Arquivos Governança de TI - Página 2 de 6

A Dor Insuportável da Declaração de Apetite a Risco Inefetiva

Geraldo Loureiro Governança de TI COBIT 2019 / conceito de I&T / Governança de TI / Governança de TI no Setor Público 26 de março de 2019 22 de dezembro de 2021

Algumas pessoas me falam que sua organização tem uma Declaração de Apetite a Risco (DAS), mas eles não percebem sua utilidade no dia a dia. Esse sintoma tem nome, chama-se Declaração de Apetite a Risco Inefetiva, e é mais comum do que parece. Fui, há alguns meses, numa grande instituição de Previdência Privada e lá perguntei se eles tinham uma DAS. Sem disfarçar a satisfação, eles prontamente responderam que sim. Ato contínuo, perguntei de que forma a DAS era utilizada nos processos de gestão e governança da organização – silêncio total! Não conseguiram me dar nem um exemplo. Você agora …

Cenário de Risco de Contratação de TI

Geraldo Loureiro Governança de TI / Licitações e Contratos no Setor Público Cenários de riscos / COBIT 2019 / Riscos de Contratação de TI / Riscos de TI no Setor Público 21 de março de 2019 22 de dezembro de 2021

O COBIT 2019 para Risco traz diversos exemplos ilustrativos das 20 categorias de riscos de TI. Um dos que chamou minha atenção foi o “Terceirizado Incapaz de Prover Serviços de TI”. O caso apresentado é o de uma empresa que terceirizou os serviços de TI para um provedor de serviços e, devido à crise, os trabalhadores do terceirizado entraram em greve. O problema é sério, pois os serviços não são prestados e a empresa não consegue acessar seus dados. Vejam os componentes desse Cenário de Risco: Evento: Interrupção dos serviços de TI do terceirizado Tipo de ameaça: Como é uma …

Os Problemas que a Falta de uma Declaração de Apetite a Risco Causa

Geraldo Loureiro Governança de TI Apetite a riscos / Cenários de riscos / Governança de TI / Riscos de TI / setor público 12 de março de 2019 22 de dezembro de 2021

As organizações da APF, com poucas exceções, ainda não perceberam que uma parte considerável dos problemas que vivenciam se deve à falta dessa Declaração. O problema mais acentuado é a falta de uma referência de risco corporativa única. Sem a Declaração, proliferam as interpretações e as percepções dos gestores, em todos os níveis, sobre que níveis de risco são aceitáveis para a organização. Nesse cenário, aparecem decisões locais conflitantes e, aos poucos, o próprio modelo de gestão de riscos corporativo passa a correr perigo, pois a liberdade que os gestores, nos seus feudos, têm para estabelecer esses limites, acaba extrapolando …

Gestão de Riscos em Projetos segundo o PMI

Geraldo Loureiro Governança de TI análise qualitativa de riscos / análise quantitativa de riscos / Gestão de Riscos / gestão de riscos no setor público / PMI / Riscos de TI 25 de fevereiro de 2019 22 de dezembro de 2021

Agrada-me o modelo de gestão de riscos em projetos do PMI. O modelo PIER-C, Plan-Identify-Evaluate-Responses-Control, “cobre todas as bases” e está alinhado à gestão de projetos preconizada pelo PMBoK. Como trata-se de boa prática, tudo se inicia no planejamento, cujo resultado final é o Plano de Gestão de Riscos, que estabelece a metodologia a ser seguida. Em seguida, temos um passo importante que é o da identificação de riscos. Um ponto chave aqui é a criação do Registro de Riscos, que é atualizado em todas as etapas posteriores do processo. Na parte da avaliação (Evaluate), temos uma grata surpresa, pois …

Desenho do Framework do COBIT 2019 para uma Organização do Setor Financeiro

Geraldo Loureiro Governança de TI COBIT 2019 / COBIT 5 / cobit no setor público / Framework cobit / Governança de TI / Governança de TI no Setor Público / Tecnologias da Informação 18 de fevereiro de 2019 11 de novembro de 2024

Nesta semana, finalizei o desenho do framework COBIT 2019 para uma organização aqui de Brasília. Foi uma experiência muito rica, porque me permitiu conhecer melhor o método de desenho proposto. Naturalmente, há muitas oportunidades de melhoria. Entre elas, posso destacar a existência de conceitos com pouca clareza, que acabam gerando discussões intermináveis; o fato do método exigir a participação de uma quantidade significativa de atores (uma hora com o pessoal da TI, outra hora com os membros da alta administração); a necessidade de traduzir para o português a planilha de desenho, pois há colegas que não se sentem à vontade …

O Inter-relacionamento entre Processos COBIT 2019

Geraldo Loureiro Governança de TI 14 de fevereiro de 2019 22 de dezembro de 2021

Como alguns de vocês já sabem, os processos do COBIT 2019 são compostos por subprocessos, denominados práticas. Essas práticas têm entradas vindas de práticas de outros processos e saídas que são enviadas para práticas de outros processos. Essa estrutura cria um verdadeiro emaranhado de fluxos de informação entre os processos, de tal sorte que a qualidade de uma saída passa a depender não só do nível de capacidade do processo, mas também da qualidade das suas entradas. É a velha expressão “garbage in, garbage out” (GIGO), cunhada por George Fuechsel da IBM. Se as entradas de um processo não têm …

O Conceito de I&T do COBIT 2019

Geraldo Loureiro Governança de TI COBIT 2019 / conceito de I&T / Governança de TI / Governança de TI no Setor Público 4 de fevereiro de 2019 22 de dezembro de 2021

Um conceito importante trazido pelo COBIT 2019 é o de Informação e Tecnologia (I&T). A justificativa para esse conceito é o fato do acrônimo TI (Tecnologia da Informação) remeter diretamente para a área de TI, com suas equipes de desenvolvimento de sistemas e produção. O resultado disso é que o termo Governança de TI suscita nas áreas de negócio e na alta administração a ideia de que esse é um tema restrito ao departamento de TI e que não devem se envolver. Por outro lado, I&T remete à informação e à tecnologia empregada para tratar e gerenciar essa informação. Ora, …

A importância do componente Implementação

Geraldo Loureiro Governança de TI 28 de janeiro de 2019 22 de dezembro de 2021

“Dentre os cinco componentes da Estrutura, gostaria de enfatizar a importância do componente Implementação. Como todos nós sabemos, a implementação bem-sucedida de uma rotina ou de um projeto depende da conscientização e engajamento das partes interessadas. Isso é explicitado de forma clara tanto no PMBoK 6 quanto na ISO 31.000:2018. Entretanto, para minha tristeza, não encontro a atividade ENGAJAMENTO E CONSCIENTIZAÇÃO DAS PARTES INTERESSADAS contemplada em nenhum dos processos/sistemas de gestão de riscos das organizações do setor público brasileiro. Perde-se muito com isso, pois, dessa forma, não haverá uma gestão contínua das necessidades das partes interessadas (tão volúveis!), gerando problemas …

Afinal, o que é Cultura de Risco?

Geraldo Loureiro Governança de TI COBIT 2019 / Coso / gerenciamento de Riscos / Governança de TI / Governança de TI no Setor Público / riscos no setor público 28 de janeiro de 2019 22 de dezembro de 2021

Nas minhas andanças nas instituições financeiras, sempre escuto: “precisamos melhorar nossa cultura de risco”, mas, o interessante é que a conversa não vai além disso. Insatisfeito com esse estado de coisas, recorri à Resolução 4557/17 do BACEN que aborda o tema e lá encontrei: “X – relatórios gerenciais (…), versando sobre: e) grau de disseminação da cultura de gerenciamento de riscos no âmbito da instituição;” e “Art. 48. Compete ao conselho de administração (…): VII – promover a disseminação da cultura de gerenciamento de riscos na instituição;” Para ser franco com vocês, desconheço o que seja grau de disseminação da …

O COBIT 2019 e o Dilema entre Personalizar e Comparar

Geraldo Loureiro Governança de TI COBIT 2019 / governança / Governança de TI / Governança de TI no Setor Público / isaca / setor público 28 de janeiro de 2019 11 de novembro de 2024

A característica mais importante do COBIT 2019 é a possibilidade de as organizações poderem personalizar seus frameworks de governança e gestão de TI. O COBIT 2019 Design Guide mostra como realizar essa personalização, que leva em consideração a estratégia corporativa, o perfil de risco da organização, questões-chave de Informação & Tecnologia (I&T) específicas da organização, entre diversos outros aspectos.