Uma nova categoria de Risco: A Inércia

Uma criteriosa avaliação de riscos de TI é essencial para o continuo desenvolvimento de um ambiente de TI que trabalha baseado na relação custo/beneficio. Infelizmente, as ferramentas e os frameworks de analise de riscos de TI, muitas vezes apresentam apenas indicadores de grande visibilidade, tais como o número de operações, o impacto financeiro direto, ou a eficácia na recuperação de desastres e continuidade de negócios em toda a empresa. Estes indicadores tradicionais são importantes e válidos para a avaliação de risco. No entanto, este artigo explora o conceito de que o risco de TI também é suportado por um fator mais abstrato, mas potencialmente forte: o nível da organização que está comprometido com sistemas ágeis. O termo "ágil" é usado aqui no sentido estratégico, como a capacidade de rápida e eficientemente readaptar a empresa frente a novos negócios (aquisições e fusões), regulamentações, e mudanças técnicas.

George Westerman e Richard Huntsman, em seu livro de Risco de TI, distribuem os riscos de TI em quatro categorias: disponibilidade, acesso, precisão e agilidade (os quatro "As" em inglês). Enquanto a maioria das análises de risco e de auditoria de TI incluem as três primeiras categorias, o grau de agilidade da empresa é muitas vezes ignorada, apesar da sua importância estratégica para o sucesso contínuo da organização. Agilidade é a capacidade de responder adequadamente às necessidades de negócio da organização, e pode ser considerado o termo mais "vago" das quatro categorias de risco, mas também pode ser o mais importante a partir da perspectiva de entrega de resultados no dia-a-dia da operação.

A Evolução da Gestão de Riscos

A recente crise mundial de 2008 chamou a atenção sobre os métodos para se controlar, regular e atenuar os fatores de risco, incluindo, mas certamente não limitado às operações de crédito e a volatilidade do mercado. Esta atenção é apenas a mais recente manifestação dos esforços de gestão de risco que têm acontecido nos últimos 70 anos. Os Acordos de Basiléia (I e II), que tentam definir padrões mundiais para as reservas das instituições financeiras de capital de risco, são exemplos recentes do esforço global de redução de risco. As práticas de avaliação de risco têm evoluído em sofisticação, complexidade matemática e detalhamento.

Como é que essa nova e revigorada cultura de gestão de risco afeta hoje o dia-a-dia da avaliação de riscos para um auditor de TI? Claro que as maiores expectativas do trabalho do auditor de TI se voltam para a gestão de TI. Por exemplo, o Chief Information Officer (CIO) pode procurar por uma visão mais estratégica dos riscos de TI, com base em um entendimento do negócio da organização e da direção da tecnologia. As perguntas podem incluir os seguintes tópicos:

Como os riscos podem ser quantificados de forma mais eficaz?

Existe uma maneira prática de se educar o resto da organização, especialmente a alta administração, em longo prazo, em questões mais estratégicas?

Como pode o risco ser tratado através de uma abordagem mais integrada e não simplesmente como uma série de ameaças independentes?

Existe uma maneira de se quebrar o paradigma de risco isolado, abordada de modo externo à organização ou através de soluções pontuais?

Risco Estratégico VS Risco Tático

O enfoque tradicional de análise de riscos de TI tem sido visível nos eventos táticos. Em termos do modelo Westerman-Huntsman, esses eventos incluem falhas na disponibilidade de recursos de computação, acesso inadequado e processamento impreciso. Claro que a mitigação desses riscos conhecidos é essencial para a continuidade dos negócios de qualquer organização. No entanto, os riscos em longo prazo e de lento desenvolvimento, como a falta de manutenção de sistemas por exemplo, podem apresentar prejuízos significativos para a rentabilidade e eficiência das operações. Agilidade no tratamento de riscos é estratégica, e se desenvolve ao longo do tempo. Pode não ser imediatamente visível e, portanto, pode ser mais difícil de avaliar e de se apresentar à gestão.

A falta de agilidade (inércia no processo) afeta diretamente a habilidade da organização para responder às alterações técnicas, regulatórias e de concorrência no mercado. Agilidade no tratamento de risco pode vir do nível mais baixo da organização, aquele chamado de "porcas e parafusos, tubos e conexões, os bombeiros, ajudantes de pedreiros ou equipe Bombrill", subindo até estruturas organizacionais estratégicas impróprias ou inapropriadas. Na extremidade inferior, por exemplo, um programa legado pode ter sido codificado com centenas de declarações go-to. Ele pode funcionar perfeitamente (depois de muita depuração), mas se ele tiver de ser alterado, a probabilidade de um fracasso é muito alta. Práticas de programação ruins impactam diretamente sistemas a tornarem-se lentos e não ágeis. No outro extremo do espectro, uma organização com alto risco de inércia estratégica pode ter suas aplicações executadas em silos e desconectadas, com um número excessivo de ligações interorganizacionais e com capacidade limitada de alterar uma funcionalidade de TI dentro de um prazo razoável.

Quando a única constante é a mudança: O valor estratégico da Agilidade

Na década de 1990, muitas organizações progressistas implementaram sistemas de workflow como um componente importante de sua estratégia de gestão de processos de negócios. Os benefícios foram e continuam a ser claros: circulação de informações de forma estruturada, com trilhas de auditoria, procedimentos de autorização simples e a capacidade de fornecer caminhos alternativos se os recursos estiverem temporariamente indisponíveis. Em um planejamento de recursos empresariais da Oracle (ERP), por exemplo, o fluxo de ordens de compra de um iniciador de nível inferior flui para um aprovador de alto nível se o montante for superior a um valor predefinido, enquanto que para outras etapas da compra, segue o clico normal para pagamento. Em um sistema de controle de mudanças, a implementação de uma mudança de programa não pode ser colocada em produção até que um usuário / autorizador aprove eletronicamente a mudança.

Em contraste com os dias de hoje, empresas com e sem fins lucrativos estão cada vez mais obrigadas a ir além do hierárquico, um passo-de-cada-vez em procedimentos adaptados para sistemas de workflow (ainda que estes sistemas continuem a desempenhar um papel vital em muitos processos core). No mercado, a mudança está ocorrendo numa taxa de crescimento exponencial. Os clientes têm a disponibilidade da web, podendo aproveitar muito mais do que antes, suportados pela flexibilidade para mudar de fornecedor com facilidade. Assim, para muitas empresas, a capacidade de mudança e a possibilidade serem as primeiras no mercado, é muitas vezes mais importante do que a capacidade de produzir barato, com práticas padronizadas. A interrupção de disponibilidade de serviço não é mais um evento ocasional. Agora a ruptura é quase constante. Só as empresas ágeis conseguem mudar produtos, ofertas, serviços e fornecedores com a rapidez suficiente para manter ou aumentar sua quota de participação de mercado. Cada vez mais, são as ações rotineiras que geram as vantagens competitivas. Assim, as organizações com sistemas e processos de TI ágeis irão prosperar mais em relação a outras organizações, enquanto a tecnologia, as condições de mercado, as regras governamentais, e outros fatores tendem a tornarem-se mais perturbadores no dia-a-dia do negócio.

O caminho para a Agilidade

Uma plataforma de software forte, uniforme, estável e previsível pode ser o elemento mais importante de uma organização de TI no programa de redução de risco. E, enquanto uma plataforma forte (software, hardware e metodologias), afeta todas as áreas de riscos de TI, tem ao mesmo tempo um efeito desproporcional sobre o risco da inércia (falta de agilidade). Infelizmente, não existe uma fórmula simples para alcançar a flexibilidade que a maioria das empresas necessita para responder às rápidas mudanças. As empresas com visão de futuro, que pretendem maximizar a agilidade e promover o intercâmbio de ideias, usufruindo da tomada de decisão não hierárquica e a plena utilização do espaço mental de toda a organização (incluindo funcionários, contratados, fornecedores e clientes), muitas vezes promovem a agilidade com ferramentas de interação humana.

Exemplos destas ferramentas (a maioria se encontra sob a égide da web 2.0) incluem pacotes de colaboração, software de compartilhamento de informações (tais como o SharePoint da Microsoft), wikis, blogs, sistemas de alerta, serviços hospedados para mudanças rápidas, redes sociais e até mesmo mashups. Algumas organizações têm até usado os ciclos de ociosidade de milhões de PCs de voluntários para ajudar nas tarefas de resolução de problemas complexos. Um exemplo é o projeto Folding @ home, que prevê três pesquisadores da área médica com o equivalente a um supercomputador para resolver problemas complexos de dobramento de proteínas.

Uma organização sem esses recursos (ou que seja sem parte deles) corre o risco de reagir atrasada (inércia) aos seus clientes ou às condições de mercado. Em seu livro Dot Cloud: A 21st Century Business Platform Built on Cloud Computing, Peter Fingar observa que as empresas tradicionais não são apenas dramaticamente assimétricas em termos de compensação, mas também na disponibilidade de informações. Funcionários podem estar desinformados sobre o negócio, conhecimento das atividades de outras equipes e ao sabem qual é a visão clara sobre a direção da empresa. Altos executivos podem (mas nem sempre) ter acesso a vastas quantidades de informações detalhadas e dados sumarizados (por exemplo, relatórios de Business Intelligence), enquanto os funcionários de nível inferior se encontram muitas vezes quase no escuro. Organizações do futuro devem confiar na computação distribuída, aproveitando a inteligência e conhecimento de vários grupos, incluindo funcionários, fornecedores, clientes e outras pessoas e até nas comunidades de interesse relevante.

Foco excessivo nos Riscos Visíveis

Existe uma velha piada sobre um bêbado que está rodopiando em torno de um poste de luz procurando as chaves do carro. Quando perguntado por que ele está procurando apenas por ali, diz ele, "é apenas o senso comum, aqui tem luz." Em menor escala, as opiniões sobre o assunto riscos da empresa segue a mesma trajetória. Os furacões, terremotos, fraudes de alto nível e grandes erros de contabilidade estão visíveis. E, embora nem todos concordem com o caminho para mitigação destes riscos, há pelo menos consenso que, de fato, tais eventos representam os riscos mais evidentes. Para os auditores, a luz do poste que brilha sobre os riscos altamente visíveis é o foco de seu trabalho. Agentes de destruição silenciosos, mas corrosivos, podem ter sido esquecidos porque são acrescivos e expressam-se apenas ao longo do tempo. A figura 1 ilustra a relação geral entre as categorias de risco e os seus prazos aplicáveis. Os riscos estratégicos, que podem ou não serem maiores em magnitude do que os riscos táticos que são menos visíveis. Peter Weill e Jeanne Ross em seu livro de TI Savvy, apontam o efeito da curva normal, fora do padrão, quando sistemas não integrados se proliferaram:

clip_image002

Muitos profissionais de TI são hábeis em fazer sistemas díspares parecerem integrados, mas o código necessário para conectar as aplicações se torna cada vez mais complexo. Com o tempo, estes sistemas têm links para muitos outros sistemas de tal forma que, mesmo as pequenas mudanças são demoradas, caras e arriscadas.

A mesma falta de padronização mencionada anteriormente também pode ser vista sob a perspectiva de plataforma. Se uma organização compromete seu escasso capital para o desenvolvimento de capacidades específicas de TI, ela precisa ter certeza de que a base tecnológica ou de uma plataforma é estável e está bem definida. Do mesmo modo que os construtores de uma casa precisam trabalhar com métricas de forma consistente – metros ou pés – desenvolvedores também necessitam a garantia de que as tecnologias necessárias estarão disponíveis e devidamente controladas para que eles possam contar com um conjunto mínimo de recursos. Por exemplo, suponha que uma empresa tem um único sistema ERP em toda a organização, e precisa instalar um pacote fiscal de vendas. Se o novo software exige uma interface de serviço web, todas as aplicações relevantes podem ser ligadas ao pacote usando a mesma interface. Em contraste, para uma organização com vários pequenos sistemas ERP, a instalação do mesmo pacote vai exigir um esforço muito maior, desde que múltiplas interfaces serão necessárias. Além disso, o risco do erro no calculo de um imposto sobre as vendas aumenta com o número de interfaces originais exigidas.

Se os auditores de TI olharem para além das três categorias de risco (disponibilidade, acesso e precisão) e passarem para o domínio da estratégia (agilidade), a próxima pergunta é: Como? As áreas de risco tradicionais, tais como recuperação de desastres e continuidade de negócios, já são consideradas dentro do escopo das revisões e planejamento de auditoria. Visar na estratégia não é comum. No entanto, esta visão é sugerida para a auditoria como uma orientação de alto retorno para a empresa. A seguir estão descritas as possíveis formas de se introduzir a categoria de risco “agilidade” na carteira tradicional de avaliação de riscos de TI.

A função do auditor quando avalia o risco de Inércia

Como os auditores podem fazer uso desses conceitos no seu dia-a-dia? São preocupações estratégicas apenas da competência da direção, ou eles têm um lugar na avaliação dos auditores de risco? No passado, talvez não, mas no século 21, a sobrevivência organizacional depende de sua agilidade. A sua importância exige que esta categoria de risco seja incluída em qualquer análise significativa de risco.

Infelizmente, não há receita de bolo nem produtos enlatados para a auditora efetuar a análise do risco de inércia. Certamente, há guias funcionais de TI, apontando para a presença ou ausência de flexibilidade de sistema, e até conjuntos adequados de ferramentas e estruturas de informação. Mas apenas isso. Os 2 itens abaixo apresentam exemplos de características das organizações com o risco agilidade baixo (desejável) e risco agilidade elevado (indesejável). Estas características são apenas algumas poucas sugestões. As organizações da vida real variam tanto que uma simples lista de verificação da "agilidade" não seria viável ou prática.

Característica de empresas com risco de TI baixo na categoria Agilidade

  • Novos produtos, processos, locais geográficos e aquisições diversas podem ser incorporados facilmente à empresa sem custos excessivos, tempo ou indisponibilidade dos serviços no resto da empresa ou em TI.
  • Sistemas podem ser escalados ou implementados em outras unidades de negocio, com baixo risco de indisponibilidade de serviços.
  • Unidades de negocio podem ser comercializadas sem a necessidade de se considerar todos os custos de desmembramento.
  • Todos os sistemas são padronizados (protocolos, plataformas banco de dados, midleware, etc), permitindo que novas aplicações possam ser facilmente integradas às plataformas existentes.
  • Ferramentas de desenvolvimento, tecnologias de banco de dados, linguagens e componentes de TI estão sempre atualizados, de forma que podem passar sem traumas por um processo de outsourcing.
  • A empresa faz uso de SaaS (Software as a Service) para externar aplicações. Por exemplo, se empresa simplesmente necessita pagar seus funcionários, faz uso de um sistema de folha de pagamentos hospedado num provedor externo, pagando pelo serviço quando necessário, sem a necessidade de manter recursos especificamente para este fim.
  • Arquitetura que prioriza a reutilização de software, algoritmos e processos permite a criação rápida de sistemas que atendam as necessidades de negocio. SOA (Service-oriented architerure) se encaixa perfeitamente neste modelo. Até mesmo uma implementação parcial do SOA já acelera a entrega e o compartilhamento de componentes de processamento.
  • O modelo de negocio é usado como base para sistemas de TI uniformes. No caso de um banco, por exemplo, existem processos padronizados para a abertura de contas, analise de credito, gerenciamento de relação entre produtos etc. O modelo é traduzido para sistemas específicos de TI que se tornam uniformes através de toda a empresa.
  • Toda a infraestrutura é padronizada, documentada e arquitetada de forma a suportar as aplicações de negócio.
  • Os dados não estruturados (vitais para desenvolvimentos rápidos) estão disponíveis em locais seguros dentro da arquitetura de TI. Por exemplo, não são deixados isolados dentro de discos rígidos individuais, sem controles de acesso.
  • Sistemas de TI tem a capacidade de atender aos imprevistos do cliente em função da demanda do negocio, em vez de meramente atender seus pedidos planejados. Existe uma fabrica de software conectada aos sistemas de TI, flexível o suficiente para atender rapidamente as necessidades do cliente.
  • O kit de ferramentas de TI na área de desenvolvimento pode atender requisitos de virtualização, computação nas nuvens, fluxo de informação e outras transações demandadas por negócio.

Característica de empresas com risco de TI alto na categoria Agilidade

  • Sistemas não são escaláveis e não comportam crescimentos. O sistema de reclamação do processo de garantia foi escrito em Microsoft Access, para processar 50 reclamações por semana e agora tem de suportar 100 reclamações por dia, porque o negocio prosperou ou porque o produto ou serviço comercializado apresenta defeito de fabricação.
  • As conexões entre as filiais e a matriz estão mal projetadas e não são padronizadas. Separar os sistemas das filiais e da matriz pode ter custos inviáveis influindo até nos processos de negócio decisórios.
  • Sistemas desenvolvidos sem considerar o modelo de negocio da empresa. Provavelmente uma aquisição de software, hardware, plataforma, banco de dados etc é uma roleta russa em termos de custos e riscos para o negócio.
  • O software de um fornecedor é modificado descentralizadamente por cada uma das unidades de negocio dentro da empresa. Como resultado prolifera códigos customizados mais do que o necessário, aumentando o tempo, custos e o risco quando for necessário realizar uma mudança corporativa ou da introdução de uma nova versão do código executável.
  • Os sistemas de ERP estão varias versões desatualizadas, impossibilitando a instalação de add-ins novos, aumentando sobremaneira os custos e tempo de desenvolvimento.
  • Existe uma visão pobre sobre o inventário, ordens de compra e de venda, etc através da empresa por conta do processamento pesado que tem de ser executado para padronizar os dados que existem em formatos dispares.
  • O aplicativo de workflow foi desenvolvido “hard coded”. É impossível adicionar novos processos se ter de reescrever o aplicativo e testa-lo extensivamente.

Os auditores executam tipicamente avaliações formais de risco para ajudar a manter os planos anuais de auditoria. A fraqueza de muitas das avaliações de risco é a sua dependência de um modelo simplificado ou uma perspectiva estreita. Para exemplo, é improvável que uma análise de risco de 2000 ameaças à lucratividade da Enciclopédia Britannica teria considerado o impacto negativo das vendas sobre os artigos gerados por usuários encontrados na Wikipédia. A chave para a contenção do risco não é a capacidade de prever riscos específicos, mas a agilidade para responder a eventos imprevistos, desastres físicos, mudanças tecnológicas ou simplesmente as inconstantes mudanças no gosto dos consumidores.

Para equipes de auditoria tentando incluir preocupações mais estratégicas na sua avaliação de riscos, incluindo o risco da falta de agilidade num processo, pode ser começar com projetos específicos. Ao invés de abordar toda a empresa sobre o risco da falta de agilidade, tudo de uma vez, que tal começar analisando o grau de "agilidade" para um novo sistema em desenvolvimento? Pode ser um ponto de entrada mais fácil. Por exemplo, se um pacote fora do padrão é proposto como solução, o auditor pode fazer perguntas tais como:

Como os dados serão integrados com o resto da organização?

Que rotinas de interface terão de ser escritas?

Este pacote pode ser facilmente modificado de acordo com as mudanças do modelo de negócio?

A segurança deste pacote pode ser integrada ao sistema de segurança existente(s), ou necessitará um diretório separado de segurança para ser mantido?

Por exemplo, pode se fazer uso do pacote Windows Active Directory, ou é necessário um em separado, ou o diretório do usuário deve ser mantido duplicado?

Conclusão

Na vida das organizações de grande porte, muitos fatores importantes não podem ser quantificados ou podem ser quantificados apenas por um simples termo "sim / não" ou "grande / médio / pequeno". Isso não significa que tais fatores não são importantes. Por exemplo, a moral, o entusiasmo com o trabalho e o grau de flexibilidade do trabalho afeta fortemente o desempenho da empresa, mas são difíceis de medir. A agilidade cai no mesmo campo. É uma categoria de risco que pode parecer confusa, mas é importante considerar nos dias de hoje. Os auditores devem pensar em incluir a categoria de risco “Agilidade” no seu kit de ferramentas de avaliação.

O ritmo das mudanças nos negócios e na sociedade exige que as organizações mantenham sistemas de TI que sejam ágeis. É fundamental para a capacidade de mudar rapidamente produtos e serviços, alienação e aquisição de subsidiárias, sem esforço excessivo, somado aos sistemas de escala para cima e para baixo, e a ligação de novos elementos de computação social. O auditor deve incluir uma avaliação da agilidade como parte de uma revisão estratégica de riscos de TI.

Só os paranoicos e os ágeis sobrevivem.

Anúncios