Upload
vuminh
View
214
Download
1
Embed Size (px)
Citation preview
RISCO DE TICom fundamento nas melhores práticas
de governança e na moderna
jurisprudência do TCU
PALESTRA 5
Aquela hora...
Quando e como eles se materializam?
Trocando de roupa?
Portaria-TCU nº 25
de 29 de janeiro de 2014
Componentes
L1: pessoas e competências
L2: princípios e comportamentos
L3: liderança organizacional
E1: relacionamento com partes interessadas
E2: estratégia organizacional
E3: alinhamento transorganizacional
E4: estruturas de governança
C1: gestão de riscos e controle interno
C2: auditoria interna
C3: accountability e transparência
Criação de Valor
Realização de
Benefícios
Otimização de
Recursos
Gestãode
Riscos
7Fonte: COBIT 5 © (com alterações)
Fonte: relatório Acórdão 2.467/2013-TCU-P
Riscos - Acórdão 2.467/2013-TCU
obrigatório?
Conformidade com o que?
Em 2014...
5.3 Com relação à gestão de riscos de TI:
a. A organização identifica os riscos de TI dos processos críticos de negócio.
b. A organização avalia os riscos de TI dos processos críticos de negócio.
c. A organização trata os riscos de TI dos processos críticos de negócio com base em um plano de tratamento de risco.
d. A organização executa um processo de gestão de riscos de TI.
e. O processo de gestão de riscos de TI está formalmente instituído, como norma de cumprimento obrigatório.
Gestão de Riscos de TI
62% 64%
79% 79%
28% 27%
15% 12%10% 9% 6% 9%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
identifica os riscos de TIdos processos críticos de
negócio
avalia os riscos de TI dosprocessos críticos de
negócio
trata os riscos de TI dosprocessos críticos de
negócio
executa um processo degestão de riscos de TI
Não adota Adota parcial Adota integral
Acórdão 1233/2012
- crie procedimentos para orientar os entessob sua jurisdição na implementação dosseguintes controles (subitem II.8):
(...) processo de gestão de riscos desegurança da informação, à semelhança dasorientações contidas na NBR ISO/IEC 27005– Gestão de riscos de segurança dainformação;”
Obrigatório?
Olho nos resultados
Acórdão 2585/2012 - TCUa) Ao CNJ, ao CNMP, à CGPAR, à SLTI/MP queorientem as instituições sob sua jurisdição paraque:
9.1.1.2. identifiquem os processos críticos denegócio e designem formalmente os gestoresresponsáveis pelos sistemas de informação que dãosuporte a esses processos, à semelhança dasorientações da ABNT NBR ISO/IEC 38500;
9.1.1.3. definam e formalizem metas degovernança, como parte do plano diretor detecnologia da informação da instituição, baseadasem parâmetros de governança, necessidades denegócio e riscos relevantes, atentando para asmetas legais de cumprimento obrigatório e asorientações da ABNT NBR ISO/IEC 31000;
C’est la vie!
Finis!
[email protected]: @DanJezini