pessoas, processos e ferramentas para o sucesso da avaliação de governança

Pessoas, Processos e Ferramentas

para o sucesso da Avaliação de

Governança de TI 1

Avaliação de Governança de TI

Avaliação da Governança de TI, baseado no Framework CobIT® 5 e no

PAM (ISO 15.504)

Assessor Guide

• Método oficial para o levantamento e análise da

conformidade dos processos de TI em relação as

práticas de Governança e Gerenciamento de TI

• Permite um completo entendimento quanto aos Gaps

nos processos de Governança e Gerenciamento de TI

• Baseados no padrão internacional ISO 15.504

• Método repetível, isento, robusto e confiável, baseado

em evidências e não mais em percepções

• Foco não é a comparação (benchmarking) com outras

organizações, mas a comparação com o prórprio

processo

Diferenças do Cobit 4.1

• Diferentes escopo, foco e intenção

– Capacidade de Processo e Não em Maturidade

• Pontuações serão inferiores com o modelo de capacidade de processo

• Não há mais um modelo de maturidade específico por processo no conteúdo

do processo detalhado

• Abordagem define as informações requeridas no ‘modelo de referência de

processo’:

– Descrição de processo, com as definições do objetivo

– Práticas básicas, equivalentes às práticas de governança ou gestão de

processo do COBIT 5

– Produtos do trabalho, equivalentes às entradas e saídas do COBIT 5

• O modelo de maturidade do COBIT 4.1 produzia um perfil de maturidade de

uma organização

3

Diferenças do Cobit 4.1

4

1

2.5

2

??

Avaliação de Capacidade

• No COBIT 5, o modelo de avaliação fornece uma escala de medida para cada

atributo capacidade, cada nível deve ser alcançado completamente antes de

alcançar o próximo nível.

• A avaliação faz a distinção entre avaliação de nível de capacidade 1 e os níveis

mais elevados.

• O nível de capacidade de processo 1 descreve se um processo atinge a sua

finalidade, e é, portanto, um nível muito importante para alcançar-, bem como

fundamental para permitir níveis de capacidade superiores a serem alcançados


Ao todo, são 09 atributos de processo (PA) divididos em 5 dimensões de

capacidade:

6


• Nível de capacidade 1 pode ser avaliado através de:– Analise dos resultados do processo.

– Avaliação das práticas de processo (governo ou de gerenciamento).

– Considerando os produtos de trabalho.

• O Programa de Avaliação do COBIT inclui:

– COBIT Process Assessment Model (PAM): Using COBIT 5• Modelo de Avaliação de Processo

– COBIT Assessor Guide: Using COBIT 5• Guia para Avaliadores certificados

– COBIT Self-Assessment Guide: Using COBIT 5• guia de "auto-avaliação" para empresas que desejam uma avaliação menos

formal


• A ISO 15504 define os seguintes termos-chave:

– (Purpose) Propósito do processo - Os objetivos mensuráveis de alto nível para a

realização do processo

– (Outcome) Resultado do processo - um resultado observável de um processo

– (BP) Práticas de Base - as atividades que, quando executadas de forma

consistente, contribuem para alcançar o objetivo do processo e utilizados apenas

para avaliar o nível 1 na dimensão do processo.

– (WP) Produto de Trabalho - Um artefato associado à execução de um processo.

– (GP) Práticas genéricas - Apoiam a realização de atributos do processo nos níveis

2 a 5.

– (GWP) Produtos de Trabalho Genéricos - São usados nos níveis 2 a 5.

A Estrutura de Medição

• Processo de avaliação do COBIT mede a até que ponto um determinado

processo atinge os atributos do processo.


N- 0%-15% P- 15%-50% L- 50%-85% F- 85%-100%

N – Não AtingidoP – Parcialmente

Atingido

L – Amplamente

Atingido

F- Completamente

Atingido

9

Processo ISO/IEC 14.504 1 2 3 4 5

5 - Otimizando PA 5.2 Otimização de Processo

PA 5.1 Inovação de Processo

L/F

4 - Previsível PA 4.2 Controlo de Processo

PA 4.1 Gerenciamento de Processos

L/F F

3 - Estabelecido PA 3.2 Implantação de Processo

PA 3.1 Definição de Pprocesso

L/F F F

2 - Gerenciado PA 2.2 Gerenciamento de Produto de Trabalho

PA 2.1 Gerenciamento de Desempenho

L/F F F F

1 - Executado PA 1.1 Desempenho do processo. L/F F F F F

Benefícios do Método Atual

Maior ênfase no processo para confirmar que está alcançando seus

objetivos e os resultados esperados.

Simplificação do conteúdo. Eliminação da duplicação de componentes

específicos (modelo de maturidade genérico, modelos de maturidades

do processo, objetivos de controle).

Maior confiabilidade e repetitividade das atividades e análises da

avaliação da capacidade do processo,

Redução dos debates e desentendimentos entre as partes interessadas

em relação aos resultados da avaliação.

Maior (re)uso dos resultados da avaliação da capacidade do processo,

Base para a realização de avaliações mais rigorosas e formais, tanto

para finalidades internas como externas em potencial.

Conformidade com um padrão de avaliação de processo aceito

10

Solução Completa de Avaliação

Processos

Ferramentas

Pessoas

11

Uma solução ampla e que atenda os requisitos e necessidades

deve ser composta por 3 elementos:

Assessor Guide

Processo de Avaliação

As etapas da Avaliação de Capacidade

12


• O programa como um todo possui a seguinte divisão de fases:

13

1. Iniciação do Projeto

A etapa de iniciação envolve a confirmação do patrocinador e a garantia de um acordo sobre o objetivo e escopo da

avaliação. Esta etapa também envolve a identificação de eventuais restrições, o planejamento inicial da avaliação

(incluindo qualquer informação adicional que precisa ser recolhida), a seleção dos participantes da avaliação e da equipe

de avaliação, além de definir os papéis dos membros da equipe.



14

2. Planejamento

Planejamento de avaliação envolve o desenvolvimento de um plano de avaliação que descreve todas as atividades

realizadas na coleta de evidências e condução da avaliação. Isto envolve o Gerenciamento de Projetos, a definição de

nível de esforço, Ferramentas de Avaliação e Estratégia de Coleta de Dados.



15

3. Preparação

Antes da coleta de dados ocorrer, o líder da equipe de avaliação deve garantir que a equipe de avaliação compreende

avaliação dos artefatos de entrada, processamento e saída dos processos.

As pessoas que deverão ser consultadas para a avaliação também devem ser informadas sobre como a avaliação será

realizada. Esta etapa compreende a realização de workshop sobre a avaliação e individualmente sobre as práticas e

artefatos de cada processo avaliado.



16

4. Atividade Iterativas

O método de coleta e análise dos dados é aplicado individualmente para cada processo selecionado, com os seguintes

passos:

a. Coleta de Dados

A coleta de dados envolve a obtenção de evidências objetivas para apoiar a avaliação dos processos

selecionados para avaliação. A estratégia para a coleta deve ser desenvolvida e aprovada durante a etapa de

planejamento da avaliação.



17

b. Validação dos Dados

A validação de dados envolve a confirmação de que as evidências coletadas são objetivas e suficientes para cobrir o

escopo e o propósito da avaliação, e que os dados como um todo são consistentes.

A validação pode começar durante a coleta de dados, no entanto, o avaliador, deverá assegurar que a informação obtida

de várias fontes é consistente.



18

c. Pontuação de Atributos de Processo

Para cada processo avaliado uma pontuação é aplicada para atribuir a classificação do nível de capacidade do escopo.

A pontuação é baseada em dados validados na atividade anterior.

Para cada atributo avaliado de processo, a relação entre os indicadores e as evidências objetivas deve ser registrada.



19

5. Relatório de Avaliação

Durante esta fase, os resultados da avaliação são analisados e apresentados ao patrocinador e a outras partes

interessadas, conforme apropriado.

O relatório de avaliação, baseado na avaliação de capacidade do processo, deve ser realizado por um avaliador certificado

e competente e, portanto, não é um relatório de certificação ou garantia sobre a eficácia do controle interno, gestão de

risco ou de outros aspectos de desempenho da organização.

Este relatório interno deve ser de uso da gestão da TI e da organização para compreender o nível da capacidade dos

processos de TI com base no COBIT e permitir a consideração de sugestões de melhoria de processos com base nos

resultados de avaliação.


• Classe da Avaliação

– Classe Um (Avaliação de Desempenho e Melhoria)• Requer um Avaliador-Líder (Externo à Organização/Terceiro/Auditor Externo)

• Apresenta uma comparação com resultados de mercado (Benchmarking)

• Requer Evidência para Práticas Básicas (BP) e Produtos de Trabalho (WP)

• Requer um Plano de Ação (Melhoria)

– Classe Dois (Avaliação de Conformidade)• Requer um Avaliador, mas o Avaliador-Líder é opcional

• Permite a comparação com avaliações anteriores realizadas pela mesma

organização

• Requer Evidência para Práticas Básicas (BP)

• Requer Aprovação de Coletas (Registros e Evidências)

• Requer um Relatório de Avaliação

– Classe Três (Auto-Avaliação)• Requer um Avaliador

• Requer Pontos Fortes e Fracos

20

Pessoas

Patrocinador

Avaliador Líder

Avaliador

CoordenadorDono doProcesso

Agente de Avaliação

21

• O Time de Avaliação

Pessoas

• Principais Papéis e Responsabilidades

22

Papel Responsabilidade

Coordenador • Garantir que a equipe de avaliação tem interação adequada com as funções organizacionais

necessários para completar a avaliação.

• Assegurar que os recursos são disponibilizados em tempo hábil para cumprir o cronograma de

avaliação.

• Servir como interface para preocupações logísticas para garantir que ambas as necessidades do

negócio e as necessidades da avaliação sejam adequadamente atendidas

Dono do Processo • Responsável pelas informações reportadas em seu respectivo processo.

• Realiza a integração de diferentes informações obtidas por diferentes Agentes de Avaliação, mas

relativo ao seu processo.

• Aprova as informações registradas e evidências reportadas pelo(s) Agente(s) de Avaliação.

• Na ausência de Agentes de Avalição, o mesmo é responsável por inserir registros e evidências.

Agente de Avaliação • Delegado pelo Dono do Processo para preencher as informações do processo.

• Caso rejeitadas as informações preenchidas, deve reeditar e reenviá-las para aprovação.

• Pode ser mais de 01 por processo.

Pessoas

• Principais Papéis e Responsabilidades

23

Papel Responsabilidade

Avaliador Líder • Confirmar o compromisso do patrocinador para prosseguir com a avaliação.

• Garantir que a avaliação é realizada de acordo com as exigências do programa de avaliação COBIT.

• Assegurar que os participantes na avaliação sejam informados sobre a finalidade, o escopo e

abordagem da avaliação.

• Assegurar que todos os membros da equipe de avaliação têm conhecimentos e competências

adequadas às suas funções.

• Assegurar que todos os membros da equipe de avaliação têm acesso à orientação documentada

sobre a forma de realizar o

• atividades de avaliação definidos.

• Garantir que a equipe de avaliação tem as competências para usar as ferramentas escolhidas para

apoiar a avaliação.

• Confirmar o recebimento das entregas do resultado da avaliação pelo patrocinador.

• Após a conclusão da avaliação, verificar e documentar o grau de conformidade da avaliação ao

programa de avaliação COBIT e ISO / IEC 15504

Avaliador • Garantir que a avaliação é realizada de acordo com as exigências do programa de avaliação COBIT.

• Classificar os atributos necessários ao processo para completar o perfil processo.

• Realizar as atividades atribuídas associados com a avaliação (planejamento detalhado, a coleta de

dados, validação de dados e elaboração de relatórios) e garantir que eles são suportados por

adequado

Pessoas - Capacitação

• Líderes e Donos de Processo

– Treinamento Oficial em COBIT 5 Foundation (16 horas)

– Workshop de Preparação e Método de Avaliação (4 horas)

• Coordenador de Avaliação

– Treinamento Oficial de Avaliação em COBIT 5 (32 horas)

• Avaliador


• Avaliador-Líder


– Ser um COBIT 5 Certified Assessor• Ser aprovado nos exames de COBIT 5 Foundation e Assessor

• Demonstrar cinco ou mais anos de experiência profissional na condução de

atividades com base em processos

24

Ferramentas

• Uso de Ferramenta de Avaliação

– A decisão deve ser tomada nesta fase sobre as ferramentas que serão utilizadas

para subsidiar a avaliação.

– Ferramentas são necessárias para apoiar o agrupamento das evidências usada pelo

avaliador para atribuir classificações aos atributos do processo para cada processo

avaliado, e no registro das avaliações como o conjunto de perfis do processo.

– Existem dois tipos básicos diferentes de ferramentas:

• Baseada em Papel e,

• Automatizadas.

– A adequação de uma ferramenta depende do modo previsto de utilização e

metodologia de avaliação.

– Para garantir um desempenho eficaz e eficiente, as ferramentas devem ser

selecionadas ou projetadas para atender às necessidades da organização e do

processo de avaliação.

25

Ferramentas

Uma ferramenta adequada para Avaliação de Capacidade de Processos deve atender aos

seguintes requisitos:

• Repositório de documentos utilizados ao longo das avaliações,

• Controle efetivo do histórico dos registros e evidências, devidamente qualificados e

aprovados,

• Permitir a Monitoração e Evolução dos controles

• Publicar os resultados para todos os interessados

• Gerenciar os Planos de Melhoria

• Suportar as atividades do Avaliador/Avaliador-Líder

26

MEA02 – Monitorar, avaliar e analisar o sistema de controle interno

Obter transparência para as principais partes interessadas sobre a

adequação do sistema de controles internos e, assim, proporcionar confiança

nas operações, a confiança na realização dos objetivos da empresa e uma

compreensão adequada do risco residual.

Control-IT®

A partir dessas novas necessidades de mercado, a Blue Hawk desenvolveu

uma Oferta de Serviços completa

Além da especialização no método de avaliação e capacitação, uma ferramenta

de automação foi incorporada: Control-IT®

Esta ferramenta foi desenvolvida a partir dos padrões desenvolvidos pelo

ISACA e pela norma ISO/IEC 15.504 para a realização de avaliações de

capacidade de processos.

Ela é totalmente compatível com diferentes plataformas e dispositivos e não

demanda implementações

Pode ser baseada em nuvem, como serviço, ou no ambiente interno

Torna as avaliações mais rápidas e com menor consumo de tempo

27

Control-IT®

28

Control-IT®

29

Control-IT®

30

Control-IT®

31

Control-IT®

32

Em resumo

• A Avaliação da Governança de TI baseada no PAM (Método de

Avaliação de Processo) do CobIT® 5:

– Baseada no padrão internacional ISO 15.504

– Método repetível, isento, robusto e confiável, baseado em

evidências e não mais em percepções

– Requer uma abordagem focada em melhoria contínua dos

processos

– Os aspectos de Pessoas, Processo e Ferramenta deve ser

considerados como elementos da solução para o PAM.

33

Perguntas?

34

pessoas, processos e ferramentas para o sucesso da avaliação de governança

Business