Skip navigation

Tag Archives: avaliação

As ferramentas de avaliação de riscos e de controles são consideradas como as básicas neste assunto. Todo mundo que eu conheço, mais luta com elas do que as usa. Num congresso que participei, perguntei a alguns colegas consultores o que eles pensavam a respeito, e até mesmo o nome ou designação do que é a ferramenta foi motivo de discordia: Auto avaliação de riscos e controles, auto avaliação de controles de riscos, auto avaliação de controles… E estas avaliações podem rapidamente se tornar inúteis se alguns pré-requisitos fundamentais não forem cumpridos:

Será que “Conhecemos o negócio” do cliente na qual vamos realizar uma avaliação de riscos? muitas avaliações estão focados apenas naqueles riscos declaradamente conhecidos, bem como seus controles e suas fraquezas (“É o que eu chamo de pescar num aquário”). Estas avaliações deixam passar pontos fracos que estão menos evidentes nos processos , mas que são conectores com o(s) processo(s) seguinte(s).

Como soa para você uma avaliação de riscos que produzirá os controles a serem concebidos e implementados na empresa? estas avaliações, para serem devidamente concluídas, dependem de etapas anteriores à avaliação dos riscos e suas respectivas respostas, incluindo considerar o ambiente da empresa, de avaliação da capacidade (plano de capacidade de ti), análise de cenários, análise de causa raiz, análise de causa e efeito, portfolio de projetos, controles internos de processos e da implementação destes controles. Se as premissas não forem consideradas de forma acertada, é provável que os controles serão erroneamente concebidos, implementados e o pior: Avaliados! e que os resultados terão pouco valor para suportar os objetivos do negocio.

Será que o ciclo do processo de avaliação acompanha a evolução do mundo real em que a empresa realiza seus negocios? se a mudança nos riscos (ambiente, processo, e/ou controles) é mais frequente do que o ciclo do processo de avaliação, a avaliação vai expressar o risco real. Por exemplo, se o seu ambiente de ti muda a cada poucos meses por conta de inclusão de uma nova tecnologia, fusão ou aquisição de uma empresa, criação de um novo negocio e outras situações de mercado ou de ti, os ciclos de teste de continuidade de negócios devem no mínimo corresponder ao ciclo do processo de avaliação de riscos – ou você será responsável por exibir uma falsa sensação de confiança.

E então? é para fazer as avaliações de controle com o foco em controles ou no conjunto de políticas, procedimentos e regras? classificar as politicas em escalas de conformidade ou até de sustentabilidade é um longo caminho no processo de análise das políticas. Um controle pode detectar um “Ponto fora da curva” mais facilmente, oferecendo melhores condições de atuação e decisão sobre esta informação.

Também ouvi durante o papo que fazer as avaliações é desviar a atenção do trato diário na gestão de riscos. Eu digo que tanto o tempo de latência como da ênfase no controle (ao invés de recursos do ambiente ou de negócios) tem a tendência de fazer com que as empresas encarem a gestão de risco apenas como uma função de garantia “Curativa”, ao invés de uma função de gestão de avaliação de riscos, que previna e corrija as causas dos riscos.

Conlcuindo, mesmo porque o coffee break acabou, é facil cair nas armadilhas apontadas aqui. Concordo que as avaliações de risco ou de controle desviam recursos de atividades mais úteis no gerenciamento de risco e criam uma falsa sensação de segurança. Estas armadilhas têm resultado em prejuízos para as empresas. Considere também, por exemplo, as violações de dados, fraudes, falhas de rede, softwares maliciosos e outros problemas que ocorreram quando os controles foram, apenas no papel, aceitáveis. Naturalmente, as avaliações e os testes devem ser aplicados com rigor adequado para produzir uma atuação significativa.

Quer saber? a boa notícia é que esses problemas ainda são relativamente fáceis de corrigir.

Até,

Andre Pitkowski