Embed Size (px)
Citation preview
e PMA Consultoria
www.pma.com.br
Maturidade de TI utilizando o COBIT
Rildo Ribeiro dos Santos
Politec S.A.
Agenda
• Conceitos de governança de TI
• Uma introdução ao COBIT
• Implantando a governança de TI
• Elementos de maturidade de TI
Motivações para governança
As organizações necessitam de uma abordagem estruturada para gerenciar estes e outros desafios.
Garantir a existência de objetivos em comum para a TI, utilização de boas práticas de gerenciamento e controle, e efetivo monitoramento do desempenho da TI, para mantê-la dentro da expectativa desejada, evitando ocorrências inesperadas.
Manter a TI disponível
Segurança
Valor/Custo
Gerenciamentoda complexidade
Alinhamento Negócios/Tecnologia
Conformidaderegulatória
Conceitos
• Governança de TI consiste de um modelo que define direitos e responsabilidades pelas decisões que encorajam comportamentos desejáveis no uso de TI [Weill e Ross, 2004]
Conceitos• As decisões sobre a TI devem ser tomadas
considerando:– Princípios da TI: declarações de alto nível sobre como a TI é
usada para suportar o negócio da organização– Arquitetura da TI: políticas, diretrizes e alternativas técnicas
para padronização e integração de dados, aplicações e processos de negócio
– Estratégia de infra-estrutura da TI: definições sobre os serviços de TI a serem providos e suas estratégias de contratação, provimento e gestão
– Necessidades de negócio: identificar as necessidades e oportunidades para aplicação de soluções de TI na organização
– Priorização do investimento: definição de critérios para seleção e gestão do portfólio de projetos de TI na organização
Modelo de Alinhamento Estratégico
Estratégia de negócios Estratégia de TI
Processos e infra-estruturaorganizacional
Processos e infra-estruturada TI
Escopo donegócio
Governançade negócios
Competências
Escopo datecnologia
Governançade TI
Compentênciassistêmicas
Infra-estruturaadministrativa
HabilidadesProcessos
Arquiteturas
HabilidadesProcessos
Ext
ern
oIn
tern
o
Negócios TI
Integração Funcional
Aju
ste
estr
atég
ico
COBIT (Control Objectives for Information and related Technology:
Tem início com os requisitos de negócio
É orientado a processos: atividades da TI são organizadas através de um modelo de processsos
Identifica os principais recursos de TI que devem ser disponibilizados
Define objetivos de controle a serem gerenciados
Incorpora (é compatível) com vários padrões internacionais
Define boas práticas para a governança de TI, baseando-se em processos, atividades e elementos de controle.
COBIT Provides a Framework for IT GovernanceCOBIT – Framework para Governança de TI
2007 IT Governance Institute. All rights reserved. www.itgi.org
DESEMPENHO: Metas de Negócio
CONFORMIDADEBasel II, Sarbanes-
Oxley Act, etc.
Governança Corporativa
Governança de TI
ISO 9001:2000
ISO 17799
ISO 20000
Melhores práticas
Procedimentos de QA
Processos e procedimentos
Direcionadores
COBIT
COSO
Princípios de Segurança
ITIL
BSC
Where Does COBIT Fit? Posicionando COBIT
2007 IT Governance Institute. All rights reserved. www.itgi.org
Principais áreas de atenção do framework:
► Disponibilizar a informação necessária para suporte aos requisitos e objetivos de negócio
► Tratamento das informações como resultado da combinação dos recursos da TI, gerenciados através dos processos de TI
Processos
Atividades
Domínios
Processos de TI
Efetividade
Eficiência
Confidenciabilidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
Recursos de TI
Aplicações
Informação
Infra-estrutura
Pessoas
Processos de TI
Requisitos de negócio
Abordagem de controle
Considerações• ……………………………• ……………………………• ……………………..……..
Critério de informação
Framework COBIT
2007 IT Governance Institute. All rights reserved. www.itgi.org
OBJETIVOS DE NEGÓCIO E DA GOVERNANÇA
Efetividade
AplicaçõesInformação
InfraestruturaPessoas
ENTREGAE
SUPORTE
MONITORARE
AVALIAR
ADQUIRIR E
IMPLEMENTAR
INFORMAÇÃO
RECURSOS DE TI
C O B I TF R A M E W O R K
Eficiência
Confidenciabilidade
Integridade
DisponibilidadeConformidade
DS1 Definir e gerenciar os níveis de serviços.
DS2 Gerenciar os serviços de terceiros.DS3 Gerenciar a capacidade e
desempenho.DS4 Garantir a continuidade dos serviços.DS5 Garantir a segurança dos sistemas.DS6 Identificar e alocar os custos.DS7 Educar e treinar os usuários.DS8 Gerenciar os incidentes e atendimento
a serviços.DS9 Gerenciar as configurações e
mudanças.DS10 Gerenciar os problemas.DS11 Gerenciar os dados.DS12 Gerenciar o ambiente físico.DS13 Gerenciar as operações.
ME1 Monitorar e avaliar o desempenho da TI.
ME2 Monitorar e avaliar os controles internos.
ME3 Garantir conformidade com os requisitos externos de regulação e leis.
ME4 Disponibilizar a governança de TI.
PO1 Definir um plano estratégico de TI.PO2 Definir a arquitetura de informação.PO3 Determinar a direção tecnológica.PO4 Definir os processos, organização e
relacionamentos da TI.PO5 Gerenciar os investimentos em TIPO6 Comunicar os objetivos e direções
gerenciais.PO7 Gerenciar os recursos humanos de
TI.PO8 Gerenciar a qualidade.PO9 Avaliar e gerenciar os riscos de TI.PO10 Gerenciar projetos.
AI1 Identificar soluções automatizadas.AI2 Adquirir e manter software de
aplicação.AI3 Adquirir e manter infra-estrutura de
tecnologia.AI4 Habilitar a operação e uso.AI5 Proporcionar recursos de TI.AI6 Gerenciar mudanças.AI7 Instalar e validar as soluções e
modificações.
PLANEJAR E ORGANIZAR
Confiabilidade
Framework COBIT
2007 IT Governance Institute. All rights reserved. www.itgi.org
Implantando a Governança de TI
• Compreender as necessidades de negócio e a contribuição da TI
• Definir as metas e objetivos estratégicos da TI (baseando nas metas e objetivos estratégicos de negócio) considerando os serviços atuais e futuros da TI e sua arquitetura
• Identificar os processos críticos e avaliar os objetivos de controle de cada processo
Modelo de maturidade - COBIT
Necessidades de gestão endereçadas
• Proporciona uma medida relativa de onde se encontra a corporação
• Um método para se decidir sobre onde deseja ir – meta
• Uma ferramenta para medir o progresso em se atingir a meta
Um nível de maturidade para cada processo
• Não é um modelo de maturidade rígido, que para estar em um determinado nível de governança é necessário atingir todos os requisitos para o nível anterior
• Para cada processo pode identificar:– O desempenho atual da corporação– O estado atual da indústria – benchmarking– O alvo de melhoria adequado para
corporação
Avaliando a maturidade dos processos
• Aplicar as variáveis de definição do nível de maturidade para os processos selecionados– Comunicação e divulgação– Políticas, planos e procedimentos– Ferramentas e automação– Habilidades e experiência– Responsabilidade e prestação de contas – Medidas e definição de metas
Avaliando a maturidade dos processos
• Avaliação realizada com os objetivos de:– Identificar o nível de maturidade atual das variáveis
para o processo– Indicar o objetivo a ser atingido para cada variável no
processo– Planejar as melhorias para cada variável dentro do
processo– Identificar os projetos para implementar as
oportunidades de melhoria, priorizando os que proporcionem maiores impactos
Exemplos para os níveis de maturidade
Nível 01
Inicial
Nível 02
Repetitivo
Nível 03
Definido
Nível 04
Gerenciado
Nível 05
Otimizado
Política, planos e procedimentos
Há uma abordagem
aleatória para os processos
e prática
Início de processos
similares, mas intuitivos,de-
pende de conhecimento
individual
Processos definidos e
documentados para as atividades
chaves
Processos internalizados e repetitivos,
políticas assinadas, busca por padrões
Processos integrados, e com melhoria
contínua
Medidas e definição de metas
Metas não são claras e
sem medições estabelecidas
Algumas metas
definidas; medidas
financeiras conhecidas
pela alta gerência;
monitoramen-to isolado
pelas áreas
Ligação com as metas de
negócio; Adoção de um
scorecard para TI
Medidas de eficiência e efetividade; Implementa-
ção do scorecard para TI;
análise de causa raiz;
Sistema integrado de desempenho;
ações de melhoria contínua
derivadas dos indicadores
COBIT – Dimensões da maturidade
• Como (capacidade):– Missão e objetivos da TI
• Quanto (abrangência):– Retorno do investimento e eficiência do custo
• O que (controle):– Risco e conformidade
Atividades para o diagnóstico da maturidade
• Entendimento das estratégias de negócios• Entendimento da composição da área de TI• Planejamento do DM conforme composição da área de TI• Análise da documentação existente• Entendimento do processo de TI e elaboração do macro
fluxo atual• Identificação dos controles associados a cada etapa do
processo• Avaliação dos riscos associados vs controles adotados • Definição do nível de maturidade atual• Identificação do gap (gap analysis)
Linha de tempo para maturidade
Maturidade
Hoje
2 a 5 anosTempo
Ad-Hoc, “Só faço Quando preciso” - Reativo
FelicidadeFase “Não sei
de nada”
Fase Reativo,Implementação
Fragmentada
Fase da Consolidação
Fase da Excelência
Operacional
Acelerar projetosPara reagir assolicitações
Criar Inventários Para iniciativas de
GovernançaInicia um abordagem
Unificado de Governança
Melhoria continua do processo
Fonte: SAP Research
COBIT – Contribuindo para o alinhamento estratégico
Metas de Negócio
Metas da TI
Metas de Processo
Metas de atividades
Manter a liderança e a reputação da instituição
Garantir que os serviços de TI estão protegidos de ataques
Detectar e resolver acessos não autorizados
Compreender os requisitos de segurança
COBIT – Metas e medidas
• Cada meta estabelecida é acompanhada por suas respectivas medidas.
• Estas medidas indicam o desempenho do item, que potencializa o item do nível acima
TI Processos Atividades
Metas
Métricas
define define
medido medido medidodireciona direciona
Roadmap para implantar a governança
2007 IT Governance Institute. All rights reserved. www.itgi.org
"A técnica e a tecnologia são importantes. Mas aumentar a confiança é a questão da década"
(Tom Peters)
Rildo R. dos [email protected]
Consultor de Tecnologia - DAS
www.politec.com.br
(61) 3038-6946
e PMA Consultoria
www.pma.com.br
