes, oportunidades

e eventos relacionados TI sejam
tratados de modo econmico e alinhado
com as prioridades de negcios.

Garantir que riscos e oportunidades

relacionados TI sejam identificados,
analisados e apresentados em termos
de negcios.

Fonte: ISACA, The Risk IT Framework, EUA, 2009

Manter
o perfil
de risco

ISACA JOURNAL VOLUME 1, 2012

O modelo Risk IT permite que a empresa estabelea seu

apetite ao risco, que a quantidade de risco que a empresa
est preparada para aceitar ao tentar atingir seus objetivos
(analisando sua capacidade objetiva de absoro de perdas),
e sua cultura de gerenciamento ou predisposio a assumir
riscos, que pode variar de conservadora a agressiva. Alm
disso, o modelo permite que a empresa estabelea sua
tolerncia a riscos, que o desvio tolervel em relao ao
nvel definido pelo apetite ao risco e pelos objetivos de
negcios, e promova a conscientizao dos riscos dentro da
empresa. A conscientizao dos riscos faz com que os riscos
de TI sejam bem compreendidos, conhecidos e gerenciados
pela empresa.
A partir da anlise das causas da atual crise econmica e
das mudanas nos ambientes de negcios, descobriu-se que
embora os bancos tenham investido fortemente em ferramentas
e processos de gerenciamento de riscos ao longo dos anos, o
que manteve sua conformidade com os regulamentos e poderia
ter evitado a crise, eles no investiram com o mesmo rigor em
ferramentas de gerenciamento de riscos porque as empresas no
podiam resolver questes mais fundamentais ligadas aos riscos.
Por exemplo, muitos bancos no se concentraram o suficiente
em tratar as causas-raiz da m qualidade e integridade dos
dados, resultando em sistemas que se mostraram ineficientes
na produo de informaes precisas, relevantes e voltadas
para a tomada de decises. Houve tambm uma confiana
excessiva em modelos complexos que eram compreendidos
por poucas pessoas dentro dos bancos, e quando informaes
adequadas estavam disponveis, apenas alguns gerentes tinham
a experincia, autoridade e posicionamento para tomar decises
relevantes.7 Alm disso, os modelos de negcios implementados
pelas organizaes evoluram continuamente ao longo dos anos,
fazendo com que cada vez mais as organizaes oferecessem
servios via Internet. Por exemplo, medidores instalados na
casa de um cliente so conectados s redes da empresa via
internet. Assim que servios como este so disponibilizados e
transmitidos pela Internet, as empresas oferecem mais benefcios
para seus clientes, mas tambm aumentam suas vulnerabilidades
e riscos, como o acesso inadequado a dados e sistemas da
empresa, roubo de identidade de clientes, perdas de e-mails e
paralisaes do sistema.8 Tais vulnerabilidades e riscos podem
se tornar obstculos no alcance dos resultados financeiros
corporativos desejados pela organizao. Se a abordagem das
trs linhas de defesa tivesse sido adotada pelos bancos, riscos
como os mencionados teriam sido identificados e analisados.9
Como demonstrado na figura 3, o modelo Risk IT oferece
empresa respostas aos principais riscos identificados. O
objetivo da resposta ao risco alinhar o risco inclinao
identificada pela empresa aps a avaliao de riscos. Isto

3. Aceitao de risco Nenhuma ao tomada com relao a

um risco particular - aceita-se a perda quando e se ocorrer.
diferente de estar alheio aos riscos, uma vez que aceitar
o risco implica que ele conhecido e que a gerncia tomou
uma deciso informada de aceit-lo.
4. Reduo/mitigao de risco Ao realizada para detectar
riscos, seguida por aes que reduzem a frequncia e/
ou impacto de um risco. Riscos reduzidos podem ser
gerenciados por meio de um modelo de controle para
governana de TI, como o COBIT.10
O COBIT oferece uma estrutura de processos e controles
fundamentais que podem ser combinados a riscos-chave aos
quais a empresa decidiu responder utilizando a reduo. Como

significa que uma resposta precisa ser definida de modo que

o futuro risco residual (risco atual com a resposta ao risco
definida e implementada) esteja, tanto quanto possvel (o que
normalmente depende dos oramentos disponveis), dentro
dos limites de tolerncia a riscos. Os quatro tipos de respostas
so:
1. Anulao de risco Deixar atividades ou condies
que geram riscos. A anulao de risco se aplica quando
nenhuma outra resposta aos riscos adequada.
2. Compartilhamento/transferncia de risco Reduo
da frequncia ou impacto do risco transferindo ou
compartilhando parte dele. Exemplos incluem terceirizao
e a contratao de seguros.

Figura 3 - Anlise de riscos e respostas

Anlise de riscos
Estimar
frequncia
e impacto.

Tolerncia
a riscos
Risco
Anlise
de riscos

Risco que ultrapassa

a tolerncia a riscos
Selecionar
opes de
resposta ao risco
Opes de resposta ao risco

Estrutura de
controle de TI

Custo da
resposta para
reduzir o
risco dentro
do limite de
tolerncia

1. Reduzir/mitigar

2. Evitar

Importncia
do risco

3. Compartilhar/
transferir

4. Aceitar

Capacidade de
implementar
resposta

Riscos mitigados
Modelo
COBIT

Parmetros para
seleo de resposta
ao risco

Eficcia da
resposta
Priorizar opes de
resposta ao risco

Plano de ao
de risco

Eficincia da
resposta

Resposta ao risco

ISACA JOURNAL VOLUME 1, 2012

Figura 4 - Mapeamento dos riscos fundamentais de TI (Risk IT) com controles-chave (COBIT)
Capacidade de gerenciamento de TI
Risco de alto nvel
Ataques lgicos

PO (Planejar e organizar)

AI (Adquirir e implementar)

PO2 Definir a arquitetura de

informao

DS5 Garantir a segurana do

sistema

PO3 Determinar a diretriz

tecnolgica

DS 12 Gerenciar o ambiente
fsico

demonstrado na figura 4, um exemplo de risco-chave tpico

identificado denominado "ataques lgicos". Uma resposta
de reduo de risco faz com que tal risco seja combinado aos
processos de TI do COBIT: PO2, PO3, DS5 e DS12 (dos
domnios PO [Planejar e organizar] e DS [Entregar e dar
suporte]) e aos objetivos de controle associados.11
A segunda linha de defesa implica em definir limites
para a empresa delineando e implementando polticas
e procedimentos e incorporando os controles a esses
procedimentos, garantir que os procedimentos e polticas
existentes permaneam atualizados, responder a novos
riscos e prioridades estratgicas, monitorar para garantir
a conformidade com as polticas atualizadas e fornecer
vigilncia em relao eficincia dos controles de
conformidade incorporados empresa.12, 13 O modelo
COBIT fornece um modelo de referncia de processos para
a segunda linha de defesa porque define as atividades de TI
em um processo genrico dentro de quatro domnios: PO, AI
(Adquirir e Implementar), DS e ME (Monitorar e Avaliar).
O COBIT tem processos definidos e objetivos de controle
associados, e abrange os controles de TI. Portanto, esses
processos e controles predefinidos podem ser utilizados como
ponto de partida para que uma empresa crie suas polticas,
procedimentos e controles. O COBIT tambm encoraja
a atribuio de propriedade dos processos, permitindo a
definio de responsabilidades.14
A terceira linha de defesa desempenhada por certificadores
independentes, como auditores internos e externos, e fornece
uma anlise independente dos nveis de certificao oferecidos
pelas operaes comerciais e pelas funes de superviso.
Isto envolve o fornecimento de auditoria independente de
controles-chave e a elaborao de relatrios de certificao.15
Como demonstrado na figura 5, a lista de atividades tpicas
de um plano de certificao baseado em riscos pode ser
vinculada a componentes do Risk IT e do COBIT, que podem
ser alavancados para tornar as atividades de certificao mais
eficazes. Para ter uma viso de uma entidade na qual atividades
de certificao de TI sero executadas, os resultados do modelo

ISACA JOURNAL VOLUME 1, 2012

DS (Entregar e dar suporte)

ME (Monitorar e avaliar)

Risk IT do um panorama dos riscos-chave, enquanto atividades

de certificao de TI, como planejamento, definio de escopo
e realizao de testes, utilizam extensivamente o material
que representa o ncleo do COBIT: os objetivos de controle.
Na tabela abaixo esto alguns dos vnculos mais fortes entre
os componentes do Risk IT e do COBIT e as atividades de
certificao de TI:16

Figura 5 - Mapeamento das atividades de certificao de TI

Atividades de certificao de TI

Risk IT

Executar uma breve anlise dos riscos.

Avaliar ameaas, vulnerabilidades e impacto

sobre os negcios.

Diagnosticar risco operacional e de projetos.

Planejar iniciativas de certificao baseadas

nos riscos.

COBIT

Identificar processos crticos de TI com base

em geradores de valor.

Avaliar a maturidade do processo.

Definir o escopo e planejar iniciativas de

certificao.

Selecionar os objetivos de controle para

processos crticos.

Personalizar objetivos de controle.

Criar um programa de certificao detalhado.

Testar e avaliar controles.

Materializar o risco.

Relatar as concluses da certificao.

Autoavaliao da maturidade do processo.

Autoavaliao dos controles.

Resultados do processo de avaliao de risco do Risk IT e

medidas de resultados e objetivos do COBIT com iniciativas
de planejamento de certificao baseada em riscos

 Resultados do processo de avaliao de risco do Risk IT e

declaraes de valor e risco do COBIT com avaliaes de
risco e materializao do risco
Atividades-chave do COBIT e grficos RACI (Responsvel,
atribuvel, consultado e informado) com planejamento
detalhado de certificao
Prticas e objetivos de controle do COBIT com testes e
controles de avaliao
Modelos de maturidade e atributos do COBIT com
maturidade do processo e outras avaliaes de alto nvel
Concluso
A TI utilizada por empresas para automatizar processos
de negcios e transformar modelos de negcios atuais.
Um investimento significativo feito pelas empresas nesta
rea. O uso crescente da TI dentro das empresas resulta no
crescimento da existncia de riscos relacionados a ela que, se
no forem gerenciados corretamente, podem impedir que uma
empresa atinja seus objetivos de negcios. Uma empresa pode
gerenciar com eficincia riscos relacionados TI estabelecendo
uma estrutura de governana de TI. Tal estrutura pode ser
alcanada por meio da adoo do modelo de trs linhas de
defesa, que consiste na identificao e avaliao de riscos,
gerenciamento de riscos e monitoramento de riscos. A adoo
e implementao dos modelos Risk IT e COBIT seguindo
o modelo das trs linhas de defesa fortalecem ainda mais a
estrutura de governana de TI de uma empresa.

Notas
1 Wyatt, Edward; Fed Chief Says US Bolstered Its Ability to
Handle Failure of a Big Bank, The New York Times,
17 de fevereiro de 2011
2 Laplante, Phillip A.; Thomas Costello; CIO Wisdom II:
More Best Practices, Prentice Hall, EUA, 2005
3 ISACA, Implementing and Continually Improving IT
Governance, EUA, 2009
4 Ibid.
5 Caprasse, Denise; Julien Laurent; Wendy Reed; Three
Lines of Defence: How to Take the Burden Out of
Compliance, Insurance Digest, www.pwc.com/en_GX/gx/
insurance/pdf/three_lines_of_defence.pdf
6 ISACA, The Risk IT Framework, EUA, 2009
7 Op cit, Caprasse
8 Nelson, Fritz; Val Rahmani; Daniel Sabbah; Al Zollar;
Understanding IT Governance and Risk Management to
Maximize IT Business Value, vdeo
9 Teschner, Charles; Peter Golder; Thorsten Liebert; Banks
Three Lines of Defense, Bringing Back Best Practices in
Risk Management, Booz & Co., Alemanha, 2008
10 Op cit, ISACA, The Risk IT Framework
11 IT Governance Institute (ITGI), COBIT 4.1, EUA, 2007
12 KPMG, The Three Lines of Defence, Audit Committee
Institute, Quarterly 25, Blgica, 2009
13 Op cit, Caprasse
14 Op cit, ITGI
15 Op cit, Caprasse
16 Op cit, ITGI

ISACA JOURNAL VOLUME 1, 2012