alternativas de diagnóstico de maturidade cobit
DESCRIPTION
Apresentação de J. Souza Neto no 4 Encontro de Governança Aplicada do ISACA BrasíliaTRANSCRIPT
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
J. Souza Neto, PhD, CGEIT, CRISCCertified in the Governance of Enterprise IT
Certified in Risk and Information Systems Control
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
� Definições de Governança de TI
� Norma de Governança de TI
� Alternativas de Diagnóstico de Maturidade CobiT:1. Por Processo
2. Por Atributos
3. Por Objetivos de Controle Detalhados
4. Por Processos Operacionais
5. Por Itens de Processo
6. CobiT Assessment Process – CAP
� Outros Diagnósticos de Maturidade na APF
� Conclusões
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4
Autor Conceito
MITI (1999, p.20) GTI é a capacidade organizacional para controlar a formulação e
implementação da estratégia de TI, e para guiar na direção
correta, a fim de conseguir vantagens competitivas para a
corporação.
Korac-kakabadse e
Kakabadse (2001, p.9)
GTI se concentra na estrutura das relações e processos a
desenvolver, dirigir e controlar os recursos de TI de modo a
atingir os objetivos da empresa, gerando valor por suas
contribuições, que representam um equilíbrio entre risco e
retorno sobre recursos de TI e seus processos
Broadbent (2002, p.2) GTI especifica os direitos de decisão e framework de
responsabilidades para encorajar comportamentos desejáveis na
utilização da TI
Schwarz e Hirschheim (2003,
p.131)
GTI são as estruturas ou arquiteturas de TI implementadas para
realizar, com êxito, atividades em resposta aos imperativos
ambientais e estratégicos da empresa.
Van Grembergen (2003, p.1) GTI é a capacidade organizacional exercida pelo Conselho,
Gerência Executiva e Gerência de TI para controlar a
formulação e implementação da estratégia de TI e, com isso,
assegurar a fusão do negócio e TI.
ITGI (2003, p.10) GTI é uma parte integrante da Governança Empresarial e
consiste da liderança e da estrutura e processos organizacionais,
que assegurem que a TI da organização sustente e estenda suas
estratégias e objetivos.
Sherer (2004, p.97) Governança de TI é o sistema de estruturas e processos para
direção e controle dos sistemas de informação.
Dissertação de Geraldo Loureiro, 2009, UCB
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
5
governar
governançaAcepções
■ substantivo feminino
ato de governar(-se); governo, governação
Acepções
■ verbo
1. dirigir como chefe de governo; exercer autoridade soberana e continuada sobre (outrem); controlar e
dirigir a formulação e a administração da política em
2. ter mando, direção; dirigir, administrar
3. controlar, dirigir ou fortemente influenciar as ações e o comportamento de (algo ou alguém)
4. controlar a velocidade e a direção de (cavalgaduras, veículos, máquinas); dominar
5. tratar devidamente de seus próprios negócios e interesses
6. deixar-se influenciar por; orientar-se, regular-se
7. Regionalismo: Sul do Brasil; obedecer (um cavalo) à ação das rédeas
8. Regionalismo: Sul do Brasil; ir na direção de; encaminhar-se, dirigir-se
9. Regionalismo: Sul do Brasil; saber o que faz, ter juízo, funcionar bem
10. Rubrica: termo de marinha; conduzir (embarcação), operando o leme; guiar
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
Arquétiposde
Governança Contribuição Decisão
Princípios de TI
Contribuição Decisão
Arquitetura de TI
Contribuição Decisão
Estratégia de Infra-Estrutura de TI
Contribuição Decisão
Necessidades deaplicações de negócio
Contribuição Decisão
Investimentode TI
Monarquiade
Negócio
Monarquiade TI
Feudalismo
Federalismo
Duopólio
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
“...ter a direção da TI responsável tanto pela gestão quanto pela governança de TI é, geralmente, uma situação perde-perde. Quando a direção da TI está usando o seu “chapéu de governança, ela deve tomar decisões sobre quando e onde investir na TI, sem conhecimento suficiente dos negócios da empresa, das suas unidades de negócio e das suas estratégias funcionais. Além disso, a direção da TI toma decisões sobre como priorizar os projetos do seu portafólio, também sem uma compreensão completa de todas as estratégias e suas interdependências”.
Gartner Group
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
Gestão de TI Governança de TI
Gestão de Acordos de Nível de Serviço
Reunião mensal com as áreas de negócio para discussão dos resultados dos Acordos de Nível de Serviço
Planejamento orçamentário da área de TI definido pelos gestores de TI
Planejamento orçamentário da área de TI definido por um Comitê TI-Negócios
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
• A norma ISO/IEC 38500 (2008, p.7) propõe um modelo para Governança de TI, prevendo que os executivos governem a TI por meio de três atividades principais – Avaliação-Direção-Monitoramento, a saber:– Avaliar o uso corrente e futuro da TI;
– Dirigir a preparação e implementação de planos e políticas para assegurar que o uso da TI cumpra os objetivos empresariais;
– Monitorar a conformidade com as políticas e com o desempenho, em relação ao que foi planejado.
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
O ITGI publicou em 2008 uma metodologia
baseada em atributos:
• Sensibilização e Comunicação;
• Políticas, Planos e Procedimentos;
• Ferramentas e Automação;
• Responsabilidade e Responsabilização;
• Metas e Mensuração.
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
Sensibilização e
Comunicação
Políticas, Planos e
Procedimentos
Ferramentas e
Automação
Habilidades e
Conhecimentos
Responsabilidade e
Responsabilização
Metas e Mensuração
1Começa a surgir o
reconhecimento da
necessidade do
processo.
Há comunicação
esporádica sobre
questões relacionadas
ao processo.
A abordagem existente
para o processo é ad
hoc.
O processo e as
políticas estão
indefinidos.
Quando há ferramenta
disponível ela é
baseada em
ferramentas típicas de
desktop, ou seja, não é
específica para o
processo.
Não há planejamento
para a adoção de
ferramentas.
Ainda não foi possível
identificar as
habilidades requeridas
pelo processo.
Ainda não existe um
plano de capacitação
ou treinamentos
formais para o
processo.
Não há definição de
responsabilidades. As
pessoas se
responsabilizam por
questões com base em
sua própria iniciativa,
de forma reativa.
Não existem metas
claras nem
mensuração.
2Há consciência da
necessidade de agir.
A gerência se restringe
em comunicar apenas
as questões globais
(gerais).
Começam a surgir
processos para
atividades repetitivas e
comuns, mas são
intuitivos, baseados em
experiências pessoais.
A documentação e a
compreensão sobre as
políticas, planos e
procedimentos é
informal.
Existem abordagens
para uso de
ferramentas, mas
baseadas em soluções
desenvolvidas por
percepções individuais.
Ferramentas de
mercado podem ter
sido adquiridas, mas
provavelmente não são
aplicadas corretamente
e podem se tornar
softwares sem
utilização.
Habilidades mínimas
são identificadas para
as áreas críticas.
Treinamentos são
providos em resposta a
necessidades e não em
consonância com um
plano acordado.
Ocorrem treinamentos
informais durante o
trabalho.
Um indivíduo assume
sua responsabilidade e
é responsabilizado,
mesmo sem que haja
um acordo formal.
Há confusão sobre a
responsabilização
quando ocorrem
problemas.
Há uma tendência para
a cultura da culpa.
Há um conjunto de
metas para o processo.
Alguma mensuração
financeira é adotada,
mas são de
conhecimento apenas
de gerentes seniores.
Há monitoramentos
em áreas isoladas, mas
aplicado de modo
inconsistente.
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
� Simplifica e agiliza o diagnóstico
� Auto-avaliação de Maturidade CobIT
� Permite uma triagem dos processos
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
0
1
2
3
4
5PO3.1
PO3.2
PO3.3PO3.4
PO3.5
PO3 – DETERMINAR DIREÇÃOTECNOLÓGICA
Nível de Maturidade 2
0
1
2
3
4
5PO6.1
PO6.2
PO6.3PO6.4
PO6.5
PO6 – COMUNICAR DIRETIVASE METAS GERENCIAIS
Nível de Maturidade 2
0
1
2
3
4
5PO7.1
PO7.2
PO7.3
PO7.4
PO7.5
PO7.6
PO7.7
PO7.8
Nível de Maturidade 2
PO7 – GERENCIAR RECURSOSHUMANOS DE TI
0
1
2
3
4
5PO9.1
PO9.2
PO9.3
PO9.4
PO9.5
PO9.6
Nível de Maturidade 1
PO9 – AVALIAR E GERENCIARRISCOS DE TI
0
1
2
3
4
5PO10.1
PO10.2
PO10.3
PO10.4
PO10.5
PO10.6
PO10.7
PO10.8
PO10.9
PO10.10
PO10.11
PO10.12
PO10.13
PO10.14
PO10 – GERENCIAR PROJETOS
Nível de Maturidade 2
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
� No IT Assurance Guide, temos:� Um teste do desenho do controle paracada objetivo de controle detalhado
� Apêndice VII: modelo de maturidadegenérico para controles internos
�No Control Practices, temos:� Práticas de controle para cadaobjetivo de controle detalhado
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
� Mapeamento de 171 processos operacionais da Tecnologia
� Análise de maturidade desses processos, segundo o CobiT
� Alinhamento dos processos operacionais aos objetivos de controle do CobiT, com respectivas estimativas de maturidade
� Pirâmide InvertidaGE
GT
GE
GT
P
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
Pag.29 29Alinhamento ao CobiTPag.29
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
� Promoção da Gestão por Processos
� Diagnóstico de maturidade dos processosoperacionais e dos objetivos de controledetalhados relacionados
� Auto-avaliação de Maturidade CobIT
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
� Itens de Processo:� Segmentação de escopo (subprocessos e áreas de
aplicação)
� Segmentação de fases
� Impacto
� Natureza (Gestão, Riscos, Cadeia de Valor, Conformidade)
� Sub-funções de TI (Institucional, Relacionamento com clientes, Suporte a usuários, Desenvolvimento, Infraestrutura)
Programa de Governança e Gestão Estratégica
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
� Baseado na ISO/IEC-15.504
� Método de avaliação rigoroso, objetivo e repetível, baseado em evidências
� O Modelo de Maturidade do CobiT 4.1 é muito dependente do avaliador
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
� Capacidade do Processo: habilidade do processo de atingir objetivos de negócio atuais e futuros
� Atributos de Processo: característica mensurável da capacidade do processo
� Resultado esperado do Processo: resultado observável do sucesso do alcance do propósito do processo
� Prática Básica: uma atividade que, se realizada consistentemente, contribui para atingir um propósito específico do processo
� Produto de Trabalho: artefato associado com a execução de um processo
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
� Maria Albeti� Qualificação do MGCTI da UCB
� “Maturidade do Gerenciamento de Serviços de TI na Administração Direta Federal”
� Process Maturity Framework do ITIL v3
� Gerências da Transição de Serviços e da Operação de Serviços
� Thiago Dalpoz� Qualificação do MGCTI da UCB
� “Levantamento e Diagnóstico de Maturidade de Governança de Segurança da Informação na Administração Direta Federal Brasileira”
� Modelo de Maturidade de GSI do ITGI, 2008
� Foco em processos de negócio críticos e Gestão de Riscos
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
� Encarando a Governança de TI na APF como um Wicked Problem
� As Competências Conversacionais no Relacionamento/Alinhamento TI-Negócio
� Uso de Mídias Sociais no apoio à Governança de TI
� Governança de TI em Empresas com Governança Corporativa
� Metamodelos de Frameworks de Melhores Práticas de TI
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
� O que penso que deva ser feito:
�Primeiro um diagnóstico rápido poratributos, depois, para os processoscríticos, um diagnóstico por processo oupor CAP.
4º Governança AplicadaMaturidade de Governança de TI no Setor Público
J. Souza Neto, PhD, CGEIT, CRISC
twitter: @gov_ti