Controladoria--Geral da União

Controladoria

Implantação do COBIT na CGU

José Geraldo Loureiro Rodrigues

Diretor de Sistemas e Informação
 A escolha do COBIT 4.1

ƒ Maior abrangência

ƒ Integração com outras práticas:

• CMMI
• ITIL
• ISO/NBR 17799

ƒ Guias de implantação
p ç e acompanhamento
p
 Alternativas para Implantação

ƒ Contratação de Consultoria externa

• Prós
„ Experiência e capacidade reconhecida
„ Metodologias sedimentadas
„ Ritmo acelerado
• Contras
„ Custo e dificuldade p
para contratação
ç
„ Pouco conhecimento da cultura da organização
„ Dificuldades de aceitação pelos líderes
 Alternativas para Implantação

ƒ Recursos próprios (nossa opção)

• Prós
„ Sem dispêndio adicional
„ Conhecimento da situação e da cultura da organização
„ Ritmo apropriado à maturidade do pessoal
„ Internalização do conhecimento
„ Aceitação e envolvimento
• Contras
„ Demora para estruturação e capacitação da equipe
responsável pela implantação
„ Riscos decorrentes da experiência restrita
 Atributos do Modelo de
M t id d
Maturidade
Entendimento e Treinamento e Processo e Técnicas e Conformidade Especialização
Nível Conscientização Comunicação Práticas Automação
1 Reconhecimento Comunicação Abordagens Ad hoc
esporádica de para processos e
problemas práticas
2 Conscientização Comunicação sobre Aparecimento de Aparecimento de Monitoramento
todos p
problemas e processos similares,,
p ferramentas comuns inconsistente e
necessidade amplamente intuitivo somente em áreas
isoladas
3 Entendimento da Treinamento informal Existência de práticas Uso corrente de técnicas Monitoramento global Envolvimento de
necessidade de atuar suportado iniciativas padronizadas e disponíveis mas inconsistente. especialistas de
individuais documentadas; Aparecimento de Tecnologia da
compartilhamento de processos de Informação
melhores práticas medição. Adoção de
idéias de IT balanced
scorecards
4 Entendimento total dos Treinamento Formal Propriedade dos Aplicação de técnicas Implementação de IT Envolvimento de todos
requisitos
i it suportado
t d por um processos e d id
amadurecidas. b l
balancedd scorecards i li t iinternos
d especialistas t
programa gerenciado responsabilidades Padronização de em algumas áreas
designadas ferramentas. Uso como exceção e
limitado e tático da gerenciamento das
tecnologia. demais.

5 Visão de futuro avançada Treinamento e Aplicação de Desenvolvimento de Aplicação global de IT Uso de especialistas
comunicação melhores práticas de ferramentas sofisticadas. balanced scorecards externos e líderes de
suportado por mercado Uso abrangente e e gerenciamento mercado para
melhores práticas otimizado de tecnologia global e consistente orientação

Fonte: Erik Guldentops – Information systems Control Journal, V4, 2003

 Governança

M d
Mudança O
Organizacional
i i l

Recursos Humanos
 Mudança Organizacional

ƒ A metáfora dos sistemas vivos

• “Every living system is a learning system.”
Fritjof Capra
• O distúrbio como ferramenta de aprendizado

ƒ A liderança
ç como facilitadora da inovação
ç
• O líder de equipe como agente da mudança
• Motivação e envolvimento
• Equalização = Oportunidade de aperfeiçoamento
 O processo para
Implantação
p ç do COBIT
 Montagem da Equipe Inicial

ƒ Identificação de representantes com perfil:

• Conhecimento dos conceitos de Governança de TI
• Iniciativas de implantação de melhores práticas
• Motivação para participação no projeto
• Líderes de equipe
q p

ƒ Investimento em capacitação da equipe inicial

ƒ Estabelecimento da estratégia de implantação

ƒ Preparação do material de apoio

 A introdução do distúrbio

ƒ Reunião da administração com todos líderes de

equipe e seus substitutos
ƒ Temas
• Importância de serem os agentes da mudança
• Os benefícios da mudança
• Oportunidade de aprendizado para todos
• Participação na elaboração do plano de trabalho
ƒ Responsabilidade pelo repasse das informações
para suas equipes.
ƒ Transparência e envolvimento de todos
 Diagnóstico da Situação Atual

ƒ El b
Elaboração
ã d
de questionários
i ái segundo
d IT
Assurance Guide e IT Governance
Implementation Guide (COBIT 4.1)
4 1)
• Um questionário para cada Processo
• Questões para os níveis de maturidade 1, 2 e 3
• Média de cinco questões para cada nível
ƒ Reuniões semanais p para equalização
q ç de
conhecimentos e esclarecimentos de dúvidas
• Uma ou duas reuniões para cada Domínio
ƒ Preenchimento de todos os questionários
pelos líderes das 13 equipes
 Diagnóstico da Situação Atual
– Números
Nú –
ƒ 34 questionários

ƒ 527 questões para avaliação

ƒ 13 equipes

ƒ 6851 respostas
 Análise das Respostas
- Momento Atual -

ƒ Consolidação e análise das respostas

ƒ Discussão das discrepâncias com os líderes

ƒ Estabelecimento de prioridades, trabalho

conjunto da Administração e Líderes
 Próximos Passos

ƒ Elaboração dos planos de ação

ƒ Aprovação
p ç dos p planos
ƒ Implementação
ƒ Meta : Todos os processos críticos,
críticos no
mínimo no nível de maturidade 2, até junho
2008
ƒ Avaliação geral do processo
ƒ Planejamento de nova iteração para o 2º
semestre de 2008
Análise das Respostas
(preliminar)
 Os 34 processos
Os 4 Domínios
ME4 PO1 PO2
ME3 PO3
ME2 PO4
4
ME1 PO5
DS13 3 PO6

DS12 PO7
2
DS11 PO8
1
DS10 PO9
0
DS9 PO10

DS8 AI1

DS7 AI2

DS6 AI3
DS5 AI4
DS4 AI5
DS3 AI6
DS2 DS1 AI7

Níveis
Planejamento e Organização
Planejamento
j e Organização
g ç
PO1

PO2 2 PO10

1
PO3 PO9

PO4 PO8

PO5 PO7

PO6

Nivel
Aquisição e Implementação
Aquisição e Implementação
AI1
4
AI2 AI7

AI3 AI6

AI4 AI5
Ni l
Nivel
 Entrega e suporte
Entrega e Suporte
DS1
DS2 DS13
4

3
DS3 DS12

2 2

2 1 2

DS4 2
1
DS11
1 0 1
1 1
1

DS5 2 DS10

DS6 DS9

DS7 DS8
Nivel
Monitoração e avaliação
Monitoração e avaliação
ME1
1

0.5

ME2 0 ME4

ME3
Ni l
Nivel
 Análise por processo
Planejamento e Organização
PO1 - Definir Plano Estratégico de TI

0.5

0.4

0.3

0.2

0.1

0
Níveis de Conformidade

Nível 1 Nível 2 Nível 3

 Análise por processo
Aquisição
q ç e implementação
p ç
AI3 - Adquirir e manter infra-estrutura tecnológica

0.48

0.47

0.46

0.45

0.44

0.43

0.42

0.41

0.4

0.39

0.38

Nível 1 Nível 2 Nível 3

 Análise por processo
Entrega e suporte
DS1 - Definir e administrar níveis de serviço

0.5

0.4

0.3

0.2

01
0.1

0
Ní l 1
Nível Ní l 2
Nível Ní l 3
Nível
 Análise por processo
Monitoração e avaliação
ME2 - Monitorar e avaliar controles internos

0.5

0.4

0.3

0.2

0.1

0
Nível 1 Nível 2 Nível 3
CONTROLADORIA--GERAL DA UNIÃO
CONTROLADORIA

José Geraldo Loureiro Rodrigues

Diretor de Sistemas e Informação

Tel: (0xx61) 3412-7246

e-mail: dsi@cgu.gov.br
dsi@cgu gov br