20120512 risk it slides framework
TRANSCRIPT
frameworkviso geralO objectivo fundamental do Risk IT ajudar a estabelecer uma gesto eficaz da gesto do risco IT s empresas.
6 Princpios 3 DomniosRisk Governance (3 processos)
A framework baseada num conjunto de 6 princpios que so aplicados em 3 domnios que contm um total de 9 processos cada processo caracterizado quanto a actividades chave, responsabilidades, fluxos de informao entre processos e gesto de performance do processo (objectivos e mtricas)
Risk Response (3 processos)
Risk Evaluation (3 processos)
1
frameworkprincpiosPermitir que os investimentos indicados pelo IT: Sejam geridos como um portfolio de investimentos;
Incluam o mbito completo de actividades requeridas para atingir valor para o negcio;Sejam geridos ao longo de todo o seu ciclo de vida econmico.
As prticas de entrega de valor permitiro: Reconhecer diferentes categorias de investimentos que, posteriormente, sero avaliados e
geridos de forma diferente; Definir e monitorizar mtricas chave e, tambm, responder rapidamente a quaisquer alteraes ou desvios; Envolver todos os stakeholders e atribuir responsabilidades quanto satisfao de requisitos e realizao de actividade que tragam benefcios para o negcio; Monitorizar continuamente o processo para garantir a sua melhoria.
2
7 princpios
frameworkdomniosPM
3 domnios
VG
IM
Value Governance
Optimizar o valor dos investimentos de TI nas organizaes, atravs: Do estabelecimento do framework de governao, monitorizao e controlo; Da definio das caractersticas do portflio de investimentos; Da melhoria contnua da gesto do valor, atravs das lies aprendidas.
Portfolio Management
Garantir que o portflio global dos investimentos de uma organizao est alinhado com os seus objectivos estratgicos e a contribuir com um valor ptimo para esses objectivos, atravs: Do fornecimento de direco estratgica para os investimentos; Do estabelecimento e gesto de perfis de recursos; Da definio de limiares de investimento; Da avaliao e seleco, suspenso ou rejeio de novos investimentos; Da gesto do portflio global; Da monitorizao e reporting do desempenho do portflio. Assegurar que os programas de investimentos individuais em TI, disponibilizam um valor ptimo por um custo razovel, e com um nvel de risco conhecido e aceitvel, atravs da: Identificao dos requisitos de negcio; Desenvolvimento de uma compreenso clara dos programas de investimento; Anlise de alternativas; Definio do programa e da documentao de um business case detalhado, incluindo os detalhes dos benefcios; Atribuio de responsabilidades claras; Gesto do programa ao longo de todo o seu ciclo de vida econmico; Monitorizao e reporting do desempenho programa.
Investment Management
3
7 princpios
frameworkprocessosEstabelecer liderana forte e informada Alinhar e integrar a gesto do valor com o planeamento financeiro da empresa Definir e implementar processos Monitorizar as medidas aplicadasPM
3 domnios
VG
IM
Value Governance
Definir as caractersticas do portfolio Melhorar continuamente as prticas de gesto de valor
Estabelecer direco estratgica e combinar targets de investimento
Determinar a disponibilidade e fontes de fundos
Gerir a disponibilidade dos recursos humanos
Portfolio Management
Avaliar e seleccionar programas para investir
Monitorizar a performance do portfolio de investimentos
Optimizar a performance do portfolio de investimentos
Desenvolver e avaliar o business case inicial do programa
Compreender os programas candidatos e as opes de implementao
Desenvolver o plano do programa
Desenvolver o ciclo de vida de custos de benefcios
Investment Management
Desenvolver o business case detalhado do programa candidato Actualizar o business case
Iniciar e gerir o programa
Actualizar os portfolios TI
Monitorizar as medidas tomadas para o business case
Retirar o programa
4
7 princpios
frameworkrelao entre processosEstabelece o framework global, definindo os portfolios necessrios para gerir os investimentos e servios ITPM
3 domnios
VG
IM
Value Governance
Monitoriza a eficcia da estrutura de governance global, suporta os processos e recomenda melhorias apropriadas.
Portfolio Management
Estabelece a direco estratgica para os investimentos, as caractersticas desejadas para o portfolio de investimento e os recursos e fundos disponveis
Avalia e prioritiza programas, baseado no seu alinhamento com os objectivos estratgicos, valor para o negcio e riscos, movendo os programas para o portfolio activo para execuo
Monitoriza a performance do portfolio global, ajustando o portfolio tendo em conta a performance dos programas e as prioridades para o negcio.
Investment Management
Define programas potenciais face aos requisitos de negcio e desenvolver o business case dos programas candidatos para avaliao.
Inicia e gere a execuo dos programas activos e reportar a performance para o Portfolio Management Move os servios de TI, bens e recursos para o portflio adequados, e monitoriza a sua contribuio para o valor do negcio.
Retira os programas quando existe consenso que o valor para o negcio foi alcanado, ou por qualquer outra razo. Monitoriza o desempenho do portfolio para determinar a necessidade de investimentos para manter, melhorar ou retirar os seus recursos, bens ou servios.
5
frameworkcaractersticas dos processos (1/4)Apesar de serem apresentados sequencialmente, os processos relacionam-se de uma forma mais complexa, de acordo com as seguintes caractersticas: Inputs and Outputs: os inputs so a informao que um processo necessita de receber de outro para ter sucesso. Para cada processo, necessrio definir um conjunto de inputs (p.e. relatrios, programas, planos), incluindo o processo de origem. Os outputs so a informao gerada pelos processos e que podero servir como inputs para outros processos.Exemplo de Inputs e Outputs para o Processo VG1 Estabelecer Liderana Forte e Informada
Origem: Externo COBIT PO1
InputsEstratgia de Negcio Estratgia de TI
OutputsRequisitos de organizao e governance (perspectiva de negcio) Lies aprendidas Compromisso da liderana Feedback da estratgia de TI Requisitos de organizao e governance (perspectiva de TI)
Destino: Externo VG6 IM5 COBIT PO1 COBIT PO4,ME4
6
frameworkcaractersticas dos processos (2/4)Apesar de serem apresentados sequencialmente, os processos relacionam-se de uma forma mais complexa, de acordo com as seguintes caractersticas: Roles and Responsibilities: para cada processo criada uma matriz RACI (responsible, accountable, consulted, informed). Nesta matriz, o processo decomposto num conjunto de actividades chave (linhas) e num conjunto de papis (colunas) indicando para cada uma os RACI correspondentes.Exemplo de matriz RACI para o Processo VG1 Estabelecer Liderana Forte e InformadaQuadro de Investimentos e Servios Gabinete de Gesto de Valor Program Management Office Project Management Office
Gestor do Programa
Compreenso, pela parte dos lderes da empresa, dos elementos chave de governance necessrios para o cumprimento eficaz, eficiente e seguro dos novos servios, bens e recursos de IT. Estabelecimento de linhas de comunicao, de forma a permitir ao CIO a demonstrao da valia do IT para o negcio. Estabelecimento de foruns para ajudar os lderes da empresa a encontrar oportunidades para alterar o rumo do ngcio baseando-se em tecnologias novas, actuais ou emergentes. Para alm disso, estes fruns tero tambm o objectivo de definir responsabilidades para optimizar o valor gerado por essas oportunidades. Definir, concordar e comunicar o significado de valor para a empresa. Garantir o alinhamento e integrao das estratgias de negcio e IT com as metas chave da empresa.
A A C
R R R
C I
R C C
I
R R A/ R
A A
R R
R I
R C
C R
Gesto de Negcio
Sponsor
CARS
Board
CEO
CFO
CIO
7
frameworkcaractersticas dos processos (3/4)Apesar de serem apresentados sequencialmente, os processos relacionam-se de uma forma mais complexa, de acordo com as seguintes caractersticas: Goals and Metrics: para cada um dos processos, o Val IT define metas e mtricas aplicadas a 3 nveis: Domnio (VG, PM e IM): que definem o que os experts de negcio esperam de cada domnio e como quantificar esse benefcio; Processo: que definem o que o processo deve cumprir para suportar as metas do domnio e como quantificar esse benefcio; Actividade: que estabelecem o que necessrio acontecer dentro de cada processo para atingir a performance requerida e como quantificar esse benefcio.
Exemplo de metas para o Processo VG1 Estabelecer Liderana Forte e Informada Metas da Actividade: A gesto senior e executiva compreendem os seus papis na gerao de valor ptimo a partir dos investimentos relacionados com o IT; As linhas de comunicao com o CIO so proporcionais ao valor do IT para a empresa; O papel, importncia de negcio e contribuio das actuais e futuras capacidades de IT so claramente compreendidas pela gesto; O significado de valor foi claramente definido e comunicado; As estratgias de IT e de negcio esto alinhadas.
Metas do Processo:
Metas do Domnio:
Os lderes da empresa esto empenhados no governance do IT, de forma a que possam tomar decises informadas, optimizando dessa forma os investimentos proporcionados pelo IT; Existe transparncia e entendimento da interrelao entre valor, estratgias de negcio e IT, polticas, benefcios, custos, riscos e nveis de servio.
Garantir que as prticas de gesto de valor fazem parte da cultura da empresa, permitindo-lhe gerar valor optimizado a partir dos seus investimentos proporcionados pelo IT ao longo do seu ciclo de vida econmico.
8
frameworkcaractersticas dos processos (4/4)Exemplo de mtricas para o Processo VG1 Estabelecer Liderana Forte e Informada Mtricas da Actividade: Percentagem de tempo gasto pelos lderes da empresa em reunies relacionadas com investimentos proporcionados pelo IT; Percentagem de tempo gasto pelo CIO em planeamento estratgico do negcio; Frequncia de comunicaes ou presenas do CIO em reunies executivas nas quais o contributo do IT para as metas da empresa so discutidas; Frequncia de revises, comunicaes e reforo do conceito de valor e daquilo que gera valor para a empresa.
Mtricas do Processo:
Mtricas do Domnio:
Grau de concordncia existente entre os lderes da empresa quanto aos princpios de governance do valor; Frequncia de reunies entre os lderes da empresa em que o contributo do IT para o valor gerado discutido; Nmero de lderes da empresa que participam nessas reunies; Frequncia com que valor, governance de valor e alinhamento de negcio e IT fazem parte das comunicaes internas.
Nvel de maturidade dos processos de gesto de valor da empresa.
9
frameworkmodelo de maturidadePara avaliar o grau de implementao de gesto de valor numa organizao, foi definido um modelo de maturidade aplicado aos 3 domnios (VG, PM e IM), composto pelos seguintes 6 nveis:0.1.
No existente: a empresa v o IT como um custo a minimizar (VG), e/ou no gere os seus investimentos como um portfolio (PM) e/ou no inclui o IT na sua estratgia de investimento (IM);Inicial: a empresa reconhece o IT como um custo e um investimento (VG), e/ou algumas funes de negcio aplicam prticas de gesto de portfolio (PM), e/ou existe algum reconhecimento da necessidade de melhorar a governance da tecnologia, mas os custos impedem esse desenvolvimento (IM); Repetvel: a empresa reconhece a necessidade crescente do negcio e do IT para a formalizao de um framework de governance (VG), e/ou h a noo crescente da necessidade de gerir os investimentos de IT como um portfolio (PM), e/ou h noo ao nvel da gesto que necessrio contemplar os investimentos em IT de uma perspectiva de negcio e procurar que acrescentem valor (IM); Definido: as funes de negcio e IT reconhecem os requisitos da governance para seleccionar e executar novos investimentos (VG), e/ou existe uma compreenso geral das prticas de gesto de portfolio (PM), e/ou a gesto compreende a necessidade de gerir os investimentos relacionados com o IT de forma estruturada (IM); Gerido: existe um compromisso partilhado entre as funes de negcio e de IT para optimizar o contributo dos investimentos de IT (VG), e/ou a gesto da empresa est focada e comprometida com a gesto de portfolio e avalia regularmente a sua performance, e/ou a gesto compreende e est comprometida com a gesto de investimentos (IM); Optimizado: as funes de negcio e IT funcionam em parceria para continuar a optimizar e monitorizar continuamente os portfolios de investimento (VG), e/ou as prticas de gesto de portfolio fazem parte da cultura corporativa da empresa, e/ou a gesto da empresa est focada de forma proactiva em rever regularmente a performance dos seus programas de investimento (IM).
2.
3.
4.
5.
10
NDICE
4
business case
5. Val IT vs. COBIT vs. ITIL
11
business case
O desenvolvimento do business case consiste nos seguintes passos:1. Listar todos os factos relevantes 2. Anlise do alinhamento 3. Anlise dos benefcios financeiros 4. Anlise dos benefcios no financeiros 5. Anlise de risco 6. Optimizao do risco e retorno 7. Documentao
8. Manuteno
12
NDICE
5
Val IT vs. COBIT vs. ITIL
13
Val IT vs. COBIT vs. ITIL
As 3 metodologias so complementares, contudo podem ser implementadas de forma autnoma, visto que cada uma tem preocupaes e ataca posies diferentes na cadeia de gesto.
Val IT:o o Define qual a direco a seguir (estratgia); Aplicvel ao comit de direco e ao CEO da empresa.Define qual as medidas a tomar para concretizar uma dada estratgia (tctica); Aplicvel ao CEO e ao CIO da empresa. Define como gerir e maximizar os investimentos realizados na rea de IT (operaes e suporte); Aplicvel ao CIO e infraestrutura de suporte de informao da empresa.
COBIT:o
o
ITIL:o o
14
everis.com15