Framework Risk IT

O Risk IT foi desenvolvido pela ISACA com a participao de vrios

especialistas e foi incialmente publicado em 2009. O modelo utilizado para auxiliar
no gerenciamento de riscos relacionados a TI. Assim como o Val IT o Risk IT tambm
um complemento do Cobit.

Objetivos
Entre os objetivos do modelo esto: integrar o gerenciamento de risco de
TI com o Sistema de Gerenciamento de Riscos da Organizao, tomar
decises bem informadas sobre a extenso dos riscos, saber qual a tolerncia
e o apetite por riscos da organizao e entender como responder aos riscos.

Onde pode ser aplicado Framework Risk IT

O risco de TI um componente do universo geral de riscos da empresa. Uma
vez que a TI utilizada extensivamente em todas as reas da empresa, o risco
de TI um risco de negcios e tambm um componente de todos os outros
riscos, como risco estratgico, risco ambiental, risco de crdito, risco de
mercado, risco operacional e risco de conformidade. a implementao do
modelo Risk IT ajuda a garantir que A empresa identifique e analise riscos e
oportunidades relacionados TI e apresente-os em termos de negcios
Questes, oportunidades e eventos relacionados TI sejam tratados de modo
econmico e alinhado com as prioridades de negcios ou seja ele deve ser
aplicador de acordo com a necessidade de uma organizao tem um controle
de seus ricos para evitalos.

Frameworks que podem ser usados em conjunto

O Risk IT um conjunto de princpios orientadores e o primeiro

framework que ajuda as empresas a identificar, governar e gerenciar riscos de
TI. O framework complementa o COBIT, um compreensivo framework para a
governana e controle de servios e solues baseadas em TI e voltadas para
negcios. Enquanto o COBIT prov um conjunto de controles para mitigar os
riscos de TI, o Risk IT oferece um framework para que as empresas
identifiquem, governem e gerenciem os riscos de TI. Resumindo, o COBIT
prov os recursos para o gerenciamento de riscos; o Risk IT prov os fins.
Empresas que tenham adotado (ou esto planejando adotar) o COBIT ou Val IT
como o seu framework de governana de TI podem usar o Risk IT para
melhorar a sua gesto de risco.

Entidade de criao do Framework Risk IT

O Risk IT foi desenvolvido pela ISACA com a participao de vrios

especialistas e foi incialmente publicado em 2009. O modelo utilizado para
auxiliar no gerenciamento de riscos relacionados a TI

Estrutura do Risk IT
Basicamente o Risk IT estruturado em atividades chaves, processos e
domnios, e assim como o CobiT, o Risk IT Framework tambm composto
Por um Guia Gerencial, um quadro RACI (Responsible, Accountable, Consulted
and Informed) e um esquema de mtricas e entradas e sadas dos processos e
modelo de maturidade.
Detalhando os domnios e processos do Risk IT temos que o domnio de
Governana do Risco composto por trs processos e dezesseis atividades,
so eles:
Estabelecer e manter uma viso comum dos riscos: este processo
assegura que as atividades de gerenciamento de riscos estejam alinhadas com
a capacidade da organizao de lidar com perdas relacionadas TI e com a
tolerncia subjetiva das lideranas ao risco. Este processo tem as seguintes
atividades:

Realizar a avaliao dos riscos da organizao, Propor limites para a

tolerncia aos riscos de TI, Aprovar a tolerncia aos riscos de TI, Alinhar
a poltica de riscos de TI, Ppromover uma cultura de conscientizao
para os riscos de TI, Encorajar uma comunicao efetiva sobre os riscos
de TI.

Integrar com o Sistema de Gerenciamento de Riscos da Organizao: este

processo integrar a estratgia e as operaes de riscos de TI com as decises
estratgicas sobre riscos que so tomadas no mbito da organizao. Este
processo tem como atividades:

Estabelecer e manter as responsabilidades pelo gerenciamento dos

riscos de TI, Coordenar as estratgias de risco de TI e da organizao,
Adaptar as prticas de risco de TI s prticas de riscos da organizao,
Prover recursos adequados para o gerenciamento de riscos, Auditar de
forma independente o gerenciamento dos riscos de TI.

Tomar decises de negcios conscientes dos riscos: este processo

assegura que as decises da organizao considerem todas as oportunidades
e consequncias da dependncia do sucesso da TI. Este processo tem as
seguintes atividades:

Obter o apoio da administrao para a abordagem de anlise dos riscos

de TI, Aprovar a anlise dos riscos de TI, Embutir consideraes de

riscos de TI na tomada das decises estratgicas de negcio, Aceitar os

riscos de TI, Priorizar as atividades de resposta ao risco.
O domnio de Avaliao do Risco composto por trs processos e quatorze
atividades, so eles:

Coletar dados: este processo procura obter dados relevantes para

identificao, anlise e comunicao dos riscos. Este processo tem as
seguintes atividades:

Estabelecer e manter um modelo para a coleta de dados, Coletar dados

no ambiente operacional, Coletar dados sobre eventos de risco,
Identificar fatores de risco.

Analisar o risco: coletar informaes teis para apoiar as decises relativas a

riscos que levem em considerao os fatores de riscos relevantes para o
negcio. Este processo tem as seguintes atividades:

Definir o escopo da anlise do risco, Estimar o risco de TI, Identificar

opes de resposta ao risco, Realizar um peer review na anlise dos
riscos de TI.

Manter o perfil do risco: manter um inventrio completo e atualizado de todos

os riscos e atributos conhecidos, recursos de TI, capacidades e controles, no
contexto dos produtos, processos e servios do negcio. Este processo tem as
seguintes atividades:

Mapear os recursos de TI que apoiam os processos de negcio,

Determinar a criticidade dos recursos de TI para o negcio, Entender as
capacidades da TI, Atualizar os componentes dos cenrios de riscos de
TI, Manter os registros e o mapa de riscos de TI, Desenvolver
indicadores de riscos de TI.

O domnio de Resposta ao Risco composto por trs processos e treze

atividades, so eles:
Articular os riscos: assegurar que as informaes sobre a realidade das
exposies ao risco e as oportunidades estejam disponveis, no tempo
adequado, para as pessoas corretas, para que haja uma resposta apropriada.
Este processo tem as seguintes atividades:

Comunicar os resultados da anlise dos riscos, Comunicar as atividades

de gerenciamento dos riscos e a situao de conformidade, Interpretar
os resultados das auditorias independentes de TI, Identificar as
oportunidades relacionadas TI.

Gerenciar os riscos: assegurar que as iniciativas para aproveitar

oportunidades e reduzir os riscos sejam gerenciadas como um portflio. Este
processo tem as seguintes atividades:

Inventariar os controles, Monitorar o alinhamento operacional com os

limites de tolerncia aos riscos, Responder s exposies a riscos e
oportunidades identificadas, Implementar controles, Comunicar o
progresso do plano de ao para os riscos.

Reagir aos eventos: assegurar que as iniciativas para aproveitar

oportunidades ou para limitar as perdas com os eventos relacionados TI
sejam ativadas em tempo hbil e sejam efetivas. Este processo tem as
seguintes atividades:

Manter planos de respostas a incidentes, Monitorar o risco de TI, Iniciar

respostas aos incidentes, Comunicar lies aprendidas a partir dos
eventos de risco.

Resultado

Os benefcios por usar o Risk IT incluem uma linguagem comum para

ajudar na comunicao entre gestes de negcios, TI, riscos e auditoria;
Orientao ponto a ponto sobre como gerenciar riscos relacionados a TI; Um
perfil completo de riscos para melhor entender os riscos, de modo a utilizar
melhor os recursos da empresa; Uma melhor compreenso dos papis e
responsabilidades em referncia a gesto de riscos de TI; Alinhamento com
ERM; Uma melhor viso dos riscos relacionados a TI e suas implicaes
financeiras; Menos falhas e surpresas operacionais; Melhora da qualidade da
informao; Utilizaes inovadoras dando apoio a novas iniciativas de
negcios.
Em sntese, o framework permitir que as empresas possam entender e
gerenciar todos os tipos significativos de risco. O framework Risk IT prov uma
viso compreensiva ponto a ponto de todos os riscos relacionados ao uso de
TI, bem como uma viso semelhante de gesto de riscos
Portanto, o Risk IT reduz as perdas para a organizao em funo de
um evento de risco que tenha impacto, reduz as perdas em funo do no
investimento em novas oportunidades com o apoio da TI, prov um guia
bastante abrangente para o gerenciamento dos riscos relacionados TI,
integra o gerenciamento de risco da TI com o da organizao e fornece uma
linguagem comum acerca de riscos para toda organizao.