ControladoriaControladoria--Geral da UniãoGeral da União

Implantação do COBIT na CGUImplantação do COBIT na CGU

José Geraldo Loureiro RodriguesJosé Geraldo Loureiro RodriguesDiretor de Sistemas e Informação

A escolha do COBIT 4.1A escolha do COBIT 4.1A escolha do COBIT 4.1A escolha do COBIT 4.1

Maior abrangência

Integração com outras práticas:• CMMI• ITIL• ISO/NBR 17799

Guias de implantação e acompanhamentop ç p

Alternativas para ImplantaçãoAlternativas para ImplantaçãoAlternativas para ImplantaçãoAlternativas para Implantação

Contratação de Consultoria externa• Prós

Experiência e capacidade reconhecidaMetodologias sedimentadasRitmo aceleradoRitmo acelerado

• ContrasCusto e dificuldade para contrataçãop çPouco conhecimento da cultura da organizaçãoDificuldades de aceitação pelos líderes

Alternativas para ImplantaçãoAlternativas para ImplantaçãoAlternativas para ImplantaçãoAlternativas para Implantação

Recursos próprios (nossa opção)• Prós

Sem dispêndio adicionalConhecimento da situação e da cultura da organizaçãoRitmo apropriado à maturidade do pessoalRitmo apropriado à maturidade do pessoalInternalização do conhecimentoAceitação e envolvimento

• ContrasDemora para estruturação e capacitação da equiperesponsável pela implantaçãoresponsável pela implantaçãoRiscos decorrentes da experiência restrita

Atributos do Modelo de Atributos do Modelo de M t id dM t id dMaturidadeMaturidade

NívelEntendimento e Conscientização

Treinamento e Comunicação

Processo e Práticas

Técnicas e Automação

Conformidade EspecializaçãoNível Conscientização Comunicação Práticas Automação

1 Reconhecimento Comunicação esporádica de problemas

Abordagens Ad hoc para processos e práticas

2 Conscientização Comunicação sobre todos problemas e

Aparecimento de processos similares,

Aparecimento de ferramentas comuns

Monitoramento inconsistente e p

necessidadep ,amplamente intuitivo somente em áreas

isoladas3 Entendimento da

necessidade de atuarTreinamento informal suportado iniciativas individuais

Existência de práticas padronizadas e documentadas;

Uso corrente de técnicas disponíveis

Monitoramento global mas inconsistente. Aparecimento de

Envolvimento de especialistas de Tecnologia da

compartilhamento de melhores práticas

processos de medição. Adoção de idéias de IT balanced scorecards

Informação

4 Entendimento total dos i it

Treinamento Formal t d

Propriedade dos Aplicação de técnicas d id

Implementação de IT b l d d

Envolvimento de todos i li t i trequisitos suportado por um

programa gerenciadoprocessos e responsabilidades designadas

amadurecidas. Padronização de ferramentas. Uso limitado e tático da tecnologia.

balanced scorecards em algumas áreas como exceção e gerenciamento das demais.

especialistas internos

5 Visão de futuro avançada Treinamento e comunicação suportado por melhores práticas

Aplicação de melhores práticas de mercado

Desenvolvimento de ferramentas sofisticadas. Uso abrangente e otimizado de tecnologia

Aplicação global de IT balanced scorecards e gerenciamento global e consistente

Uso de especialistas externos e líderes de mercado para orientação

Fonte: Erik Guldentops – Information systems Control Journal, V4, 2003

GovernançaGovernança

M d O i i lM d O i i lMudança OrganizacionalMudança Organizacional

Recursos HumanosRecursos Humanos

Mudança OrganizacionalMudança OrganizacionalMudança OrganizacionalMudança Organizacional

A metáfora dos sistemas vivos• “Every living system is a learning system.”

Fritjof Capra• O distúrbio como ferramenta de aprendizado

A liderança como facilitadora da inovaçãoç ç• O líder de equipe como agente da mudança• Motivação e envolvimento• Equalização = Oportunidade de aperfeiçoamento

O processo paraO processo paraO processo para O processo para Implantação do COBITImplantação do COBITp çp ç

Montagem da Equipe InicialMontagem da Equipe InicialMontagem da Equipe InicialMontagem da Equipe Inicial

Identificação de representantes com perfil:• Conhecimento dos conceitos de Governança de TI

Iniciativas de implantação de melhores práticas• Iniciativas de implantação de melhores práticas• Motivação para participação no projeto• Líderes de equipeq p

Investimento em capacitação da equipe inicial

Estabelecimento da estratégia de implantação

Preparação do material de apoio

A introdução do distúrbioA introdução do distúrbioA introdução do distúrbioA introdução do distúrbio

Reunião da administração com todos líderes deequipe e seus substitutosTemas• Importância de serem os agentes da mudança• Os benefícios da mudança• Oportunidade de aprendizado para todos• Participação na elaboração do plano de trabalho

Responsabilidade pelo repasse das informações para suas equipes.Transparência e envolvimento de todos

Diagnóstico da Situação AtualDiagnóstico da Situação AtualDiagnóstico da Situação AtualDiagnóstico da Situação Atual

El b ã d i á i d ITElaboração de questionários segundo ITAssurance Guide e IT GovernanceImplementation Guide (COBIT 4 1)Implementation Guide (COBIT 4.1)• Um questionário para cada Processo• Questões para os níveis de maturidade 1, 2 e 3Questões para os níveis de maturidade 1, 2 e 3• Média de cinco questões para cada nível

Reuniões semanais para equalização dep q çconhecimentos e esclarecimentos de dúvidas• Uma ou duas reuniões para cada Domínio

Preenchimento de todos os questionáriospelos líderes das 13 equipes

Diagnóstico da Situação Atual Diagnóstico da Situação Atual NúNú–– Números Números ––

34 questionários

527 questões para avaliação

13 equipes

6851 respostas

Análise das RespostasAnálise das Respostas-- Momento Atual Momento Atual --

Consolidação e análise das respostas

Discussão das discrepâncias com os líderes

Estabelecimento de prioridades, trabalhoconjunto da Administração e Líderesconjunto da Administração e Líderes

Próximos PassosPróximos PassosPróximos PassosPróximos Passos

Elaboração dos planos de açãoAprovação dos planosp ç pImplementaçãoMeta Todos os processos críticos noMeta : Todos os processos críticos, nomínimo no nível de maturidade 2, até junho20082008Avaliação geral do processoPlanejamento de nova iteração para o 2ºsemestre de 2008

Análise das RespostasAnálise das RespostasAnálise das RespostasAnálise das Respostas(preliminar)(preliminar)

Os 34 processosOs 34 processosOs 34 processosOs 34 processosOs 4 Domínios

PO1ME4ME3

ME2ME1

DS13 PO6

PO5PO4

PO3PO2

3

4

DS13

DS12

DS11 PO8

PO7

PO6

1

2

3

DS10

DS9 PO10

PO90

1

DS8

DS7

DS6 AI3

AI2

AI1

DS6

DS5DS4

DS3DS2 DS1 AI7

AI6AI5

AI4

AI3

Níveis

Planejamento e OrganizaçãoPlanejamento e OrganizaçãoPlanejamento e OrganizaçãoPlanejamento e OrganizaçãoPlanejamento e Organização

PO1

PO2 PO102

j g ç

PO3 PO91

0

PO4 PO8

PO5

PO6

PO7

Nivel

Aquisição e ImplementaçãoAquisição e ImplementaçãoAquisição e ImplementaçãoAquisição e ImplementaçãoAquisição e Implementação

AI1

4

Aquisição e Implementação

AI2 AI7

2

AI3 AI6

0

AI3 AI6

AI4 AI5

Ni lNivel

Entrega e suporteEntrega e suporteEntrega e suporteEntrega e suporte

DS1

Entrega e SuporteDS1

DS2 DS134

3DS3 DS12

2

1

3

2 2

2

DS4 DS11

0

2

11

11

1

1

DS5 DS102

DS6 DS9

DS7 DS8

Nivel

Monitoração e avaliaçãoMonitoração e avaliaçãoMonitoração e avaliaçãoMonitoração e avaliaçãoMonitoração e avaliação

ME1

1

Monitoração e avaliação

0.5

ME2 ME40

ME3

Ni lNivel

Análise por processoAnálise por processoPlanejamento e Organização

Análise por processoAnálise por processoPlanejamento e Organização

PO1 - Definir Plano Estratégico de TI

0.5

0.3

0.4

0.1

0.2

0

Nível 1 Nível 2 Nível 3

Níveis de Conformidade

Nível 1 Nível 2 Nível 3

Análise por processoAnálise por processoAnálise por processoAnálise por processoAquisição e implementação

0.48

q ç p çAI3 - Adquirir e manter infra-estrutura tecnológica

0.46

0.47

0.43

0.44

0.45

0.41

0.42

0.38

0.39

0.4

Nível 1 Nível 2 Nível 3

Análise por processoAnálise por processoAnálise por processoAnálise por processoEntrega e suporteEntrega e suporte

DS1 - Definir e administrar níveis de serviço

0.5

0.3

0.4

0 1

0.2

0

0.1

Ní l 1 Ní l 2 Ní l 3Nível 1 Nível 2 Nível 3

Análise por processoAnálise por processoAnálise por processoAnálise por processoMonitoração e avaliaçãoMonitoração e avaliação

ME2 - Monitorar e avaliar controles internos

0.5

0.3

0.4

0.1

0.2

0

Nível 1 Nível 2 Nível 3

CONTROLADORIACONTROLADORIA--GERAL DA UNIÃOGERAL DA UNIÃO

José Geraldo Loureiro Rodrigues Diretor de Sistemas e InformaçãoDiretor de Sistemas e Informação

Tel: (0xx61) 3412-7246e-mail: dsi@cgu gov bre-mail: dsi@cgu.gov.br