Resolvendo a prova discursiva do Tribunal de Contas do Estado de Goiás – Parte 2

Faaaaaala seus lindos!!! Tudo bem com vocês?

Vamos continuar falando sobre COBIT 2019 e Gestão de Riscos, temas que são frequentemente cobrados em provas. Como já comentado, pensou Gestão e Governança, pode pensar sobre Gestão de Riscos.

E para impulsionar o estudo desse tema tão relevante, vamos continuar comentando a prova discursiva aplicada no concurso do Tribunal de Contas do Estado de Goias aplicada pela FGV. Na Parte 1, exporamos os itens 1 e 2 da prova, e nessa parte 2, faremos os itens 3 e 4.

Vejamos o enunciado: 

A QuimioBR, uma empresa pública voltada para a gestão de recursos naturais, observou uma resposta rápida e inesperada da concorrência frente às mudanças operacionais implementadas. Recentemente, para reduzir custos, a empresa adotou a terceirização de pessoal e consolidou várias funções de diferentes departamentos sob uma única gerência. Essas mudanças trouxeram problemas recorrentes relacionados à terceirização e à gestão de pessoal de TI, levando a diretoria a demandar uma solução imediata.

Você, como executivo designado, deve elaborar um plano utilizando o framework COBIT para reformular as práticas de gerenciamento de risco e a estrutura organizacional, visando aprimorar a gestão das responsabilidades de TI.

Redija seu plano em um texto abordando:

1. Diagnóstico Inicial: Identifique os principais riscos associados à atual estrutura de TI da QuimioBR;

2. Gestão de Mudanças Organizacionais: Proponha uma abordagem para gerenciar as mudanças organizacionais necessárias;

3. Programa de Gestão de Riscos de TI: Descreva a estrutura de um programa de gestão de riscos de TI customizado para as necessidades da empresa;

4. Implementação e Avaliação: Especifique as etapas para implementar as mudanças sugeridas, incluindo indicadores de desempenho para avaliar essas práticas.

Vamos dividir para conquistar!!

O item 3 agora pede para o candidato descrever a estrutura de um programa de gestão de riscos de TI customizado para as necessidades da empresa;

O Cobit 2019 trata sobre riscos em dois momentos: 

No nível de governança, o objetivo EDM03 – Otimização de Riscos assegurada, que visa garantir que o risco empresarial relacionado à TI não exceda o apetite ao risco e a tolerância ao risco da empresa, o impacto do risco de TI no valor da empresa seja identificado e gerenciado e o potencial de falhas de conformidade seja minimizado.

Já no nível de gestão, o objetivo APO12 – Riscos Gerenciados visa identificar, avaliar e reduzir continuamente o risco relacionado à TI, dentro dos níveis de tolerância estabelecidos pela gerência executiva da empresa.

E explorando esse objetivo de gestão, podemos definir uma estrutura para um programa de gestão de riscos de TI, adotando às práticas de gestão relacionadas ao objetivo APO12.

APO12.01 Coletar dados – Identificar e coletar dados relevantes para permitir a identificação, análise e relatórios eficazes de riscos relacionados à TI.

APO12.02 Analisar risco – Desenvolver uma visão fundamentada sobre o risco real de TI, em apoio às decisões de risco.

APO12.03 Manter um perfil de risco – Manter um inventário de atributos de risco e risco conhecidos, incluindo frequência esperada, impacto potencial e respostas. Documente recursos, capacidades e atividades de controle atuais relacionadas a itens de risco.

APO12.04 Risco articulado – Comunicar informações sobre o estado atual das exposições e oportunidades relacionadas à TI, em tempo hábil, a todas as partes interessadas necessárias para uma resposta apropriada.

APO12.05 Definir uma carteira de ações de gerenciamento de riscos – Gerenciar oportunidades para reduzir o risco a um nível aceitável como portfólio.

APO12.06 Responder ao risco – Responder em tempo hábil a eventos de risco materializados com medidas efetivas para limitar a magnitude da perda.

Por fim, o item 4 solicita que o candidato especifique as etapas para implementar as mudanças sugeridas, incluindo indicadores de desempenho para avaliar essas práticas.

Para isso podemos exporar o objetivo de gestão BAI07 — Aceitação e transição de mudanças de TI gerenciadas, que visa implementar soluções com segurança e em linha com as expectativas e resultados acordados.

E como as etapas, podemos utilizar as práticas de Gerenciamento relacionadas ao objetivo:

BAI07.01 Estabelecer um plano de implementação, que abranja a conversão de sistemas e dados, critérios de teste de aceitação, comunicação, treinamento, preparação de lançamento, promoção à produção, suporte inicial à produção, um plano de fallback/back-up e uma revisão pós-implementação. Obter aprovação das partes relevantes. Como métrica, pode ser utilizado o número e categoria de partes interessadas que assinam o plano de execução e o número de planos de implementação robustos e que contêm todos os requisitos necessários

BAI07.02 Planejar processos de negócios, sistema e conversão de dados usando trilhas de auditoria e um plano de recuperação caso a migração falhe. Como métricas pode ser adotada a o percentual de conversão bem-sucedida ou o percentual de ajustes necessários feitos nos procedimentos (incluindo funções e responsabilidades revisadas e procedimentos de controle)

BAI07.03 Testes de aceitação do plano, aprovado pelas partes interessadas relevantes, com base em padrões de toda a empresa que definem funções, responsabilidades e critérios de entrada e saída. Como métricas podemos utilizar o percentual de partes interessadas satisfeitas com a completude do processo de teste e o número de planos de teste documentados que incluem todas as fases de teste e cenários de teste robustos e são apropriados aos requisitos operacionais e ao ambiente. 

BAI07.04 Estabeleça um ambiente de teste seguro representativo do processo de negócios planejado e do ambiente de operações de TI em termos de desempenho, capacidade, segurança, controles internos, práticas operacionais, qualidade de dados, requisitos de privacidade e cargas de trabalho. Como métricas podemos utilizar o nível de comparabilidade entre o ambiente de teste e o futuro cenário operacional e de negócios e o nível de dados de teste (e/ou bancos de dados) higienizados que são representativos 

BAI07.05 Realizar testes de aceitação de acordo com o plano de teste definido, antes da migração para o ambiente operacional ativo. Como métricas podemos utilizar o número de lacunas identificadas entre os resultados dos testes de aceitação e os critérios de sucesso definidos ou o número de testes de aceitação bem-sucedidos

BAI07.06 Promover a produção e gerenciar lançamentos, executando a solução como uma implementação piloto ou em paralelo com a solução antiga por um período definido e compare o comportamento e os resultados. Deve-se gerenciar as versões de componentes da solução, para que em caso de problemas significativos, o ambiente possa ser revertido ao original com base no plano de fallback/backup. As métricas utilizadas podem ser o número e porcentagem de lançamentos não prontos para lançamento dentro do cronograma e a porcentagem de satisfação das partes interessadas com a implementação da solução.

BAI07.07 Fornecer suporte de produção antecipada por um período de tempo acordado, fornecendo suporte antecipado aos usuários e operações de TI para resolver problemas e ajudar a estabilizar a nova solução. As métricas utilizadas podem ser o número de recursos adicionais do sistema de TI fornecidos para suporte e o número de recursos humanos adicionais fornecidos para suporte.

BAI07.08 Realizar uma revisão pós-implementação para avaliar o desempenho real e os resultados do serviço novo ou alterado em relação desempenho esperado e resultados antecipados pelo usuário ou cliente. As métricas utilizadas podem ser o número e porcentagem de análises de causa raiz concluídas e o número ou porcentagem de lançamentos que não conseguem se estabilizar dentro de um período aceitável, ou ainda o percentual de lançamentos que causam tempo de inatividade

E ai, vocês já tinham se aprofundado no COBIT 2019? As provas estão cobrando esse framework cada vez mais profundamente, e por isso nosso treinamento de COBIT 2019 completão aborda tanto a parte mais básica, quanto temas mais avançados, como esse.

Assim, poderíamos responder os itens 3 e 4 dessa prova. Na parte 1, já fizemos a resolução dos itens 1 e 2. É só ir para o artigo anterior😊

E antes que eu me esqueça!! Temos um curso completo de PMBOK 7ª edição, ITIL 4, sempre com muitas questões que nos ajudam a compreender como as bancas cobram o conteúdo! 

Bora estudar!!

Um grande abraço!!

Professor Darlan Venturelli