Pular para o conteúdo principal

Com o objetivo de manter-se controle detalhado sobre os Softwares Aplicativos utilizados nas gestões, inclusive de risco, faz-se necessário

"AI2.3 Controle e Auditabilidade do Aplicativo

 Assegurar que os controles de negócio sejam expressos adequadamente nos controles dos aplicativos de forma que o processamento ocorra no prazo correto e seja exato, completo, autorizado e auditável." (COBIT v4.1, 2007, p.80).

É importante  definir indicador para monitoramento do "Limites para alocação de consultores / auditores externos de risco", devendo ser proporcional ao tamanho da organização.

A ideia deste indicador é alertar a administração quanto ao risco inerente à miopia institucional, bem como evitar que a equipe interna terceirize todo o trabalho se o acompanhamento efetivo. Sem um olhar externo, problemas permanecem invisíveis eternamente. Sem a participação efetiva do pessoal interno, não serão identificados os verdadeiros riscos.

Um Estudo de Caso apropriado:

A Empresa ACME 123, de administração familiar, promoveu um experiente funcionário a Gerente Geral. Diante do novo desafio o experiente funcionário decidiu estudar mais as questões ligadas a gestão e leu em uma revista especializada em gestão que várias empresas do ramo de atuação estavam obtendo grande sucesso coma a gestão de riscos. Para implantar o G.R e agradar seus patrões de tantos anos resolveu:

1) Definir a Matriz Impacto x Probabilidade a ser utilizada na empresa;
2) Reunir os gerentes operacionais para um brainstorming de identificação dos riscos em cada processo;
3) Produzir um registro de riscos;
4) Planejar respostas; e
5) Definir responsáveis pela ação de resposta.

Tudo maravilhosamente bem documentado, mas não foi definido um responsável pela atualização dos riscos, nem tampouco dos planos de resposta!

Dois anos depois um dos riscos de alto impacto ocorreu - "nossa, não tinham priorizado os riscos por ordem de severidade, pois não houve análise qualitativa dos riscos!" -  e foi acionado o plano de resposta, ineficaz pois estava desatualizado.

O experiente funcionário foi demitido!

Um auditor externo especializado teria sinalizado estes dois pontos de fraqueza.
Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

IGP-DI Como ferramenta de acompanhamento de Risco Imobiliário

O IGP-DI é uma média aritmética, ponderada dos seguintes índices: IPA (Índice de Preços no Atacado): mede a variação de preços no mercado atacadista); IPC (Índice de Preços ao Consumidor): mede a variação dos preços entre as famílias que percebem renda de 1 a 33 salários mínimos no RJ e em SP; INCC (Índice Nacional da Construção Civil): mede a variação de preços no setor, considerando tanto material como mão de obra empregada. Considerando-se que o IGP-DI possui, na sua fórmula de ponderação, 60% do IPA, 30% do IPC e 10% do INCC, representando índices inflacionários e de construção civil, é coerente considerá-lo como influenciador da rentabilidade e do risco imobiliário. * IGP-DI (Índice Geral de Preços - Disponibilidade Interna)
Postar um comentário
Leia mais

Real World Risk Management

The Project Management Institute (PMI.org) regularly issues Risk Management White Papers that provide insights from Real World to PMI's members. The last one teaches us how to integrate Risk Management and Portfolio, in order to grant the best result. This blogger aims help to increase probability of success, so The part of paper below is enough. (PMI.org) [O Instituto de Gerenciamento de Projetos (PMI.org) publica regularmente White Papers que disponibilizam percepções oriundas do Mundo Real para os membros do PMI. O último deles nos ensina como integrar Gerenciamento de Riscos e Portfólio de Projetos, a fim de garantir os melhores resultados. Sumário A partir da avaliação dos riscos diários do mundo real envolvendo orçamento e cronograma para eventos de alto impacto tais como vazamento de óleo e ataques terroristas, conclui-se que o gerenciamento de riscos deve ser o núcleo central do processo de tomada de decisão para cada um dos projetos do portfólio . O Gerenc...
Postar um comentário
Leia mais

ISO 31000 / 9001 / 14000 / 27001 / 22301 Relationship

Enterprise Risk Management (ERM) in business includes the methods and processes used by organizations to manage risks and seize opportunities related to the achievement of their objectives. ISO standards also aim to increase probability of success by following accredited practices that can be audited and confirmed by several external auditors or - without auditing - can represent confidence on services and products. By analysing ISO 9001 - Quality Management System we can realize into section 6.1.2 a few recommendations to identify, analyse and prioritize, plan actions to address risks and check the effectiveness of some kind of Risk Management. Chapter 8 also tells us to follow risk management procedures for listen customer needs and Annex SL, Appendix 2 shows us some templates to do it. ISO 14001 - Environmental Management System is based on ISO 9001 and confirm those recommendations and templates, besides Environmental Risk Management approach. Risk Assessment is the foundat...
Postar um comentário
Leia mais