Incorporação do tratamento de riscos e da conformidade
nos processos
Cobre o processo de preservação do
valor, além do tradicional gerenciamento de riscos financeiros,
hoje existe a preocupação com os riscos operacionais e sistêmicos.
A integração dos diferentes modos de gerenciar riscos gera a
transparência necessária para todos os envolvidos. Deve ser um
processo contínuo, iniciado com a identificação dos riscos (impacto
nos ativos, ameaças e vulnerabilidades). Uma vez identificado, o
risco deve ser mitigado por contramedidas (controles). Mas também é
necessária atenção aos riscos residuais e sua aceitação formal,
além de gerenciar, medir e monitorar.
Segundo o COBIT "requer a
preocupação com riscos pelos funcionários mais experientes da
corporação, um entendimento claro do apetite de risco da empresa e
dos requerimentos de conformidade, transparência sobre os riscos
significantes para a organização e inserção do gerenciamento de
riscos nas atividades da companhia." Os estágios
"Adquirir e Implementar" e "Entregar e Suportar" tem foco também na
gestão de riscos, principalmente processos como Gestão de
continuidade de serviços de TI, segurança de sistemas e gestão de
serviços terceirizados. É importante o mapeamento dos riscos e ter
planos para a mitigação destes riscos. Os processos do estágio
"Planegar e Organizar" também representam um risco, visto que a
falta de alinhamento das ações de TI com o negócio pode gerar por
exemplo ações que não agreguem valor a organização.
Autores: Antônio Bucci, Agnaldo Fernandes e Sergio Ayres
Fontes e referências
gerais:
http://www.hsm.com.br/editorias/comunicacao-e-alinhamento-estrategico
http://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT4.pdf
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/governanca_ti/entendendo_governanca_ti
www.ticontrole.gov.br/portal/pls/portal/docs/1068506.PPT
