O Fator de Desenho 3 trata do perfil de risco da organização. A planilha disponibilizada pela ISACA em (https://www.isaca.org/bookstore/bookstore-cobit_19-digital/wcb19dgd.) demanda do gestor a definição da probabilidade e do impacto de 24 categorias de risco de TI. Entretanto, isso não é trivial, porque cada categoria envolve uma coleção de riscos relacionados, cada um destes com sua própria probabilidade e impacto (veja em Cenários de risco – Usando o COBIT 5 para Risco, ISACA, 2018).
No meu entendimento, a maneira correta de fazer isso é, primeiro, identificar todos os riscos de uma determinada categoria, depois, fazer uma análise qualitativa seguida de uma análise quantitativa de cada um deles e, no final, combiná-los fazendo uso do método Monte Carlo.
Entretanto, pelo que tenho visto dessa planilha do COBIT 2019, suspeito que o objetivo aqui é fazer uma avaliação simples e rápida da categoria como um todo, sem preocupações de acurácia. No meu entender, essa não é a melhor abordagem.
Vida que segue…
Dr. João Souza Neto
Professor do IBGP no Curso “Governança e Gestão de Riscos de TI – Uma Abordagem Integrada COSO e COBIT”.
Saiba mais em:
