O Fator de Desenho 9 do COBIT 2019

Esse Fator trata dos métodos de implementação de TI: Ágil, DevOps e Tradicional. No desenho do framework, a organização deverá definir os percentuais de cada um desses métodos. No mês passado, fiz o desenho do framework COBIT 2019 para uma empresa de Brasília e os resultados foram: Ágil – 60%, DevOps – 20% e Tradicional – 20%. Fiquei satisfeito com o resultado, pois mostrou que a empresa está atualizada em relação às técnicas mais modernas de implementação de TI. O percentual baixo de DevOps justifica-se pelo modelo operacional adotado. A propósito, na Figura 4.7 do COBIT 2019 Design Guide, aparece …

O COBIT 2019 e as Categorias de Riscos de TI

O Fator de Desenho 3 trata do perfil de risco da organização. A planilha disponibilizada pela ISACA em (www.isaca.org/COBIT/Pages/COBIT-2019-Design-Guide.aspx.) demanda do gestor a definição da probabilidade e do impacto de 24 categorias de risco de TI. Entretanto, isso não é trivial, porque cada categoria envolve uma coleção de riscos relacionados, cada um destes com sua própria probabilidade e impacto (veja em Cenários de risco – Usando o COBIT 5 para Risco, ISACA, 2018). No meu entendimento, a maneira correta de fazer isso é, primeiro, identificar todos os riscos de uma determinada categoria, depois, fazer uma análise qualitativa seguida de uma …

A Dor Insuportável da Declaração de Apetite a Risco Inefetiva

Algumas pessoas me falam que sua organização tem uma Declaração de Apetite a Risco (DAS), mas eles não percebem sua utilidade no dia a dia. Esse sintoma tem nome, chama-se Declaração de Apetite a Risco Inefetiva, e é mais comum do que parece. Fui, há alguns meses, numa grande instituição de Previdência Privada e lá perguntei se eles tinham uma DAS. Sem disfarçar a satisfação, eles prontamente responderam que sim. Ato contínuo, perguntei de que forma a DAS era utilizada nos processos de gestão e governança da organização – silêncio total! Não conseguiram me dar nem um exemplo. Você agora …

Cenário de Risco de Contratação de TI

O COBIT 2019 para Risco traz diversos exemplos ilustrativos das 20 categorias de riscos de TI. Um dos que chamou minha atenção foi o “Terceirizado Incapaz de Prover Serviços de TI”. O caso apresentado é o de uma empresa que terceirizou os serviços de TI para um provedor de serviços e, devido à crise, os trabalhadores do terceirizado entraram em greve. O problema é sério, pois os serviços não são prestados e a empresa não consegue acessar seus dados. Vejam os componentes desse Cenário de Risco: Evento: Interrupção dos serviços de TI do terceirizado Tipo de ameaça: Como é uma …

Desenho do Framework do COBIT 2019 para uma Organização do Setor Financeiro

Nesta semana, finalizei o desenho do framework COBIT 2019 para uma organização aqui de Brasília. Foi uma experiência muito rica, porque me permitiu conhecer melhor o método de desenho proposto. Naturalmente, há muitas oportunidades de melhoria. Entre elas, posso destacar a existência de conceitos com pouca clareza, que acabam gerando discussões intermináveis; o fato do método exigir a participação de uma quantidade significativa de atores (uma hora com o pessoal da TI, outra hora com os membros da alta administração); a necessidade de traduzir para o português a planilha de desenho, pois há colegas que não se sentem à vontade …

O Conceito de I&T do COBIT 2019

Um conceito importante trazido pelo COBIT 2019 é o de Informação e Tecnologia (I&T). A justificativa para esse conceito é o fato do acrônimo TI (Tecnologia da Informação) remeter diretamente para a área de TI, com suas equipes de desenvolvimento de sistemas e produção. O resultado disso é que o termo Governança de TI suscita nas áreas de negócio e na alta administração a ideia de que esse é um tema restrito ao departamento de TI e que não devem se envolver. Por outro lado, I&T remete à informação e à tecnologia empregada para tratar e gerenciar essa informação. Ora, …

Afinal, o que é Cultura de Risco?

Nas minhas andanças nas instituições financeiras, sempre escuto: “precisamos melhorar nossa cultura de risco”, mas, o interessante é que a conversa não vai além disso. Insatisfeito com esse estado de coisas, recorri à Resolução 4557/17 do BACEN que aborda o tema e lá encontrei: “X – relatórios gerenciais (…), versando sobre: e) grau de disseminação da cultura de gerenciamento de riscos no âmbito da instituição;” e “Art. 48. Compete ao conselho de administração (…): VII – promover a disseminação da cultura de gerenciamento de riscos na instituição;” Para ser franco com vocês, desconheço o que seja grau de disseminação da …

O COBIT 2019 e o Dilema entre Personalizar e Comparar

A característica mais importante do COBIT 2019 é a possibilidade de as organizações poderem personalizar seus frameworks de governança e gestão de TI. O COBIT 2019 Design Guide mostra como realizar essa personalização, que leva em consideração a estratégia corporativa, o perfil de risco da organização, questões-chave de Informação & Tecnologia (I&T) específicas da organização, entre diversos outros aspectos.