COBIT 5 - MODELO de Capacidade de Processo
do COBIT 5
Fernando Palma
Fernando PalmaFundador do Portal GSTI, Consultor em Governança de TI, Gestão de Serviços de TI e Gestão da Segurança da Informação. Possui certificações como ITIL Expert, ITIL Manager, COBIT, OCEB, ISO 20.000 F e ISO 27.002 F. Professor de pós-graduação na UNIJORGE e Ruy Barbosa, de concursos na ITNerantes e palestrante. Treinou mais de 1 mil profissionais em ITIL, COBIT e Gestão da Segurança. Perfil Completo: Fernando Palma.
Série de Palestras sobre COBIT 5
1º EncontroIntroduçãoPrincípio 01 (de 05) do do COBIT 5: 1.Satisfazer as necessidades das partes interessadasCascata de Objetivos do COBIT 52º EncontroRevisão e Cascata de Objetivos na Prática 2º Princípio: Cobrir a Organização de Ponta a Ponta3º EncontroPrincípio 03 (+ BSC)4º Encontro: 4º Princípio e 5º Princípio5º Encontro: Guia de Implementação 6º Encontro (Hoje): Modelo de Capacidade de Processos
Agenda● Introdução ● Diferenças Entre o Modelo de Maturidade do COBIT
4.1 e o Modelo de Capacidade de Processo do COBIT 5
● Diferenças na Prática● 45 Benefícios das Mudanças ● Realizar Avaliações da Capacidade do Processo no
COBIT 5
Agenda● Introdução ● Diferenças Entre o Modelo de Maturidade do COBIT
4.1 e o Modelo de Capacidade de Processo do COBIT 5
● Diferenças na Prática● Benefícios das Mudanças ● Realizar Avaliações da Capacidade do Processo no
COBIT 5
IntroduçãoO conjunto de produtos COBIT 5 inclui um modelo de capacidade de processo, com base no padrão de Avaliação de Processo – Engenharia de Software ISO/IEC 15504
Objetivo do Modelo: Medir o desempenho dos processos Identificar áreas que precisam ser melhoradas. Apoio à melhoria dos processo
Detalhes da abordagem da foram incluídos na publicação COBIT® Process Assessment Model (PAM)
Agenda● Introdução ● Diferenças Entre o Modelo de Maturidade do
COBIT 4.1 e o Modelo de Capacidade de Processo do COBIT 5
● Diferenças na Prática● Benefícios das Mudanças ● Realizar Avaliações da Capacidade do Processo no
COBIT 5
Modelo de Maturidade No COBIT 4.1
06 Níveis de Maturidade: 01 Modelo para cada processo
Com ajuda dos Objetivos de Controle genéricos, processos são avaliados
6 atributos aplicáveis para cada processo que auxiliaram na obtenção de uma visão mais
detalhada do nível de maturidade
Completa falta de um processo reconhecido. A
empresa nem mesmo reconheceu que existe
uma questão a ser trabalhada.
Atividades do processo são realizadas, mas não há padrão. São aplicadas
individualmente ou caso-a-caso.
Os processos evoluíram para um estágio onde
procedimentos similares são seguidos, mas não há ainda
formalização.
Procedimentos foram padronizados, documentados
e comunicados através de treinamento. Porém, há
desvios e pouco controle.
A gerencia monitora e mede a aderência aos procedimentos
e adota ações onde os processos parecem não estar
funcionando
Os processos foram refinados a um nível de boas práticas, baseado no resultado de um contínuo aprimoramento. Há
automação.
Exemplo: Objetivos de Controle 4.1
PO1 Definir um Plano Estratégico de TI PO1.3 Avaliação da Capacidade e Desempenho Correntes
PO1.4 Plano Estratégico de TI
• Avaliar a capacidade e o desempenho atuais das entregas de soluções e serviços
• Estabelecer um modelo com o qual os requisitos futuros podem ser comparados
• Definir o desempenho: funcionalidades, estabilidade, complexidade, custos, pontos fortes e fragilidades
• Criar um Plano Estratégico de TI • Envolver partes interessadas• Descrever como TI contribui para os objetivos de Negócio
Modelo de Capacidade de Processos do COBIT 5
Cada nível de capacidade só pode ser atingido quando o nível anterior tiver sido
plenamente alcançado.
Neste esquema de avaliação, atingir a capacidade nível 1, mesmo em uma escala
de 5, já pode ser considerado uma importante conquista para a organização.
Há uma diferença significativa entre a capacidade de processo nível 1 e os níveis
de capacidade mais altos.
Alguns requisitos do modelo ISO/IEC 15504:2
• Cada processo deve ser descrito em termos de objetivo e resultados.
• A descrição do processo não conterá nenhum aspecto da estrutura de medição além do nível 1
As ferramentas complementares ajudam a definir os níveis de capacidade dos processos
Agenda● Introdução ● Diferenças Entre o Modelo de Maturidade do COBIT
4.1 e o Modelo de Capacidade de Processo do COBIT 5
● Diferenças na Prática● Benefícios das Mudanças ● Realizar Avaliações da Capacidade do Processo no
COBIT 5
Nível 1
Nível 2 Nível 0
COBIT 4.1 COBIT 5
No geral, as pontuações serão inferiores com o modelo de capacidade de processo do COBIT 5
É possível que alguns processos classificados como Modelo de Maturidade Nível 1 ou 2 sejam classificados como nível 0 / nível 1 no COBIT 5
Nível 1
COBIT 4.1 COBIT 5
Detectar pontos de melhoria
O Foco das Avaliações são ligeiramente diferentes
Benchmarking
Cumprimento de Requisitos
Agenda● Introdução ● Diferenças Entre o Modelo de Maturidade do COBIT
4.1 e o Modelo de Capacidade de Processo do COBIT 5
● Diferenças na Prática● Benefícios das Mudanças ● Realizar Avaliações da Capacidade do Processo no
COBIT 5
Maior ênfase no processo que está sendo realizado para confirmar que está efetivamente alcançando seus objetivos e os resultados esperados.
Simplificação do conteúdo por meio da eliminação da duplicação: a avaliação do modelo de maturidade do COBIT 4.1 exigia o uso de diversos componentes específicos, inclusive o modelo de maturidade genérico, modelos de maturidades do processo, objetivos de controle e controles de processo para apoiar a avaliação do processo.
Os benefícios do modelo de capacidade de processo do COBIT 5, comparados com os modelos de maturidade do COBIT 4.1 incluem:
Maior confiabilidade e repetitividade das atividades e análises da avaliação da capacidade do processo, reduzindo debates e desentendimentos entre as partes interessadas em relação aos resultados da avaliação.
Maior uso dos resultados da avaliação da capacidade do processo, visto que o novo modelo estabelece uma base para a realização de avaliações mais rigorosas e formais.
Os benefícios do modelo de capacidade de processo do COBIT 5, comparados com os modelos de maturidade do COBIT 4.1 incluem:
Agenda● Introdução ● Diferenças Entre o Modelo de Maturidade do COBIT
4.1 e o Modelo de Capacidade de Processo do COBIT 5
● Diferenças na Prática● Benefícios das Mudanças ● Realizar Avaliações da Capacidade do
Processo no COBIT 5
Ferramenta: Process Assessment Model (PAM)
http://www.isaca.org/COBIT/Pages/COBIT-5-PAM.aspx
Valor - Membros: US $30 | Não membros US $50
Escala de avaliação Percentual DescriçãoN – Notachieved
ou
nãoatendido
Entre 0% e 15% É declarado como não atendido ou com poucas evidências de que o atributo foi satisfeito.
P – Partiallyachieved
ou
parcialmente atendido
De 16% a 50% Há evidências de uma prática sistemática no sentido da satisfação do atributo. Entretanto, alguns aspectos do atendimento podemser imprevisíveis.
L – Largelyachieved
ou
largamente atendido
De 51% a 85% Há evidências de uma prática sistemática no sentido da satisfação do atributo. Entretanto, a execução do processo pode variar em algumas unidades ou áreas de atividade.
F – Fullyachieved
ou
Totalmente atendido
De 86% a 100% Há evidências de uma prática sistemática no sentido da satisfação do atributo. Não há deficiências significativas relacionadas ao atributo em todas as áreas da organização.
Escala de Avaliação dos Níveis de Capacidade
Exemplo de requisitos de avaliação de processos COBIT 5
Requisitos do nível 01 Atende? Nível Detalhes (quando aplicável)AI2-O1 Especificações de projeto são elaboradas com base nas necessidades dos negócios e gerenciados para novos sistemas ou alterações importantes.
Sim 100% --
AI2-O2 Controle de aplicação, segurança, disponibilidade, capacidade e controles de auditoria são incluídos na concepção, desenvolvimento e implementação.
Não 15% Existem atividades isoladas neste sentido, que dependem de decisões das pessoas.
AI2-O3 O software aplicativo é desenvolvido e/ou configurado e mantido de acordo com especificações de planejamento, padrões de desenvolvimento e documentação.
Não 15% Existe um conjunto de atividades repetíveis, mas não seguem especificação(ões) padrão(ões) pré estabelecido(a)(s).
AI2-O4 Desenvolvimento e manutenção estão sujeitos aos requisitos de um plano de garantia (QA) de qualidade.
Não 15% --
AI2-O5 Requisitos de software atendem a requisitos do projeto e de gerenciamento.
Sim 100% --
AI2-O6 Uma estratégia para a aplicação de software é utilizada.
Não 15% Existem atividades isoladas sendo conduzidas.
Baseado em uma avaliação real.