Caro Alexandre (e demais colegas na lista): Em minha experiência, tenho visto que um questionário para a maturidade do CobiT é essencialmente um tiro no pé: te limita às perguntas dadas, o que vai contra a idéia inicial da análise de maturidade, que é ter uma visão completa do status dos processos da empresa. Via de regra, um questionário de maturidade do COBIT poderia ser algo parecido com isso:
REGRA: apenas avance para a próxima pergunta se você tiver respondido "sim" em todas as perguntas até agora. 0) você tem o que analizar? 1) Você sabe o que está fazendo? 2) Tem certeza? 3) Está documentado? 4) Tudo, sem excessão? 5) Ok, você tem alguma prática de gerenciamento? 6) Métricas? 7) Automatização? 8) Melhoria contínua? Se você parou em: 0-> nível de maturidade 0 1 -> Nível de maturidade 1 3-> Nível de maturidade 2 4-> Nível de maturidade 3 6-> N´vel de maturidade 4 8-> nível de maturidade 5 Sim, estou exagerando, mas é apenas para mostrar o conceito. Como a maturidade é algo flexível e deve trazer todas as informações possíveis, é de meu entendimento que essa deva ser quebrada segundo a sua percepção, segundo a sua empresa. Vou destacar abaixo um pouco dos métodos que conheço e sei funcionarem bem. Alguns deles podem estar fora do seu alcance, Alexandre, por exigirem um conhecimento mais profundo do COBIT. 1) Análise por experiência: Neste modelo, um consultor ou facilitador com experiência e conhecimento do framework faz as perguntas, modificando o fluxo das mesmas conforme a situação da empresa e documentos existentes. Não há uma necessidade de análise profunda de documentos, mas o consultor deve estar muito atento para não esquecer-se de detalhes importantes. Apresenta um certo risco quando a pessoa não tem conhecimento profundo do framework, podendo exigir que algumas entrevistas sejam feitas várias vezes. 2) Cruzamento da régua genérica com a régua específica: muito mais útil para uma análise "rápida", mas fica menos profundo que outras técnicas, é a de utilizar-se da "régua genérica" que existe na página 21 do COBIT. Descreva o processo na sua empresa segundo as 6 visões da régua e identifique a sua maturidade em cada visão. Um número deverá aparecer mais vezes, e será, muito provavelmente, a sua maturidade real. Cruze com a maturidade específica do processo (encontrado na última página de cada processo do COBIT) 3) Quebra do processo: em mãos o processo, transforme cada frase dos objetivos de controle em uma pergunta, adicionando os PCs. Com isso em mãos, execute os questionários e depois cruze com a maturidade específica do processo (última página do processo no COBIT) e encontre a sua maturidade. Este método é um dos mais completos, mas pode gastar muito tempo e não trazer pontos importantes para a empresa 4) Maturidade tridimensional: utilize um conjunto das técnicas 1, 2 e 3, em linha com uma matriz de riscos organizacional e uma matriz de riscos de TI. Em parceria com a auditoria e com a gerência do processo, crie uma régua de controles para o processo (ou para a empresa, dependendo do foco do projeto), analise o processo segundo os métodos anteriores, executando também uma auditoria para identificar fraquezes de controle e poder criar uma mensuração dos controles existentes. Junte tudo com uma análise de performance e você terá uam das análises de maturidade masi completas possíveis. Recomendo apenas se você tiver uma experiência muito grande com o framework. Apesar de não ter lhe dado o que você pediu, espero ter ajudado... Abraços Felipe Raffani
