Gestão de Riscos na IN 1/2019 – Parte I

No Art. 38 da Seção IV da IN 1, são descritos os procedimentos a serem seguidos na gestão de riscos de contratações de TIC. Logo no § 1º desse artigo demanda-se a criação de um tal Mapa de Gerenciamento de Riscos, que deverá conter, no mínimo, identificação e análise dos principais riscos, avaliação e seleção de respostas, e registro e acompanhamento do tratamento. Ora, na literatura, isso tem nome e chama-se Registro de Riscos (RR). No entanto, essa inovação não ofende. No inciso I, há uma recomendação muito preocupante. Aqui demanda-se a identificação e análise, apenas, dos principais riscos. Isso …

O Fator de Desenho 9 do COBIT 2019

Esse Fator trata dos métodos de implementação de TI: Ágil, DevOps e Tradicional. No desenho do framework, a organização deverá definir os percentuais de cada um desses métodos. No mês passado, fiz o desenho do framework COBIT 2019 para uma empresa de Brasília e os resultados foram: Ágil – 60%, DevOps – 20% e Tradicional – 20%. Fiquei satisfeito com o resultado, pois mostrou que a empresa está atualizada em relação às técnicas mais modernas de implementação de TI. O percentual baixo de DevOps justifica-se pelo modelo operacional adotado. A propósito, na Figura 4.7 do COBIT 2019 Design Guide, aparece …

O COBIT 2019 e as Categorias de Riscos de TI

O Fator de Desenho 3 trata do perfil de risco da organização. A planilha disponibilizada pela ISACA em (https://www.isaca.org/bookstore/bookstore-cobit_19-digital/wcb19dgd.) demanda do gestor a definição da probabilidade e do impacto de 24 categorias de risco de TI. Entretanto, isso não é trivial, porque cada categoria envolve uma coleção de riscos relacionados, cada um destes com sua própria probabilidade e impacto (veja em Cenários de risco – Usando o COBIT 5 para Risco, ISACA, 2018). No meu entendimento, a maneira correta de fazer isso é, primeiro, identificar todos os riscos de uma determinada categoria, depois, fazer uma análise qualitativa seguida de uma …

A Governança de TI na Transformação Digital

Muitos alunos me falam que essa discussão sobre Governança de TI está ultrapassada e que o foco agora é na Governança Digital, na Transformação Digital. Bom, respondo a eles com uma pergunta singela: É possível fazer Transformação Digital em uma organização com uma TI sem Governança nem gestão? – É impossível! Se não tivermos uma Governança de TI sólida, nossas áreas finalísticas perceberão que seus esforços de construção de modelos de negócio digitais não darão os resultados esperados. O modelo de negócio desenvolvido pode ser muito inovador, mas estará sempre esbarrando em problemas de disponibilidade, inconsistência de dados, custos excessivos, …

A Dor Insuportável da Declaração de Apetite a Risco Inefetiva

Algumas pessoas me falam que sua organização tem uma Declaração de Apetite a Risco (DAS), mas eles não percebem sua utilidade no dia a dia. Esse sintoma tem nome, chama-se Declaração de Apetite a Risco Inefetiva, e é mais comum do que parece. Fui, há alguns meses, numa grande instituição de Previdência Privada e lá perguntei se eles tinham uma DAS. Sem disfarçar a satisfação, eles prontamente responderam que sim. Ato contínuo, perguntei de que forma a DAS era utilizada nos processos de gestão e governança da organização – silêncio total! Não conseguiram me dar nem um exemplo. Você agora …

Cenário de Risco de Contratação de TI

O COBIT 2019 para Risco traz diversos exemplos ilustrativos das 20 categorias de riscos de TI. Um dos que chamou minha atenção foi o “Terceirizado Incapaz de Prover Serviços de TI”. O caso apresentado é o de uma empresa que terceirizou os serviços de TI para um provedor de serviços e, devido à crise, os trabalhadores do terceirizado entraram em greve. O problema é sério, pois os serviços não são prestados e a empresa não consegue acessar seus dados. Vejam os componentes desse Cenário de Risco: Evento: Interrupção dos serviços de TI do terceirizado Tipo de ameaça: Como é uma …

Os Problemas que a Falta de uma Declaração de Apetite a Risco Causa

As organizações da APF, com poucas exceções, ainda não perceberam que uma parte considerável dos problemas que vivenciam se deve à falta dessa Declaração. O problema mais acentuado é a falta de uma referência de risco corporativa única. Sem a Declaração, proliferam as interpretações e as percepções dos gestores, em todos os níveis, sobre que níveis de risco são aceitáveis para a organização. Nesse cenário, aparecem decisões locais conflitantes e, aos poucos, o próprio modelo de gestão de riscos corporativo passa a correr perigo, pois a liberdade que os gestores, nos seus feudos, têm para estabelecer esses limites, acaba extrapolando …

Gestão de Riscos em Projetos segundo o PMI

Agrada-me o modelo de gestão de riscos em projetos do PMI. O modelo PIER-C, Plan-Identify-Evaluate-Responses-Control, “cobre todas as bases” e está alinhado à gestão de projetos preconizada pelo PMBoK. Como trata-se de boa prática, tudo se inicia no planejamento, cujo resultado final é o Plano de Gestão de Riscos, que estabelece a metodologia a ser seguida. Em seguida, temos um passo importante que é o da identificação de riscos. Um ponto chave aqui é a criação do Registro de Riscos, que é atualizado em todas as etapas posteriores do processo. Na parte da avaliação (Evaluate), temos uma grata surpresa, pois …

Desenho do Framework do COBIT 2019 para uma Organização do Setor Financeiro

Nesta semana, finalizei o desenho do framework COBIT 2019 para uma organização aqui de Brasília. Foi uma experiência muito rica, porque me permitiu conhecer melhor o método de desenho proposto. Naturalmente, há muitas oportunidades de melhoria. Entre elas, posso destacar a existência de conceitos com pouca clareza, que acabam gerando discussões intermináveis; o fato do método exigir a participação de uma quantidade significativa de atores (uma hora com o pessoal da TI, outra hora com os membros da alta administração); a necessidade de traduzir para o português a planilha de desenho, pois há colegas que não se sentem à vontade …

O Inter-relacionamento entre Processos COBIT 2019

Como alguns de vocês já sabem, os processos do COBIT 2019 são compostos por subprocessos, denominados práticas. Essas práticas têm entradas vindas de práticas de outros processos e saídas que são enviadas para práticas de outros processos. Essa estrutura cria um verdadeiro emaranhado de fluxos de informação entre os processos, de tal sorte que a qualidade de uma saída passa a depender não só do nível de capacidade do processo, mas também da qualidade das suas entradas. É a velha expressão “garbage in, garbage out” (GIGO), cunhada por George Fuechsel da IBM. Se as entradas de um processo não têm …