Risk IT

Risco não é um conceito novo. A Teoria Moderna das Carteiras (base do que conhecemos como riscos corporativos) originou-se do trabalho pioneiro de Markowitz por volta de 1950 e ainda é muito estudada em Finanças Corporativas e MBA’s pelo mundo afora. Esta teoria está baseada nos conceitos de retorno e risco. Risco assumiu sua justa posição de destaque somente mais recentemente, seguindo-se a escândalos internacionais, como aqueles envolvendo nomes como Barings Bank (1997), Enron (2001) e mais recentemente com o Lehman Brothers e AIG.
Os três conceitos fundamentais para qualquer investidor são retorno, incerteza e risco. Retorno pode ser entendido como a apreciação de capital ao final do horizonte de investimento. Infelizmente, existem incertezas associadas ao retorno que efetivamente será obtido ao final do período de investimento. Qualquer medida numérica desta incerteza pode ser chamada de risco. Retorno e risco estão presentes em qualquer operação no mercado financeiro e também em tecnologia da informação. Existe um ditado antigo: “no risk, no fun”. Se o retorno é alto, geralmente o risco acompanha. Enquanto a definição de retorno é intuitiva, o mesmo não se pode dizer sobre risco. Isto porque o risco é um conceito “multidimensional” que cobre quatro grandes grupos:
Risco Operacional
Risco de Mercado
Risco de Crédito
Risco Legal
Vários frameworks foram desenvolvidos para riscos corporativos, sendo os mais conhecidos o VAR – Value at Risk e o COSO Enterprise Risk Management, assim como softwares para gerenciar estes riscos. Alguns sistemas mais conhecidos e que tive contato são o Risk Metrics e Corporate Metrics do JP Morgan, utilizados pela maior parte das instituições financeiras mundiais e por empresas como a Braskem e também o Risk Navigator, utilizado no Brasil pela Vale do Rio Doce. No que se refere a riscos operacionais e, sendo mais preciso, aos riscos de tecnologia da informação, existem alguns frameworks conhecidos como o NIST Risk