[Identificação] Visão Geral

Este é o primeiro domínio do manual do CRISC, com a seguinte definição formal:

"Identificar o universo de risco de TI para contribuir com a execução de estratégias de gerenciamento de riscos de TI em suporte aos objetivos de negócio e alinhadas com a estratégia de gerenciamento de riscos empresarial (ERM - Enterprise Risk Management)".

As habilidades esperadas do analista de risco neste domínio são:

1. Identificar padrões frameworks e práticas relevantes.
2. Aplicar técnicas de identificação de riscos de TI.
3. Distinguir entre ameaças e vulnerabilidades.
4. Identificar stakeholders relevantes.
5. Discutir sobre ferramentas e técnicas de desenvolvimento de cenários de risco.
6. Explicar o significado de conceitos chave de gerenciamento de riscos.
7. Descrever os elementos chave de um registro de riscos.
8. Contribuir para a criação de um programa de conscientização de riscos.

Este domínio é delimitado por sete tarefas que precisam ser executadas pelo analista de riscos. São elas:

1. Coletar e revisar informações, incluindo documentação existente sobre os negócios internos e externos da organização e seu ambiente de TI, para identificar potenciais impactos de riscos de TI para os objetivos de negócio e operações da organização.
2. Identificar ameaças potenciais e vulnerabilidades para as pessoas, processos e tecnologia da organização para habilitar a análise de riscos de TI.
3. Desenvolver um conjunto abrangente de cenários de risco baseados nas informações disponíveis, para determinar o potencial impacto nos objetivos de negócio e operações.
4. Identificar stakeholders chave para cenários de risco de TI, para ajudar a estabelecer accountability.
5. Estabelecer um registro de riscos de TI para ajudar a garantir que os cenários de risco de TI identificados estão considerados no perfil de risco da organização.
6. Identificar apetite e tolerância de risco definido pela liderança sênior e stakeholders chave, para garantir o alinhamento com os objetivos de negócio. 
7. Colaborar com o desenvolvimento de um programa de conscientização de riscos e conduzir treinamentos para garantir que os stakeholders entendem os riscos e promover uma cultura de consciência de riscos.

A identificação de riscos é o processo para descobrir, reconhecer e documentar os riscos que confrontam a organização. É o primeiro de quatro processos que operam no ciclo de vida de gerenciamento de riscos. Como é possível perceber na imagem, a identificação inicia-se (é provocada) pelas saídas do processo de monitoramento e reporting, que é a última etapa do ciclo de vida, que deve alertar o analista de riscos das mudanças no ambiente.

A identificação de riscos é importante porque apenas o risco que é identificado pode ser analisado, avaliado e submetido às respostas apropriadas. Quando a organização falha ao identificar riscos, estes não são considerados no processo de planejamento estratégico usado pela gerência sênior para promover criação de valor.

O analista de risco deve trabalhar junto com os donos de processos de negócio para entender, e garantir que eles entendam, a forma de atuação da organização, de maneira ampla suficiente, para incluir não apenas o que se enxerga dos processos internos, mas também as dependências esternas e compromissos assumidos, assim como a disponibilidade dos contratos de trabalho ou  entrega de materiais em uma base just-in-time.

No próximo post falaremos de capacidade, apetite e tolerância a/de riscos.