e PMA Consultoria
www.pma.com.br
Maturidade de TI utilizando
o COBIT
Rildo Ribeiro dos Santos
Politec S.A.
Agenda
•
•
•
•
Conceitos de governança de TI
Uma introdução ao COBIT
Implantando a governança de TI
Elementos de maturidade de TI
Motivações para governança
Segurança
Alinhamento
Negócios/Tecnologia
Valor/Custo
Manter a
TI disponível
Gerenciamento
da complexidade
Conformidade
regulatória
As organizações necessitam de uma abordagem estruturada para
gerenciar estes e outros desafios.
Garantir a existência de objetivos em comum para a TI, utilização de
boas práticas de gerenciamento e controle, e efetivo monitoramento
do desempenho da TI, para mantê-la dentro da expectativa desejada,
evitando ocorrências inesperadas.
Conceitos
• Governança de TI consiste de um modelo
que define direitos e responsabilidades
pelas decisões que encorajam
comportamentos desejáveis no uso de TI
[Weill e Ross, 2004]
Conceitos
• As decisões sobre a TI devem ser tomadas
considerando:
– Princípios da TI: declarações de alto nível sobre como a TI é
usada para suportar o negócio da organização
– Arquitetura da TI: políticas, diretrizes e alternativas técnicas para
padronização e integração de dados, aplicações e processos de
negócio
– Estratégia de infra-estrutura da TI: definições sobre os serviços
de TI a serem providos e suas estratégias de contratação,
provimento e gestão
– Necessidades de negócio: identificar as necessidades e
oportunidades para aplicação de soluções de TI na organização
– Priorização do investimento: definição de critérios para seleção
e gestão do portfólio de projetos de TI na organização
Modelo de Alinhamento
TI
Negócios Estratégico
Estratégia de negócios
Estratégia de TI
Ajuste estratégico
Escopo do
negócio
Competências
Escopo da
tecnologia
Governança
de negócios
Compentências
sistêmicas
Infra-estrutura
administrativa
Processos
Governança
de TI
Arquiteturas
Habilidades
Processos e infra-estrutura
organizacional
Processos
Habilidades
Processos e infra-estrutura
da TI
Integração Funcional
COBIT – Framework para
Governança de TI
COBIT Provides a Framework for IT Governance
Define boas práticas para a governança de TI, baseando-se em
processos, atividades e elementos de controle.
COBIT (Control Objectives for Information and
related Technology:
 Tem início com os requisitos de negócio
 É orientado a processos: atividades da TI são
organizadas através de um modelo de processsos
 Identifica os principais recursos de TI que devem
ser disponibilizados
 Define objetivos de controle a serem gerenciados
 Incorpora (é compatível) com vários padrões
internacionais
 2007 IT Governance Institute. All rights reserved. www.itgi.org
Where Does COBIT Fit?
Posicionando COBIT
Direcionadores
Governança Corporativa
DESEMPENHO:
Metas de Negócio
CONFORMIDADE
Basel II, SarbanesOxley Act, etc.
BSC
COSO
COBIT
Governança de TI
Melhores práticas
Processos e
procedimentos
ISO
17799
ISO
9001:2000
Procedimentos
de QA
Princípios de
Segurança
ISO
20000
ITIL
 2007 IT Governance Institute. All rights reserved. www.itgi.org
Framework COBIT
Principais áreas de atenção do framework:
► Disponibilizar
a informação necessária para suporte aos requisitos e
objetivos de negócio
► Tratamento
das informações como resultado da combinação dos recursos da
TI, gerenciados através dos processos de TI
Critério de informação
Efetividade
Eficiência
Confidenciabilidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
Processos de TI
Requisitos de negócio
Abordagem de controle
Recursos de TI
Processos de TI
Domínios
Considerações
• ……………………………
• ……………………………
• ……………………..……..
Aplicações
Informação
Processos
Atividades
Infra-estrutura
Pessoas
 2007 IT Governance Institute. All rights reserved. www.itgi.org
Framework COBIT
OBJETIVOS DE NEGÓCIO E
DA GOVERNANÇA
ME1
ME2
ME3
ME4
Monitorar e avaliar o desempenho
da TI.
Monitorar e avaliar os controles
internos.
Garantir conformidade com os
requisitos externos de regulação e
leis.
Disponibilizar a governança de TI.
C
O B I
T
FRAMEWORK
PO1
PO2
PO3
PO4
INFORMAÇÃO
Integridade
Efetividade
Eficiência
Conformidade
Disponibilidade
Confidenciabilidade
Confiabilidade
MONITORAR
E
AVALIAR
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
Definir e gerenciar os níveis de
serviços.
Gerenciar os serviços de terceiros.
Gerenciar a capacidade e
desempenho.
Garantir a continuidade dos serviços.
Garantir a segurança dos sistemas.
Identificar e alocar os custos.
Educar e treinar os usuários.
Gerenciar os incidentes e atendimento
a serviços.
Gerenciar as configurações e
mudanças.
Gerenciar os problemas.
Gerenciar os dados.
Gerenciar o ambiente físico.
Gerenciar as operações.
PLANEJAR E
ORGANIZAR
RECURSOS DE TI
Aplicações
Informação
Infraestrutura
Pessoas
ENTREGA
E
SUPORTE
Definir um plano estratégico de TI.
Definir a arquitetura de informação.
Determinar a direção tecnológica.
Definir os processos, organização e
relacionamentos da TI.
PO5 Gerenciar os investimentos em TI
PO6 Comunicar os objetivos e direções
gerenciais.
PO7 Gerenciar os recursos humanos de
TI.
PO8 Gerenciar a qualidade.
PO9 Avaliar e gerenciar os riscos de TI.
PO10 Gerenciar projetos.
AI1
AI2
ADQUIRIR
E
IMPLEMENTAR
AI3
AI4
AI5
AI6
AI7
Identificar soluções automatizadas.
Adquirir e manter software de
aplicação.
Adquirir e manter infra-estrutura de
tecnologia.
Habilitar a operação e uso.
Proporcionar recursos de TI.
Gerenciar mudanças.
Instalar e validar as soluções e
modificações.
 2007 IT Governance Institute. All rights reserved. www.itgi.org
Implantando a Governança de
TI
• Compreender as necessidades de negócio e a
contribuição da TI
• Definir as metas e objetivos estratégicos da TI
(baseando nas metas e objetivos estratégicos
de negócio) considerando os serviços atuais e
futuros da TI e sua arquitetura
• Identificar os processos críticos e avaliar os
objetivos de controle de cada processo
Modelo de maturidade - COBIT
Necessidades de gestão
endereçadas
• Proporciona uma medida relativa de onde
se encontra a corporação
• Um método para se decidir sobre onde
deseja ir – meta
• Uma ferramenta para medir o progresso
em se atingir a meta
Um nível de maturidade para cada
processo
• Não é um modelo de maturidade rígido,
que para estar em um determinado nível
de governança é necessário atingir todos
os requisitos para o nível anterior
• Para cada processo pode identificar:
– O desempenho atual da corporação
– O estado atual da indústria – benchmarking
– O alvo de melhoria adequado para
corporação
Avaliando a maturidade dos
processos
• Aplicar as variáveis de definição do nível de
maturidade para os processos selecionados
–
–
–
–
–
–
Comunicação e divulgação
Políticas, planos e procedimentos
Ferramentas e automação
Habilidades e experiência
Responsabilidade e prestação de contas
Medidas e definição de metas
Avaliando a maturidade dos
processos
• Avaliação realizada com os objetivos de:
– Identificar o nível de maturidade atual das variáveis
para o processo
– Indicar o objetivo a ser atingido para cada variável no
processo
– Planejar as melhorias para cada variável dentro do
processo
– Identificar os projetos para implementar as
oportunidades de melhoria, priorizando os que
proporcionem maiores impactos
Exemplos para os níveis de
maturidade
Nível 01
Inicial
Nível 02
Repetitivo
Nível 03
Definido
Nível 04
Gerenciado
Nível 05
Otimizado
Política, planos
e
procedimentos
Há uma
abordagem
aleatória para
os processos
e prática
Início de
processos
similares, mas
intuitivos,depende de
conhecimento
individual
Processos
definidos e
documentado
s para as
atividades
chaves
Processos
internalizados
e repetitivos,
políticas
assinadas,
busca por
padrões
Processos
integrados, e
com melhoria
contínua
Medidas e
definição de
metas
Metas não
são claras e
sem medições
estabelecidas
Algumas
metas
definidas;
medidas
financeiras
conhecidas
pela alta
gerência;
monitoramento isolado
pelas áreas
Ligação com
as metas de
negócio;
Adoção de
um scorecard
para TI
Medidas de
eficiência e
efetividade;
Implementação do
scorecard
para TI;
análise de
causa raiz;
Sistema
integrado de
desempenho;
ações de
melhoria
contínua
derivadas dos
indicadores
COBIT – Dimensões da
maturidade
• Como (capacidade):
– Missão e objetivos da TI
• Quanto (abrangência):
– Retorno do investimento e eficiência do custo
• O que (controle):
– Risco e conformidade
Atividades para o diagnóstico
da maturidade
•
•
•
•
•
•
•
•
•
Entendimento das estratégias de negócios
Entendimento da composição da área de TI
Planejamento do DM conforme composição da área de TI
Análise da documentação existente
Entendimento do processo de TI e elaboração do macro
fluxo atual
Identificação dos controles associados a cada etapa do
processo
Avaliação dos riscos associados vs controles adotados
Definição do nível de maturidade atual
Identificação do gap (gap analysis)
Linha de tempo para
maturidade
Maturidade
Felicidade
Fase “Não sei
de nada”
Fase Reativo,
Implementação
Fragmentada
Fase da
Consolidação
Fase da
Excelência
Operacional
Melhoria continua
do processo
Criar Inventários
Para iniciativas de
Governança
Inicia um abordagem
Unificado de
Governança
Ad-Hoc, “Só faço
Quando preciso”
- Reativo
Acelerar projetos
Para reagir as
solicitações
Tempo
2 a 5 anos
Hoje
Fonte: SAP Research
COBIT – Contribuindo para o
alinhamento estratégico
Metas de Negócio
Manter a liderança e a
reputação da instituição
Metas da TI
Garantir que os serviços de
TI estão protegidos de ataques
Metas de Processo
Detectar e resolver acessos
não autorizados
Metas de atividades
Compreender os requisitos
de segurança
COBIT – Metas e medidas
• Cada meta estabelecida é acompanhada por
suas respectivas medidas.
• Estas medidas indicam o desempenho do item,
que potencializa o item do nível acima
Processos
TI
medido
Métricas
define
define
Metas
direciona
Atividades
medido
direciona
medido
Roadmap para implantar a
governança
 2007 IT Governance Institute. All rights reserved. www.itgi.org
Rildo R. dos Santos
[email protected]
Consultor de Tecnologia - DAS
www.politec.com.br
(61) 3038-6946
"A técnica e a tecnologia são importantes. Mas
aumentar a confiança é a questão da década"
(Tom Peters)
e PMA Consultoria
www.pma.com.br