Para antes entrar efetivamente no assunto, vamos primeiramente entender o que um risco.

. Segundo a Wikipdia O termo Risco utilizado para designar o resultado objetivo da combinao entre a probabilidade de ocorrncia de um determinado evento, aleatrio, futuro e que independa da vontade humana, e o impacto resultante caso ele ocorra. tambm uma a probabilidade de ocorrncia de um determinado evento que gere prejuzo econmico. Bom, acredito que o final da explicao prejuzo econmico j nos diz tudo. Podemos dizer que as empresas assumem riscos ao colocar produtos ou servios novos no mercado. Um risco pode ser classificado como uma oportunidade e/ou uma ameaa. Uma empresa corre o risco de ganhar muito dinheiro com o novo produto/servio (oportunidade) ou corre o risco de ter um grande prejuzo (ameaa). Grande parte dos riscos fogem do controle das empresas, portanto, a nica opo ter planos para caso os riscos se tornem verdade. A importncia de se analisar os riscos cresce a cada dia. Um exemplo o que est acontecendo no momento, s bolsas brasileiras sendo afetadas pelas crises da Grcia e Irlanda. O mundo globalizado isto. Os termos risco, anlise de risco, gesto de risco vem ganhando espao dentro das organizaes. Podemos dizer que praticar Governana seja ela empresarial, seja de TI ou de outra rea, tambm atravs ferramentas, processos e estruturas organizacionais diminuir os riscos de algo inesperado e ruim acontecer. Na rea de TI, podemos encontrar referncias sobre como mitigar/controlar riscos no PMBOK, ITIL, COBIT entre outros frameworks. Temos frameworks focados em gesto de riscos como o M_O_R da OGC (http://www.morofficialsite.com/home/home.asp) que a mesma mantenedora da ITIL e o Risk IT (http://www.isaca.org/Knowledge-Center/Risk-IT-IT-RiskManagement/Pages/Risk-IT1.aspx) que foi concebida pela ISACA, mesma mantenedora do COBIT. Um dos acontecimentos mais conhecidos relacionados mitigao de riscos o Acordo de Basilia I de 1988 na cidade de Basilia na Sua. O acordo de Basilia tem o objetivo de fixar ndices, criando uma padronizao financeira mundial, tendo como objetivo diminuir o risco operacional, e conseqentemente o risco das instituies financeiras quebrarem. Um exemplo do acordo que os bancos s podem emprestar 12 vezes o valor de seu capital e reservas. Em 2004 o acordo ganhou sua segunda verso, o Basilia II,

trazendo melhorias nas regras estabelecidas. Existem uma srie de outras regras, entre elas regras que impactam diretamente a rea de TI. Alguns pontos que o Acordo Basilia II impacta em TI so: capacidade de armazenamento de dados, integridade das transaes, segurana, contingncia, planejamento da capacidade, integridade na emisso de relatrios entre outros. A Gesto de Riscos de TI precisa estar no dia-a-dia dos CIOs atravs de: processos que precisam ser implementados para mitigao de riscos, ajustes na estrutura organizacional para acomodar estes novos processos, definio de indicadores de riscos, incluir a anlise de riscos no Plano Diretor de TI ou Plano de Tecnologia da Informao, fazendo com que este assunto seja recorrente dentro da TI. A primeira norma mundial (similar a ISO) referente Gesto de Riscos a AS/NZS 34, elaborada em 1999. As etapas da gesto dos riscos so divididas em 2 fases: Identificao e avaliao. Fase 1) Identificao Estabelecimento do contexto: Relacionada ao escopo da avaliao que ser realizada. Dentro de qual cenrio o risco ser analisado. Exemplo: E se uma enchente ocorrer em Blumenau? Identificao de Riscos: identificar o que pode dar errado dentro do escopo definido. O que uma enchendo afetaria na nossa organizao para clientes e colaboradores? Anlise dos Riscos: Quais as conseqncias do risco caso ocorra. Dentro da anlise dos riscos, temos 2 sub-atividades: Anlise qualitativa dos riscos: Identificar o impacto que certo risco poder trazer para a organizao e qual a probabilidade dela ocorrer. Anlise quantitativa: Estimar em valores $$ o quanto este risco poder custar para a organizao. Fase 2) Avaliao Plano de Resposta aos Riscos: Diante de um risco pode-se tomar 4 tipos de ao. Evitar: Tomar uma ao para evitar totalmente um risco. Por exemplo, proibir o acesso a internet dentro da organizao. Isto evita que vrus sejam copiados da internet.

Transferir: Pode-se transferir o risco para um terceiro. Exemplo: passar a administrao de um servidor para um terceiro, e colocar em contrato penalidades caso o acordo estabelecido no seja cumprido. Mitigar: Tomar aes para minimizar riscos. Exemplo: Limitar o uso da internet para alguns sites confiveis somente. Aceitar: Existem alguns riscos que so to caros de serem combatidos que vale mais pena aceitar o risco e ter um plano B para caso o mesmo ocorra. Exemplo: Guardar backup fora da empresa caso algum sinistro ocorra. Isso geralmente utilizado pois o custo de se ter uma estrutura de TI de continuidade a parte no justifica (que a realidade da maioria das organizaes). Guarda-se somente um backup fora da empresa para restaurar o ambiente caso o sinistro ocorra. Monitorar e controlar os Riscos: Acompanhar o dia-a-dia, fazendo o monitoramento dos riscos atuais e identificando novos riscos. Esta etapa tambm tem o objetivo de verificar se as polticas e procedimentos quanto a gesto dos riscos esto sendo seguidas. Tambm os indicadores referentes riscos so acompanhados nesta etapa. Bem, a gesto de riscos um processo importante e contnuo, e deve fazer parte da estratgia das organizaes, j que como sabemos, os riscos de TI, no so de responsabilidade somente de TI, mas sim de toda a organizao, principalmente dos tomadores de deciso.