Versão em Português COBIT 4.1 Tradução pelo ISACA - Trainning
Versão em Português COBIT 4.1 Tradução pelo ISACA - Trainning Versão em Português COBIT 4.1 Tradução pelo ISACA - Trainning
Planejar e Organizar Avaliar e Gerenciar os Riscos de TI PO9 Diretrizes de Gerenciamento PO9 Avaliar e Gerenciar os Riscos de TI Origem PO1 PO10 DS2 DS4 DS5 ME1 ME4 Entrada Planejamentos estratégico e tático de TI; Portfólio de serviços de TI; Plano de gerenciamento de risco de projetos; Riscos de fornecedores; Resultados dos testes de contingência; Vulnerabilidades e ameaças de segurança; Histórico de eventos e tendências de riscos; Grau aceitável corporativo de riscos de TI Saída Destino Avaliação crítica de riscos; PO1 DS4 DS5 DS12 ME4 Relatório de riscos; ME4 Diretrizes para a gestão de riscos de TI; PO6 Planos de ação para remediação de riscos de TI PO4 AI6 Tabela Raci Atividades CEO CFO Executivo de Negócio CIO Proprietário do Processo de Negócio Responsável por Operações Responsável por Arquitetura Responsável por Desenvolvimento Res ponsável pela Adm inistração de TI PMO Funções Promover o alinhamento da gestão de riscos (por exemplo: avaliação de riscos); A R/A C C R/A I I Entender os objetivos estratégicos de negócio relevantes; C C R/A C C I Entender os objetivos de processos de negócio relevantes; C C R/A I Identificar objetivos internos de TI e estabelecer contexto de risco; R/A C C C I Identificar eventos associados com objetivos [alguns eventos são orientados Uma tabela RACI identifica quem é responsável (R), responsabilizado (A), consultado (C) e/ou informado I A/C A R R R R C ao negócio (negócio é A); alguns são orientados a TI (TI é A, negócio é C)]; Avaliar criticamente os riscos associados com eventos; A/C A R R R R C Avaliar respostas aos eventos; I I A A/C A R R R R C Planejar e priorizar as atividades de controle; C C A A R R C C C C Aprovar e assegurar o financiamento de planos de ações para riscos; A A R I I I I I Manter e monitorar os planos de ações para riscos A C I R R C C C C C R Con formidade, auditoria, risco e segurança Objetivos e Métricas Objetivos de TI Objetivos de Processos Objetivos das Atividades Objetivos · Garantia de que os objetivos de TI sejam atendidos; · Esclarecimento dos impactos ao negócio devido a riscos relacionados a objetivos e recursos de TI; · Cuidar e proteger todos os ativos de TI. define · Determinação e redução da probabilidade de ocorrência e impacto de riscos de TI; · Determinação de planos de ação com custos eficientes para riscos críticos de TI. define · Garantia de que o gerenciamento de risco está completamente integrado aos processos gerenciais; · Realização frequente de avaliações de risco com Alta Direção e pessoal chave; · Recomendação e comunicação de planos de ação de remediação dos riscos. medido por direciona medido por direciona medido por Métricas · Percentual de objetivos críticos de TI cobertos por avaliações de risco; · Percentual de avaliações críticas de TI integradas a abordagem de gestão de riscos de TI. · Percentual de riscos críticos de TI identificados que tenham sido avaliados criticamente; · Quantidade de novos riscos críticos de TI identificados (comparado com o exercício anterior); · Quantidade de incidentes significativos causados por riscos não identificados no processo de gestão de riscos; · Percentual de riscos críticos de TI identificados que tenham planos de ação desenvolvidos. · Percentual do orçamento de TI gasto nas atividades de gestão de riscos (avaliação crítica e mitigação); · Frequência de revisão dos processos de gestão de riscos de TI; · Percentual de avaliações de riscos críticas aprovadas; · Quantidade de relatórios de monitoração de riscos em um determinado período; · Percentual de eventos de TI identificados que são utilizados nas avaliações de risco críticas; · Percentual dos planos de ação de gestão de risco aprovados para implementação. © 2007 IT Governance Institute. Todos os direitos reservados. www.itgi.org 67
PO9 Planejar e Organizar Avaliar e Gerenciar os Riscos de TI Modelo de Maturidade PO9 Avaliar e Gerenciar os Riscos de TI O gerenciamento do processo de “Avaliar e Gerenciar os Riscos de TI” que satisfaça ao requisito do negócio para a TI de “analisar e comunicar os riscos de TI e seus potenciais impactos nos processos e objetivos de negócio” é: 0 Inexistente quando Não acontece avaliação de risco para processos e decisões de negócio. A organização não considera os impactos no negócio associados a vulnerabilidades da segurança e incertezas de projetos de desenvolvimento. Gerenciar riscos não é considerado relevante para adquirir soluções ou entregar serviços de TI. 1 Inicial/ Ad hoc quando Os riscos de TI são considerados de forma ad hoc. Avaliações informais de risco de projeto são realizadas quando solicitadas em cada projeto. Avaliações de risco são às vezes identificadas em um plano de projeto, mas raramente atribuídas aos gerentes correspondentes. Riscos específicos relacionados a TI, como segurança, disponibilidade e integridade, são ocasionalmente considerados nos projetos. Os riscos de TI que afetam o dia-a-dia da operação são raramente discutidos em reuniões gerenciais. Mesmo onde os riscos são levantados, as ações para mitigá-los são inconsistentes. Está surgindo um entendimento de que os riscos de TI são importantes e devem ser considerados. 2 Repetível, porém Intuitivo quando Existe uma abordagem imatura e inicial de avaliação de risco utilizada a critério de alguns gerentes de projeto. A gestão de risco é superficial e geralmente aplicada somente a grandes projetos ou em resposta a problemas. O processo de mitigação de risco está começando a ser implementado onde são identificados riscos. 3 Processo Definido quando Uma política corporativa de gestão de risco define onde e como conduzir as avaliações de risco. A gestão de risco segue um processo definido e documentado. Há treinamento em gestão de risco disponível para todo o pessoal. Decisões de seguir o processo de gestão de risco e receber treinamento são deixadas a critério de cada indivíduo. A metodologia de avaliação de risco é convincente, robusta e assegura a identificação dos riscos–chave para o negócio. Um processo para mitigar os riscos-chave é implementado após a identificação dos riscos. As responsabilidades pela gestão de riscos estão definidas nas descrições de cargo. 4 Gerenciado e Mensurável quando A avaliação e a gestão de risco são procedimentos padronizados. As exceções do processo de gestão de risco são relatadas à Diretoria de TI. A gestão de risco de TI é uma responsabilidade da Alta Direção. O risco é avaliado e mitigado no nível de projeto e também regularmente no nível de operação de TI. O comitê executivo é avisado das mudanças no ambiente de negócios e de TI que podem afetar consideravelmente os cenários de riscos relacionados a TI. A Diretoria é capaz de monitorar a posição do risco e tomar decisões fundamentadas no nível de exposição aceitável. Todos os riscos identificados têm um responsável definido, e o comitê executivo e a Diretoria de TI estabeleceram os níveis de risco que a organização irá tolerar. A área de TI desenvolveu indicadores padrão para avaliar riscos e definir taxas de riscos/retornos. A área de TI aloca recursos para um projeto de gestão de risco operacional a fim de reavaliar periodicamente os riscos. Um banco de dados de gestão de risco é estabelecido, e uma parte dos processos de gerenciamento de risco está começando a ser automatizada. A área de TI estuda estratégias de mitigação de riscos. 5 Otimizado quando O gerenciamento de risco atingiu um estágio de desenvolvimento em que há um processo organizacional estruturado em vigor e bem gerenciado. Boas práticas são aplicadas em toda a organização. A captura, a análise e o relato de dados de gestão de risco estão altamente automatizados. É recebida orientação de lideranças da área, e a organização de TI participa de grupos de discussão para troca de experiências. A gestão de risco está totalmente integrada às operações de negócio e de TI, é bem aceita e envolve extensivamente os usuários dos serviços de TI. A Direção de TI detecta e age quando grandes decisões operacionais e de investimentos de TI são tomadas sem considerar o plano de gestão de risco. A Direção de TI avalia continuamente as estratégias de mitigação de risco. 68 © 2007 IT Governance Institute. Todos os direitos reservados. www.itgi.org
- Page 22 and 23: CobiT4.1 Figura 10 - Fronteiras de
- Page 24 and 25: CobiT4.1 Figura 11 - Possível Nív
- Page 26 and 27: CobiT4.1 Um ponto de referência es
- Page 28 and 29: CobiT4.1 Os objetivos são definido
- Page 30 and 31: CobiT4.1 Figura 20 - Apresentação
- Page 32 and 33: CobiT4.1 Figura 23 - Visão Geral d
- Page 34 and 35: CobiT4.1 Outro modo de visualizar a
- Page 36 and 37: Planejar e Organizar Definir um Pla
- Page 38 and 39: Planejar e Organizar Definir um Pla
- Page 40 and 41: Planejar e Organizar Definir a Arqu
- Page 42 and 43: Planejar e Organizar Definir a Arqu
- Page 44 and 45: Planejar e Organizar Determinar as
- Page 46 and 47: Planejar e Organizar Determinar as
- Page 48 and 49: Planejar e Organizar Definir os Pro
- Page 50 and 51: Planejar e Organizar Definir os Pro
- Page 52 and 53: Planejar e Organizar Definir os Pro
- Page 54 and 55: Planejar e Organizar Gerenciar o In
- Page 56 and 57: Planejar e Organizar Gerenciar o In
- Page 58 and 59: Planejar e Organizar Comunicar Meta
- Page 60 and 61: Planejar e Organizar Comunicar Meta
- Page 62 and 63: Planejar e Organizar Gerenciar os R
- Page 64 and 65: Planejar e Organizar Gerenciar os R
- Page 66 and 67: Planejar e Organizar Gerenciar a Qu
- Page 68 and 69: Planejar e Organizar Gerenciar a Qu
- Page 70 and 71: Planejar e Organizar Avaliar e Gere
- Page 74 and 75: Planejar e Organizar Gerenciar Proj
- Page 76 and 77: Planejar e Organizar Gerenciar Proj
- Page 78 and 79: Planejar e Organizar Gerenciar Proj
- Page 80 and 81: Adquirir e Implementar AI 1 AI2 AI3
- Page 82 and 83: AI1 Adquirir e Implementar Identifi
- Page 84 and 85: AI1 Adquirir e Implementar Identifi
- Page 86 and 87: AI2 Adquirir e Implementar Adquirir
- Page 88 and 89: AI2 Adquirir e Implementar Adquirir
- Page 90 and 91: AI3 Adquirir e Implementar Adquirir
- Page 92 and 93: AI3 Adquirir e Implementar Adquirir
- Page 94 and 95: AI4 Adquirir e Implementar Habilita
- Page 96 and 97: AI4 Adquirir e Implementar Habilita
- Page 98 and 99: AI5 Adquirir e Implementar Adquirir
- Page 100 and 101: AI5 Adquirir e Implementar Adquirir
- Page 102 and 103: AI6 Adquirir e Implementar Gerencia
- Page 104 and 105: AI6 Adquirir e Implementar Gerencia
- Page 106 and 107: AI7 Adquirir e Implementar Instalar
- Page 108 and 109: AI7 Adquirir e Implementar Instalar
- Page 110 and 111: Entregar e Suportar Definir e Geren
- Page 112 and 113: Entregar e Suportar Definir e Geren
- Page 114 and 115: Entregar e Suportar Gerenciar Servi
- Page 116 and 117: Entregar e Suportar Gerenciar Servi
- Page 118 and 119: Entregar e Suportar Gerenciar o Des
- Page 120 and 121: Entregar e Suportar Gerenciar o Des
Planejar e Organizar<br />
Avaliar e Gerenciar os Riscos de TI<br />
PO9<br />
Diretrizes de Gerenciamento<br />
PO9 Avaliar e Gerenciar os Riscos de TI<br />
Orig<strong>em</strong><br />
PO1<br />
PO10<br />
DS2<br />
DS4<br />
DS5<br />
ME1<br />
ME4<br />
Entrada<br />
Planejamentos estratégico e tático de TI;<br />
Portfólio de serviços de TI;<br />
Plano de gerenciamento de risco de projetos;<br />
Riscos de fornecedores;<br />
Resultados dos testes de contingência;<br />
Vulnerabilidades e ameaças de segurança;<br />
Histórico de eventos e tendências de riscos;<br />
Grau aceitável corporativo de riscos de TI<br />
Saída<br />
Destino<br />
Avaliação crítica de riscos; PO1 DS4 DS5 DS12 ME4<br />
Relatório de riscos;<br />
ME4<br />
Diretrizes para a gestão de riscos de TI;<br />
PO6<br />
Planos de ação para r<strong>em</strong>ediação de riscos de TI PO4 AI6<br />
Tabela Raci<br />
Atividades<br />
CEO<br />
CFO<br />
Executivo de Negócio<br />
CIO<br />
Proprietário do Processo de Negócio<br />
Responsável por Operações<br />
Responsável por Arquitetura<br />
Responsável por Desenvolvimento<br />
Res ponsável pela Adm inistração de TI<br />
PMO<br />
Funções<br />
Promover o alinhamento da gestão de riscos (por ex<strong>em</strong>plo: avaliação de riscos); A R/A C C R/A I I<br />
Entender os objetivos estratégicos de negócio relevantes; C C R/A C C I<br />
Entender os objetivos de processos de negócio relevantes; C C R/A I<br />
Identificar objetivos internos de TI e estabelecer contexto de risco; R/A C C C I<br />
Identificar eventos associados com objetivos [alguns eventos são orientados<br />
Uma tabela RACI identifica qu<strong>em</strong> é responsável (R), responsabilizado (A), consultado (C) e/ou informado<br />
I A/C A R R R R C<br />
ao negócio (negócio é A); alguns são orientados a TI (TI é A, negócio é C)];<br />
Avaliar criticamente os riscos associados com eventos; A/C A R R R R C<br />
Avaliar respostas aos eventos; I I A A/C A R R R R C<br />
Planejar e priorizar as atividades de controle; C C A A R R C C C C<br />
Aprovar e assegurar o financiamento de planos de ações para riscos; A A R I I I I I<br />
Manter e monitorar os planos de ações para riscos A C I R R C C C C C R<br />
Con formidade, auditoria, risco e segurança<br />
Objetivos e Métricas<br />
Objetivos de TI Objetivos de Processos Objetivos das Atividades<br />
Objetivos<br />
· Garantia de que os objetivos de TI sejam atendidos;<br />
· Esclarecimento dos impactos ao negócio devido a<br />
riscos relacionados a objetivos e recursos de TI;<br />
· Cuidar e proteger todos os ativos de TI.<br />
define<br />
· Determinação e redução da probabilidade de<br />
ocorrência e impacto de riscos de TI;<br />
· Determinação de planos de ação com custos<br />
eficientes para riscos críticos de TI.<br />
define<br />
· Garantia de que o gerenciamento de risco<br />
está completamente integrado aos processos<br />
gerenciais;<br />
· Realização frequente de avaliações de risco com<br />
Alta Direção e pessoal chave;<br />
· Recomendação e comunicação de planos de<br />
ação de r<strong>em</strong>ediação dos riscos.<br />
medido por<br />
direciona<br />
medido por<br />
direciona<br />
medido por<br />
Métricas<br />
· Percentual de objetivos críticos de TI cobertos por<br />
avaliações de risco;<br />
· Percentual de avaliações críticas de TI integradas a<br />
abordag<strong>em</strong> de gestão de riscos de TI.<br />
· Percentual de riscos críticos de TI identificados<br />
que tenham sido avaliados criticamente;<br />
· Quantidade de novos riscos críticos de TI identificados<br />
(comparado com o exercício anterior);<br />
· Quantidade de incidentes significativos causados<br />
por riscos não identificados no processo de<br />
gestão de riscos;<br />
· Percentual de riscos críticos de TI identificados<br />
que tenham planos de ação desenvolvidos.<br />
· Percentual do orçamento de TI gasto nas atividades<br />
de gestão de riscos (avaliação crítica e mitigação);<br />
· Frequência de revisão dos processos de gestão<br />
de riscos de TI;<br />
· Percentual de avaliações de riscos críticas<br />
aprovadas;<br />
· Quantidade de relatórios de monitoração de<br />
riscos <strong>em</strong> um determinado período;<br />
· Percentual de eventos de TI identificados que<br />
são utilizados nas avaliações de risco críticas;<br />
· Percentual dos planos de ação de gestão de risco<br />
aprovados para impl<strong>em</strong>entação.<br />
© 2007 IT Governance Institute. Todos os direitos reservados. www.itgi.org 67