Secretaria de Gestão

Pública de São Paulo

Guia de Avaliação de Maturidade dos

Processos de Gestão de TI

Objetivos

As empresas e seus executivos se esforçam para:

• Manter informações de qualidade para subsidiar as decisões de

negócios.

• Gerar valor comercial dos investimentos habilitados por TI, ou seja,

atingir metas estratégicas e realizar os benefícios por meio do uso

eficaz e inovador de TI.

• Alcançar excelência operacional com a aplicação confiável e

eficiente da tecnologia.

• Manter os riscos relacionados à TI em um nível aceitável.

• Otimizar os custos de serviços e tecnologias de TI.

Como esses benefícios podem ser realizados para

criar valor para as partes interessadas

• Em poucas palavras, a estrutura do COBIT 5 ajuda as empresas a

criarem o melhor valor possível com o uso de TI, mantendo o

equilíbrio entre a realização dos benefícios e a otimização dos níveis

de risco e do emprego de recursos.

• O COBIT 5 permite que a informação e tecnologias relacionadas

sejam governadas e geridas de maneira holística em toda a

empresa, envolvendo completamente as áreas de negócios e

funcionais, de acordo com os interesses relativos à TI das partes

interessadas internas e externas.

• Os princípios e habilitadores do COBIT 5 são gerais e úteis a

empresas de qualquer porte, sejam elas comerciais, sem fins

lucrativos ou do setor público.

Estrutura do COBIT 5

Princípios do COBIT 5

Fonte: COBIT® 5, figura 2. © 2012 ISACA® Todos os direitos reservados.

5. Separar

governança de

gerenciamento

1. Satisfazer

as

necessidades

das partes

interessadas

2. Envolver

todas as áreas

da empresa

4. Possibilitar

uma

abordagem

holística

3. Empregar

uma estrutura

única e

integrada

Princípios

do

COBIT 5

Habilitadores do COBIT 5

Fonte: COBIT® 5, figura 12. © 2012 ISACA® Todos os direitos reservados.

2. Processos 3. Estruturas

organizacionais 4. Cultura, ética e

comportamento

1. Princípios, políticas e estruturas

5. Informações 6. Infraestrutura

de serviços e

aplicações

7. Pessoas,

habilidades e

competências

Recursos

Negócios

Governança Avaliar

Gestão

Alinhar,

Planejar e

Organizar

Monitorar,

Avaliar

e Analisar

Construir,

Adquirir e

Implementar

Entregar,

Atender e Dar

Suporte

Feedback da

Gestão

Necessidades

do Negócio

Direcionar Monitorar

ISACA – COBIT 5

Áreas chaves de Governança e Gestão

COBIT 5

Avaliar, Direcionar e Monitorar

Governança de TI Corporativa

Alinhar, Planejar e Organizar

Construir, Adquirir e Implementar

Entregar, Atender e Dar Suporte

Gerenciamento de TI Corporativa

Monitorar,

Avaliar

e Analisar

APO01

Gerenciar

estrutura de

gerenciamento

de TI

APO02

Gerenciar

a estratégia

APO03

Gerenciar

a arquitetura

corporativa

APO04

Gerenciar a

inovação

APO05

Gerenciar o

portfólio

APO06

Gerenciar

o orçamento e

os custos

APO07

Gerenciar os

recursos

humanos

APO08

Gerenciar as

relações

APO09

Gerenciar os

contratos de

serviços

APO10

Gerenciar

os fornecedores

APO11

Gerenciar

a qualidade

APO12

Gerenciar os

riscos

APO13

Gerenciar a

segurança

EDM03 Garantir

a otimização de

riscos

MEA02 Monitorar,

avaliar e analisar o

sistema de controle

interno

MEA01 Monitorar,

avaliar e analisar o

desempenho e

conformidade

MEA03 Monitorar,

avaliar e analisar a

conformidade com

requisitos externos

BAI01 Gerenciar

programas e

projetos

BAI02 Gerenciar

a definição de

requisitos

BAI03 Gerenciar

a identificação e

construção de

soluções

BAI04 Gerenciar

disponibilidade

e capacidade

BAI05 Gerenciar

a promoção de

mudança

organizacional

BAI06 Gerenciar

mudanças

BAI07 Gerenciar

o aceite da

mudança e

transição

BAI08 Gerenciar

o conhecimento

BAI09 Gerenciar

os ativos

BAI10 Gerenciar

a configuração

DSS01

Gerenciar as

operações

DSS02

Gerenciar as

requisições de

serviços e os

incidentes

DSS03

Gerenciar

problemas

DSS04

Gerenciar a

continuidade

DSS05

Gerenciar os

serviços de

segurança

DSS06

Gerenciar os

controles de

processos de

negócio

EDM02 Garantir

entrega de valor

EDM01 Garantir

a Definição e

Atualização da

Estrutura de

Governança

EDM04 Garantir

a otimização de

recursos

EDM05 Garantir

a transparência

das partes

interessadas

ISACA – COBIT 5

Processos COBIT 5

Relato dos resultados

Definição do escopo

Avaliação

Definir o tipo de

avaliação

Estágio de

Maturidade

Ações

Recomendadas

Workshop de

encerramento

Definir a abrangência da

avaliação

Definir a agenda e as

responsabilidades

Realizar o levantamento

e a avaliação

Consolidar o diagnóstico

• Completa;

• Governança;

• Gestão;

• Customizada.

• Domínios;

• Processos;

• Práticas;

• Áreas.

• RACI Chart;

• Duração.

• Nivelamento conceitual;

• Entrevistas;

• Avaliação;

• Relevância e expectativa.

• Identificação da maturidade;

• Identificação dos GAPs;

• Consolidação diagnóstico;

• Recomendações.

Metodologia CPqD de Avaliação de Maturidade COBIT

A Avaliação de Gestão de TI faz parte do produto CPqD Governança de TI e consiste na realização de uma série de entrevistas e análises dos processos, procedimentos e métodos utilizados pela área de TI, avaliando-os de acordo com modelo de maturidade e comparando-os a padrões e referências internacionais de melhores práticas.

A Avaliação de Gestão de TI do CPqD é um produto configurável e, portanto, antes da avaliação em si, é necessário definir o escopo da avaliação que engloba a definição do tipo e da abrangência da avaliação desejada pelo cliente: Detalhada, Alto Nível e Customizada. Isso permite um serviço ajustado às necessidades do cliente.

Definição do tipo de avaliação

Definição da abrangência da avaliação

EDM02 - Garantir Entrega de Valor

Avaliar e alinhar as

estratégias de TI às

organizacionais

Direcionar o portfólio de

TI e investimentos

Monitorar e corrigir os

direcionamentos

Processo Avaliado

.1 .2 .3

Este processo visa a adoção de práticas capazes de possibilitar a otimização dos custos e aumento da contribuição e da

entrega de valor da TI para o negócio, por meio de processos, serviços e ativos adequados, resultantes dos investimentos

realizados.

Nível 0

Inexistente

Processo não está

implementado

ou não atinge seu

propósito.

Nível 1

Executado

Processo está

implementado

e atinge seu

propósito.

Nível 2

Gerenciado

Processo executado

e seus produtos

estão estabelecidos

e controlados

e está gerenciado,

monitorado e

adequado.

Nível 3

Estabelecido

Processo

gerenciado

e aderente a padrões,

normas ou

melhores práticas.

Nível 4

Previsível

Processo

estabelecido

e seus resultados são

medidos

controlados.

Nível 5

Otimizado

Processo previsível

e criticamente

analisado e

continuamente

melhorado.

Relevância? Maturidade desejada?

0 - Não se aplica

1 – Irrelevante

2 – Pouco Importante

3 – Importante

4 – Muito Importante

5 – Extremamente

Importante .

Descrição do processo

Processo

Práticas de governança

Critérios de avaliação

Definição da agenda e responsabilidades

Processos

Gestão Especialistas

Diretor / Coordenador

de TI

Área de Operação

Área de Continuidade e

Recuperação

Área de Segurança da Informação

EDM02 X

APO02 X

APO05 X

APO09 X

APO10 X

APO12 X X X X

APO13 X X X X

BAI01 X

BAI04 X X X

BAI06 X X X

BAI09 X X

BAI10 X X X

DSS01 X X

DSS02 X X

DSS03 X X

DSS04 X X X

MEA01 X

Realização do levantamento e a avaliação

Critérios para a Avaliação

Nível 0

Inexistente

Processo não está

implementado

OU

não atinge seu

propósito.

Nível 1

Executado

Processo está

implementado

E

atinge seu

propósito.

Nível 2

Gerenciado

Processo

executado

E

seus produtos

estão

estabelecidos e

controlados

E

está gerenciado,

monitorado e

adequado.

Nível 3

Estabelecido

Processo

gerenciado

E

aderente a

padrões, normas

ou melhores

práticas.

Nível 4

Previsível

Processo

estabelecido

E

seus resultados

são medidos e

controlados.

Nível 5

Otimizado

Processo

previsível

E

criticamente

analisado e

continuamente

melhorado.

0- Não se aplica

1- Irrelevante

2- Pouco Importante

3- Importante

4- Muito Importante

5- Extremamente Importante

Relevância

Sala de Reunião de Avaliação

Projetor

Moderador Redator Redator

Entrevistados

Circulação do Moderador

Abordagem - lista de perguntas de cada prática de governança NotasNota

Preliminar

Maturidade

Prelimiar

Maturidade

Diagnosticada

EDM02.01 - Avaliar a otimização de valor

Q1. As estratégias de TI estão alinhadas com as estratégias de

negócio?

Q2. Os investimentos de TI (recursos e serviços) estão alinhados com

os objetivos estratégicos da organização?

Q3. Este alinhamento é revisto regularmente?

Notas_EDM02_01 1 1,7 2,0

EDM02.02 - Direcionar a otimização de valor

Q1. Os investimentos e portfolio de TI são definidos e comunicados

por tipo, categorias e critérios conforme o alinhamento estratégico?

Q2. Os requisitos de investimentos e portfolio são faseados e revistos

a cada fase com base nas mudanças estratégicos quando houver?

Notas_EDM02_02 2

EDM02.03 - Monitorar a otimização de valor

Q1. É definido um conjunto de objetivos, métricas ou metas de

resultados relacionados com os investimentos e portfolio de TI?

Q2. São definidas ações para ajustes e/ou correções nos

ivenstimentos em função dos resultados dos investimentos e portfolio

de TI?

Notas_EDM02_03 2

EDM02 - Garantir entrega de valor (benefícios).

Otimizar a contribuição de valor para o negócio a partir dos processos de negócios, serviços de TI e ativos de TI

resultantes de investimentos realizados pela área de TI a custos aceitáveis.

Inexistente -

Executado -

Gerenciado -

Estabelecido -

Previsível-

Otimizado -

0

1

2

3

4

5

Maturidade

Planilha de acompanhamento de reunião

Planilha de acompanhamento de reunião

Relevância

diagnosticada

Maturidade

Desejada

4,0 3,00

1

2

3

4

5

Não se aplica -

Irrelevante -

Pouco Importante -

Importante -

Muito Importante -

Extremamente Importante

-

Relevância (importância)

EDM02 - Garantir entrega de valor (benefícios).

Otimizar a contribuição de valor para o negócio a partir dos processos de

negócios, serviços de TI e ativos de TI resultantes de investimentos

realizados pela área de TI a custos aceitáveis.

Resultados da Avaliação

Análise de lacuna entre a maturidade desejada pela área de TI de cada Secretaria e a maturidade identificada

Maturidade

desejada

Visão de maturidade e relevância dos processos do domínio, por exemplo, APO

Resultados da Avaliação

Plano de Ação

Plano de Ação

Estruturar a governança de

TI

Estruturar o Direcionamento

e Controle de TI

Operacionalizar o

Gerenciamento dos

Processos de TI

• Estabelecer o Direcionamento

Tecnológico (APO02);

• Aperfeiçoar o Gerenciamento

do Portfolio de Investimento de

TI (APO05);

• Definir e divulgar os serviços

de TI (APO09);

• Aperfeiçoar o Gerenciamento

de Fornecedores de TI (APO10);

• Projeto Definir o

Gerenciamento de Risco de TI

(APO12);

• Definir o Gerenciamento de

Segurança (APO13);

• Definir a Monitoração de

Desempenho dos Processos de

TI (MEA01)

• Acompanhamento e Execução

dos Projetos de TI (BAI01);

• Gerenciar as Soluções de TI

(BAI03);

• Gerenciar Disponibilidade e

Capacidade de TI (BAI04);

• Gerenciar Mudanças de TI

(BAI06);

• Gerenciar os Ativos de TI

(BAI09);

• Gerenciar Configuração (BAI10);

• Gerenciar as Operações de TI

(DSS01);

• Gerenciar as Requisições e

Incidentes de TI (DSS02);

• Gerenciar Problemas (DSS03);

• Estruturar o Plano de

Continuidade do Negócio

(DSS04);

• Estabelecer Metodologia para

Assegurar a Entrega de Valor

de TI (EDM02);

Obrigado!

www.cpqd.com.br