PALESTRA

5
RISCO DE TI
Com fundamento nas melhores práticas de
governança e na moderna jurisprudência
do TCU
Aquela
hora...
Quando e como eles se materializam?
Trocando de
roupa?
Portaria-TCU nº 25
de 29 de janeiro de
2014
Componentes
L1: pessoas e competências
L2: princípios e comportamentos
L3: liderança organizacional
E1: relacionamento com partes
interessadas
E2: estratégia organizacional
E3: alinhamento
transorganizacional
E4: estruturas de governança
C1: gestão de riscos e controle
interno
C2: auditoria interna
C3: accountability e
transparência
 Criação de Valor
Realizaçã Otimizaçã Gestã
o de o de o de
Benefícios Recursos Riscos

Fonte: COBIT 5 © (com

alterações)
Riscos - Acórdão 2.467/2013-
TCU

Fonte: relatório Acórdão 2.467/2013-TCU-P

obrigatório
?
Conformidade com o que?
Em 2014...

5.3 Com relação à gestão de riscos de TI:

a. A organização identifica os riscos de TI dos processos críticos de negócio.

b. A organização avalia os riscos de TI dos processos críticos de negócio.

c. A organização trata os riscos de TI dos processos críticos de negócio com base

em um plano de tratamento de risco.

d. A organização executa um processo de gestão de riscos de TI.

e. O processo de gestão de riscos de TI está formalmente instituído, como norma

de cumprimento obrigatório.
 Gestão de Riscos de TI
Não adota Adota parcial Adota integral
100%

90%
79% 79%
80%

70%
62% 64%
60%

50%

40%
28% 27%
30%

20% 15% 12%

10% 9% 9%
10% 6%
0%

identifica os riscos de TI avalia os riscos de TI dos trata os riscos de TI dos executa um processo de
dos processos críticos de processos críticos de processos críticos de gestão de riscos de TI
negócio negócio negócio
Obrigatório?
Acórdão 1233/2012
- crie procedimentos para orientar os entes
sob sua jurisdição na implementação dos
seguintes controles (subitem II.8):

(...) processo de gestão de riscos de

segurança da informação, à semelhança das
orientações contidas na NBR ISO/IEC 27005
– Gestão de riscos de segurança da
informação;”
Olho nos
resultados
 Acórdão 2585/2012 - TCU
a) Ao CNJ, ao CNMP, à CGPAR, à SLTI/MP que
orientem as instituições sob sua jurisdição para
que:
9.1.1.2. identifiquem os processos críticos
de negócio eformalmente
designem os
responsáveis pelos sistemas de informação que dão
gestores
suporte a esses processos, à semelhança das
orientações da ABNT NBR ISO/IEC 38500;
9.1.1.3. definam e formalizem metas de
governança, como parte do plano diretor
tecnologia da informação da instituição,de
baseadas em parâmetros de governança,
negócio e riscos
necessidades de relevantes, atentando para as
metas legais de cumprimento obrigatório e as
orientações da ABNT NBR ISO/IEC 31000;
 QlJt f

1- VE\\. L ViSÃO ll
l -f o
3- OESE I\J1-1 AR
l.E OEVER

•
9 - l=A!. ER u Usr4
A o wçA •
6-
•
C’est la vie!
 Finis!

danieljezini@gmail.com
twitter: @DanJezini