Na prática: Implantação do CobiT na CGU
-
Upload
rogerio-araujo -
Category
Documents
-
view
10.929 -
download
0
Transcript of Na prática: Implantação do CobiT na CGU
ControladoriaControladoria--Geral da UniãoGeral da União
Implantação do COBIT na CGUImplantação do COBIT na CGU
José Geraldo Loureiro RodriguesJosé Geraldo Loureiro RodriguesDiretor de Sistemas e Informação
A escolha do COBIT 4.1A escolha do COBIT 4.1A escolha do COBIT 4.1A escolha do COBIT 4.1
Maior abrangência
Integração com outras práticas:• CMMI• ITIL• ISO/NBR 17799
Guias de implantação e acompanhamentop ç p
Alternativas para ImplantaçãoAlternativas para ImplantaçãoAlternativas para ImplantaçãoAlternativas para Implantação
Contratação de Consultoria externa• Prós
Experiência e capacidade reconhecidaMetodologias sedimentadasRitmo aceleradoRitmo acelerado
• ContrasCusto e dificuldade para contrataçãop çPouco conhecimento da cultura da organizaçãoDificuldades de aceitação pelos líderes
Alternativas para ImplantaçãoAlternativas para ImplantaçãoAlternativas para ImplantaçãoAlternativas para Implantação
Recursos próprios (nossa opção)• Prós
Sem dispêndio adicionalConhecimento da situação e da cultura da organizaçãoRitmo apropriado à maturidade do pessoalRitmo apropriado à maturidade do pessoalInternalização do conhecimentoAceitação e envolvimento
• ContrasDemora para estruturação e capacitação da equiperesponsável pela implantaçãoresponsável pela implantaçãoRiscos decorrentes da experiência restrita
Atributos do Modelo de Atributos do Modelo de M t id dM t id dMaturidadeMaturidade
NívelEntendimento e Conscientização
Treinamento e Comunicação
Processo e Práticas
Técnicas e Automação
Conformidade EspecializaçãoNível Conscientização Comunicação Práticas Automação
1 Reconhecimento Comunicação esporádica de problemas
Abordagens Ad hoc para processos e práticas
2 Conscientização Comunicação sobre todos problemas e
Aparecimento de processos similares,
Aparecimento de ferramentas comuns
Monitoramento inconsistente e p
necessidadep ,amplamente intuitivo somente em áreas
isoladas3 Entendimento da
necessidade de atuarTreinamento informal suportado iniciativas individuais
Existência de práticas padronizadas e documentadas;
Uso corrente de técnicas disponíveis
Monitoramento global mas inconsistente. Aparecimento de
Envolvimento de especialistas de Tecnologia da
compartilhamento de melhores práticas
processos de medição. Adoção de idéias de IT balanced scorecards
Informação
4 Entendimento total dos i it
Treinamento Formal t d
Propriedade dos Aplicação de técnicas d id
Implementação de IT b l d d
Envolvimento de todos i li t i trequisitos suportado por um
programa gerenciadoprocessos e responsabilidades designadas
amadurecidas. Padronização de ferramentas. Uso limitado e tático da tecnologia.
balanced scorecards em algumas áreas como exceção e gerenciamento das demais.
especialistas internos
5 Visão de futuro avançada Treinamento e comunicação suportado por melhores práticas
Aplicação de melhores práticas de mercado
Desenvolvimento de ferramentas sofisticadas. Uso abrangente e otimizado de tecnologia
Aplicação global de IT balanced scorecards e gerenciamento global e consistente
Uso de especialistas externos e líderes de mercado para orientação
Fonte: Erik Guldentops – Information systems Control Journal, V4, 2003
GovernançaGovernança
M d O i i lM d O i i lMudança OrganizacionalMudança Organizacional
Recursos HumanosRecursos Humanos
Mudança OrganizacionalMudança OrganizacionalMudança OrganizacionalMudança Organizacional
A metáfora dos sistemas vivos• “Every living system is a learning system.”
Fritjof Capra• O distúrbio como ferramenta de aprendizado
A liderança como facilitadora da inovaçãoç ç• O líder de equipe como agente da mudança• Motivação e envolvimento• Equalização = Oportunidade de aperfeiçoamento
O processo paraO processo paraO processo para O processo para Implantação do COBITImplantação do COBITp çp ç
Montagem da Equipe InicialMontagem da Equipe InicialMontagem da Equipe InicialMontagem da Equipe Inicial
Identificação de representantes com perfil:• Conhecimento dos conceitos de Governança de TI
Iniciativas de implantação de melhores práticas• Iniciativas de implantação de melhores práticas• Motivação para participação no projeto• Líderes de equipeq p
Investimento em capacitação da equipe inicial
Estabelecimento da estratégia de implantação
Preparação do material de apoio
A introdução do distúrbioA introdução do distúrbioA introdução do distúrbioA introdução do distúrbio
Reunião da administração com todos líderes deequipe e seus substitutosTemas• Importância de serem os agentes da mudança• Os benefícios da mudança• Oportunidade de aprendizado para todos• Participação na elaboração do plano de trabalho
Responsabilidade pelo repasse das informações para suas equipes.Transparência e envolvimento de todos
Diagnóstico da Situação AtualDiagnóstico da Situação AtualDiagnóstico da Situação AtualDiagnóstico da Situação Atual
El b ã d i á i d ITElaboração de questionários segundo ITAssurance Guide e IT GovernanceImplementation Guide (COBIT 4 1)Implementation Guide (COBIT 4.1)• Um questionário para cada Processo• Questões para os níveis de maturidade 1, 2 e 3Questões para os níveis de maturidade 1, 2 e 3• Média de cinco questões para cada nível
Reuniões semanais para equalização dep q çconhecimentos e esclarecimentos de dúvidas• Uma ou duas reuniões para cada Domínio
Preenchimento de todos os questionáriospelos líderes das 13 equipes
Diagnóstico da Situação Atual Diagnóstico da Situação Atual NúNú–– Números Números ––
34 questionários
527 questões para avaliação
13 equipes
6851 respostas
Análise das RespostasAnálise das Respostas-- Momento Atual Momento Atual --
Consolidação e análise das respostas
Discussão das discrepâncias com os líderes
Estabelecimento de prioridades, trabalhoconjunto da Administração e Líderesconjunto da Administração e Líderes
Próximos PassosPróximos PassosPróximos PassosPróximos Passos
Elaboração dos planos de açãoAprovação dos planosp ç pImplementaçãoMeta Todos os processos críticos noMeta : Todos os processos críticos, nomínimo no nível de maturidade 2, até junho20082008Avaliação geral do processoPlanejamento de nova iteração para o 2ºsemestre de 2008
Análise das RespostasAnálise das RespostasAnálise das RespostasAnálise das Respostas(preliminar)(preliminar)
Os 34 processosOs 34 processosOs 34 processosOs 34 processosOs 4 Domínios
PO1ME4ME3
ME2ME1
DS13 PO6
PO5PO4
PO3PO2
3
4
DS13
DS12
DS11 PO8
PO7
PO6
1
2
3
DS10
DS9 PO10
PO90
1
DS8
DS7
DS6 AI3
AI2
AI1
DS6
DS5DS4
DS3DS2 DS1 AI7
AI6AI5
AI4
AI3
Níveis
Planejamento e OrganizaçãoPlanejamento e OrganizaçãoPlanejamento e OrganizaçãoPlanejamento e OrganizaçãoPlanejamento e Organização
PO1
PO2 PO102
j g ç
PO3 PO91
0
PO4 PO8
PO5
PO6
PO7
Nivel
Aquisição e ImplementaçãoAquisição e ImplementaçãoAquisição e ImplementaçãoAquisição e ImplementaçãoAquisição e Implementação
AI1
4
Aquisição e Implementação
AI2 AI7
2
AI3 AI6
0
AI3 AI6
AI4 AI5
Ni lNivel
Entrega e suporteEntrega e suporteEntrega e suporteEntrega e suporte
DS1
Entrega e SuporteDS1
DS2 DS134
3DS3 DS12
2
1
3
2 2
2
DS4 DS11
0
2
11
11
1
1
DS5 DS102
DS6 DS9
DS7 DS8
Nivel
Monitoração e avaliaçãoMonitoração e avaliaçãoMonitoração e avaliaçãoMonitoração e avaliaçãoMonitoração e avaliação
ME1
1
Monitoração e avaliação
0.5
ME2 ME40
ME3
Ni lNivel
Análise por processoAnálise por processoPlanejamento e Organização
Análise por processoAnálise por processoPlanejamento e Organização
PO1 - Definir Plano Estratégico de TI
0.5
0.3
0.4
0.1
0.2
0
Nível 1 Nível 2 Nível 3
Níveis de Conformidade
Nível 1 Nível 2 Nível 3
Análise por processoAnálise por processoAnálise por processoAnálise por processoAquisição e implementação
0.48
q ç p çAI3 - Adquirir e manter infra-estrutura tecnológica
0.46
0.47
0.43
0.44
0.45
0.41
0.42
0.38
0.39
0.4
Nível 1 Nível 2 Nível 3
Análise por processoAnálise por processoAnálise por processoAnálise por processoEntrega e suporteEntrega e suporte
DS1 - Definir e administrar níveis de serviço
0.5
0.3
0.4
0 1
0.2
0
0.1
Ní l 1 Ní l 2 Ní l 3Nível 1 Nível 2 Nível 3
Análise por processoAnálise por processoAnálise por processoAnálise por processoMonitoração e avaliaçãoMonitoração e avaliação
ME2 - Monitorar e avaliar controles internos
0.5
0.3
0.4
0.1
0.2
0
Nível 1 Nível 2 Nível 3
CONTROLADORIACONTROLADORIA--GERAL DA UNIÃOGERAL DA UNIÃO
José Geraldo Loureiro Rodrigues Diretor de Sistemas e InformaçãoDiretor de Sistemas e Informação
Tel: (0xx61) 3412-7246e-mail: dsi@cgu gov bre-mail: [email protected]