Um guia de apoio à implantação da norma ISO 31000 para gestão de riscos em processos de TI: um estudo de caso IFTO

SOUZA, Daniel Félix de

09 December 2016

Submitted by Fabio Sobreira Campos da Costa (fabio.sobreira@ufpe.br) on 2017-08-23T12:36:43Z No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) Daniel_Felix_Souza_Versao_Final.pdf: 1840427 bytes, checksum: 48809bf9e2f28c62b0d6b33620e3b6c4 (MD5) / Made available in DSpace on 2017-08-23T12:36:43Z (GMT). No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) Daniel_Felix_Souza_Versao_Final.pdf: 1840427 bytes, checksum: 48809bf9e2f28c62b0d6b33620e3b6c4 (MD5) Previous issue date: 2016-12-09 / O aumento da demanda de soluções que aperfeiçoem os serviços oferecidos pelo governo à sociedade de maneira ágil e econômica, faz com que cresça o número de atividades críticas de TI (tecnologia da informação) que precisam ser gerenciadas. Logo, é um desafio para as organizações controlar estes processos de forma que sejam priorizadas e adequadamente gerenciadas as atividades que podem causar algum tipo de prejuízo. Nesse sentido, existem modelos de gestão de riscos que possibilitam um gerenciamento equilibrado dessas demandas levando em consideração as necessidades de cada organização. A implantação destes modelos é um grande desafio, pois em geral eles auxiliam a gestão de riscos apresentando “o que” e não “como” fazer. Assim, esta dissertação tem como objetivo propor um guia para apoiar a implantação da norma ISO 31000 (ABNT, 2009) para gerenciar riscos em processos de TI. Para a escolha dessa norma como referência desta pesquisa, foram comparados três modelos de gestão de riscos e sua relevância alcançou melhores resultados para proposta deste trabalho. Um estudo de caso foi realizado em uma organização pública com experiência na gestão de riscos corporativas. Ele teve a finalidade de identificar objetivos e características que um guia precisa satisfazer para apoiar a implantação de um modelo para gestão de riscos em processos de TI. Para obter tais informações, foram realizados grupos focais e entrevistas com especialistas da área gestão de riscos corporativa e de TI. A partir dos resultados do estudo, foi proposto um guia dividido em seis fases e duas atividades com exemplos práticos, para facilitar seu entendimento e aplicação. A avaliação do guia foi realizada por meio de uma pesquisa survey de natureza qualitativa, com a participação de sete gestores com formação em TI. Como resultado da avaliação do guia, constatou-se que o guia proposto contribui para apoiar a implantação de um modelo para gestão de riscos em processos de TI em organizações públicas, baseado em uma norma específica para este contexto. / The increase of the demand on solutions that improve the services that are offered by the government to the community in a fast and economical way increases the number of critical IT (information technology) activities which need to be managed. Therefore, it is a challenge for organizations to be able to control these processes in such a way that the activities that may cause any kind of detriment are prioritized and properly managed. In this sense, risk management models enable a balanced handling of those demands, taking into account the needs of each organization. The implementation of those models is a difficult task, because generally risk management models present “what” and not “how” to do. Thus, this dissertation has the goal to propose a guideline to support the implementation of the norm ISO 31000 (ABNT, 2009) to manage risks in IT processes. For a choice of this standard as reference for the research, three models of risk management were compared and their relevance achieved better results for the proposal of this work. A case study was carried out in a public organization with experience in corporative risk management. The goal of the study was to identify the objectives and characteristics that a guideline needs to have in order to support the implementation of a model for risk management in IT processes. Focus groups and interviews with experts in corporative risk management and IT fields were conducted to obtain such information. From the study results, we proposed a guide divided into six phases and two activities, with practical examples to facilitate its understanding and application. The guide assessment was performed through a survey of qualitative nature, with the participation of eight managers with IT expertise. As the outcome of the guide evaluation, it was verified that the proposed guide contributes to support the implementation of a model for managing risks in IT processes in public organizations, based on a specific standard for this context.

Gestão de Riscos

Processos de TI

Guia de apoio à implantação

ISO 31000:2009

Gestão de processos de ti: estudo empírico em uma instituição pública

Silva, Regina Ferreira da

23 May 2015

Submitted by Joana Azevedo (joanad@id.uff.br) on 2017-08-03T19:59:53Z No. of bitstreams: 1 Dissert Regina Ferreira da Silva.pdf: 1484473 bytes, checksum: bb52766fba7f073e4f52167e714c300e (MD5) / Approved for entry into archive by Biblioteca da Escola de Engenharia (bee@ndc.uff.br) on 2017-08-24T14:08:28Z (GMT) No. of bitstreams: 1 Dissert Regina Ferreira da Silva.pdf: 1484473 bytes, checksum: bb52766fba7f073e4f52167e714c300e (MD5) / Made available in DSpace on 2017-08-24T14:08:28Z (GMT). No. of bitstreams: 1 Dissert Regina Ferreira da Silva.pdf: 1484473 bytes, checksum: bb52766fba7f073e4f52167e714c300e (MD5) Previous issue date: 2015-05-23 / A maioria das organizações, públicas e privadas, tem buscado a melhoria dos serviços oferecidos pelas áreas de TI, por meio da utilização de metodologias e de boas práticas de Gestão de Processos de Tecnologia da Informação, visando o alcance de seus objetivos estratégicos. Esta dissertação objetivou identificar os principais aspectos da Gestão de Processos de TI no setor público. Para isto, realizou-se uma revisão da literatura, apoiada em um estudo bibliométrico sobre as principais ferramentas e modelos relacionados ao tema, tais como o COBIT, ITIL e PMBOK. Com base nesses conceitos, foi desenvolvido um método para levantamento e priorização dos processos mais relevantes de TI em uma organização pública que pode ser adotado e utilizado por qualquer empresa. Concluiu-se que as organizações com os seus serviços, principalmente os de TI, precisam adotar melhores práticas de gestão de processos, de modo que possam alcançar melhores resultados. Recomenda-se, portanto, a utilização do COBIT 5 que apresenta melhores práticas de governança de gestão corporativa de TI reconhecido internacionalmente, e que define os processos de gestão que podem ser implantados, utilizando práticas e modelos de gestão de processos específicos. / Most organizations, public and private, has sought to improve the services offered by IT departments, through the use of methodologies and best practices Management Processes Information Technology, aimed at achieving its strategic objectives. This research aimed to identify the main aspects of IT process management in the public sector. For this, we carried out a literature review, based on a bibliometric study of the key tools and models related to the topic, such as COBIT, ITIL and PMBOK. Based on these principles, it developed a method to survey and prioritization of the most important IT processes in a public organization that can be adopted and used by any company. It was concluded that organizations with their services, mainly IT, processes need to adopt best management practices, so that they can achieve better results. It is recommended, therefore, the use of COBIT 5 that shows better corporate management IT governance practices internationally recognized, and that defines the management processes that can be deployed using practical and specific process management models.

Governança de TI

Gestão de processos de TI

ITIL

COBIT

Tecnologia da informação

Governança corporativa

IT governance

IT process management

Análise de processos de controles internos e de TI no requisito de conformidade da governança corporativa: estudo de Caso SESCOOP/RS

Daronco, José Máximo

25 April 2013

Submitted by Nara Lays Domingues Viana Oliveira (naradv) on 2015-06-18T18:35:02Z No. of bitstreams: 1 josemaximo.pdf: 1274434 bytes, checksum: 0e93483599c366fda03ccb17a754776b (MD5) / Made available in DSpace on 2015-06-18T18:35:02Z (GMT). No. of bitstreams: 1 josemaximo.pdf: 1274434 bytes, checksum: 0e93483599c366fda03ccb17a754776b (MD5) Previous issue date: 2013-04-25 / SESCOOP/RS - Serviço Nacional de Aprendizagem do Cooperativismo do Estado do Rio Grande do Sul / A adoção de boas práticas de governança corporativa tem beneficiado organizações públicas e privadas. Nesse sentido as entidades paraestatais, modelo jurídico objeto desta pesquisa, são instigadas a seguir as boas práticas de gestão e a adotar estruturas de governança para estabelecer, avaliar e monitorar a eficácia dos controles internos. Assim, cumprem com a conformidade exigida quanto aos aspectos da prestação de contas e da transparência. O objetivo desta pesquisa foi avaliar a contribuição dos processos de controles internos e de TI na governança corporativa, especificamente no aspecto relacionado à conformidade. Trata-se de um estudo descritivo, com abordagem qualitativa, realizado sob a forma de estudo de caso, incluindo 13 entrevistas. Foi criado um novo framework teórico alinhado à conformidade em que a fundamentação de COBIT e COSO foi aplicada em ambiente de entidade sem fins lucrativos com atividade voltada ao serviço social. Os principais achados evidenciam que os processos encontram-se num nível de limitada maturidade e os controles internos são mantidos diante das constantes auditorias. A falta de processos, sistemas e controles padronizados e sistematizados foi destacada como um fato determinante para a manutenção da conformidade. E, embora a conformidade tenha ligação direta com o cumprimento de normas internas e externas, há a necessidade de se instituir um sistema de integridade corporativa. / The adoption of good practices in corporate governance has benefited public and private organizations. Accordingly, parastatal entities, the legal form which is the object of this research, are urged to follow good management practices and adopt governance structures to establish, monitor and evaluate the effectiveness of internal controls. Therefore they comply with the required compliance in the matters of accountability and transparency. The objective of this research was to evaluate the contribution of the internal controls and IT in corporate governance, specifically in the aspect related to compliance. A new theoretical framework was created which's aligned to the compliance wherein the fundamentation of COBIT and COSO was applied in an environment in which the entities does not aim profit and is geared to the social service. The main findings show the processes are in a limited level of maturity and the internal controls are maintained in the face of constant audits. The lack of processes, systems and controls standardized and systematized was highlighted as a determining factor for maintaining compliance. Although compliance has a direct connection with the implementation of internal and external standards, there is a need to establish a system of corporate integrity.

Governança Corporativa

Controles Internos-COSO

Conformidade

Processos de TI-COBIT

Processos de Negócio

Corporate Governance

Internal Control-COSO

Compliance

IT Process-COBIT

Business Process

Análise da governança de tecnologia da informação para reduzir problemas de agência: estudo em assimetria da informação

Coser, Tiago

17 December 2015

Submitted by Silvana Teresinha Dornelles Studzinski (sstudzinski) on 2016-02-18T14:53:03Z No. of bitstreams: 1 Tiago Coser_.pdf: 1143518 bytes, checksum: 1ab49a0e3a1cd5b419cae7912e0ad87c (MD5) / Made available in DSpace on 2016-02-18T14:53:03Z (GMT). No. of bitstreams: 1 Tiago Coser_.pdf: 1143518 bytes, checksum: 1ab49a0e3a1cd5b419cae7912e0ad87c (MD5) Previous issue date: 2015-12-17 / CAPES - Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / UNISINOS - Universidade do Vale do Rio dos Sinos / A problemática resultante da separação entre propriedade e controle do capital é direcionada, nesta pesquisa, para o nível operacional e considera o fundamento assimetria da informação. Este estudo analisou como a Governança de Tecnologia da Informação (GTI) pode contribuir para reduzir problemas de agência. A relação de agência foi delimitada entre diretores (principal) e gerentes (agente) das áreas Administrativa e Comercial. Trata-se de uma pesquisa descritiva, com abordagem qualitativa, desenvolvida por meio de um estudo de caso único em uma indústria sediada no estado do Rio Grande do Sul. Os principais resultados indicam que os problemas de agência não se limitam a informações e ações ocultas no ambiente pesquisado, mas, também, se devem a fragilidades nos recursos e fluxos de informações que suportam os processos de delegação e monitoramento de atividades entre diretores e gerentes. As principais contribuições da GTI para reduzir o problema de agência associam-se, prioritariamente, ao alinhamento entre a TI e os objetivos do negócio, nos processos de planejamento, construção, entrega e monitoramento de serviços de TI. Estas visando a padronizar processos de negócio e a reduzir a dependência humana nas etapas dos mesmos. / The resulting separation issues of ownership and control of capital is directed in this research to the operational level and considers the foundation asymmetry of information. This study examined how the Information Technology (IT) Governance can help reduce agency problems. The agency relationship was established between directors (principal) and managers (agent) of the Administrative and Commercial areas. It is a descriptive research with a qualitative approach, developed through a unique case study in an industry based in the state of Rio Grande do Sul. The main results indicate that agency problems are not limited to information and hidden actions the researched environment, but also are due to weaknesses in resources and information flows supporting the delegation process and monitoring activities among directors and managers. The main contributions of the IT governance to reduce the agency problem are associated primarily to the alignment between IT and business objectives in the planning, construction, delivery and monitoring of IT services. It seeks to standardize business processes and reduce human dependence on the steps of the same.

Problema de agência

Assimetria da informação

Processos de TI

Information technology governance

Agency problem

Information asymmetry

IT processes

COBIT 5