Com o objetivo de manter-se controle detalhado sobre os Softwares Aplicativos utilizados nas gestões, inclusive de risco, faz-se necessário
"AI2.3 Controle e Auditabilidade do Aplicativo
Assegurar que os controles de negócio sejam expressos adequadamente nos controles dos aplicativos de forma que o processamento ocorra no prazo correto e seja exato, completo, autorizado e auditável." (COBIT v4.1, 2007, p.80).
É importante definir indicador para monitoramento do "Limites para alocação de consultores / auditores externos de risco", devendo ser proporcional ao tamanho da organização.
A ideia deste indicador é alertar a administração quanto ao risco inerente à miopia institucional, bem como evitar que a equipe interna terceirize todo o trabalho se o acompanhamento efetivo. Sem um olhar externo, problemas permanecem invisíveis eternamente. Sem a participação efetiva do pessoal interno, não serão identificados os verdadeiros riscos.
Um Estudo de Caso apropriado:
A Empresa ACME 123, de administração familiar, promoveu um experiente funcionário a Gerente Geral. Diante do novo desafio o experiente funcionário decidiu estudar mais as questões ligadas a gestão e leu em uma revista especializada em gestão que várias empresas do ramo de atuação estavam obtendo grande sucesso coma a gestão de riscos. Para implantar o G.R e agradar seus patrões de tantos anos resolveu:
1) Definir a Matriz Impacto x Probabilidade a ser utilizada na empresa;
2) Reunir os gerentes operacionais para um brainstorming de identificação dos riscos em cada processo;
3) Produzir um registro de riscos;
4) Planejar respostas; e
5) Definir responsáveis pela ação de resposta.
Tudo maravilhosamente bem documentado, mas não foi definido um responsável pela atualização dos riscos, nem tampouco dos planos de resposta!
Dois anos depois um dos riscos de alto impacto ocorreu - "nossa, não tinham priorizado os riscos por ordem de severidade, pois não houve análise qualitativa dos riscos!" - e foi acionado o plano de resposta, ineficaz pois estava desatualizado.
O experiente funcionário foi demitido!
Um auditor externo especializado teria sinalizado estes dois pontos de fraqueza.
Comentários
Postar um comentário