Modelo de Avaliação de Maturidade de Processos Cobit .

...

- Além disso, para cada um dos 34 processos, o COBIT apresenta, no Management Guidelines, um modelo de maturidade específico, focado nas atividades chave do processo as quais são baseadas nos Objetivos de Controle. Para cada um dos níveis de maturidade, entretanto não estão representadas todas as práticas genéricas de controle de todos os objetivos de controle do processo. Assim sendo, o modelo de maturidade específico é um ferramental que se presta a uma rápida avaliação de alto nível, mas sem detalhamento

---------------------------------------------------------------

- Os elementos que sustentam o modelo de maturidade específico concentram-se nos seguintes componentes:

- Conscientização e comunicação;

- Políticas, planos e procedimentos;

- Ferramentas e automação;

- Habilidades e experiência;

- Responsabilidade e prestação de contas;

- Definição de metas e mensurações.

- Maiores detalhes sobre as definições de cada um destes elementos podem ser encontrados na página 21 do documento COBIT 4.1 disponível no site do ISACA.

- Nesta metodologia, utilizamos ambos os modelos, o genérico e o específico em contraponto, para análise em nível (assertiva) e em perfil (mostrando tendência dos controles do processo).

---------------------------------------------------------------

-

PROCESSO DE AVALIAÇÃO DA MATURIDADE

- A avaliação da maturidade pode ser entendida como uma estrutura composta por oito atividades. Estas são:

- Definições relacionadas ao escopo do trabalho,

- Definição do público alvo,

- Definição das ferramentas que serão usadas,

- Programa de conscientização,

- Coleta de informações,

- Elaboração dos relatórios preliminares,

- Elaboração do relatório final,

- Elaboração do Plano de Melhorias.

- Para um melhor entendimento segue-se uma explanação resumida de cada um destes itens.

Definições do Escopo do Trabalho

- Estabelece qual será o propósito da avaliação de maturidade, seus entregáveis e quais serão as pessoas responsáveis pela avaliação. Em geral as seguintes alternativas são discutidas neste contexto:

- Definição do propósito do trabalho e da abrangência do estudo,

- Definição das pessoas envolvidas na avaliação,

- Definição do material fonte para a análise (arquitetura da análise),

- Definição dos entregáveis.

Definição do Público Alvo

- Depois das definições sobre a estrutura global do processo e da equipe técnica, é necessário decidir quem será auditado ou entrevistado no processo. A relação (Entrevistado) x (Processo do COBIT) pode ser definida de vários modos, nesta etapa será discutido como pode-se fazer esta seleção.

Ferramentas para Avaliação da Maturidade

- As ferramentas que fazem parte do kit do avaliador podem ser divididas em dois conjuntos, ou seja, os documentos base do COBIT e as tabelas e relatórios de registro de informação. Este dois conjuntos podem ser vistos na descrição detalhada deste item na seqüência deste documento.

Programa de Conscientização

- Consiste em um conjunto de palestras e treinamentos específicos para as pessoas que estarão envolvidas no processo.

Coleta de informações

- Conjunto de atividades chave do processo de avaliação da maturidade. Esta etapa tem como resultado o mapa geral dos processos analisados da organização. O avaliador pode contar com uma série de ferramentas para coletar as informações com os usuários. Estas podem ser feitas na forma de entrevista ou questionamento básico de auditoria. É baseado nos Objetivos de Controle do COBIT, , nas declarações de maturidade dos processos e etc. É extremamente importante que ao final do processo exista uma relação de exemplos das afirmações dos entrevistados ou evidências do desempenho dos processos.

Elaboração dos Relatórios preliminares

- Este documento sintetiza as informações coletadas nas várias entrevistas. Seu papel é capacitar o avaliador a compor um mapa baseado nos testes descritos no documento “Assurance Guide” do COBIT 4.1. Será a partir deste mapa que o avaliador poderá identificar os níveis e perfis da maturidade dos processos e esboçar um plano de ação condizente. Estes testes abrangem três tipos de informação:

- Teste do desenho dos controles. Testa a estrutura documentada de controle do processo.

- Teste dos resultados do processo. Testa os entregáveis que são mais importantes para a organização.

- Teste da documentação do impacto das fraquezas de controle. Dado que todo processo pode apresentar pontos fracos, o mérito perseguido por esta etapa de testes esta na evidência de consciência dos pontos fracos e sua documentação.

Relatório final

- Nesta etapa o avaliador pontuará os resultados da atividade anterior conforme os parâmetros das ferramentas de medição de Nível e Perfil da maturidade. Ao final desta etapa é gerado um relatório com o resumo das observações dos avaliadores, os mapas que sustentam seus comentários e um diagnóstico para sustentar os próximos passos.

Plano de melhorias

- Com o auxílio do “Control Practices” do COBIT 4.1 pode-se estabelecer um conjunto de ações necessárias para mitigar os riscos identificados como graves para a organização. O Plano de melhorias é baseado em cada Objetivo de Controle identificado como falho.

- Em resumo, o plano de