O FACIN na prática com o Projeto GEO - Parte 11

No post anterior abordamos o detalhamento dos Padrões e Modelos de Referência com a aplicação da dinâmica de Análise de Cenário utilizada na Oficina FACIN-ABEP, realizada pelo Serpro em parceria com a Associação Brasileira de Entidades Estaduais de Tecnologia da Informação e Comunicação (ABEP).

A dinâmica compreende as atividades de identificação do problema, modelagem, análise e construção dos cenários atual e proposto (solução do problema).

Na PRODEMGE o cenário utilizado foi a implantação de uma solução corporativa de geoprocessamento no Estado de Minas Gerais, aqui identificada apenas como Projeto GEO, podendo ser acessada no Portal de Geoprocessamento. 

Nesta última postagem da série abordaremos o detalhamento da visão Governança, Riscos e Conformidade (GRC) do Projeto GEO utilizando o Frameworkde Arquitetura Corporativa para Interoperabilidade no Apoio à Governança (FACIN), conforme figura 1.

 

Figura 1: Detalhamento da visão Governança, Riscos e Conformidade do Projeto GEO

        2. 

Navegue aqui pelas visões do projeto com um click nas views e explore os elementos de cada modelo!

A figura 2 apresenta uma Visão da Arquitetura da Solução de Geoprocessamento com a definição das etapas de condução do entendimento e as orientações das visões de Motivação e Estratégia do cenário.

Foram identificados os princípios que devem ser seguidos e os objetivos que precisam ser atendidos, levando-se em consideração as restrições orçamentárias e de contratação de equipe no atendimento dos objetivos.

  

Figura 2: Visão da Arquitetura da Solução GEO

A capacidade de negócios pode ser algo que existe hoje ou algo necessário no estado futuro, com a intenção de permitir uma nova direção ou estratégia, dentre elas destacamos os recursos de infraestrutura e pessoas que sustentarão a solução IDE GEO e o modelo de referência adotado para manter as equipes adequadas, produtivas e capacitadas para a condução do projeto.

A visão GRC descreve as capacidades organizacionais, estabelece os controles necessários para o atingimento dos objetivos estratégicos, considera os riscos e mantém a conformidade com requisitos estabelecidos de acordo com a figura 3.

  

Figura 3: Visão dos principais requisitos do Projeto GEO

Os requisitos que precisam ser atendidos para realizar os objetivos são:

·       Permissão de acesso às bases de dados geoespaciais - Decreto 47.269

·       Permissão do Governo para plataforma ser na Prodemge

·       Criar um ambiente integrado de dados geoespaciais

·       Criar uma infraestrutura centralizada de dados geoespaciais

·       Padronizar os serviços geoprocessados

O modelo de medição com as medidas e metas de desempenho estabelece uma comparação entre o desempenho esperado e o apresentado, mapeado através dos indicadores da figura 4.

Figura 4: Visão dos indicadores de governança do Projeto GEO

O Modelo de Referência de GRC do FACIN diz:

As organizações governamentais têm sido cada vez mais demandadas por mais controle, monitoramento e transparência nas ações de planejamento e gestão. Essas ações passam por realizar, em paralelo, uma efetiva gestão sobre incertezas nos resultados que se pretende alcançar, alinhado a conformidade com leis, regulamentações, políticas e padrões estabelecidos.

Para endereçar esse desafio, as organizações têm recorrido a modelos que integrem as ações de Governança, Gestão de Riscos e Gestão de Conformidades como forma de unificação dos interesses comuns e conciliação de interesses opostos de cada uma destas disciplinas. O termo GRC (Governança, Riscos e Conformidade) diz respeito à integração dos processos dentro de uma organização, fazendo com que a estratégia de negócios aconteça de forma unificada e transparente, com a devida avaliação de riscos e a garantia de conformidade com as leis, regulamentações, políticas e padrões.

A figura 5 ilustra as incertezas identificadas no projeto e a integração com a Política de Segurança, COBIT 5 e o COSO II detalhado a seguir.

Figura 5: Figura 5: Visão dos riscos envolvidos no Projeto GEO

O COSO (Committee of Sponsoring Organizations of the Treadway Commission) iniciou em 2001 um projeto com a finalidade de intensificar o gerenciamento de riscos, figura 6, capaz de identificar, avaliar e administrar riscos, pois  

a necessidade de uma estrutura de gerenciamento de riscos corporativos, capaz de fornecer os princípios e conceitos fundamentais, com uma linguagem comum, direcionamento e orientação claros, tornou-se ainda mais necessária. O COSO é da opinião que a obra “Gerenciamento de Riscos Corporativos – Estrutura Integrada” vem para preencher essa lacuna e espera que ela seja amplamente adotada pelas empresas e por outras organizações, bem como por todas as partes interessadas.

Figura 6: Visão da governança baseada no COSO II

O gerenciamento de riscos corporativos é constituído pelos seguintes componentes interrelacionados:

·       Ambiente Interno – o ambiente interno compreende o tom de uma organização e fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em que estes estão.

·       Fixação de Objetivos – os objetivos devem existir antes que a administração possa identificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento de riscos corporativos assegura que a administração disponha de um processo implementado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos.

·       Identificação de Eventos – os eventos internos e externos que influenciam o cumprimento dos objetivos de uma organização devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos de estabelecimento de estratégias da administração ou de seus objetivos.

·       Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual deverão ser administrados. Esses riscos são avaliados quanto à sua condição de inerentes e residuais.

·       Resposta a Risco – a administração escolhe as respostas aos riscos - evitando, aceitando, reduzindo ou compartilhando - desenvolvendo uma série de medidas para alinhar os riscos com a tolerância e com o apetite a risco.

·       Atividades de Controle – políticas e procedimentos são estabelecidos e implementados para assegurar que as respostas aos riscos sejam executadas com eficácia.

·       Informações e Comunicações – as informações relevantes são identificadas, colhidas e comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos níveis da organização.

·       Monitoramento – a integridade da gestão de riscos corporativos é monitorada e são feitas as modificações necessárias. O monitoramento é realizado através de atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas. A rigor, o gerenciamento de riscos corporativos não é um processo em série pelo qual um componente afeta apenas o próximo. É um processo multidirecional e interativo segundo o qual quase todos os componentes influenciam os outros.

O modelo proposto utiliza-se de dois componentes: elementos e relacionamentos, descritos na tabela 1. As cores dos elementos representam as camadas do ArchiMate e sua respectiva correspondência com o TOGAF.

Tabela 1: Elementos e Relacionamentos da visão Padrões e Modelos de Referência

 

Fonte: ArchiMate 3.0 – Um Guia de Bolso

Acesse aqui o detalhamento completo da aplicação da dinâmica de Análise de Cenário, apresentada na Oficina ABEP-FACIN e utilizada pela PRODEMGE, para implantar uma solução corporativa de geoprocessamento no Estado de Minas Gerais, utilizando o FACIN.

Autores: Ademilson Monteiro, Antonio Plais, Guttenberg Ferreira Passos, Leonardo Grandinetti Chaves e Sandro Laudares