e PMA Consultoria www pma com br Maturidade
e PMA Consultoria www. pma. com. br
Maturidade de TI utilizando o COBIT Rildo Ribeiro dos Santos Politec S. A.
Agenda • • Conceitos de governança de TI Uma introdução ao COBIT Implantando a governança de TI Elementos de maturidade de TI
Motivações para governança Segurança Alinhamento Negócios/Tecnologia Valor/Custo Manter a TI disponível Gerenciamento da complexidade Conformidade regulatória As organizações necessitam de uma abordagem estruturada para gerenciar estes e outros desafios. Garantir a existência de objetivos em comum para a TI, utilização de boas práticas de gerenciamento e controle, e efetivo monitoramento do desempenho da TI, para mantê-la dentro da expectativa desejada, evitando ocorrências inesperadas.
Conceitos • Governança de TI consiste de um modelo que define direitos e responsabilidades pelas decisões que encorajam comportamentos desejáveis no uso de TI [Weill e Ross, 2004]
Conceitos • As decisões sobre a TI devem ser tomadas considerando: – Princípios da TI: declarações de alto nível sobre como a TI é usada para suportar o negócio da organização – Arquitetura da TI: políticas, diretrizes e alternativas técnicas para padronização e integração de dados, aplicações e processos de negócio – Estratégia de infra-estrutura da TI: definições sobre os serviços de TI a serem providos e suas estratégias de contratação, provimento e gestão – Necessidades de negócio: identificar as necessidades e oportunidades para aplicação de soluções de TI na organização – Priorização do investimento: definição de critérios para seleção e gestão do portfólio de projetos de TI na organização
Modelo de Alinhamento TI Negócios Estratégico Ajuste estratégico Escopo do negócio Competências Escopo da tecnologia Governança de negócios Compentências sistêmicas Infra-estrutura administrativa Processos Externo Estratégia de TI Governança de TI Arquiteturas Habilidades Processos e infra-estrutura organizacional Processos Habilidades Processos e infra-estrutura da TI Integração Funcional (Henderson e Venkatraman, 1993) Interno Estratégia de negócios
COBIT – Framework para Governança de TI COBIT Provides a Framework for IT Governance Define boas práticas para a governança de TI, baseando-se em processos, atividades e elementos de controle. COBIT (Control Objectives for Information and related Technology: ¤ Tem início com os requisitos de negócio ¤ É orientado a processos: atividades da TI são organizadas através de um modelo de processsos ¤ Identifica os principais recursos de TI que devem ser disponibilizados ¤ Define objetivos de controle a serem gerenciados ¤ Incorpora (é compatível) com vários padrões internacionais 2007 IT Governance Institute. All rights reserved. www. itgi. org
Where Does COBIT Fit? Posicionando COBIT Direcionadores Governança Corporativa DESEMPENHO: Metas de Negócio CONFORMIDADE Basel II, Sarbanes. Oxley Act, etc. BSC COSO COBIT Governança de TI Melhores práticas Processos e procedimentos ISO 17799 ISO 9001: 2000 Procedimentos de QA Princípios de Segurança ISO 20000 ITIL 2007 IT Governance Institute. All rights reserved. www. itgi. org
Framework COBIT Principais áreas de atenção do framework: ► Disponibilizar a informação necessária para suporte aos requisitos e objetivos de negócio ► Tratamento das informações como resultado da combinação dos recursos da TI, gerenciados através dos processos de TI Critério de informação Efetividade Eficiência Confidenciabilidade Integridade Disponibilidade Conformidade Confiabilidade Processos de TI Requisitos de negócio Abordagem de controle Recursos de TI Processos de TI Considerações • …………………………… • …………. . Domínios Processos Atividades Aplicações Informação Infra-estrutura Pessoas 2007 IT Governance Institute. All rights reserved. www. itgi. org
Framework COBIT OBJETIVOS DE NEGÓCIO E DA GOVERNANÇA ME 1 ME 2 ME 3 ME 4 Monitorar e avaliar o desempenho da TI. Monitorar e avaliar os controles internos. Garantir conformidade com os requisitos externos de regulação e leis. Disponibilizar a governança de TI. C O B I T FRAMEWORK PO 1 PO 2 PO 3 PO 4 INFORMAÇÃO Integridade Efetividade Eficiência Conformidade Disponibilidade Confidenciabilidade Confiabilidade MONITORAR E AVALIAR DS 1 DS 2 DS 3 DS 4 DS 5 DS 6 DS 7 DS 8 DS 9 DS 10 DS 11 DS 12 DS 13 Definir e gerenciar os níveis de serviços. Gerenciar os serviços de terceiros. Gerenciar a capacidade e desempenho. Garantir a continuidade dos serviços. Garantir a segurança dos sistemas. Identificar e alocar os custos. Educar e treinar os usuários. Gerenciar os incidentes e atendimento a serviços. Gerenciar as configurações e mudanças. Gerenciar os problemas. Gerenciar os dados. Gerenciar o ambiente físico. Gerenciar as operações. PLANEJAR E ORGANIZAR RECURSOS DE TI Aplicações Informação Infraestrutura Pessoas ENTREGA E SUPORTE Definir um plano estratégico de TI. Definir a arquitetura de informação. Determinar a direção tecnológica. Definir os processos, organização e relacionamentos da TI. PO 5 Gerenciar os investimentos em TI PO 6 Comunicar os objetivos e direções gerenciais. PO 7 Gerenciar os recursos humanos de TI. PO 8 Gerenciar a qualidade. PO 9 Avaliar e gerenciar os riscos de TI. PO 10 Gerenciar projetos. AI 1 AI 2 ADQUIRIR E IMPLEMENTAR AI 3 AI 4 AI 5 AI 6 AI 7 Identificar soluções automatizadas. Adquirir e manter software de aplicação. Adquirir e manter infra-estrutura de tecnologia. Habilitar a operação e uso. Proporcionar recursos de TI. Gerenciar mudanças. Instalar e validar as soluções e modificações. 2007 IT Governance Institute. All rights reserved. www. itgi. org
Implantando a Governança de TI • Compreender as necessidades de negócio e a contribuição da TI • Definir as metas e objetivos estratégicos da TI (baseando nas metas e objetivos estratégicos de negócio) considerando os serviços atuais e futuros da TI e sua arquitetura • Identificar os processos críticos e avaliar os objetivos de controle de cada processo
Modelo de maturidade - COBIT
Necessidades de gestão endereçadas • Proporciona uma medida relativa de onde se encontra a corporação • Um método para se decidir sobre onde deseja ir – meta • Uma ferramenta para medir o progresso em se atingir a meta
Um nível de maturidade para cada processo • Não é um modelo de maturidade rígido, que para estar em um determinado nível de governança é necessário atingir todos os requisitos para o nível anterior • Para cada processo pode identificar: – O desempenho atual da corporação – O estado atual da indústria – benchmarking – O alvo de melhoria adequado para corporação
Avaliando a maturidade dos processos • Aplicar as variáveis de definição do nível de maturidade para os processos selecionados – – – Comunicação e divulgação Políticas, planos e procedimentos Ferramentas e automação Habilidades e experiência Responsabilidade e prestação de contas Medidas e definição de metas
Avaliando a maturidade dos processos • Avaliação realizada com os objetivos de: – Identificar o nível de maturidade atual das variáveis para o processo – Indicar o objetivo a ser atingido para cada variável no processo – Planejar as melhorias para cada variável dentro do processo – Identificar os projetos para implementar as oportunidades de melhoria, priorizando os que proporcionem maiores impactos
Exemplos para os níveis de maturidade Nível 01 Inicial Nível 02 Repetitivo Nível 03 Definido Nível 04 Gerenciado Nível 05 Otimizado Política, planos e procedimentos Há uma abordagem aleatória para os processos e prática Início de processos similares, mas intuitivos, depende de conhecimento individual Processos definidos e documentado s para as atividades chaves Processos internalizados e repetitivos, políticas assinadas, busca por padrões Processos integrados, e com melhoria contínua Medidas e definição de metas Metas não são claras e sem medições estabelecidas Algumas metas definidas; medidas financeiras conhecidas pela alta gerência; monitoramento isolado pelas áreas Ligação com as metas de negócio; Adoção de um scorecard para TI Medidas de eficiência e efetividade; Implementação do scorecard para TI; análise de causa raiz; Sistema integrado de desempenho; ações de melhoria contínua derivadas dos indicadores
COBIT – Dimensões da maturidade • Como (capacidade): – Missão e objetivos da TI • Quanto (abrangência): – Retorno do investimento e eficiência do custo • O que (controle): – Risco e conformidade
Atividades para o diagnóstico da maturidade • • • Entendimento das estratégias de negócios Entendimento da composição da área de TI Planejamento do DM conforme composição da área de TI Análise da documentação existente Entendimento do processo de TI e elaboração do macro fluxo atual Identificação dos controles associados a cada etapa do processo Avaliação dos riscos associados vs controles adotados Definição do nível de maturidade atual Identificação do gap (gap analysis)
Linha de tempo para maturidade Maturidade Felicidade Fase “Não sei de nada” Fase Reativo, Implementação Fragmentada Criar Inventários Para iniciativas de Governança Ad-Hoc, “Só faço Quando preciso” - Reativo Fase da Consolidação Fase da Excelência Operacional Melhoria continua do processo Inicia um abordagem Unificado de Governança Acelerar projetos Para reagir as solicitações Tempo 2 a 5 anos Hoje Fonte: SAP Research
COBIT – Contribuindo para o alinhamento estratégico Metas de Negócio Manter a liderança e a reputação da instituição Metas da TI Garantir que os serviços de TI estão protegidos de ataques Metas de Processo Detectar e resolver acessos não autorizados Metas de atividades Compreender os requisitos de segurança
COBIT – Metas e medidas • Cada meta estabelecida é acompanhada por suas respectivas medidas. • Estas medidas indicam o desempenho do item, que potencializa o item do nível acima Processos TI medido Métricas define Metas direciona Atividades medido direciona medido
Roadmap para implantar a governança 2007 IT Governance Institute. All rights reserved. www. itgi. org
Rildo R. dos Santos rildo. santos@bsb. politec. com. br Consultor de Tecnologia DAS www. politec. com. br (61) 3038 -6946 "A técnica e a tecnologia são importantes. Mas aumentar a confiança é a questão da década" (Tom Peters)
e PMA Consultoria www. pma. com. br
- Slides: 26