e PMA Consultoria www.pma.com.

br

Maturidade de TI utilizando o COBIT

Rildo Ribeiro dos Santos Politec S.A.

Agenda
Conceitos de governana de TI Uma introduo ao COBIT Implantando a governana de TI Elementos de maturidade de TI

Motivaes para governana

Segurana Alinhamento Negcios/Tecnologia

Manter a TI disponvel Gerenciamento da complexidade

Valor/Custo

Conformidade regulatria

As organizaes necessitam de uma abordagem estruturada para gerenciar estes e outros desafios. Garantir a existncia de objetivos em comum para a TI, utilizao de boas prticas de gerenciamento e controle, e efetivo monitoramento do desempenho da TI, para mant-la dentro da expectativa desejada, evitando ocorrncias inesperadas.

Conceitos
Governana de TI consiste de um modelo que define direitos e responsabilidades pelas decises que encorajam comportamentos desejveis no uso de TI [Weill e Ross, 2004]

Conceitos
As decises sobre a TI devem ser tomadas considerando:
Princpios da TI: declaraes de alto nvel sobre como a TI usada para suportar o negcio da organizao Arquitetura da TI: polticas, diretrizes e alternativas tcnicas para padronizao e integrao de dados, aplicaes e processos de negcio Estratgia de infra-estrutura da TI: definies sobre os servios de TI a serem providos e suas estratgias de contratao, provimento e gesto Necessidades de negcio: identificar as necessidades e oportunidades para aplicao de solues de TI na organizao Priorizao do investimento: definio de critrios para seleo e gesto do portflio de projetos de TI na organizao

Modelo de Alinhamento TI Negcios Estratgico

Estratgia de negcios
Escopo do negcio

Estratgia de TI
Escopo da tecnologia

Ajuste estratgico

Competncias

Governana de negcios

Compentncias sistmicas

Governana de TI

Infra-estrutura administrativa

Arquiteturas

Processos

Habilidades

Processos

Habilidades

Processos e infra-estrutura organizacional

Processos e infra-estrutura da TI

Integrao Funcional

COBIT Provides a Framework for IT Governance

COBIT Framework para Governana de TI

Define boas prticas para a governana de TI, baseando-se em processos, atividades e elementos de controle. COBIT (Control Objectives for Information and related Technology: Tem incio com os requisitos de negcio orientado a processos: atividades da TI so organizadas atravs de um modelo de processsos Identifica os principais recursos de TI que devem ser disponibilizados Define objetivos de controle a serem gerenciados Incorpora ( compatvel) com vrios padres internacionais

2007 IT Governance Institute. All rights reserved. www.itgi.org

Where Does COBIT Fit?

Posicionando COBIT
DESEMPENHO: Metas de Negcio
CONFORMIDADE Basel II, SarbanesOxley Act, etc.

Direcionadores

Governana Corporativa

BSC

COSO

Governana de TI

COBIT

Melhores prticas

ISO 9001:2000

ISO 17799

ISO 20000

Processos e procedimentos

Procedimentos de QA

Princpios de Segurana

ITIL

2007 IT Governance Institute. All rights reserved. www.itgi.org

Framework COBIT
Principais reas de ateno do framework:
Disponibilizar

a informao necessria para suporte aos requisitos e objetivos de negcio

Tratamento

das informaes como resultado da combinao dos recursos da TI, gerenciados atravs dos processos de TI
Critrio de informao
Processos de TI
Efetividade Eficincia Confidenciabilidade Integridade Disponibilidade Conformidade Confiabilidade

Requisitos de negcio

Abordagem de controle
Recursos de TI
Processos de TI Domnios Aplicaes Informao Infra-estrutura Pessoas 2007 IT Governance Institute. All rights reserved. www.itgi.org

Consideraes
....

Processos Atividades

Framework COBIT
OBJETIVOS DE NEGCIO E DA GOVERNANA
ME1 ME2 ME3 Monitorar e avaliar o desempenho da TI. Monitorar e avaliar os controles internos. Garantir conformidade com os requisitos externos de regulao e leis. Disponibilizar a governana de TI.

O B I

T
INFORMAO Integridade Disponibilidade Confidenciabilidade

FRAMEWORK

Efetividade Eficincia Conformidade Confiabilidade MONITORAR E AVALIAR

PO1 PO2 PO3 PO4

ME4

PLANEJAR E ORGANIZAR RECURSOS DE TI

DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9

DS10 DS11 DS12 DS13

Definir e gerenciar os nveis de servios. Gerenciar os servios de terceiros. Gerenciar a capacidade e desempenho. Garantir a continuidade dos servios. Garantir a segurana dos sistemas. Identificar e alocar os custos. Educar e treinar os usurios. Gerenciar os incidentes e atendimento a servios. Gerenciar as configuraes e mudanas. Gerenciar os problemas. Gerenciar os dados. Gerenciar o ambiente fsico. Gerenciar as operaes.

Definir um plano estratgico de TI. Definir a arquitetura de informao. Determinar a direo tecnolgica. Definir os processos, organizao e relacionamentos da TI. PO5 Gerenciar os investimentos em TI PO6 Comunicar os objetivos e direes gerenciais. PO7 Gerenciar os recursos humanos de TI. PO8 Gerenciar a qualidade. PO9 Avaliar e gerenciar os riscos de TI. PO10 Gerenciar projetos.

Aplicaes Informao Infraestrutura Pessoas ENTREGA E SUPORTE ADQUIRIR E IMPLEMENTAR

AI1 AI2 AI3 AI4 AI5 AI6 AI7

Identificar solues automatizadas. Adquirir e manter software de aplicao. Adquirir e manter infra-estrutura de tecnologia. Habilitar a operao e uso. Proporcionar recursos de TI. Gerenciar mudanas. Instalar e validar as solues e modificaes.

2007 IT Governance Institute. All rights reserved. www.itgi.org

Implantando a Governana de TI
Compreender as necessidades de negcio e a contribuio da TI Definir as metas e objetivos estratgicos da TI (baseando nas metas e objetivos estratgicos de negcio) considerando os servios atuais e futuros da TI e sua arquitetura Identificar os processos crticos e avaliar os objetivos de controle de cada processo

Modelo de maturidade - COBIT

Necessidades de gesto endereadas

Proporciona uma medida relativa de onde se encontra a corporao Um mtodo para se decidir sobre onde deseja ir meta Uma ferramenta para medir o progresso em se atingir a meta

Um nvel de maturidade para cada processo

No um modelo de maturidade rgido, que para estar em um determinado nvel de governana necessrio atingir todos os requisitos para o nvel anterior Para cada processo pode identificar:
O desempenho atual da corporao O estado atual da indstria benchmarking O alvo de melhoria adequado para corporao

Avaliando a maturidade dos processos

Aplicar as variveis de definio do nvel de maturidade para os processos selecionados
Comunicao e divulgao Polticas, planos e procedimentos Ferramentas e automao Habilidades e experincia Responsabilidade e prestao de contas Medidas e definio de metas

Avaliando a maturidade dos processos

Avaliao realizada com os objetivos de:
Identificar o nvel de maturidade atual das variveis para o processo Indicar o objetivo a ser atingido para cada varivel no processo Planejar as melhorias para cada varivel dentro do processo Identificar os projetos para implementar as oportunidades de melhoria, priorizando os que proporcionem maiores impactos

Exemplos para os nveis de maturidade

Nvel 01 Inicial
Poltica, planos e procedimentos

Nvel 02 Repetitivo Incio de processos similares, mas intuitivos,depende de conhecimento individual Algumas metas definidas; medidas financeiras conhecidas pela alta gerncia; monitoramento isolado pelas reas

Nvel 03 Definido Processos definidos e documentado s para as atividades chaves Ligao com as metas de negcio; Adoo de um scorecard para TI

Nvel 04 Gerenciado Processos internalizados e repetitivos, polticas assinadas, busca por padres Medidas de eficincia e efetividade; Implementao do scorecard para TI; anlise de causa raiz;

Nvel 05 Otimizado Processos integrados, e com melhoria contnua

H uma abordagem aleatria para os processos e prtica

Medidas e definio de metas

Metas no so claras e sem medies estabelecidas

Sistema integrado de desempenho; aes de melhoria contnua derivadas dos indicadores

COBIT Dimenses da maturidade

Como (capacidade):
Misso e objetivos da TI

Quanto (abrangncia):
Retorno do investimento e eficincia do custo

O que (controle):
Risco e conformidade

Atividades para o diagnstico da maturidade

Entendimento das estratgias de negcios Entendimento da composio da rea de TI Planejamento do DM conforme composio da rea de TI Anlise da documentao existente Entendimento do processo de TI e elaborao do macro fluxo atual Identificao dos controles associados a cada etapa do processo Avaliao dos riscos associados vs controles adotados Definio do nvel de maturidade atual Identificao do gap (gap analysis)

Linha de tempo para maturidade

Maturidade

Felicidade Fase No sei de nada

Fase Reativo, Implementao Fragmentada

Fase da Consolidao

Fase da Excelncia Operacional

Criar Inventrios Para iniciativas de Governana Inicia um abordagem Unificado de Governana Ad-Hoc, S fao Quando preciso - Reativo

Melhoria continua do processo

Acelerar projetos Para reagir as solicitaes Tempo 2 a 5 anos Hoje

Fonte: SAP Research

COBIT Contribuindo para o alinhamento estratgico

Metas de Negcio
Manter a liderana e a reputao da instituio

Metas da TI
Garantir que os servios de TI esto protegidos de ataques

Metas de Processo
Detectar e resolver acessos no autorizados

Metas de atividades
Compreender os requisitos de segurana

COBIT Metas e medidas

Cada meta estabelecida acompanhada por suas respectivas medidas. Estas medidas indicam o desempenho do item, que potencializa o item do nvel acima
TI Metas
define

Processos
define

Atividades

medido

direciona

medido

direciona

medido

Mtricas

Roadmap para implantar a governana

2007 IT Governance Institute. All rights reserved. www.itgi.org

Rildo R. dos Santos

rildo.santos@bsb.politec.com.br Consultor de Tecnologia - DAS www.politec.com.br (61) 3038-6946
"A tcnica e a tecnologia so importantes. Mas aumentar a confiana a questo da dcada"
(Tom Peters)

e PMA Consultoria www.pma.com.br