O COBIT 2019 e as Categorias de Riscos de TI

O Fator de Desenho 3 trata do perfil de risco da organização. A planilha disponibilizada pela ISACA em (www.isaca.org/COBIT/Pages/COBIT-2019-Design-Guide.aspx.) demanda do gestor a definição da probabilidade e do impacto de 24 categorias de risco de TI. Entretanto, isso não é trivial, porque cada categoria envolve uma coleção de riscos relacionados, cada um destes com sua própria probabilidade e impacto (veja em Cenários de risco – Usando o COBIT 5 para Risco, ISACA, 2018). No meu entendimento, a maneira correta de fazer isso é, primeiro, identificar todos os riscos de uma determinada categoria, depois, fazer uma análise qualitativa seguida de uma …

Cenário de Risco de Contratação de TI

O COBIT 2019 para Risco traz diversos exemplos ilustrativos das 20 categorias de riscos de TI. Um dos que chamou minha atenção foi o “Terceirizado Incapaz de Prover Serviços de TI”. O caso apresentado é o de uma empresa que terceirizou os serviços de TI para um provedor de serviços e, devido à crise, os trabalhadores do terceirizado entraram em greve. O problema é sério, pois os serviços não são prestados e a empresa não consegue acessar seus dados. Vejam os componentes desse Cenário de Risco: Evento: Interrupção dos serviços de TI do terceirizado Tipo de ameaça: Como é uma …

Os Problemas que a Falta de uma Declaração de Apetite a Risco Causa

As organizações da APF, com poucas exceções, ainda não perceberam que uma parte considerável dos problemas que vivenciam se deve à falta dessa Declaração. O problema mais acentuado é a falta de uma referência de risco corporativa única. Sem a Declaração, proliferam as interpretações e as percepções dos gestores, em todos os níveis, sobre que níveis de risco são aceitáveis para a organização. Nesse cenário, aparecem decisões locais conflitantes e, aos poucos, o próprio modelo de gestão de riscos corporativo passa a correr perigo, pois a liberdade que os gestores, nos seus feudos, têm para estabelecer esses limites, acaba extrapolando …