Gestão de Riscos na IN 1/2019 – Parte I

No Art. 38 da Seção IV da IN 1, são descritos os procedimentos a serem seguidos na gestão de riscos de contratações de TIC. Logo no § 1º desse artigo demanda-se a criação de um tal Mapa de Gerenciamento de Riscos, que deverá conter, no mínimo, identificação e análise dos principais riscos, avaliação e seleção de respostas, e registro e acompanhamento do tratamento. Ora, na literatura, isso tem nome e chama-se Registro de Riscos (RR). No entanto, essa inovação não ofende. No inciso I, há uma recomendação muito preocupante. Aqui demanda-se a identificação e análise, apenas, dos principais riscos. Isso …

O COBIT 2019 e as Categorias de Riscos de TI

O Fator de Desenho 3 trata do perfil de risco da organização. A planilha disponibilizada pela ISACA em (https://www.isaca.org/bookstore/bookstore-cobit_19-digital/wcb19dgd.) demanda do gestor a definição da probabilidade e do impacto de 24 categorias de risco de TI. Entretanto, isso não é trivial, porque cada categoria envolve uma coleção de riscos relacionados, cada um destes com sua própria probabilidade e impacto (veja em Cenários de risco – Usando o COBIT 5 para Risco, ISACA, 2018). No meu entendimento, a maneira correta de fazer isso é, primeiro, identificar todos os riscos de uma determinada categoria, depois, fazer uma análise qualitativa seguida de uma …

Framework de Governança do Risco do IRGC

O IRGC (International Risk Governance Council) desenvolveu um framework abrangente, genérico e adaptável para a governança de risco. O framework do IRGC provê orientações para identificação e tratamento de riscos, abordando, também, recomendações sobre como estruturar, categorizar, avaliar, gerenciar e comunicar importantes questões de risco, muitas vezes marcadas por complexidades, incertezas e ambiguidades. O framework compreende quatro elementos interligados e três aspectos transversais: Pré-avaliação -identificação e estruturação. Avaliação – avaliar as causas e consequências técnicas e percebidas do risco. Caracterização e priorização – fazer um julgamento sobre o risco e a necessidade de gerenciá-lo. Gestão – implementar opções de gerenciamento …