Secretaria de Gestão Pública de São Paulo. Guia de Avaliação de Maturidade dos Processos de Gestão de TI

Transcrição

1 Secretaria de Gestão Pública de São Paulo Guia de Avaliação de Maturidade dos Processos de Gestão de TI

2 Objetivos As empresas e seus executivos se esforçam para: Manter informações de qualidade para subsidiar as decisões de negócios. Gerar valor comercial dos investimentos habilitados por TI, ou seja, atingir metas estratégicas e realizar os benefícios por meio do uso eficaz e inovador de TI. Alcançar excelência operacional com a aplicação confiável e eficiente da tecnologia. Manter os riscos relacionados à TI em um nível aceitável. Otimizar os custos de serviços e tecnologias de TI. Como esses benefícios podem ser realizados para criar valor para as partes interessadas

3 Estrutura do COBIT 5 Em poucas palavras, a estrutura do COBIT 5 ajuda as empresas a criarem o melhor valor possível com o uso de TI, mantendo o equilíbrio entre a realização dos benefícios e a otimização dos níveis de risco e do emprego de recursos. O COBIT 5 permite que a informação e tecnologias relacionadas sejam governadas e geridas de maneira holística em toda a empresa, envolvendo completamente as áreas de negócios e funcionais, de acordo com os interesses relativos à TI das partes interessadas internas e externas. Os princípios e habilitadores do COBIT 5 são gerais e úteis a empresas de qualquer porte, sejam elas comerciais, sem fins lucrativos ou do setor público.

4 Princípios do COBIT 5 1. Satisfazer as necessidades das partes interessadas 5. Separar governança de gerenciamento Princípios do COBIT 5 2. Envolver todas as áreas da empresa 4. Possibilitar uma abordagem holística 3. Empregar uma estrutura única e integrada Fonte: COBIT 5, figura ISACA Todos os direitos reservados.

5 Habilitadores do COBIT 5 2. Processos 3. Estruturas organizacionais 4. Cultura, ética e comportamento 1. Princípios, políticas e estruturas 5. Informações 6. Infraestrutura de serviços e aplicações Recursos 7. Pessoas, habilidades e competências Fonte: COBIT 5, figura ISACA Todos os direitos reservados.

6 Áreas chaves de Governança e Gestão COBIT 5 Negócios Necessidades do Negócio Governança Avaliar Direcionar Monitorar Gestão Alinhar, Planejar e Organizar Construir, Adquirir e Implementar Feedback da Gestão Entregar, Atender e Dar Suporte Monitorar, Avaliar e Analisar ISACA COBIT 5

7 Processos COBIT 5 Avaliar, Direcionar e Monitorar Governança de TI Corporativa EDM01 Garantir a Definição e Atualização da Estrutura de Governança EDM02 Garantir entrega de valor EDM03 Garantir a otimização de riscos EDM04 Garantir a otimização de recursos EDM05 Garantir a transparência das partes interessadas Alinhar, Planejar e Organizar APO01 Gerenciar estrutura de gerenciamento de TI APO02 Gerenciar a estratégia APO03 Gerenciar a arquitetura corporativa APO04 Gerenciar a inovação APO05 Gerenciar o portfólio APO06 Gerenciar o orçamento e os custos APO07 Gerenciar os recursos humanos Monitorar, Avaliar e Analisar APO08 Gerenciar as relações APO09 Gerenciar os contratos de serviços APO10 Gerenciar os fornecedores APO11 Gerenciar a qualidade APO12 Gerenciar os riscos APO13 Gerenciar a segurança MEA01 Monitorar, avaliar e analisar o desempenho e conformidade Construir, Adquirir e Implementar BAI01 Gerenciar programas e projetos BAI02 Gerenciar a definição de requisitos BAI03 Gerenciar a identificação e construção de soluções BAI04 Gerenciar disponibilidade e capacidade BAI05 Gerenciar a promoção de mudança organizacional BAI06 Gerenciar mudanças BAI07 Gerenciar o aceite da mudança e transição MEA02 Monitorar, avaliar e analisar o sistema de controle interno BAI08 Gerenciar o conhecimento BAI09 Gerenciar os ativos BAI10 Gerenciar a configuração Entregar, Atender e Dar Suporte DSS01 Gerenciar as operações DSS02 Gerenciar as requisições de serviços e os incidentes DSS03 Gerenciar problemas DSS04 Gerenciar a continuidade DSS05 Gerenciar os serviços de segurança DSS06 Gerenciar os controles de processos de negócio MEA03 Monitorar, avaliar e analisar a conformidade com requisitos externos Gerenciamento de TI Corporativa ISACA COBIT 5

8 Metodologia CPqD de Avaliação de Maturidade COBIT Definição do escopo Avaliação Definir o tipo de avaliação Definir a abrangência da avaliação Definir a agenda e as responsabilidades Completa; Governança; Gestão; Customizada. Domínios; Processos; Práticas; Áreas. RACI Chart; Duração. Realizar o levantamento e a avaliação Consolidar o diagnóstico Nivelamento conceitual; Entrevistas; Avaliação; Relevância e expectativa. Identificação da maturidade; Identificação dos GAPs; Consolidação diagnóstico; Recomendações. Relato dos resultados Estágio de Maturidade Ações Recomendadas Workshop de encerramento

9 Definição do tipo de avaliação A Avaliação de Gestão de TI faz parte do produto CPqD Governança de TI e consiste na realização de uma série de entrevistas e análises dos processos, procedimentos e métodos utilizados pela área de TI, avaliando-os de acordo com modelo de maturidade e comparando-os a padrões e referências internacionais de melhores práticas. A Avaliação de Gestão de TI do CPqD é um produto configurável e, portanto, antes da avaliação em si, é necessário definir o escopo da avaliação que engloba a definição do tipo e da abrangência da avaliação desejada pelo cliente: Detalhada, Alto Nível e Customizada. Isso permite um serviço ajustado às necessidades do cliente.

10 Definição da abrangência da avaliação

11 Processo Avaliado Descrição do processo Este processo visa a adoção de práticas capazes de possibilitar a otimização dos custos e aumento da contribuição e da entrega de valor da TI para o negócio, por meio de processos, serviços e ativos adequados, resultantes dos investimentos realizados. Processo EDM02 - Garantir Entrega de Valor Avaliar e alinhar as estratégias de TI às organizacionais Direcionar o portfólio de TI e investimentos Monitorar e corrigir os direcionamentos Práticas de governança Critérios de avaliação Relevância? Maturidade desejada? 0 - Não se aplica 1 Irrelevante 2 Pouco Importante 3 Importante 4 Muito Importante 5 Extremamente Importante. Nível 0 Inexistente Processo não está implementado ou não atinge seu propósito. Nível 1 Executado Processo está implementado e atinge seu propósito. Nível 2 Gerenciado Processo executado e seus produtos estão estabelecidos e controlados e está gerenciado, monitorado e adequado. Nível 3 Estabelecido Processo gerenciado e aderente a padrões, normas ou melhores práticas. Nível 4 Previsível Processo estabelecido e seus resultados são medidos controlados. Nível 5 Otimizado Processo previsível e criticamente analisado e continuamente melhorado.

12 Definição da agenda e responsabilidades Processos Gestão Diretor / Coordenador de TI Área de Operação Especialistas Área de Continuidade e Recuperação Área de Segurança da Informação EDM02 X APO02 X APO05 X APO09 X APO10 X APO12 X X X X APO13 X X X X BAI01 X BAI04 X X X BAI06 X X X BAI09 X X BAI10 X X X DSS01 X X DSS02 X X DSS03 X X DSS04 X X X MEA01 X

13 Realização do levantamento e a avaliação Critérios para a Avaliação Nível 0 Inexistente Nível 1 Executado Nível 2 Gerenciado Nível 3 Estabelecido Nível 4 Previsível Nível 5 Otimizado Processo não está implementado Processo está implementado Processo executado Processo gerenciado Processo estabelecido Processo previsível OU E E E E E não atinge seu propósito. atinge seu propósito. seus produtos estão estabelecidos e controlados aderente a padrões, normas ou melhores práticas. seus resultados são medidos e controlados. criticamente analisado e continuamente melhorado. E está gerenciado, monitorado e adequado. Relevância 0- Não se aplica 1- Irrelevante 2- Pouco Importante 3- Importante 4- Muito Importante 5- Extremamente Importante

14 Sala de Reunião de Avaliação Entrevistados Projetor Redator Redator Moderador Circulação do Moderador

15 Planilha de acompanhamento de reunião EDM02 - Garantir entrega de valor (benefícios). Otimizar a contribuição de valor para o negócio a partir dos processos de negócios, serviços de TI e ativos de TI resultantes de investimentos realizados pela área de TI a custos aceitáveis. Abordagem - lista de perguntas de cada prática de governança EDM Avaliar a otimização de valor Q1. As estratégias de TI estão alinhadas com as estratégias de negócio? Q2. Os investimentos de TI (recursos e serviços) estão alinhados com os objetivos estratégicos da organização? Q3. Este alinhamento é revisto regularmente? EDM Direcionar a otimização de valor Q1. Os investimentos e portfolio de TI são definidos e comunicados por tipo, categorias e critérios conforme o alinhamento estratégico? Q2. Os requisitos de investimentos e portfolio são faseados e revistos a cada fase com base nas mudanças estratégicos quando houver? EDM Monitorar a otimização de valor Q1. É definido um conjunto de objetivos, métricas ou metas de resultados relacionados com os investimentos e portfolio de TI? Q2. São definidas ações para ajustes e/ou correções nos ivenstimentos em função dos resultados dos investimentos e portfolio de TI? Notas Nota Preliminar Maturidade Prelimiar Maturidade Diagnosticada Notas_EDM02_01 1 1,7 2,0 Notas_EDM02_02 2 Notas_EDM02_03 2 Maturidade Inexistente - Executado - Gerenciado - Estabelecido - Previsível- Otimizado

16 Planilha de acompanhamento de reunião EDM02 - Garantir entrega de valor (benefícios). Otimizar a contribuição de valor para o negócio a partir dos processos de negócios, serviços de TI e ativos de TI resultantes de investimentos realizados pela área de TI a custos aceitáveis. Relevância (importância) Relevância diagnosticada Maturidade Desejada Não se aplica - Irrelevante - Pouco Importante - Importante - Muito Importante - Extremamente Importante ,0 3,0

17 Resultados da Avaliação Análise de lacuna entre a maturidade desejada pela área de TI de cada Secretaria e a maturidade identificada Maturidade desejada

18 Resultados da Avaliação Visão de maturidade e relevância dos processos do domínio, por exemplo, APO

19 Plano de Ação Plano de Ação Estruturar a governança de TI Estruturar o Direcionamento e Controle de TI Operacionalizar o Gerenciamento dos Processos de TI Estabelecer Metodologia para Assegurar a Entrega de Valor de TI (EDM02); Estabelecer o Direcionamento Tecnológico (APO02); Aperfeiçoar o Gerenciamento do Portfolio de Investimento de TI (APO05); Definir e divulgar os serviços de TI (APO09); Aperfeiçoar o Gerenciamento de Fornecedores de TI (APO10); Projeto Definir o Gerenciamento de Risco de TI (APO12); Definir o Gerenciamento de Segurança (APO13); Definir a Monitoração de Desempenho dos Processos de TI (MEA01) Acompanhamento e Execução dos Projetos de TI (BAI01); Gerenciar as Soluções de TI (BAI03); Gerenciar Disponibilidade e Capacidade de TI (BAI04); Gerenciar Mudanças de TI (BAI06); Gerenciar os Ativos de TI (BAI09); Gerenciar Configuração (BAI10); Gerenciar as Operações de TI (DSS01); Gerenciar as Requisições e Incidentes de TI (DSS02); Gerenciar Problemas (DSS03); Estruturar o Plano de Continuidade do Negócio (DSS04);

20 Obrigado!

21

22

23

24

25