No Art. 38 da Seção IV da IN 1, são descritos os procedimentos a serem seguidos na gestão de riscos de contratações de TIC.

Logo no § 1º desse artigo demanda-se a criação de um tal Mapa de Gerenciamento de Riscos, que deverá conter, no mínimo, identificação e análise dos principais riscos, avaliação e seleção de respostas, e registro e acompanhamento do tratamento. Ora, na literatura, isso tem nome e chama-se Registro de Riscos (RR). No entanto, essa inovação não ofende.

No inciso I, há uma recomendação muito preocupante. Aqui demanda-se a identificação e análise, apenas, dos principais riscos. Isso não é boa prática e é muito perigoso, pois, riscos que, hoje, não são severos não serão registrados. Entretanto, como todos nós sabemos, riscos são dinâmicos, emergem do nada e mudam constantemente suas características. Nesse caso, a literatura recomenda que seja criada uma “Urgent List” para os riscos principais e uma “Watch List” para os riscos inexpressivos, mas NINGUÉM recomenda apagar os riscos inexpressivos de hoje.

Continua na Parte II. Até a próxima semana.

Dr. João Souza Neto
Professor do IBGP no Curso “Análise Qualitativa e Quantitativa de Riscos de TI”.

SAIBA MAIS +