INTRODUÇÃO SEGURANÇA INFORMAÇÃO

Prévia do material em texto

A preocupação com os riscos nos negócios das empresas é antiga e assistemática, variando conforme a época e seu cenário econômico. Ocorreu a evolução da busca pela eliminação do risco em um negócio para a extinção do risco seguida do retorno sobre o investimento.
Os riscos em um negócio são abrangentes, mas podem ser resumidos em quatro grupos, a saber: o operacional, o mercado, o legal e o de crédito. Qualquer ação que possa vir a interferir em algum desses aspectos é um risco a ser identificado – e a ser eliminado.
No que se refere à tecnologia da informação, os serviços estão relacionados ao risco operacional e englobam inúmeros enfoques, como fraudes, obsolescência, entre outros.
Os riscos não só podem impactar uma empresa, como também podem ser menos ou mais intensos conforme o foco e tipo de organização, podendo até comprometê-la. E há riscos que senão for possível eliminar, podem ser “calculados e previstos” – e, neste caso, a organização necessita estar preparada para monitorá-los e mitigá-los.
Os riscos típicos podem ser identificados como ambientais, políticos, econômicos, tecnologia, adequação a sistemas de informação, qualidade de produtos ou serviços, infraestrutura na cadeia produtiva ou pessoas.
Outro aspecto de suma importância é a frequente avaliação da compliance – conformidade das ações da empresa com as leis, regulamentações e regulamentos internos e externos.
As análises dos controles internos por intermédio de equipes treinadas ou contratadas especificamente para esta finalidade – os auditores internos e/ou externos – são importantes para identificar as fragilidades, as fortalezas e as necessidades de melhorias nos processos.
Essas análises são realizadas pela avaliação dos controles internos, que são as regras e os procedimentos nas organizações. Sua validação é proporcional ao seu grau de confiabilidade. O uso intenso de computadores torna mais preocupante a avaliação desses controles, que devem assegurar e salvaguardar os ativos e dados da empresa.
A gestão de risco, por sua vez, deve ser uma ação administrativa permanente – na verdade, um programa – que averigue permanente e constantemente todas as variáveis possíveis relacionadas aos riscos da organização e as correlacione, monitorando o desejado versus o real, visando aos ajustes, obrigatoriamente necessários para se manter na “rota”.
A gestão de riscos é uma cultura que necessita ser desenvolvida e deve ser executada diariamente, pois as ações dessa decorrentes melhoram os controles e a gestão, inclusive da Tecnologia da Informação (TI), na medida em que ajuda a envolver a equipe de TI na busca pela identificação de problemas e nas respectivas ações preventivas.
Para tanto, é fundamental que seja desenvolvido um programa abrangente e que dê suporte a toda a organização, com suas responsabilidades e ações proativas e com melhorias contínuas e sistemáticas para a redução dos riscos.
Assim, esta Unidade irá apresentar os principais conceitos relacionados aos riscos, exposição a riscos, controles internos na organização, compliance e o programa de gestão de riscos e suas responsabilidades.
UNIDADE I – RISCOS
	RICOS TIPOS E GRUPOS
	EXPOSIÇÃO A RISCOS
	CONTROLES INTERNOS E COMPLANCE
	GESTÃO DE RISCOS
	PROGRAMA DE GESTÃO DE RISCOS RESPONSABILIDADE
RISCOS E EXPOSIÇÃO A RISCOS
TÓPICOS ABORDADOS
	CONCEITO ANTIGO
	DESDE DE 19050 ELIMINAR RISCOS ASSISTEMÁTICO
	CONCEITOS DE RISCOS DE RETORNO
INTRODUÇÃO
4 GRUPOS DE RISCOS BÁSICO
	OPERACIONAL
	MERCADO
	CRÉDITO
	LEGAL
PODE SER DETERMINADO
RUR – Desvio Padrão ̣/ Média Aritmética
(Risco por unidade de retorno esperado é a relação entre o desvio-padrão a média aritmética da amostra ou população).
RT – Risco Conjuntural + Risco Assistemático
(Risco total, soma do risco conjuntural – não diversificável – apresenta comportamento do ativo frente a eventos de natureza política, econômica e social com o risco não sistemático – diversificável e próprio de cada ativo)
NA TECNOLOGIA DA INFORMAÇÃO
Risco em Serviço = Risco Operacional
Envolve os Riscos:
	Produção
	Segurança
	Tecnologia da Informação
	Obsolescência
	Capacidade Confiabilidade
	Equipamentos
	Fraudes (Podem acontecer nos equipamentos usuários final, como também no computador pessoal)
	Qualificação
	Regulamentação
	Requisitos
	Etc
A partir das agências regulatórias, a Lei Sarbanes-Oxley e o acordo Basiléia II, as empresas se obrigaram a observar melhor seus riscos operacionais.
O QUE É O RISCO?
É a possibilidade de que um evento ocorra afete negativante a realização de um objetivo.
Qualquer evento ou ação que se ocorrer, irá impactar negativamente na empresa, caso sua vulnerabilidade ou fraqueza seja explorada.
O risco traz consigo a incerteza.
ANTECIPAR-SE AOS PROBLEMAS
	É melhor que negligenciar e depois tentar buscar possível solução que pode demorar.
	Reduzindo as ameaças e as incertezas ao máximo é mais eficiente e mais econômico.
	Sua total eficácia dependerá do quanto será (ou não) negligenciado na análise dos riscos, já que nenhum deles, por menor que seja, deve ser descartado.
IMPACTO DOS RISCOS
	São diversos os riscos que podem impactar uma organização.
	A intensidade será maior ou menor, conforme o tipo e foco da empresa.
	Podem atingir elevados valores, a ponto de comprometer um projeto ou até mesmo as operações da organização.
RISCOS TÍPICOS
	Ambientais, vinculados a situação ou desastre ambientais.
	Políticos, com postura do governo quanto aos demais países, comunismo, guerra, terrorosismo decisões incongruentes ou corruptas.
	Econômicos, como a competitividade, oscilação natural de mercado, as condições micro ou macro econômicas.
	Tecnologia e sua evolução, ao impactar em alterações nos processos, cultura da organização ou gere deficiências nas informações.
	Outros aspectos como demora na adequação dos sistemas de informação frente às novas necessidades para enfrentar a competitividade.
	Qualidade dos produtos ou serviços d empresa,sofrendo impactos em toda a cadeira produtiva, seja em retrabalhos, atrasos ou ajustes.
	Infraestrutura na cadeia produtiva com aumentos nos custos com a evolução, manutenção ou obsolescência (inclusive tecnologia da informação)
	Pessoas, desde acidentes de trabalho por negligências, erros, missões ou fraudes.
EXPOSIÇÃO A RISCOS
o risco de relacionamento surge quando há uma colaboração ineficaz. O risco de envolvimento no processo torna-se um problema quando são aplicados procedimentos operacional eficazes.
Isto provoca a redução da produtividade dos especialistas, diminui a relação custo-benefício, a rentabilidade, o nível de serviço, a qualidade, a reputação, o valor da marca e a qualidade dos ganhos.
Refere-se aos possíveis resultados decorrentes de que os riscos possam vir ocorrer.
Já a causa dos riscos é a determinação do principal fator externo ou interno à organização que pôde resultar em risco.
1.2 – CONTROLES INTERNOS E COMPLICE
CONTROLES INTERNOS
São as atividades de controle que são realizadas e que dão suporte aos processos e operações da empresa.
São aquelas criadas para garantir que as operações sejam exequíveis e podem incluir normas, leis ou regulamentos.
Referem-se as atividades que necessitam garantir que sua entrada (ou saída) seja correta segura, confiável e possibilite que cada etapa do processo esteja adequadamente ajustada à anterior.
São as regras e/ou desprendimentos que as organizações estabelecem para a exceção de suas atividades, alinhadas com sua missão e cultura organizacional, podendo assim, variar.
Os controles internos são avaliados pelos auditores internos e externos mediante os QACI – questionários de avaliação de controle interno.
Conforme sua validação, determinam seu grau de confiabilidade.
“O Controle interno compreende o plano de organização e o conjunto coordenado de métodos e medidas, adoados pela empresa, para proteger seu patrimonio, verificara exatidão e a fidedignidade de seus dados contábeis, promover a eficiência operacional e encorajar a adesão à política traçada pela administração”.Fonte William Attie
Com a dependência dos computadores, grande parte (senão todos) dos controles internos passam a ser automatizados. Devem existir garantias que esses controles internos assegurem e salvaguardem os dados.
Devem existir garantias que possibilitem, na pior das hipóteses, a recuperação das informações.
COMPLIANCE
Uma organização está “em conformidade ou compliance” quando a mesma está cumprindo o regulamentos e as normas externas e internas relativas a um assunto específico.
O conceito de conformidade e, na verdade, mais abrangente do que simplesmente se a empresa age de acordo com os instrumentos regulatórios.
Com o tempo este conceito evoluiu e hoje está bastante focado em fraudes e corrupção. Até pouco tempo não existia punição para as empresas, apenas para as pessoas evolvidas
A partir da lei 12.846:2013 não ó a empresa é punida, como também seus gestores - que agora não podem mais legar desconhecimento.
1.3 – Gestão de Riscos e Benefícios
Conceitos Relacionados com a gestão de riscos e seus benefícios para as organizações
Gerenciar riscos é uma forma de buscar o aumento da probabilidade de antecipar ou minimizar o feito de eventos que possam impactar negativamente os serviços de tecnologia da informação e buscar efeitos positivos.
A gestão de riscos, tal como os demais tipos de gestão, pode ser medida mediante as métricas, especificas para esta finalidade. Gestor do processo pode (deve) fazer a autoavaliação d processo de controle a fim de identificar conhecer suas fragilidades e as necessidades de melhorias.
Programa administrativo geral e abrangente que defina quais conceitos e práticas serão aplicados na organização visando monitorar e tratar os riscos no ambiente empresarial.
O programa deve estar alicerçado por políticas internas e ser operacionalizado por processos bem definidos para surtir os efeitos desejados.
A organização periodicamente – e conforme a materialidade nas suas transações, deve proceder à avaliação de riscos, obtendo e gerando diagnósticos.
Conforme os riscos que realmente sejam ameaçadas potenciais e fraquezas à empresa e suas operações, os investimentos nos controles internos devem ser proporcionais.
A gestão de riscos diariamente é muito mais importante do que uma risk assessment do que pode ocorrer, a elaboração de um pano de ação ou tentativas de praticar o planejado.
Matéria da revista Harvard Business Revew de outubro /2009 dá conta que professores da NYU já sugeriram que a gestão moderna de riscos envolver reduzir o impacto daquilo que não entendemos em vez de criar técnicas sofisticadas para prever o ambiente futuro baseado em analise do passado.
 Processos de Governança de Riscos 
 Comprometimento Stakeholders em Risk Management 
 
 FUNDAMENTOS DE TI 
 CONSCIENTIZAÇÃO CULTURA E RISCOS 
 Gestão Efetiva de Riscos 
 Gestão Efetiva de TI 
 RESULTADOS 
A cultura de risco não deve ser lembrada apenas nos treinamentos para se conscientizar, mas sim deve ser aplicada também para a liderança e para comunicar constantemente realização de eventos relativos riscos.
Ações melhoram os fundamentos de controle e gestão de tecnologia de informação e dos riscos, e a governança compreende um conjunto de politicas, processos, indicadores de riscos, auditorias e regras que permitam à organização, comitês ou executivos tomarem as decisões corretas.
Os comprometimento dos stakeholders exige contínuo envolvimento e provisionamento de informações relativas a clientes, fornecedores, parceiros e funcionários envolvidos na gestão de riscos.
Problema relacionado a riscos normalmente estão relacionados em fundamentos imaturos de tecnologia da informação, na falta de controles na gestão de mudanças, testes e releases, na gestão inadequada ou ineficiente de ativos, identidades e pessoas, ou na ausência de um bom e eficiente gerenciamento de riscos e ameaças.
O Gerenciamento dos riscos ajuda a envolver a equipe de tecnologia da informação na busca da identificação de problemas ou vulnerabilidades e d suas respectivas ações preventivas.
Sabe-se que risco é a possibilidade de ocorrer um evento que afete negativamente a consecução de um objetivo. Ou sejam junto com a incerteza cem o risco.
Uma gestão do risco intangível pode identificar um novo tipo de risco cuja probabilidade de ocorrer é de 100%, mas e ignorado porque há incapacidade de detecção.
Se um conhecimento deficiente é aplicado a uma situação, um risco de conhecimento se materializa.
Os riscos de relacionamento surge quando há uma colaboração ineficaz: o envolvimento no processo pode ser um problema quando são aplicados procedimentos operacionais ineficazes.
Estes riscos reduzem diretamente a produtividade dos trabalhadores do conhecimento, diminuem a relação custo-benefício, rentabilidade, serviço, qualidade, reputação, valor da marca e qualidade dos ganhos. A gestão dos riscos intangível possibilita criar valor imediato e reduzir os riscos que reduzem a produtividade a partir de sua identificação.
Um bom gerecimento de risco reduz as despesas (mão de obra ou outros recursos) e minimiza os efeitos negativos os risco.
Mas há dificuldades na alocação de recursos: é o custo de oportunidade aplicar os recursos da gestão de riscos em atividades mais lucrativas.
1-4 Programa de Gestão de Riscos e Responsabilidade
Principais Aspectos relacionados para a implantação de um programa de gestão de riscos
Numa gestão de risco ideal deve-se priorizar: riscos com maior perda (ou impacto) e maior probabilidade de ocorrer são tratados primeiro, e os riscos com menor probabilidade de ocorre m menor perda são tratados descrescentemente.
Eventos de baixa probabilidade e alto impacto, impossíveis de perver, são cada vez mais comuns, e com a internet e a globalização, o processo ficou mais complexo.
Uma pesquisa de Harvard identificou que me vez de tentar antecipar os eventos, devemos reduzir a nossa vulnerabilidade, pois os eventos passados não guardam relacionamento com os riscos futuros.
Em tecnologia da informação inclui-se um plano de ação para lidar com invasão, cyber-roubo, negação de serviço, incêndio, inundações e todos os demais eventos relacionados com segurança.
Um programa de avaliação de risco global pode ser complexo tanto quanto equilibrar os recursos utilizados para mitigação dos riscos de alta probabilidade de ocorrer, mas menor perda versus um risco com perda elevada, mas menor probabilidade de ocorrência.
Um programa de gestão de riscos pode conter algumas responsabilidades como:
	Elaborar políticas para a gestão de riscos, contendo todos os processos, a definição da missão e a definição dos objetivos dessa gestão.
	Propiciar suporte e capacitação para a implementação e a manutenção das politicas, dos processos e dos procedimentos da gestão de riscos.
	Pesquisar, analisar e identificar riscos proativamente, criando planos de ação para minimizá-los.
	Melhorar continuamente atividades e os controles internos com o cumprimento dos planos de ação.
	Acompanhar e supervisionar o cumprimento das políticas e procedimentos definidos.
	Executar as atividades de análise visando diagnosticar os riscos da organização.
	Garantir que as recomendações ou sugestões originadas das análises dos diagnósticos sejam implementadas, independente dos executores.
	Programar e executar avaliações periódicas planejadas ou não para monitorar os controles internos e sua conformidade.
	Propor, divulgar, incentivar, rever e executar a política de auto avaliação com as revisões periódicas.
O programa para a gestão de riscos pode iniciar cm um equipe interna ou externa para realizar um batalho inicial de análise de riscos em conforme porte, a estrutura e a natureza da organização e o grau de sua exposição a riscos.
Prepara-se então um plano de ação para mitigar os riscos mais graves, implementando-se os controles necessários com base no que foi identificado.
UNIDADE II
Gestão de Risco II
Introdução ao Tema
A utilização cada vez mais intensa da tecnologia de informaçãotraz consigo maior preocupação com a segurança da informação e com os riscos de perdas, uso inadequado, dentre outras preocupações.
O mercado impõe as regras e o Instituto Brasileiro de Governança Corporativa (IBGC) chegou a publicar um documento para orientar as empresas a identificar e reduzir os riscos das empresas.
Para o IBGC, gerenciar riscos deve ser uma atividade preventiva e com o uso de sistemas de informações que apoiem essa atividade. O Instituto sugere uma estrutura de trabalho para se gerir os riscos em uma organização, a partir da identificação e classificação do perfil dos riscos relativamente aos objetivos da organização.
Propõe que sejam os riscos avaliados, mensurados e tratados, mediante um mapa de riscos, elaborando um plano de ação para eliminá-los ou reduzi-los e, assim, serem monitorados mediante o acompanhamento de relatórios comparativos entre o previsto e o realizado, para que, na sequência, sejam devidamente comunicados às partes interessadas e envolvidas. O Instituto também orienta na criação de uma estrutura básica para implantar seu framework, partindo dos processos críticos.
O Comitê de Organizações Patrocinadoras da Comissão Treadway – Comissão Nacional de Relatórios Financeiros Fraudulentos (COSO) –, formado em 1985 e patrocinado por um grupo de associações e institutos de contabilidade profissional, com a finalidade de contribuir para a prevenção de fraudes nos processos, procedimentos e controles internos de uma empresa, propôs também a sua estrutura – reconhecida também como melhores práticas.
O Comitê vem atualizando as suas propostas desde que foi criado, e seu documento Enterprise Risk Management – Integrated Framework – (ERM) teve a sua última atualização em abril de 2017. Essas atualizações visam melhorar seu conteúdo e relevância devido à complexidade crescente no ambiente empresarial, de forma a colaborar com a valorização da organização e a gestão de riscos, que determina a sua utilidade, transparência, valoração, relevância, aptidão e eficácia.
Um framework também bastante aplicado é o criado pela Information Systems Audit and Control Association – Associação de Auditoria e Controle de Sistemas de Informação (ISACA) –, responsável pelo desenvolvimento e distribuição do Control Objectives for Information and Related Technologies (CobiT), atualmente na versão 5, que é um framework de governança e gestão corporativa de Tecnologia da Informação (TI).
Este vem contribuir com as organizações para a criação de valor da tecnologia da informação, de maneira a buscar o equilíbrio entre os benefícios e a potencialização dos níveis de risco e uso de recursos. Enfoca a governança corporativa de TI e mostra a diferença entre governança e gestão, enfatiza o uso corporativo desse framework e ressalta o papel da alta administração nas tomadas de decisões de TI.
A versão 5 declara que a TI deve ser governada e gerida de forma integral para toda a organização, abrangendo todas as áreas e funções de TI, e ainda considerando os interesses internos e externos a ela relacionados. É uma estrutura genérica, podendo ser útil para empresas de todos os portes e de qualquer natureza.
2.1 – Framework de Gestão de Riscos (IBGC - Instituto Brasileiro de Governança Corporativa)
Tópicos Abordados
	Gerenciamento de Riscos – IBGC
	Metodologia para implantação
O IBGC – Instituto Brasileiro de Governança Corporativa publicou três documentos chamados Cadernos de governança e um deles é o Guia de Orientação para Gerenciamento de Riscos Corporativos.
Para o IBGC
“Gerenciamento de riscos: o conselho de administração deve assegurar-se de que a Diretoria identifique preventivamente – por meio de sistema de informações adequado – e liste os principais riscos aos quais a sociedade está exposta, sua probabilidade de ocorrência, bem como as medidas e os planos adotados para sua prevenção ou minimização”
Metodologia para Implantação
	Identificar e classificar os riscos 
	–Associar objetivos estratégicos e perfil de riscos 
	Categorizar os riscos.
	Avaliar os Riscos
	Mensurar os Riscos
	Tratamento dos Riscos
	Evitar o risco
	Aceitar o risco
	Prevenir e reduzir os danos
	Capacitar.
	Monitorar os riscos
	Informar e comunicar
1. Identificar e classificar os riscos
Definir ao máximo possível os eventos internos ou externos que poderão afetar os objetivos estratégicos da organização, incluindo aqueles que se relacionam com os ativos intangíveis.
Estes podem ser considerados como os ativos e métodos responsáveis pela diferença entre o valor de mercado e o valor contábil da organização.
Associar objetivos estratégicos e perfil de riscos:
Os objetivos estratégicos definem como a empresa deve trabalhar para gerar mais valia dependem do perfil de riscos corporativos. O perfil de riscos significa o quanto a empresa aceita se expor (é tolerante) aos riscos.
A identificação do perfil depende de claras definições de:
	Indicadores de desempenho
	índice de volatilidade de naturezas
	Financeira (Valor de mercado, capacidade de gerar, distribuição de dividendos)
	Qualitativa (transparência, idoneidade, marca, ambiente de trabalho, responsabilidade socioambiental.
Categorizar os riscos:
Há diversos critérios, e, portanto, não há consenso para se classificar os riscos, mas dois componentes sempre são relacionados: 
Pessoa – como causa
Reputação – como consequência.
Pessoas, quanto a falha de comunicação e integração é risco que gera perda de sinergia e valor empresarial.
Reputação, quanto a imagem, consequência de práticas administrativas inadequadas.
A classificação de riscos deve ser elaborada conforme as características de cada empresa, contemplando suas particularidades.
Categorizar Riscos
Origem dos eventos: Riscos externos ou internos
Natureza dos riscos: riscos estratégicos, operacionais ou financeiros
Tipos de riscos: Tecnologia, ambiental ou conformidade
2. Avaliar os riscos
Para determinar o efeito sobre a organização deve-se, para cada risco, identificar sua probabilidade de ocorrer o seu impacto no desempenho econômico-financeiro. Quantificar o grau de exposição deve levar em conta:
Evento pode gerar inúmeros impactos e em diferenças áreas da empresa.
Eventos podem ou não serem independentes entre si.
3. Mensurar os riscos
O gerenciamento de riscos pode iniciar com uma abordagem mais qualitativa sobre os objetivos estratégicos e os impactos dos riscos, e após direcionar às estratégicas adequadamente, passar a ser medido quantitativamente.
O planejamento visa identificar, dentre outros dados, as receitas e as despesas operacionais, os custos, os investimentos e o fluxo de caixa projetado.
Deve elaborar projeções com diferentes cenários e múltiplas alternativas de mercado, economia e finanças.
O impacto financeiro pode ser medido em termos da variação potencial do seu valor econômico, fluxo de caixa e resultado econômico, com a modelagem e medições dos diversos cenários propostos.
Obtém-se um processo decisório antecipado para se reduzir perdas e aumentar as receitas, com maior previsibilidade.
4. Tratar os riscos
A elaboração de mapa de riscos ajuda a priorizar e esforços para novos projetos e planos de ação para minimizar os eventos negativos e maximizar aqueles que tragam benefícios para a organização.
Esse tratamento dos riscos pode ser para evitar (não se envolver ou se retirar de uma situação de riscos ou de aceitação do risco), ou aceitar (reter, reduzir, transferir / compartilhar ou explorar o risco).
A organização (pessoas e processos) deve estar capacitada para avaliar e lidar com os riscos, ou seja, ser capaz de identificar, antecipar, mensurar, monitorar e se possível, diminuir.
5. Monitorar os riscos
Os riscos devem ser monitorados constantemente, visando assegurar o funcionamento de todos os componentes ao longo do tempo.
A frequência de avaliações ou revisões específicas irão depender da avaliação do perfil de riscos e da eficácia dos procedimentos.
Os controles internos da empresa já são uma medida de monitoramento, mas o uso de uma matriz decontrole de riscos como metodologia para o processo de avaliação deve ser considerado.
6.Informar e comunicar
A comunicação com as diversas partes interessadas visa permitir avaliações mais rápidas e objetivas a respeito dos riscos que está exposta a organização.
O conteúdo da comunicação deve conter os processos e procedimentos para alinhar atitudes e reforçar a cultura da organização.
Deve existir um estímulo à comunicação de desvios ou suspeitas de violações dos códigos de conduta ou dos princípios éticos.
2.2 Estrutura Para framework IBGC
Introdução:
A implementação depende da análise custo-benefício em função do porte, especificidades e complexidade da organização, pois pode ser feita de várias maneiras e em qualquer estrutura.
Os esforços e recursos para enfrentamento dos riscos operacionais são diferentes entre uma empresa sujeita à Lei Sarbanes-Oxley (SOX) e as pequenas empresas.
É importante introduzir na empresa a prática de tratar os riscos de forma crítica, qualitativa e quantitativamente, identificando, avaliando, tratando e calculando seus impactos de uma forma integrada.
O processo de implantação do modelo é de longa duração, e continuamente deve ser aprimorado, dinâmico, interativo e integrado ao processo de planejamento estratégico da organização.
Arquitetura para o modelo do IBGC
A arquitetura deve facilitar e viabilizar a gestão do risco propriamente e devem der alinhadas com a organização quanto a:
	Aderência dos processos internos ao perfil de riscos estabelecidos pelo conselho de administração.
	Clareza com relação as regras de governança para gerir a exposição;
	Endereçamento de lacunas de capacitação de pessoas, processos e sistemas;
	Implementação de sistemas de controles eficazes;
A arquitetura do modelo da IBGC tem cinco características que devem estar em consonância com os objetivos estratégicos e metas da organização.
	Os objetivos estratégicos e metas de desempenho deve estar definidos e gerenciados;
	A gestão desses objetivos e metas estratégicas deve priorizar os riscos, seus controles e os outros componentes da arquitetura de risco;
	As mudanças de cenário deve ser previamente contempladas e gerenciadas quanto aos objetivos, metas, riscos e controles.
1. Processos criticos do modelo do IBGC
Devem estar devidamente identificados e definidos:
	Os macroprocessos essenciais;
	Os princípios requeridos para casuais redesenho de processos;
	Os procedimentos para criar ou descontinuar processos;
	As ações críticas para minimizar os riscos;
2. Governança de gerenciamento de Riscos.
Devem estar devidamente identificados e definidos;
	Os níveis de decisão envolvidas;
	Os papéis e responsabilidades da equipe;
	A formação e os componentes da equipe;
	As alçadas de decisão do grupo;
	As políticas para decisão ágil e eficaz;
3. Organização e Pessoas
	Os envolvidos devem estar devidamente capacitados e eventuais necessidades devem ser solucionadas;
	A estrutura organizacional deve permitir e facilitar identificar, monitorar e mitigar os riscos;
4. Sistema de Controle
	Os controles existentes devem ser adequados para mensurar a exposição a riscos;
	Os relatórios gerenciais devem facilitar identificar, monitorar e minimizar os riscos;
	Os sistema e processos de tecnologia da informação devem possibilitar e serem adequados a um cultura de riscos.
5. Comunicação
	A comunicação com e entre os colaboradores deve ser adequada;
	O método deve estar uniformemente conceituado nos envolvidos;
	O perfil de riscos deve ser de conhecimento da empresa;
	O perfil de riscos deve estar perfeitamente alinhado com os valores e cultura da empresa.
	As responsabilidades e níveis de decisão devem ser devidamente identificados e comunicados;
	A comunicação com e entre os stakeholders inclusive externos deve ser adequada.
Estrutura Funcional
O gerenciamento dos riscos de cada processo é uma ação que deve ser atribuída a seus gestores.
A estrutura para o gerenciamento de riscos deve estar adequada ao perfil de cada organização;
Usualmente cria-se uma unidade composta por representantes das diversas áreas funcionais, com a responsabilidade de integrar e orientar os vários esforços e de interagir com a alta administração.; Essa unidade deve ser coordenada pelo principal executivo da empresa.
Gerenciamento de riscos e o conselho de administração
O conselho de administração deve ser o responsável por determinar os objetivos estratégicos e o perfil de riscos da organização.
E isto também consiste em determinar o grau de ambição a riscos da organização, assim como as faixas de tolerância a desvios em relação aos níveis de riscos determinados como aceitáveis.
O conselho de administração deve estabelecer a política de responsabilidade da diretoria em:
	Avaliar a quais riscos a organização pode ficar exposta; e
	desenvolver procedimentos para administrá-los.
O papel fundamental para implementar uma estrutura de gerenciamento de riscos e controle é delegado aos gestores, com o comitê de auditoria (ou instancia que desempenha sua função), em nome do conselho de administração, exercendo a função de supervisão.
Framework de Gestão de Riscos COS e ERM
	Comitê de organização patrocinadoras de comissão treadway – COSO
	COSO – ERM
	Garantias
Comitê de organizações patrocinadoras da comissão treadway – COSO
O comite of Sponsoring Organizations of the readway Comissiona (Comite de Organizações Patriocinadoras da Comissão Treadway – COSO) vem atualizando suas propostas desde que foi criado, em 1985.
O COSO é formado por representantes da American Accoutinh Association. American Institute of Certified Public Accountants, Fiancial Executives International, Institute of Managements Accoutants e pelo Institute of internal Auditors, ao qual está ligado a AUDIBRA – Instituto dos auditores Internos do Brasil. Atravéns da Flai – Federação Latino Americana de Auditoreis Internos.
Seu proposito é:
“Fornecer liderança de pensamentos através do desenvolvimento de quadros abrangentes e orientção sobre gestão de riscos empresariais, de controle e de dissuasão de fraude, destinado ao desempenho organizacional e governança , para reduzir a extensão da fraude nas organizações.”
2.3 - Framework de Gestão de Riscos COS e ERM
	Comitê de organização patrocinadoras da comissão tradway – COSO
	COSO – ERM
	Garantias
Comitê de organizações patrocinadoras da comissão treadway – COSO
O comite of Spongsoring Organizations of the Treadway Commission (Comitê de Organizações Patrocinadoras da Comissão Treadway – COSO) vem atualizando suas propostas desde que foi criado, em 1985.
O COSO é formado por representantes da American Accouting Association, American Instituite of Certified Public Accountants, Financial Executives Internation, Institute of Managements Accoutants e pelo institute of internal Auditors, ao qual essa ligado a AUDIBRA – Instituto dos Auditores Internos do Brasil, Atravéns da FLAI – Federação Latino-americana de Auditores Internos.
Seu propósito é:
“Fornecer liderança de pensamento através do desenvolvimento de quadros abrangentes e orientação sobre gestão de riscos empresariais, de controle e de dissuasão de fraude, destinados ao desempenho organizacional e governança, para reduzir a extensão da fraude nas organizações.”
Coso, 2014
As atualizações que vem ocorrendo são necessárias para melhorar seu conteúdo e relevância devido à complexidade crescente no ambiente empresarial, de forma a colaborar com a valorização da organização.
O documento tem uma estrutura bastante utilizada para melhorar a capacidade da organização em gerir as incertezas e contribuir para identificar o grau de risco que podem aceitar.
Essa atualização vem para contribuir com os programas de gestão de riscos, inclusive com a ferramenta de auxílio na divulgação das informações de risco e na revisão e avaliação do grau de risco a que elas podem se submeter.
COSO – ERM
Para o COSO – ERM Environmental Resources Management, o gerenciamento de riscos corporativos é:
“Um processo efetuadopelo conselho da administração de uma entidade, gestão outros funcionários, aplicados de forma estratégica e em toda a empresa, concebidos para identificar os eventos potenciais que podem efetuar a entidade, gerenciar o grau de risco assumido pela organização, de forma que seja possível assegurar a realização de seus objetivos”.
Gerenciamento de riscos corporativos envolve:
UTILIDADE, TRANSPARÊNCIA, PROPOSIÇÃO DE VALOR, RELEVÂNCIA, APTIDÃO EFICÁCIA
Garantias.
O gerenciamento de riscos corporativos e dos controles internos implantados não garante que sempre atingirá seus objetivos, considerando-se as limitações desse mesmo gerenciamento.
O risco se relaciona com o futuro, que intrinsecamente é incerto.
	Gerenciamento de riscos corporativos deve atuar em diversos níveis, e cada qual com objetivos diferentes.
	O gerenciamento de riscos não pode oferecer garantias com relação a nenhuma categoria de objetivos.
Pode contribuir para garantir que a administração e o conselho administrativo exercem a supervisão e que estão cientes da evolução da empresa quanto a seus objetivos, mas não é capaz de fornecer qualquer garantia que serão atingidas as metas.
Outro organismo que se envolveu com a gestão de riscos foi o RMG – RISK – Metrics Group.
O RGM, com o apoio da J.P Morgan, forte conglomerado no mercado de investimento há 150 anos em mais de 40 países, elaborou um extenso documento relativo a pesquisa comparativa na qual apresenta diversos dados e cálculos utilizados para análise e gestão de riscos.
2.4 – Framework de Gestão de Riscos ISACA – Cobit
Conceitos de ISACA – Cobit
A Associação Internaciona Information systems Audit and Control association (Associação de Auditoria e Controle de sistemas de Informação – ISACA), responsável pelo desenvolvimento e distribuição do Control Objetctives for information and Related Technologies – Cobit, atualmente na versão 5, é um framework de governaça e gestão corporativa de TI.
O Cobit 5 vem contribuir com as organizações para a criação de valor da tecnologia da informação, de maneira buscar o equilíbrio entre os benefícios e a potencialização dos níveis de risco e uso de recursos.
	Disponibiliza um framework extenso e genérico para ajudar as empresas a otimizar o valor gerado pela TI.
	Colabora para que a TI seja regida a administrada da melhor forma e em toda a organização.
	Proporciona linguagem comum entre a TI e os negócios visando a governança e gestão de TI corporativa.
A principal novidade do Cobit 5 é que ele enfoca a governança corporativa de TI, e mostra a diferença entre governança e gestão, além de aumentar seu uso e enfatizar a utilização corporativa deste framwork, ressaltando o papel da alta administração nas tomadas de decisões de TI.
O novo framework estabelece cinco (5) princípios de governança corporativa de TI que possibilitam à empresa criar uma estrutura efetiva para a governança e a gestão de TI baseando em um grupo abrangente de habilitadores para otimizar investimento em tecnologia e em informação usados em prol do beneficiosos das partes interessadas.
O Cobit 5 permite que a TI seja governada e gerida de forma integral para toda a organização, abrangendo todas as áreas e funções de TI.
Considera os interesses internos e externos relacionados com TI. É genérico e pode ser útil para empresas de todo os portes e de qualquer natureza.
Evolução do COBIT
Princípios do Cobit
UNIDADE III
A Associação de Auditoria e Controle de Sistemas de Informação (ISACA) patrocina o desenvolvimento de ferramentas metodológicas e certificações que visam à segurança e, consequentemente, à performance das atividades relativas ao controle e à auditoria em sistemas de informação.
Uma de suas estruturas é utilizada para agregar valor nos negócios da organização a partir dos investimentos em tecnologia da informação. É o Val IT, composto por princípios e processos voltados para as melhores práticas de gestão. Contém sete princípios básicos, sendo três direcionados aos investimentos em tecnologia da informação, que precisam ser monitorados.
O RISK IT, outro framework, é composto por uma extensa estrutura que contempla os riscos da organização que estão relacionados ao uso da tecnologia de informação. Sua proposta é de que a gestão seja realizada conforme a gestão de riscos por toda a linha hierárquica da empresa.
Já o modelo de negócios para a segurança da informação (BMIS) é direcionado à segurança da informação e esclarecimentos detalhados a partir de uma visão holística, examinando esta segurança com a visão de sistemas.
A ISO-IEC 20000, de 2005, define que as práticas de gerenciamento de serviços de TI propostas pela ITIL e aplicadas nas organizações possam ser auditadas por uma empresa externa. Compõe-se se 2 partes básicas: a especificação e o código de práticas.
Outra estrutura é a norma ISO-IEC 27001, também de 2005, que define os requisitos para implantação de um sistema de gestão de segurança da informação (SGSI). Seu ciclo na gestão de riscos é o mesmo das demais modalidades de ISO 27001 e tem por base o ciclo PDCA de Deming.
Em outro framework, a norma ISO-IEC 27005 se aplica a toda organização que tenha a pretensão de gerir os riscos que possam comprometer a segurança da informação da empresa. Esta visa facilitar a implementação da segurança da informação com base na gestão de riscos de segurança da informação (GRSI).
Na ISO-IEC 31000, gestão de riscos – princípios e diretrizes – estabelece-se um conjunto de princípios que devem ser atendidos para tornar a gestão de riscos eficaz numa organização, fornecendo princípios e diretrizes para o gerenciamento de qualquer forma de risco de maneira sistemática, transparente e confiável, em qualquer sentido e contexto.
Há também a estrutura NIST-ITL, de 2012, cujos conceitos fundamentais são associados à avaliação de riscos de segurança de informações dentro de uma organização.
O framework ou guia PMBoK é um conjunto de práticas a serem utilizadas na gestão de projetos e, organizado pelo PMI, é considerada a base do conhecimento sobre gestão de projeto. Em sua sexta edição, contém 10 áreas de conhecimento e totaliza 49 processos para gestão.
Há ainda o PRINCE2, outro método para a gestão de projetos, que se adapta a qualquer tipo ou tamanho de projeto, ge­rencia, controla e organiza o projeto e é compatível com o PMBOK.
3.1 – Framwork de Gestão de Riscos ISACA – Val IT e Risk IT
	ISACA
	VAL IT
	RISK IT
	BMIS
Information system audit and control association – ISACA
A associação internacionta Information systems Audit And Control Association (Associação de Auditoria e Controle de Sistemas de Informação – ISACA) é responsável e patrocina o desenvolvimento de ferramentas metodológicas e certificações que visam à performance ds atividades relativas a controle e auditoria em sistemas de informação.
A ISACA mantém o IT Governance Institure (instituto de Governança de Tecnologia da Informação (ITGI), que direciona suas atividades na formação profissional e na pesquisa relativa a governaça de tecnologia da informação.
A proposta do ITGA é contribuir com os gestores e auxiliar a compreender que os objetivos de tecnologia da informação devem estar em consonância com os negócios empresariais.
Igualmente importante, o instituto busca demonstrar como a tecnologia da informação proporciona valor aos negócios e como é possível medir seu desempenho, avaliar se os recursos estão adequadamente alocados e seus riscos da organização estão sendo abrandados e reduzidos.
Com isto há maiores possibilidade de aumentar as perspectivas e práticas globais relacionadas ao uso da TI na empresa.
ValIT
O ValIT é um framework de governança corporativa bastante utilizada para agregar valor nos negócios da organização a partir dos investimentos em tecnologia da informação, e é composto por diversos princípios e processos norteadores para as melhores praticas de gestão.
Val IT é usado para criar valor para o negócio por meio de investimentos de TI.
Contem sete princípios básicos e três delesestão direcionados aos investimentos da organização na tecnologia da informação e devem:
	Ser geridos como uma carteira de investimentos.
	Manter o direcionamento às atividades requeridas para gerar valor nos negócios;
	Gerenciados e controlados como o ciclo econômico.
Os investimentos em tecnologia da informação devem ser permanentemente avaliados conforme ocorrem e devem ser monitorados se estão:
	Sendo feitos da maneira correta;
	Fazendo bem feito;
	Trazendo benefícios;
	Fazendo o que deve ser feito;
	voltar a 1
A definição do retorno sobre o investimento – ROI deve considerar:
	A definição clara do relacionamento da TI com os negócios e com as funções da organização responsável pela governança;
	O gerenciamento da “carteira” de investimentos na TI
	Potencialização da qualidade dos negócios viabilizados pelo investimentos;
RISK IT
O Risk IT compõe-se de uma estrutura abrangente que contempla os riscos relacionados ao uso de tecnologia da informação e sua proposta é que a gestão ocorra nos mesmos moldes da gestão de riscos do mais alto ao mais baixo nível da organização.
Engloba as estruturas genéricas de avaliação de riscos e as especificas de TI relacionadas com a segurança, com uma proposta mais detalhada e abrangente quanto a todos os riscos relacionados com o uso da tecnologia da informação e em todos os seus procedimentos operacionais.
Isto acontece, inclusive, devido a serem de responsabilidade e sempre tratados com desprezo pelos especialistas técnicos ou devido ao principal executivo de tecnologia da informação não ser ouvido no processo decisório – por distintas razões.
Business Model for Information Security – BMIS
O Business Model for Information Security (Modelo de Negócio para a Seguranã da Informação – BMIS)
É um modelo de negócios com vistas para a segurança da informação e esclarecimentos detalhados a partir de uma visão holística.
Esse modelo de negócio para segurança da informação fornece a explicação para um modelo de negócio holístico que examina questões de segurança a partir de uma perspectiva de sistemas.
Sua proposta é uma linguagem para a proteção de informações para maior segurança e um melhor gerenciamento de negócios.
3.2 – Framework de Gestão de Riscos ISO 20000, 27001 e 27005
	ISO /IEC 20000
	ISO/IEC 27001
	ISO/IEC 27005
ISO/IEC 20000
A international Organization for Standardization, Internation a Electrothechnical Comision 20000 foi publicada em 2005, é norma internacional que define que as práticas de gerenciamento de serviços de TI propostas pelo Information Tencology Infrastructre Library – ITIL possa ser auditadas objetivamente por uma organização externa.
A norma compõe-se de 2 partes:
Especificação – descreve os requisitos mandatórios que o provedor deve satisfazer mediante sua capacidade de executar e gerenciar a qualidade de seus serviços prestados;
Código de Práticas – Relação de orientações e recomendações sobre como serão executados aqueles requisitos mandatórios.
É importante notar que:
A norma refere-se a processos de gestão , ou seja, é um sistema de gestão, e não um padrão para um serviço ou produto nem sua avaliação.
Para os provedores a norma pode ser um diferencial competitivo. Para os clientes, garantia de qualidade.
Prestadores de serviços, sejam eles externos ou internos, são aqueles que executam serviços habilitados por tecnologia da informação a seus clientes (usuários) internos ou externos, e mantém controle gerencial sobre estes serviços, excluindo-se as empresas que fornecem apenas mão de obra.
ISO/IEC 27001
A norma, de 2005, define os requisitos para a implantação de um sistema de gestão de segurança a informação – SGSI e aplica-se a toda organização, independentemente de tipo, tamanho e natureza. Além dos diversos critérios relacionados à segurança da informação, esta norma ainda considera os aspectos reacionados aos riscos organizacionais.
Em seu escopo de SGSI, para efeitos de gestão de riscos, a norma determina que a empresa deve:
	Estar em alinhamento com o conteúdo estratégico de gestão de riscos;
	Estabelecer critérios com os quais os riscos serão avaliados;
	Definir quais abordagens serão utilizadas para a análise de riscos da empresa;
	Estabelecer como identificar, analisar e avaliar, e definir objetivos e ações para o tratamento dos riscos.
O ciclo da gestão de riscos segue éo mesmo das demais modalidades de ISS 27001, e tem por base o ciclo PDCA de W. Edwards Deming.
ISO/IEC 27005
A norma aplica-se a toda organização que tenha a pretensão de gerir os riscos que possam comprometer a segurança da informação da organização, e está em conformidade com a ISO 27001.
Visa facilitar a implementação da segurança da informação tendo como princípio as diretrizes para o processo de gestão de riscos de segurança da informação – GRSI.
Não inclui uma metodologia especifica para essa gestão. Complete à organização definir sua abordagem relativa ao processo de riscos.
Essa abordagem deve considerar o proposito de seu sistema de gestão de segurança da informação – SGSI cenário da gestão de riscos e o setor de sua atividade econômica.
A gestão de riscos de segurança da informação é integrante da gestão de riscos e devem estar em sintonia.
Idealmente a gestão de riscos de segurança da informação deve ser um processo contínuo de definição, avaliação e tratamento aos riscos.
É bom lembrar que o processo de GRSI pode ser aplicado também a uma área especifica da empresa, aos controles existentes ou a uma parte especifica de um controle.
Etapas da gestão de ricos de segurança da informação:
	Definir o cenário;
	Analisar ou avaliar os riscos;
	Tratar os riscos;
	Aceitar o risco;
	Comunicar os riscos;
	Monitorar os riscos; e
	Fazer uma analise crítica dos riscos;
Ciclo da GRSI
3.3 Framework de Gestão de Riscos ISO 31000 e NIST
	Normas ISO 31000
	NIST800-30
Normas ISO 31000
A international Organization for Standardization, International Electrotechnical Commision – ISO 31000 – Gestão de riscos – Principios e diretrizes, publicada em 2009, é norma internacional que estabelece um conjunto de princípios que devem ser atendidos para tornar a gestão de riscos eficaz numa organização.
“Esta norma recomenda que as organizações desenvolvam, implementem e melhorem continuamente uma estrutura cuja finalidade é integrar o processo para gerenciar riscos na governança, estratégica e planejamento, gestão, processos de reportar dados e resultados, políticas, valores e cultura em toda a organização”
Sua abordagem genérica fornece princípios e diretrizes para o gerenciamento de qualquer forma de risco de maneira sistemática, transparente e confiável, em qualquer sentido e contexto. Cada setor tem suas necessidades particulares e suas percepções de risco atende a diversas comunidades. Estabelecer o contexto retém os objetivos da empresa, o cenário e seu o ambiente, ajudando a identificar e avaliar a natureza e complexidade de seus riscos.
Atende aos responsáveis
	Pelo desenvolvimento da política de gestão de riscos na empresa;
	Por assegurar que os riscos sejam gerenciados de forma eficaz no todo, em uma área ou projeto específico;
	Que avaliam a eficácia da organização na gerencia de riscos; e
	Pelo desenvolvimento de normas, procedimentos ou práticas que estabelecem como de ser gerenciado o risco.
Relacionamento entre os princípios da ISO 31000
Relacionamento entre os componentes da estrutura de gestão de riscos.
Processo da ISO 31000
NIST 800-30
Conforme o Nationa Institute of Standards and Technology – NIST (NIST-ITL), 2012, os conceitos fundamentais associados à avaliação de riscos de segurança de informação dentro de uma organização incluem:
	Visão geral na alta administração do processo de gerenciamento de risco, as avaliações de risco e seu papel nesse processo;
	Os conceitos básicos utilizados na realização de avaliações de risco; e
	Como as avaliações de risco podem ser aplicadas em níveis de gestão de risco da organização.
De acordo com o NIST, os processo de gestão derisco englobam:
	Enquadrar o risco;
	Avaliar o risco;
	Responder ao risco; e
	Monitorar o risco.
O primeiro componente da gestão de riscos aborda como as organizações estabelecem o cenário ou o contexto do risco, descrevendo o ambiente no qual ocorrem as decisões baseadas bi risco.
O enquadramento de risco visa produzir uma estratégia de gestão de risco abordando como as empresas visam avaliar e responder ao risco, e monitorar explícita e transparentemente sua percepção de risco que usam para decidir sobre investimento e operações diárias.
A estratégia de gestão de riscos estabelece uma base para o gerenciamento de riscos e identifica os limites de risco tendo por base as decisões baseadas em risco dentro das organizações.
Esse componente deve abordar como a organização quer avaliar, responder e monitorar os riscos.
O segundo componente cita como o risco é avaliado no contexto da estrutura de risco. Sua finalidade é identificar:
	Ameaças (operações, ativo ou indivíduos), as ameaças a todas as organizações;
	O prejuízo que pode ocorrer dado o potencial de ameaças;
	A probabilidade de ocorrer danos;
O resultado será a determinação de risco (Função entre o grau do dano e a probabilidade de ocorrer)
O terceiro componente da gestão de risco aborda como as organizações respondem ao risco, já que é o resultado da avaliação de risco. Objetica prover resposta consistente, conforme sua estrutura de risco:
	Elaborar ações alternativas para responder a riscos;
	Avaliar as alternativas de ação;
	Determinar as diretrizes adequadas para ação conforme a tolerância ao risco;
	Implementar respostas de risco de acordo com as ações selecionadas
O quarto componente da gestão de risco trata de como as organizações monitoram o risco ao longo do tempo. Seus objetivos são:
	Determinar o quanto é efetiva as respostas ao risco;
	Identificar mudanças que podem impactar os sistemas de informação organizacional e os ambientes onde operam; e
	Verificar se as ações planejadas são implementadas, e se os requisitos de segurança são derivados e rastreáveis para missões organizacionais, funções empresariais, legislação, diretrizes, regulamentos, politicas e padrões
Visão geral da avaliações geral de riscos
Após completar as 9 etapas de avaliação de risco, o próximo passo é sua mitigação.
A redução do risco engloba priorizar, avaliar e implementar controles apropriados para a redução de risco, decorrentes do processo de avaliação de risco.
3.4 Framework de Gestão de Riscos PMBoK e PRINCE 2
	PMBoK
	PRINCE 2
	PRÁTICA
Project Management Body Of Knownledge – PMBoK
É um conjunto de práticas a serem utilizadas na gestão de projetos Organizado pelo Project Managemen Institute – PMI, é considerado a base do conhecimento sobre gestão de projeto.
Na sua 6ª edição, contém 10 áreas de conhecimento e totaliza 49 processos para gestão.
	Integração do Projeto;
	Escopo do projeto;
	Tempo do projeto;
	Custo do Projeto.
	Qualidade do Projeto;
	Recursos humanos do projeto;
	Comunicações do projeto;
	Riscos do projeto;
	Aquisições do Projeto;
	Envolvidos no Projeto;
O risco de um projeto pode ser um evento qualquer ou uma determinada situação incerta que, caso ocorra, produzirá efeito positivo ou negativo que irá afetar a um ou mais de seus objetivos, tais como escopo, tempo, custo ou qualidade.
Como um risco qualquer pode ter uma ou mais causas, podendo gerar uma ou mais impactos, o guia visa determinar ações para que se possa mitigá-los.
O guia descreve os processos relacionados com identificação, analise e resposta a riscos do projeto.
Etapas de Riscos do Projeto
quanto à componente de riscos do projeto, o guia contém processos que visa, com relação a estes:
	Planejar seu gerenciamento;
	Identificá-los;
	Analisá-los qualitativamente;
	Analisá-los quantitativamente;
	Planejar as respostas; e
	Monitorar e controlá-los.
Planejar seu Gerenciamento
Identificar Riscos
Analisar Qualitativamente
Analise Quantitativamente
Planejamento respostas à tolerância
Monitorar E controlar
Project In A Controlled Environment – Prince 2
Prince2 é outro método para gestão de projetos;
Adapta-se a qualquer tipo ou tamanho de projetos, gerência, controla e organiza o projeto.
Principais Características;
	É compatível com o PMBOK;
	Faz o controle e organização do projeto do início ao fim;
	Possibilita revisões dos progressos com base nos planos;
	Tem pontos de decisão flexíveis;
	Faz gestão efetiva de qualquer desvio;
	Proporciona envolvimentos dos envolvidos em marcos durante toda a execução do projeto.
Prince 2
Praticando
Explore Mais
	Softwares
Corporate Metricks, Risk Navigator, CA GRC e o Corporate Manager
AVALIAÇÃO FINAL
1. O papel do gerente de projeto na gerência de riscos é
guiar a sua equipe e integrar o processo de riscos aos demais processos.
2. Uma empresa designou José para gerente de um projeto de "integração social", que está entrando em sua segunda fase. Ao ler os planos e documentos do projeto, José tem a impressão de que há muitos riscos, mas não existe qualquer documento com informações sobre os mesmos (e isso impede a verificação dos possíveis resultados para o projeto). Em função do pouco tempo disponível, o ideal é que José
elabore o plano de gerenciamento de riscos.
3. Quando estamos trabalhando em um projeto de complexidade elevada e diferenciado com relação ao mercado, podemos (e devemos) reunir os stakeholders para que, mediante uma boa análise baseada na técnica de brainstorming, seja possível identificar e elaborar uma relação contendo as incertezas do projeto.
Se classificarmos cada incerteza com a relação de à sua probabilidade de ocorrer e ao respectivo impacto, determinando valores como 1 (baixa), 2 (média baixa), 3 (média), 4 (média alta) e 5 (alta), estaremos classificando para
Errada
4. Quanto à gestão de riscos, assinale a alternativa CORRETA:
A nomeação do Comitê de Gestão de Riscos, encarregado de desenvolver o processo de gestão de riscos, é de responsabilidade do principal executivo ou, conforme a situação, do Conselho de Acionistas
5. José é um gerente de projeto de construção de uma nova fábrica que irá demorar 3 anos para ser construída, e seu custo será de vinte milhões de reais. Porém, existe um histórico de que ocorra um incêndio a cada dez obras semelhantes, o que é capaz de gerar despesas extraordinárias de quinhentos mil reais, caso ocorra. Mas pode-se contratar um seguro contra incêndio no valor de cinquenta mil reais ao ano. Considerando a decisão exclusivamente matemática, é possível concluir que José deve
ERRADA
6. Em qual ordem a governança corporativa de Tecnologia da Informação (TI) ocorre no CobiT 5
Avaliar, dirigir e monitorar.
7. Quais objetivos são organizados em cascata em relação aos associados à Tecnologia da Informação (TI) na cascata de objetivos do CobiT 5?
Aqueles diretamente a partir das necessidades das partes interessadas.
8. Qual atividade de gestão é definida no CobiT5?
Administrar a estrutura do gerenciamento de Tecnologia da Informação (TI).
9. Para o CobiT os pilares fundamentais que sustentam o núcleo da governança de Tecnologia da Informação (TI), podem ser representados por cinco áreas-foco. A área-foco que tem como prática a execução da proposição de valor através do tempo, assegurando que a TI entregue os benefícios prometidos de acordo com a estratégia, concentrando-se em otimizar custos e em comprovar o valor intrínseco da TI, é denominada
ERRADO
10. Qual elemento do CobiT5 torna-o uma estrutura integrada?
Fornece uma arquitetura simples.
11.É uma boa prática durante a fase inicial de um projeto, ou seja, antes de entrar na fase de planejamento, que se defina claramente quais serão os objetivos do projeto, e também que se obtenha autorização para iniciá-lo. Isto normalmente é feito gerando os seguintes documentos:
Declaração de escopo do projeto e Termo de abertura do projeto.
12. No âmbito do gerenciamento de escopo de projetos com base no PMBOK, qual artefato tem como responsabilidade subdividirem elementos menores as principais entregas do projeto e do trabalho do projeto?
Estrutura analítica do projeto.
13. Segundo o PMBOK, quanto ao processo do gerenciamento de riscos de projetos, os riscos devem ser priorizados e avaliados com relação à sua probabilidade de ocorrência e impacto na fase de
análise qualitativa de riscos.
14. Em gerenciamento de projetos, segundo o PMBOK, criar uma Estrutura Analítica de Projeto (EAP) é um processo
necessário para subdividir as principais entregas do projeto e do trabalho do projeto em componentes menores e mais facilmente gerenciáveis.
15. De acordo com o PMBOK, o processo de criar a Estrutura Analítica do Projeto (EAP) está relacionado com qual “Grupo de Processos” e qual “Área de Conhecimento”, RESPECTIVAMENTE?
Planejamento e gerenciamento do escopo do projeto.