RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação

Governança das Tecnologias da Informação e ferramentas informáticas para auditoria

The co-creation as a strategy to address IT governance in an organization

Dentro de los marcos comunes para la Gobernanza de Tecnologías de Información -TI- un principio fundamental es la identificación y satisfacción de las necesidades de los interesados dentro y fuera de las organizaciones. Sin embargo, las propuestas existentes no documentan procedimientos que apoyen dicha ejecución. La co-creación es una estrategia interesante para capturar tales necesidades, generando una visión compartida de las unidades de una compañía. Este artículo propone un método basado en co-creación para ejecutar la fase de identificación de necesidades en un proceso de gobernanza TI. Se detallan cinco componentes que permiten determinar estrategias, tipos de perfiles de los interesados, recursos requeridos durante la puesta en marcha y mecanismos de motivación. Al emplear el método, se evidenció un aumento significativo en el flujo de aportes, así como la creación de estrategias innovadoras para satisfacer las necesidades dentro de una organización en la gobernanza TI.

In common frameworks for Governance of Information Technology -IT- a fundamental principle is related to identify and meet the needs of stakeholders inside and outside organizations. However, these frameworks do not document procedures to support the implementation. Co-creation is an interesting strategy to capture such requirements, allowing to generate a shared vision of the units of a company. This paper proposes a method based on co-creation to execute the needs identification phase in IT governance process. Five components for determining strategies, types of profiles of stakeholders, resources required for the implementation and motivation mechanisms are detailed. By employing the method, a significant increase in the flow of contributions, as well as creating innovative strategies to meet the needs within an organization in the IT governance were evident.

Identificação de Práticas e Recursos de Gestão do Valor das TI no COBIT 5

A Governança Corporativa das Tecnologias de Informação é uma temática primordial reconhecida pela comunidade académica e profissional. A necessidade de obter valor, seja financeiro ou estratégico para a organização, resultante dos investimentos realizados em TI implica uma Gestão do Valor das TI adequada. As dificuldades ou o pouco know-how das empresas na implementação de práticas propostas por Frameworks elaborados pela comunidade profissional, como o Val IT 2.0 ou o COBIT, 5 levam as organizações a optar pelo desenvolvimento de modelos próprios. Este artigo identifica um conjunto de práticas e recursos de Gestão do Valor das TI, resultantes da integração do VAL IT 2.0 no COBIT 5, usando uma metodologia de investigação baseada numa revisão da literatura, que suportará o desenho de um modelo conceptual para identificação de um conjunto de habilitadores de Gestão do Valor das TI presentes no COBIT 5.

Enterprise Governance of Information Technology is a primary theme recognized by the academic and professional community. The need for value to the organization, whether strategic or financial, resulting from investments made in IT implies an appropriate IT Value Management. The difficulties or the little know-how in the implementation of practical Frameworks proposed by the professional community like Val IT 2.0 or COBIT 5 lead organizations opt for the development of their own models. This paper identifies a set of practices and resources of IT Value Management resulting from the integration of VAL IT 2.0 in COBIT 5. A research methodology based on a literature review, will support the design of a conceptual model for identifying a set of enablers of IT Value Management present in COBIT 5.

Construção de Sistemas Integrados de Gestão para Micro e Pequenas Empresas

As Micro e Pequenas Empresas possuem na sua essência recursos limitados. Raramente possuem um Sistema Integrado de Gestão que lhes permita gerir o seu negócio de forma transversal e que mapeie todos os processos da empresa. Devido ao número reduzido de colaboradores, não dispõem internamente de alguns serviços. O seu espaço de mercado é em geral limitado. As suas competências específicas raramente permitem apresentar uma oferta global. Por serem pequenas, não têm força negocial perante os seus fornecedores e eventuais parceiros estratégicos. A Arquitetura de Sistemas de Informação permite representar e mapear os diversos aspetos da gestão das empresas e alinhar as Tecnologias de Informação e Comunicação com as necessidades destas empresas. Este trabalho pretende apresentar e descrever uma Macro Arquitetura para a construção de Sistema Integrado de Gestão, orientados para as Micro e Pequenas Empresas, e que inclua um conjunto de serviços integrados numa única plataforma.

Micro and Small Enterprises have limited resources. They rarely have an Enterprise Resource Planning that allows managing their business in a transversal way and mapping all business processes. These companies have a small number of employees, and for this reason they have a reduced number of internal services. Their market space is usually limited. Their specific skills are reduced, thus not allowing presenting a comprehensive offer. Due to their small dimension, they have no negotiating strength vis-à-vis their suppliers and potential strategic partners. The Architecture of Information Systems can represent and map the various aspects of business management and align the Information Technology and Communication with the needs of these companies. This paper aims to present and describe a macro architecture for building Enterprise Resource Planning oriented to Micro and Small Enterprises that includes a set of integrated services on a single platform.

Proposal for a continuous improvement IT governance framework at financial institutions

Uno de los planteamientos tradicionales para definir el buen Gobierno Corporativo (GC) es conseguir alinear el gobierno de Tecnologías de la Información (TI) con el negocio; pero es necesario definir una robusta y clara estructura de GC del que el Gobierno TI forme parte indivisible. El objetivo de este artículo es proponer un Marco de Mejora Continua de GC - TI (TIMEUS) especialmente adaptado a entidades financieras.

One of the traditional approaches to define Corporate Governance (CG) is to align the government Information Technology (IT) within the business but you need to define a robust and clear GC structure which IT government formed an indivisible part. The aim of this paper is to propose a Continuous Improvement Framework CG-IT (TIMEUS) specially adapted to financial institutions.

A governação em SI: o caso da gestão das convenções e acordos de saúde do Algarve

O presente trabalho é produto da investigação realizada numa instituição pública - Administração Regional de Saúde do Algarve (ARS Algarve) - a uma das áreas que tutela: as convenções e acordos de Meios Complementares de Diagnóstico e Terapêutica. Sem um sistema de informação que permita reter informação, e algum conhecimento tácito detido pelos seus profissionais, a gestão operacional desta área carece de eficiência. Isto levanta a necessidade de desenvolver um sistema de informação que cubra esta lacuna e sirva de suporte à prestação de informação útil ao utente. Foram estudados sistemas semelhantes, entrevistados especialistas do setor e realizados inquéritos a fim de desenvolver uma solução final ajustada às necessidades concretas dos utilizadores. Esta foi a grande preocupação do projeto, focando o estudo nos problemas, necessidades e aspirações daqueles que lidam com esta área.

This work results from a research conducted in a public institution - the Regional Health Administration of Algarve (ARS Algarve) - on one of the areas it manages: conventions and agreements on Complementary Means of Diagnosis and Therapy. Without an information system that retains information, and some tacit knowledge held by its professionals, the operational management in this area lacks efficiency. This raises the need to develop an information system to cover this gap and serve to support the provision of useful information to users. Similar systems were studied, industry experts interviewed and surveys conducted in order to develop a final solution tailored to users' specific needs. This was the major concern of the project, focusing the study on the problems, needs and aspirations of those who deal with this area.

Safeguard selection for risk management in information systems: a fuzzy approach

En este trabajo nos centramos en la fase de selección de salvaguardas dentro del proceso de análisis y gestión del riesgo en sistemas de la información (SI) bajo un enfoque borroso. Para reducir el riesgo asociado a posibles amenazas en SI se pueden implementar salvaguardas preventivas, paliativas o salvaguardas que disminuyan la probabilidad de transmisión de fallos a través de la red de activos asociada al SI. Sin embargo, las salvaguardas tienen asociadas costes por lo que se debe realizar un proceso de selección de las mismas. En este trabajo describimos problemas de optimización asociados a distintas perspectivas en la selección de salvaguardas y proponemos técnicas de solución basadas en programación dinámica y el uso de metaheurísticas.

In this paper we focus on the safeguard selection within the risk analysis and management in information systems (IS) under a fuzzy perspective. Preventive safeguards can be implemented to reduce the risk associated with potential threats in IS, whereas palliative safeguards reduce the probability of failure transmission through the assets network. However, safeguards have associated costs and a selection process has then to be carried out. We describe optimization problems associated with different perspectives on the selection of safeguards and propose solution techniques based on dynamic programming and the use of metaheuristics.

Motivações dos auditores para o uso das Tecnologias de Informação na sua profissão: aplicação aos Revisores Oficiais de Contas

Todos os auditores utilizam as Tecnologias de Informação (TI) como suporte à execução do trabalho de auditoria. Diversos estudos procuraram melhorar o conhecimento sobre a forma como os auditores utilizam as TI, mas nenhum abordou as técnicas de auditoria realizadas com base nas recomendações dos organismos reguladores e as motivações para a sua realização, nem investigou como o perfil demográfico e profissional do auditor condiciona as suas motivações. Colmatar estas lacunas constitui o objetivo da investigação que, com base em dados recolhidos por questionário, conclui que as motivações não são iguais para todos os auditores e, consequentemente, a frequência de realização das técnicas de auditoria com recurso às TI também não o é, e identifica o perfil dos auditores que menos aderem às TI. Com este conhecimento os organismos reguladores podem intervir no sentido de incrementar a adesão dos auditores à realização das técnicas de auditoria e, assim, não comprometer a sua eficiência e eficácia.

Nowadays all the auditors use Information Technology (IT) in their auditing tasks. Previous research had contributed to improve knowledge on the way auditors are using IT but none included approaches on deep research on the use of IT to execute the techniques recommended in the guidelines defined by professional bodies and motivations to execute it, or has researched if demographic and professional profiles of the auditors are conditioning their motivations. To overcome these limitations, this research main aim, which uses data collected through a questionnaire, is the conclusion that the motivations are not the same for all auditors and, therefore, the frequency of the techniques' execution with IT is also different and defines auditors' profiles that use less IT on their auditing work. With these conclusions, professional bodies can intervene to improve auditors' acceptance and use of technology.