O Fator de Desenho 9 do COBIT 2019

Esse Fator trata dos métodos de implementação de TI: Ágil, DevOps e Tradicional. No desenho do framework, a organização deverá definir os percentuais de cada um desses métodos. No mês passado, fiz o desenho do framework COBIT 2019 para uma empresa de Brasília e os resultados foram: Ágil – 60%, DevOps – 20% e Tradicional – 20%. Fiquei satisfeito com o resultado, pois mostrou que a empresa está atualizada em relação às técnicas mais modernas de implementação de TI. O percentual baixo de DevOps justifica-se pelo modelo operacional adotado. A propósito, na Figura 4.7 do COBIT 2019 Design Guide, aparece …

O COBIT 2019 e as Categorias de Riscos de TI

O Fator de Desenho 3 trata do perfil de risco da organização. A planilha disponibilizada pela ISACA em (https://www.isaca.org/bookstore/bookstore-cobit_19-digital/wcb19dgd.) demanda do gestor a definição da probabilidade e do impacto de 24 categorias de risco de TI. Entretanto, isso não é trivial, porque cada categoria envolve uma coleção de riscos relacionados, cada um destes com sua própria probabilidade e impacto (veja em Cenários de risco – Usando o COBIT 5 para Risco, ISACA, 2018). No meu entendimento, a maneira correta de fazer isso é, primeiro, identificar todos os riscos de uma determinada categoria, depois, fazer uma análise qualitativa seguida de uma …

Framework de Governança do Risco do IRGC

O IRGC (International Risk Governance Council) desenvolveu um framework abrangente, genérico e adaptável para a governança de risco. O framework do IRGC provê orientações para identificação e tratamento de riscos, abordando, também, recomendações sobre como estruturar, categorizar, avaliar, gerenciar e comunicar importantes questões de risco, muitas vezes marcadas por complexidades, incertezas e ambiguidades. O framework compreende quatro elementos interligados e três aspectos transversais: Pré-avaliação -identificação e estruturação. Avaliação – avaliar as causas e consequências técnicas e percebidas do risco. Caracterização e priorização – fazer um julgamento sobre o risco e a necessidade de gerenciá-lo. Gestão – implementar opções de gerenciamento …

A Dor Insuportável da Declaração de Apetite a Risco Inefetiva

Algumas pessoas me falam que sua organização tem uma Declaração de Apetite a Risco (DAS), mas eles não percebem sua utilidade no dia a dia. Esse sintoma tem nome, chama-se Declaração de Apetite a Risco Inefetiva, e é mais comum do que parece. Fui, há alguns meses, numa grande instituição de Previdência Privada e lá perguntei se eles tinham uma DAS. Sem disfarçar a satisfação, eles prontamente responderam que sim. Ato contínuo, perguntei de que forma a DAS era utilizada nos processos de gestão e governança da organização – silêncio total! Não conseguiram me dar nem um exemplo. Você agora …

Os Problemas que a Falta de uma Declaração de Apetite a Risco Causa

As organizações da APF, com poucas exceções, ainda não perceberam que uma parte considerável dos problemas que vivenciam se deve à falta dessa Declaração. O problema mais acentuado é a falta de uma referência de risco corporativa única. Sem a Declaração, proliferam as interpretações e as percepções dos gestores, em todos os níveis, sobre que níveis de risco são aceitáveis para a organização. Nesse cenário, aparecem decisões locais conflitantes e, aos poucos, o próprio modelo de gestão de riscos corporativo passa a correr perigo, pois a liberdade que os gestores, nos seus feudos, têm para estabelecer esses limites, acaba extrapolando …

Desenho do Framework do COBIT 2019 para uma Organização do Setor Financeiro

Nesta semana, finalizei o desenho do framework COBIT 2019 para uma organização aqui de Brasília. Foi uma experiência muito rica, porque me permitiu conhecer melhor o método de desenho proposto. Naturalmente, há muitas oportunidades de melhoria. Entre elas, posso destacar a existência de conceitos com pouca clareza, que acabam gerando discussões intermináveis; o fato do método exigir a participação de uma quantidade significativa de atores (uma hora com o pessoal da TI, outra hora com os membros da alta administração); a necessidade de traduzir para o português a planilha de desenho, pois há colegas que não se sentem à vontade …

O Conceito de I&T do COBIT 2019

Um conceito importante trazido pelo COBIT 2019 é o de Informação e Tecnologia (I&T). A justificativa para esse conceito é o fato do acrônimo TI (Tecnologia da Informação) remeter diretamente para a área de TI, com suas equipes de desenvolvimento de sistemas e produção. O resultado disso é que o termo Governança de TI suscita nas áreas de negócio e na alta administração a ideia de que esse é um tema restrito ao departamento de TI e que não devem se envolver. Por outro lado, I&T remete à informação e à tecnologia empregada para tratar e gerenciar essa informação. Ora, …

Afinal, o que é Cultura de Risco?

Nas minhas andanças nas instituições financeiras, sempre escuto: “precisamos melhorar nossa cultura de risco”, mas, o interessante é que a conversa não vai além disso. Insatisfeito com esse estado de coisas, recorri à Resolução 4557/17 do BACEN que aborda o tema e lá encontrei: “X – relatórios gerenciais (…), versando sobre: e) grau de disseminação da cultura de gerenciamento de riscos no âmbito da instituição;” e “Art. 48. Compete ao conselho de administração (…): VII – promover a disseminação da cultura de gerenciamento de riscos na instituição;” Para ser franco com vocês, desconheço o que seja grau de disseminação da …

O COBIT 2019 e o Dilema entre Personalizar e Comparar

A característica mais importante do COBIT 2019 é a possibilidade de as organizações poderem personalizar seus frameworks de governança e gestão de TI. O COBIT 2019 Design Guide mostra como realizar essa personalização, que leva em consideração a estratégia corporativa, o perfil de risco da organização, questões-chave de Informação & Tecnologia (I&T) específicas da organização, entre diversos outros aspectos.

Geraldo Loureiro, 2010

Título: Diretrizes para implantação da governança de TI no setor público brasileiro à luz da teoria institucional. In: Tipo documento: Dissertação de Mestrado Autor(es): José Geraldo Loureiro Rodrigues (Geraldo Loureiro) Ano: 2010 Local: https://forum.ibgp.net.br/wp-content/uploads/2017/04/Diretrizes_Implantacao_Governanca_TI_Setor_Publico-1.pdf  Palavras-Chave: Governança Pública, Governança de TI, Gestão de TI, Teoria Institucional, Teoria de Agência, Diferença Setor Público e Setor Privado Resumo: A área de TI tem se tornado crucial no suporte, sustentabilidade e crescimento dos negócios. Porém, o uso pervasivo de tecnologia tem criado uma dependência crítica das organizações à área de TI, requerendo foco estreito com a Governança de TI (GTI). Apesar das determinações dos órgãos de controle interno e externo …