terça-feira, 20 de outubro de 2009
Maturidade dos Processos do CobiT
O CobiT tem uma "régua" para medição de 34 processos específicos de TI. Nesta "régua", há 6 níveis de maturidade. No seu entender, quais seriam os critérios para definição do nível mínimo de maturidade para um determinado processo numa determinada empresa ? Ou não faz sentido se falar em nível mínimo de maturidade ?
Assinar:
Postar comentários (Atom)
Acho importante a organização avaliar, a luz de uma metodologia baseada nas melhores praticas, em que nível de maturidade seus processos se encontram.
ResponderExcluirCom esta informação poderá realizar uma comparação com seus concorrentes e verificar o seu desempenho atual.
A organização deve perceber quais são seus principais processos de negócio e ter a sensibilidade e a inteligência de priorizar a melhoria dos processos que trazem os maiores retornos financeiros, que reduzem custos, que tem impacto direto na satisfação do seu cliente e na qualidade dos seus produtos/serviços e que estejam com o nível de maturidade abaixo dos seus concorrentes. É simplesmente uma questão de sobrevivência do negócio. Uma empresa que está sozinha no mercado pode sedar o luxo de não se preocupar tanto com a melhoria dos seus processos (melhoria da maturidade), pois toda esta brincadeira é cara para fazer e manter, mas se a empresa não está sozinha, o que ocorre com a maioria das empresas, precisa se preocupar com o nível de maturidade dos seus processos, pois isto tem relação direta com sua sobrevivência. A empresa pode iniciar com um mínimo de maturidade, mas se o seu concorrente direto tem um nível acima, talvez tenha que procurar aumentar seu nível, para se manter competitivo.
Sandro
Inicialmente a organização deve estabelecer os parâmetros de comparação para os níveis de maturidade que se pretende estabelecer. Definindo uma referência baseada em comparações com o mercado, fica mais coerente exigir de si própria o controle dos riscos de decisão para a execução dos processos. Objetivos estratégicos e modelos de negócios devem ser considerados, em conjunto com o desempenho desejado para alcançar os resultados.
ResponderExcluirOsvaldo Spíndola
Acredito que as organizações devam sempre se auto-avaliar, o que inclui a definição de níveis mínimos de maturidade para seus processos. Neste sentido, as organizações devem, inicialmente, avaliar a relevância do processo para o negócio da empresa, bem como "compará-los" aos processos realizadas por outras empresas.
ResponderExcluirO Cobit tem como objetivo mensurar a maturidade dos controles. É utililzado, também, para atender Governança, Controle e Auditoria de TI em uma organização. Ele fornece ao gestor base sólida de 'o que' e 'como' realizar gestão e melhorias de controles dos processos de TI da organização.
ResponderExcluirOs níveis de maturidade são utilizados para uma organização definir em que nível ela se encontra e em que nível pretende chegar futuramente (também por necessidade do seu negócio).
Deve-se ter em vista que mesmo organizações do mesmo segmento e porte podem ter parâmetros de grau de maturidade diferentes.
O quanto deve ser considerado o mínimo varia do controle que a organização quer ou tem que ter sobre sua TI. Os bancos, por exemplo, estão sujeitos a auditorias do Banco Central que exije deles níveis altos de controle.
Deve-se levar em consideração, primeiro, o que a organização entende como importante ou necessário para, então, levantar os pontos a serem verificados e, dependendo, melhorados.
Portanto, levando-se em conta o que pesquisei, entendi que não deveria existir um nível mínimo de maturidade para um determinado processo numa determinada organização, visto que é ela, baseada nas suas necessidades e responsabilidades, é quem deve definir esses níveis.
Um esclarecimento: quando digo que não deve existir um nivel mínimo de maturidade para um determinado processo numa determinada organização, refiro-me à outra organização exigindo um nível mínimo de maturidade para os processos da "primeira" organização; é esta que deve definir seus níveis mínimos baseada em suas responsabilidades e necessidades.
ResponderExcluirOs níveis de maturidade são utilizados para uma organização definir rapidamente, com base nos cenários descritos, em que nível se encontra e em que nível pretende chegar futuramente. Na maior parte das vezes, a aplicação deste modelo é feita através de reuniões com os gestores, onde pede-se que este identifiquem o nível atual e o desejado dos processos. Entretanto, entendeu-se que por esse modelo, a análise é muito genérica e baseia-se apenas na intuição das pessoas, nem sempre especialistas dos respectivos processos.
ResponderExcluirPara que o posicionamento de maturidade para cada processo seja definido com maior precisão, critério e uma metodologia deve ser definida para cada processo, garantindo as definições e ações corretas.
Critérios como Comunicação e divulgação,
políticas, planos e procedimentos, ferramentas e automação, habilidades e experiência, responsabilidade e prestação de contas e
definição de metas podem contribuir para o efetivo posicionamento da maturidade do processo.
Não podemos esquecer que existem duas esferas, uma publica e uma privada. Cada uma tem seus objetivos e o que notamos é que na esfera publica existe a necessidade da implantação dos controles devido aos orgãos de controle e na esfera privada devido ao mercado. Tanto para uma quanto para outra é importante o levantamento, baseado em um framework padrão do mercado, do nivel de maturidade dos processos para que a partir deste nivel inicial, possam atingir novos steps, pois com isto a organização conseguira ter um melhor planejamento e controle para a execução de suas metas. No campo privado, existe ainda a questão da sobrevivencia do negócio, pois se a concorrencia já está em outro patamar de maturidade dos processos, torna-se necessário que uma organização se posicione dentro do seu mercado e suba os niveis de maturidade de seus processos.
ResponderExcluirÉ isso aí: organizações públicas diferem das privadas no que tange às suas metas.
ResponderExcluirPor exemplo, as privadas focam muito mais em ter mais no presente do que no passado; direcionam seus objetivos para a evolução, o enriquecimento, o crescimento etc sendo estes expressos em termos financeiros ou não.
Já nas públicas ou sem fins lucrativos, o contexto é mais complexo: suas metas têm caractarísticas não-financeiras podendo ser traduzidas em imagem política, resultados sociais, melhoria de qualidade ou quantidade de serviços prestados etc.
Gerenciando as expectativas dos ‘stakeholders’ e os recursos utilizados e conhecendo seus níveis de maturidade, a organização, independente de pública ou privada, deve, ela mesma, definir quais níveis a se alcançar baseando-se em suas necessidades e responsabilidades.
Os processos específicos de TI nas empresas devem ser efetivos e gerar os resultados esperados. Uma forma de medir a efetividade dos processos é estabelecer padrões mínimos esperados e permanentemente verificar se a esses foram atingidos ou não. As “réguas” de medição do Cobit com os seus 6 níveis de maturidade são uma excelente alternativa para avaliar como estão sendo executados os processos da TI. Como já falado pelos colegas, o uso do Cobit em algumas organizações é até obrigatório, principalmente quando estivermos tratando de uma organização financeira.
ResponderExcluirEm relação a cumprimento de normativos e regulamentos as empresas devem buscar atingir os níveis mínimos determinados para cada processo. Em comparação com a concorrência, quando existir, é desejável, até para viabilizar diferencial competitivo, que a empresa tenha atingido mesmos níveis ou superiores aos melhores do mercado.
Como meta estratégica, quando possíveis melhores resultados, é adequado também que a TI seja permanentemente desafiada para atingir níveis superiores de maturidade em seus diversos processos.
Arno, complementando seu comentário sobre o Cobit, ele é um modelo que dá o diagnóstico, mas não diz o que fazer nem como; essa é uma questão que terá que ser resolvida (por meio de melhores práticas, metodologias etc).
ResponderExcluirDesse modo, adotar os processos do Cobit pra valer requer tempo e só vai surtir efeito se o 'board' da organização apoiar, se houver mudança de cultura na organização e se a própria TI amadurecer juntamente com seus processos.
O Cobit é um projeto que deve agregar valor aos processos, isto significa dizer derrubar barreiras, integrar grupos, chamar o pessoal de desenvolvimento e consertar erros de produção.
A organização deve verificar em que nível ela se encontra e em que nível pretende chegar baseado no tempo e recursos que ela possui disponível. Não existe uma regra, deve-se avaliar qual o negócio da empresa e assim escolher quais os processos mais relevantes para o estágio no qual ela se encontra.
ResponderExcluirÉ difícil mensurar níveis quando não temos processo definidos. Como vamos monitorar e controlar, princípios de avaliação permanente de maturidade? Critérios para uma definição de maturidade passam primeiro pela mudança de cultura e comprometimento da alta direção em implantar processos baseados nas melhores práticas de mercado como o COBIT, por exemplo. Mas, não devemos definir níveis mínimos e sim definir objetivos como níveis de maturidade consolidados no mercado. Tudo começa a partir do momento de definições de processos, com definições de padrões, artefatos e responsabilidades. Somente depois disso podemos pensar em algo como avaliação de maturidade.
ResponderExcluirPrezados colegas. Boas Noites! Vejo que as participações de vocês complementam o meu conhecimento. Entendo que o Cobit proporciona um conjunto de práticas internacionais geralmente aceitas e respeitadas que ajudam os gestores a aumentar o valor da TI. Quanto ao modelo de maturidade percebi que 0 é inexistente e 05 otimizado, os demais são; inicial, repetítivel, definido e gerenciado. Acho que o modelo da análise é muito genérico e baseado na intuição das pessoas que geralmente não correspondem a uma avaliação técnica e além da limitação do modelo que é incremental impossibilita atender a todos os requisitos dos níveis.
ResponderExcluirLiliana, acho que você pegou bem o espírito do Cobit. Realmente ele não diz o "como fazer" e apesar de não se propor a isso, nem teria condições de fazê-lo.
ResponderExcluirCada organização tem seu prório "ecossistema", seu tempo, suas prioridades, processos, etc.
Seguindo esse raciocínio, não faz sentido falarmos em um nível mínimo de maturidade. Mínimo para quem? Baseado em quê?
Em situações específicas, existem órgaos que regulam um segmento específico, tais como as nossas agências regulatórias.
Acho que para essas, existe um pouco mais de sentido em se falar de níveis mínimos de maturidade.
Mas, mesmo assim, volto mais a comungar com as idéias da Liliana: cada organização decide como "toca o seu negócio" e é ela também que decide e define seus níveis de maturidade.
Isto faz parte do risco do negócio! Uma das opções da gestão dos riscos é a de assumir o risco, certo? Não digo que assumir seja a melhor opção, mas quem a toma, presumidamente tem seus motivos (Ex: custo elevado para mudar um preocesso).
As participações dos colegas apresentam argumentos esclarecedores, mas ainda não fiquei convencido de que existência de um critério para definir maturidade obtenha resultado satisfatório. Por vezes encontramo-nos preparados e prontos para realizar uma tarefa, contudo a falta de experiência ou o desconhecimento sobre regras de mercado geralmente aceitas, impede a correta comparação entre nossos pares. O importante é o resultado, obtido com equilíbrio, observadas as condutas de organização, risco e qualidade.
ResponderExcluirOsvaldo, você disse tudo: "O que importa, no final, é o resultado obtido."
ResponderExcluirAfinal de contas, o COBIT não está medindo a eficácia ou a eficiência de um processo. Se eu estiver errado, favor me corrijam! Mas alguém já viu um controle que diga "a organização deve preocupar-se em não gastar mais do que deve para controlar um processo"? Será que teríamos que ter um sétimo nível de maturidade? O "Cost-effective"? :)
Tempos atrás, participei de uma conversa com uma empresa que estava passando por uma auditoria para ser certificada e poder trabalhar com seus papéis na bolsa - leia-se SOX. Um dos controles era algo assim: "O acesso aos ativos computacionais (vulgo cpd) deve ser restrito."
E como foi que eles fizeram? Passaram a trancar a sala dos servidores, distribuíram a chave para os 2 gerentes da área e colocaram um guarda para anotar registros de entrada e saída.
Sem entrar no mérito do custo de uma pessoa pra "vigiar uma porta" versus um controle biométrico, o que interessa é que essa foi a "solução" adotada e é o que a empresa usa até hoje. O que, provavelmente, foi uma solução de contorno ficou! E acho que não será revisto tão cedo.
Na visão do gestor e certamente na do auditor, o que era requerido foi atendido. A empresa está operando seus papéis na bolsa. E aí? Ela é menos confiável? Teoricamente, ela é igual a todas as outras do seu segmento, pois passou pela mesma auditoria, certo?
Os próprios processos de auditoria (e obviamente os auditores) amadurecem, aprendem com as organizações e lançam as "regras revisadas". Acho que é aí o problema. Tais regras deveriam ser revisadas em um processo interativo, envolvendo também as organizações.
Sendo um pouco cru na definição, o auditor audita, mas quem entende do negócio não é ele. Não faz sentido que tais decisões sejam tomadas por um arquétipo de monarquia.
Da mesma forma que faz sentido falar em nível de maturidade de processos de desenvolvimento (CMMI, MPS-BR), acredito que faz sentido sim falar em nível mínimo de
ResponderExcluirmaturidade para processos de TI, mas para isso é necessário definir em relação ao quê será definido esse nível mínimo, qual a estratégia da empresa, o que ela deseja (considera essencial) com as práticas de TI, etc. Com isso ela poderá priorizar a implementação de processos que sejam mais necessários ao negócio da organização.
Um determinado nível de maturidade só agrega valor a organização se trouxer algum benefício com a sua implementação (que a organização ainda não tenha), caso contrário, sua implementação não é essencial.
Entretanto, reforço que esse nível mínimo é mínimo para um determinado contexto e momento, com o tempo outro nível mínimo poderá ser desejado para a organização (aqui entra a questão da melhoria contínua).
Um abraço,
Pollyana
Pollyana, pelo que você coloca, quem define o tal mínimo deveria ser a própria empresa, certo?
ResponderExcluirDaí cai bem no que o Alexandre nos lembra: As famigeradas entrevistas e questionários que tem como produto final os gap analisys.
Quando você colocou que o nível mínimo deve ser determinado dentro de um contexto e momento, parece-me mais que estamos falando em um alvo. Ou seja, uma meta para uma área ou processo de negócio atingir.
Mas, nesse contexto, concordo contigo que estamos falando em melhoria contínua e não de recomendações de auditoria, como foi o exemplo que o Souza nos contextualizou em sala.
Este comentário foi removido pelo autor.
ResponderExcluirEste comentário foi removido pelo autor.
ResponderExcluirEste comentário foi removido pelo autor.
ResponderExcluirA Maturidade dos processos das organizações deve compreender e controlar os riscos associados no uso das novas tecnologias. CobiT é uma estrutura que irá orientar a gerência a decidir sobre o nível de risco aceitável, as práticas de controle mais adequado e mais o caminho a seguir quando ela é necessária para melhorar o nível de controle.
ResponderExcluirAtualmente, é impossível imaginar uma empresa sem uma forte área de sistemas de informações, para manipular os dados operacionais e prover informações gerenciais aos executivos para tomadas de decisões. A criação e manutenção de uma infra-estrutura de TI, incluindo profissionais especializados requerem altos investimentos. Algumas vezes a alta direção da empresa coloca restrições aos investimentos de TI por duvidarem dos reais benefícios da tecnologia.
Para melhorar o processo de análise de riscos e tomada de decisão é necessário um processo estruturado para gerenciar e controlar as iniciativas de TI nas empresas, para garantir o retorno de investimentos e adição de melhorias nos processos empresariais.
Um Abraço
Wellington
No minha visão a maturidade das empresas estam relacionadas ao grau que elas tem em processar e analisar os seus riscos, avaliando o custo de mudanças nos seus processos e a velocidade em tomarem decisões para mitigá-los. Onde através do gerenciamento e controles a TI tem o seu papel importante nesta iniciativa. O COBIT é uma das ferramentas de boas praticas para melhor avaliação desta maturidade.
ResponderExcluirAté mais,
Reginaldo Filho.
Gostei da forma sucinta que a Patrícia abordou o tema: "as organizações devem, inicialmente, avaliar a relevância do processo para o negócio da empresa, bem como "compará-los" aos processos realizadas por outras empresas."
ResponderExcluirPara mim, esses são os principais direcionadores.
Este comentário foi removido pelo autor.
ResponderExcluirUma das preocupações principais que as organizações que implantam modelos de gestão de riscos e controles seria a mensuração adequada do custo da observância. Ou seja, o custo alocado no processo de verificação não poderia inviabilizar o negócio. Essa regra também se aplicaria ao COBIT.
ResponderExcluir