Governança e Gestão de TI

 

Introdução a Governança e Gestão de TI


 

  • Governança de TIcontrole da Gestão de TI e tomada de decisão pela alta administração;
    • faz parte da Governança Corporativa da instituição e é dirigida por esta;
    • a norma ISO/IEC 38.500 estabelece um modelo para a governança corporativa de TI, utilizado por base do COBIT 5;
    • a alta administração deve:
      • Avaliar (evaluate) o uso atual e futuro da TI para garantir a qualidade dos investimentos;
      • Dirigir (direct) ao atribuir responsabilidades, definir estratégias e políticas para o uso eficiente e convergente da TI com os objetivos de negócio da instituição;
      • Monitorar (monitor) o desempenho da TI por meio de sistema de mensuração do alcance dos objetivos (planejamento estratégico e plano de negócio);
  • Gestão de TIcontrole operacional e implementação das decisões pela gerência executiva;
    • é o sistema de controles e processos necessários para alcançar os objetivos estratégicos e implementar as decisões;
    • atua no planejamento, na construção, na execução e monitoramento das atividades operacionais de acordo com os objetivos e decisões da alta administração.
    • entende a estratégia do negócio e traduz em infraestrutura, processos e planos para sistemas, aplicações e soluções;

 

ISO/IEC 38.500


 

  • Contexto histórico → necessidade de aprimorar o controle corporativo, decorrente da grande expansão do mercado de capitais da metade do século XIX, a partir da separação entre propriedade (principal) e gestão empresarial (agente), a fim de mediar os interesses dos sócios (perpetuidade e crescimento), executivos (retornos financeiros) e demais partes interessadas.
    • Relatório de Cadbury (comitê sobre aspectos financeiros) →código de boas práticas de governança corporativa.
    • Guia ISO 73 → gerenciamento de risco (genérico), devendo-se observar a ISO 27005 voltada para TI;
    • Princípios da OCDE para um sistema de governança corporativa → garantir a integridade das corporações em seus processos de gestão, e de relacionamento com as partes interessadas;
      • I. Existência de bases legais para a efetividade do sistema de governança corporativa.
      • II. Assegurar o tratamento equitativo dos acionistas, bem como a proteger e facilitar o exercício dos direitos dos acionistas, inclusive aos minoritários e estrangeiros, relativos a sua propriedade, bem como assegurar a oportunidade de obter reparação efetiva por violação de seus direitos.
      • III. Estimular as relações com a cadeia de investimento, como investidores institucionais, analistas de mercado, agências de risco, instituições financeiras representativas de acionistas, e outros intermediários que provem análises e incentivos relevantes aos investidores, para criar riquezas, empregos e sustentabilidade de empresas financeiramente sólidas.
      • IV. Estimular a cooperação ativa entre corporação e partes interessadas (proprietários, membros dos conselhos, agentes, funcionários, clientes e outros) devido a importância do reconhecimento de seus direitos estabelecidos por lei ou acordo mútuos, que inclui os códigos de ética, em prol da criação de riqueza, empregos e sustentabilidade (a população afetada direta ou indiretamente pelas operações da empresa) por meio do acesso regular a informações que permitam a identificação de violações a estes direitos.
      • V. Assegurar a transparência e divulgação precisa de questões relevantes relacionadas com a corporação, como relatórios financeiros, resultados operacionais, fatores de risco, remunerações e critérios de bonificação de gestores, além do estabelecimento de auditoria interna e submeter-se a auditoria externa.
      • VI. Responsabilidades do Conselho de Administração, que intermedeia a visão dos acionistas (propriedade) e a tomada de decisões pela empresa (agente) e supervisiona a relação com as demais partes interessadas, incluem a revisão da orientação estratégica da empresa, a seleção dos diretores, a definição dos salários dos diretores, aprovação de aquisições e desinvestimentos de grande porte, a aprovação de fusões, o monitoramento eficiente da administração e a prestação de contas (accountability) pelo conselho à empresa e aos acionistas de todos os atos da administração.
  • Governança corporativa → sistema pelo qual as organizações são dirigidas, controladas, monitoradas e incentivadas, envolvendo as práticas e os relacionamentos entre proprietários, conselho de administração, diretoria e órgãos de controle. Converte princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso ao capital e contribuindo para sua longevidade (IBGC);
  • Governança corporativa em TI → sistema pelo qual o uso atual e futuro da Tecnologia da Informação é dirigido e controlado;
    • a otimização do retorno dos investimentos (adequado as necessidade) é mais relevante do que a minimização dos custos (economicamente vantajosa);
    • para fins da norma ISO 38.500, entende-se por TI os termos Tecnologia da Comunicação (TC) e Tecnologia da Informação e Comunicação (TIC);
    • aplica-se à governança dos processos de gerenciamento e decisões relacionadas aos serviços de TI, uma vez que estes fundamentam-se das diretrizes a nível estratégico que são subsidiados pela governança de TI;
      • governança de TI → diretrizes a nível estratégico → governança dos processos de gerenciamento;
  • ISO/IEC 38.500 → fornece princípios, definições e um modelo de governança para a orientação dos dirigentes a avaliar, dirigir e monitorar do uso da TI;
    • Os princípios de governança corporativa também são aplicados a TI, assim como a primeira alcança partes externas a organização, a governança de TI alcança a organização como um todo, e não se limita a própria TI, abrangendo o Conselho de Administração e Comitês de Auditoria;
  • Escopo
    • orientação aos dirigentes das organizações (proprietários,membros de conselhos, diretores, etc) para o uso eficaz, eficiente e aceitável de TI (não delegável), e, complementarmente;
    • orientação aos que aconselham, informam ou assessoram os dirigentes (gerentes seniores, especialistas, auditores, etc), envolvidos no projeto e na implementação de gerenciamento de políticas, processos e estruturas que suportam a governança;
  • Aplicações → aplicável a qualquer setor e a empresas de qualquer porte;
  • Objetivos → a observação a norma ISO 38.500:
    • assegura as partes interessadas confiabilidade à implementação da governança corporativa de TI;
    • informa e orienta dirigentes, e;
    • fornece base de avaliação objetiva, mensuração e verificação da governança corporativa de TI;
  • Benefícios para a organização;
    • Vocabulário comum → fornece definições, princípios e um modelo de governança de TI;
    • Conformidade → garantir o cumprimento de obrigações formais decorrentes de leis, regulamentos, contratos, etc. (normas de segurança, legislação de acessibilidade ou privacidade, direitos de propriedade intelectual;
    • Desempenho → garantir que o uso da TI contribua positivamente para o bom desempenho da organização;
      • Continuidade do negócio, e sua sustentabilidade;
      • Correta implementação e operação dos ativos de TI;
      • Alinhamento da TI com as necessidades do negócio;
      • Redução de custos;
      • Alocação eficiente de recursos;
      • Concretização dos benefícios dos investimentos;
      • Responsabilidade e obrigatoriedade da prestação de contas relativas ao uso e provisão de TI para atingir as metas da organização;
  • Definições (vocabulário comum) → ¹complementares;
    • eficaz¹ → atingir os resultados desejados;
    • eficiente¹ → atingir os resultados da melhor forma possível (economicamente, rapidamente, etc);
    • aceitável → atender as expectativas das partes interessadas que podem ser apresentadas como razoáveis ou merecedoras;
    • competente → combinação de conhecimento, habilidades formais e informais, treinamento, experiência e atributos comportamentais compatíveis com a atividade;
    • dirigente → membros da mais alta direção de uma organização;
    • comportamento humano → considerar a cultura, necessidades e aspirações de pessoas como indivíduos ou grupos;
    • gerenciamento → sistema de controle e processos necessários para alcançar os objetivos estratégicos estabelecidos pela direção (sujeito às diretrizes, políticas e ao monitoramento da governança corporativa);
    • padrão¹ (foco em abrangência) → direcionamento a ser seguidos por várias empresas, entidades ou pessoas, criado por um conjunto de empresas ou organismos (abrangência maior que a própria empresa);
    • plano¹ (foco em gestão) → direciona a operação, em nível estratégico/tático por meio de definições ou em nível tático/operacional por meio de procedimentos de execução;
    • política (foco em governança) → regras para tomada de decisão afetas a problemas que podem ser bem estruturados, reflete-se assim, em instruções claras e mensuráveis de direção e comportamento desejado que condicionem e limitam as decisões tomadas;
    • proposta → compilação de benefícios, custos, riscos, oportunidades e outros fatores aplicáveis as decisões a serem tomadas;
    • recursos → pessoas, procedimentos, software, informações, equipamentos, infraestrutura, capital, fundos de operação e tempo;
    • parte interessada (stakeholder) → qualquer ente que possa afetar, ser afetado ou ter que a percepção de que será afetado por decisão ou atividade;
    • estratégia → plano geral de desenvolvimento da organização que descreve o uso eficaz dos recursos;
    • uso da TI → gerenciamento e aplicação da TI para atender as necessidades do negócio por meio de planejamento, projeto, desenvolvimento, distribuição e operação, e abrange a demanda e o fornecimento (oferta) de serviços de TI por unidades internas de negócio, unidades especializadas em TI e fornecedores externos;
  • Princípios → Convém que os dirigentes exijam que os princípios sejam aplicados., embora sejam aplicáveis à maioria das organizações., seu enunciado refere-se ao que convém acontecer, mas não descreve como, quando ou por quem…
    • Responsabilidade → todos devem compreender e aceitar suas responsabilidades quanto ao fornecimento (oferta) e a demanda (cliente) de serviços de TI, devendo os responsáveis pelas ações terem autoridade para desempenhá-las;
    • Estratégia → a estratégia de negócio da organização deve considerar as capacidades atuais e futuras da TI (estratégia → considera → capacidade de TI), bem como, os planos estratégicos de TI devem satisfazer as necessidades atuais e contínuas da estratégia de negócio da organização (estratégia de TI → satisfaz → estratégia de negócio);
    • Aquisição → a TI deve prezar pelo equilíbrio em aquisição e considerar benefícios, oportunidades, custos e riscos;
    • Desempenho → a TI deve ter como propósito apoiar a organização, fornecendo serviços em nível e qualidade necessários para atender os requisitos atuais e futuros, incluindo a continuidade do negócio;
    • Conformidade → a TI deve cumprir a legislação e regulamentos obrigatórios, bem como políticas e práticas claramente definidas, implementadas e fiscalizadas;
    • Comportamento humano → as políticas, práticas e decisões de TI devem demonstram respeito pelo comportamento humano, incluindo as necessidades atuais e futuras de todas as “pessoas no processo”;
  • Modelo de governança corporativa de TI → convém que os dirigentes governem a TI por meio de três tarefas principais;
    • Avaliar o uso atual e futuro da TI;
      • Os dirigentes devem avaliar estratégias, propostas e arranjos de fornecimento externo e interno considerando pressões externas e internas que influenciam o negócio (mudanças tecnológicas, tendências econômicas e sociais, influências políticas, etc);
      • Convém que os dirigentes empreendam avaliação contínua, conforme as pressões mudam, e levem em conta as necessidades atuais e futuras do negócio;
    • Dirigir a preparação e a implementação de planos e políticas para assegurar que o uso da TI atenda aos objetivos do negócio;
      • Convém que aos dirigentes designar responsabilidades e exijam preparação e implementação dos planos e políticas;
      • Os dirigentes devem assegurar que a transição dos projetos para a entrada em operação seja planejada e gerenciada;
      • Convém que os diretores encorajam a cultura da boa governança de TI, exigindo que os gerentes forneçam informações em tempo adequado e em conformidade com os seis princípios;
    • Monitorar o cumprimento das políticas (conformidade) e o desempenho em relação aos planos;
      • Convém que os dirigentes se certifiquem de que a TI está em conformidade com as obrigações externas e práticas internas de trabalho;
      • Convém que os dirigentes monitorem e se certifiquem que o desempenho está de acordo com os planos, principalmente com relação aos objetivos de negócio por meio de sistemas de mensuração apropriados;
        • Indicadores de metas e desempenho (mede projetos, processos e operação) → lead indicator;
        • Indicadores de negócio (mede o alcance a objetivos de negócio) → lag indicator;
        • qualquer meta deve estar alinhada a um objetivo maior de negócio;
  • Generalidades
    • Cada organização é responsável por identificar as ações específicas para implementação dos princípios, levando em consideração sua natureza e outros fatores;

 

Planejamento Estratégico de TI (PETI)


 

  • Governança de TI
    • Garantir a entrega de valor → expõe o efetivo apoio à estratégia de negócio pela TI; monitora as operações para garantir a entrega de valor;
      • Lean Thinking → Valor, Fluxo de Valor, Fluxo Contínuo, Produção Puxada e Perfeição);
    • Avaliação independente de conformidade → avalia a TI quanto a leis, políticas, etc; promove a transparência, confiança e a compreensão dos riscos;
    • Definir a estrutura e organização da TI
      • Projetos → definição da organização por projetos ou funcional (departamentos), bem como responsáveis pela gestão dos projetos;
      • Serviços → definição de serviços de apoio às demais áreas (os recursos, os sistemas de informação, pessoas e infraestrutura, etc);
      • Relacionamento com os clientes → especifica como o cliente solicita, quem solicita, critérios de priorização, os padrões de solicitação e status das solicitações;
      • Relacionamento com fornecedores → diretrizes para contrações, níveis de serviço e outsourcing;
    • Decisões → critérios para definição de responsabilidades, a nível de gerência, comitês, alta administração, etc.
    • Portfólio → metodologia de priorização de investimentos (alocação de recursos) e definição das ações essenciais aos resultados de negócio;
      • considera o retorno esperado e o alinhamento estratégico de cada ação da TI;
      • apresenta valores de investimento e custeio;
      • informa o estado atual de execução dos projetos e do orçamento;
      • limita a atuação da TI, mas não a torna uma lista fechada, uma vez que possibilita-se mudanças, embora como reflexo da mudança de estratégia;
      • direciona o relacionamento com clientes, fornecedores e parceiros da TI;
      • classificação das ações do portfólio na perspectiva da TI;
        • Projetos, Serviços, Ativos e Inovação;
        • Aplicações, Serviços, Infraestrutura e Gestão;
      • classificação das ações do portfólio na perspectiva do negócio;
        • Estratégico → melhoram os resultados de negócio;
        • Fábrica → operacionais e de continuidade do negócio;
        • Nova Estratégia → focam em resultados futuros;
        • Obrigatório → ações de conformidade;
    • Papéis de governança na organização
      • Alta administração → define estratégias, aprova políticas, prioriza investimentos, acompanha a execução da estratégia e orçamentária;
      • Diretor de TI → define a estratégia de TI, gerencia o portfólio, o desempenho, os recursos humanos, os riscos e a conformidade da TI;
      • Governança de TI → dirige o planejamento, gerenciamento de desempenho (indicadores) e monitora os planos, estratégias e o portfólio;
      • Áreas de TI → elaboram conjuntamente o PETI, implementam as ações e gerenciam os projetos em suas áreas;
    • Fatores motivadores da governança de TI
      • TI como prestadora de serviços;
      • Integração tecnológica;
      • Dependência do negócio em relação a TI;
      • Marcos de regulação;
      • Ambiente de negócio;
    • Principais objetivos da governança de TI
      • Promover o alinhamento da TI ao negócio;
      • Garantir a continuidade do negócio;
      • Promover a conformidade e a gestão de riscos;
  • Planejamento estratégico (institucional ou organizacional) → inteligência competitiva da estratégia corporativa, competitiva e de posicionamento;;
    • Planejamento
      • processo de reflexão e análise do cenário atual, definição objetivos e meios efetivos de alcançá-los;
    • Administração (gestão) estratégica
      • processo contínuo e interativo para a adequação da organização as estratégias;
    • Plano estratégico
      • produto do planejamento estratégico e os objetivos estratégicos;
    • Planejamento estratégico (plano de negócios) → características válidas também para o PETI;
      • detalha a administração (gestão) estratégica por meio de um processo (metodologia gerencial) dinâmico e interativo;
      • elaborado por equipe multidisciplinar (patrocinador, gestor, cliente, técnicos, especialistas, etc);
      • formalizado em documento escrito estruturado;
      • especifica o caminho para o alcance de resultados a partir das sinergias de decisões e ações;
    • Conteúdo do planejamento estratégico;
      • determina a missão (razão de ser, finalidade), a visão (cenário, projeção e reconhecimento) e os valores (princípios);
      • identificação dos problemas e dificuldades internas e externas;
      • propõe objetivos para mitigar cada problema;
      • define estratégias para alcance dos objetivos;
      • indica ações como desdobramento das estratégias;
    • Balanced Score Card (BSC)
      • derivado da missão e da estratégia em forma de medidas quantitativas do desempenho organizacional (financeiro, cliente, processos internos e aprendizado) por meio de indicadores operacionais;
  • Planejamento de TI → pode ser divido em etapas:
    • Planejamento estratégico de TI;
    • Análise de necessidades de informação;
    • Alocação de recursos;
    • Planejamento de projeto;
  • Planejamento estratégico de TI

    • Metodologias para planejamento de TI
      • BSP (Business Systems Planning) → foca-se nas relações entre os sistemas e o negócio da organização;
        • Planejamento top-down da arquitetura de informação → envolve as pessoas para conhecerem a organização como um todo;
        • Design e implementação bottom-up da arquitetura de informação → aprofunda a análise ao documentar e implementar;
      • SSP (Strategic Systems Planning);
      • Engenharia da informação;
      • Fatores críticos de sucesso;
      • Modelo eclético de Sullivan;
      • Estágios de crescimento da organização;
      • Manual de planejamento de informática empresarial (Norberto Torres);
      • Um guia prático para o planejamento estratégico e sistemas de informação (Anita Cassidy);
      • Tecnologia da Informação – A arte do planejamento estratégico (Benard Boar);
    • Abordagens
      • Princípios de TI;
      • Arquitetura de TI;
      • Infraestrutura de TI;
      • Organização das operações de serviços;
      • Capacidade de atendimento;
      • Competências;
      • Necessidades de aplicações;
      • Estratégias de fornecedores de serviços;
      • Investimentos;
      • Política de segurança da informação;
  • Estrutura do PETI

    • processo de gestão que direciona as ações da TI;
      • habilita a alta administração no entendimento do potencial de contribuição da TI para a estratégia de negócio;
      • produz documento que expõe de forma clara os objetivos, produtos, sistemas e serviços providos pela TI para apoiar todas as áreas da organização;
      • planejamento estratégico organizacional → planos táticos e funcionais individualizados por área ← plano estratégico de TI (sistemas, ativos e pessoas);
      • deve possuir um indicador de resultado para cada objetivo estratégico;
      • estrutura estratégica, tática e operacionalmente as informações organizacionais;
    • apresenta estratégias, missão e visão subordinadas (ao PE), bem como os meios para implantá-las (consecução dos objetivos) a fim de atender o negócio da organização:
      • metas;
      • projetos → visão inicial do cronograma, dos recursos necessários e seu estado, etapa e fase atual (histórico documental);
      • planos de ação → especifica ações, prazos (curto, médio ou longo) e responsáveis;
    • detalha os recursos sustentadores de sistemas de informação e de conhecimento (adquiridos ou desenvolvidos);
      • tecnologia da informação → hardware, software, rede, gestão de dados e informações (propõe adequações e padronizações);
      • pessoas
        • identifica o pessoal e seus perfis; analisa a adequação dos recursos humanos as necessidades dos projetos (expõe eventual déficit);
        • planeja a alocação de mão de obra (define os serviços terceirizados e as atividades realizadas por pessoal próprio) e expõe as necessidades de treinamento;
        • contexto organizacional → analisa o organograma e propõe adequações;
    • detalha a o planejamento de custos e investimentos (no detalhamento das ações e projetos), e aprimora a gestão de recursos (investimentos);
    • artefato de alinhamento estratégico;
      • estático → desdobramento (derivação) do plano e objetivos estratégicos da organização para a área de TI;
      • dinâmico → alteração do plano e objetivos estratégicos de TI em função da mudança (aleatória) dos objetivos estratégicos (negócio) da organização;
      • bidirecional → o plano estratégicos de TI, ao potencializar novas oportunidades, influencia e produz mudança nos objetivos de negócio, e vice-versa;
      • ciclo de alinhamento
        • estratégias da organização → demandam → necessidades de informação → que são atendidas por → necessidades de TI (recursos sustentadores);
        • necessidades de TI → atendem → necessidades de informação → que alinham-se → as estratégias da organização;
  • Planejamento da TI no setor público
    • Inexistindo plano estratégico, os objetivos de TI devem ser derivados do Mapa estratégico, do BSC ou do Plano Plurianual;
    • Níveis de planejamento

      • Planejamento estratégico institucional → objetivos estratégicos institucionais;
      • Plano Diretor de TI → objetivos estratégicos e táticos de TI;
      • Planejamentos operacionais → plano de contratações, projetos, etc;
    • Estratégia nos poderes
      • Executivo
        • Estratégia Geral de TI (EGTI) → instrumento de planejamento com as diretrizes estratégicas para todos os órgãos do executivo federal e elaborado pela SLTI;
        • Plano Diretor de TI → no executivo apresenta modelo unificado estratégico e tático, podendo ser separado em PETI (estratégico) e PDTI (tático);
      • Judiciário
  • Projeto de elaboração do PETI (Denis Rezende)
    • Planejar o projeto;
      • organizar o projeto (equipe multidisciplinar, objetivos, metodologia);
      • capacitar a equipe e definir plano de trabalho;
    • Revisar o planejamento estratégico organizacional;
      • identificar objetivos, estratégias e ações organizacionais (entender o negócio)
      • complementar a missão, visão, valores, políticas, normas, estrutura organizacional, modelo de gestão e controles organizacionais;
    • Planejar informações e conhecimentos;
      • identificar as necessidades de informação e conhecimentos para o negócio;
      • identificação de atividades ou processos de negócio;
    • Avaliar e planejar sistemas de informação e de conhecimentos;
      • identificar e avaliar sistemas atuais (descrever detalhadamente sistemas existentes, com pontos fracos, fortes, grau de satisfação, etc);
      • planejar sistemas para aquisição ou desenvolvimento (descrever detalhadamente os sistemas propostos);
    • Avaliar e planejar a tecnologia da informação;
      • identificar, descrever e avaliar o parque tecnológico e políticas (planos de contingência, segurança, auditoria, etc);
      • planejar a aquisição de software, padronização de hardware, contratação de conectividade e gestão de dados e informações;
      • apresenta a organização da TI por meio de modelos de gestão, políticas, normas internas e padronização de processos;
    • Avaliar e planejar os recursos humanos;
      • identificar, descrever e avaliar funções, cargos, perfil profissional, competências, habilidades, estrutura organizacional e capacitação;
      • planejar a organização dos recursos humanos e propor nova estrutura organizacional (cargos, hierarquia, etc);
    • Priorizar e custear o projetor;
      • estabelecer prioridades, necessidades e avaliar os impactos positivos e negativos (financeiro, infraestrutura, jurídico, logístico, operacional, ambiental, comportamental, etc);
      • elaborar plano econômico-financeiro com cronograma de desembolso, retorno dos investimentos, custos, benefícios, riscos e viabilidades;
    • Executar o planejamento do projeto;
      • elaborar planejamento detalhado de cada ação e projeto (plano de ação, planos de trabalho, cronogramas, atividades);
    • Gerir o projeto;
      • garantir a execução adequada dos planos (resolver conflitos, acompanhar prazos, verificar efetividade, etc);
      • divulgar, articular, promover, avaliar, aprovar o PETI e manter histórico documental;
  • Projeto de elaboração do PDTI
    • Fase de preparação
      • Definir a abrangência e o período do PDTI;
      • Definir a equipe de elaboração do PDTI;
      • Descrever a metodologia de elaboração do PDTI;
      • Identificar a reunir os documentos de referência;
      • Identificar estratégias da organização;
      • Identificar princípios e diretrizes;
      • Elaborar e aprovar o plano de trabalho do PDTI;
    • Fase de diagnóstico
      • Avaliar os resultados do planejamento de TI anterior;
      • Analisar o referencial estratégico da área de TI;
      • Analisar a organização da TI;
      • Realizar análise SWOT da TI;
      • Identificar necessidade de informação;
      • Identificar necessidade de serviços de TI;
      • Identificar necessidade de infraestrutura de TI;
      • Identificar necessidade de contratação de TI;
      • Identificar necessidade de pessoal de TI;
      • Consolidar o inventário de necessidades;
      • Alinhar as necessidades de TI à estratégias da organização;
    • Fase de planejamento
      • Priorizar as necessidades inventariadas;
      • Definir metas e ações;
      • Planejar a execução das ações;
      • Planejar ações de pessoal;
      • Planejar investimentos e custeio;
      • Consolidar a proposta orçamentária de TI;
      • Aprovar os planos específicos;
      • Planejar o gerenciamento de riscos;
      • Identificar os fatores críticos para a implantação do PDTI;
      • Aprovar e publicar o PDTI;

 

COBIT 5


 

  • O COBIT 5 é um framework de governança e gestão corporativa de TI, compilado a partir de um conjunto de frameworks existentes:
    • COBIT 4.1, Val IT, Risk IT, COSO, ITIL, ISO 38500 e 27000, PMBOK, Prince2, CMMI, TOGAF;
  • Objetivos
    • permitir que os stakeholders tenham maior participação em decisões;
    • permitir que a TI seja governada e gerenciada de forma holística e de ponta a ponta a fim de viabilizar o sucesso negócio;
    • oferecer um framework abrangente que propicia:
      • informação de alta qualidade;
      • alinhamento estratégico;
      • gestão de riscos e conformidade;
  • Benefícios a organização
    • manter informações de alta qualidade;
    • tornar claro o “valor” relacionado aos investimentos de TI;
    • atingir a excelência operacional;
    • manter riscos controlados;
    • otimizar o custo;
    • manter a conformidade (com leis, regulamentos e ANS);
  • Família de Produtos
    • Framework COBIT 5
    • Enabler guides (viabilizadores de governança e gestão)
    • Professional guides
      • COBIT 5 Implementation
      • COBIT 5 for Information Security
      • Process Assessment → níveis de capacidade;
  • Princípios
    • Atender às necessidades das partes interessadas (stakeholders)
      • alinhamento estratégico entre a TI o negócio;
      • considerar a opiniões de todos os stakeholders;
      • as organizações existem e são governadas para criar valor para os stakeholders, por meio de:
        • alcance dos benefícios;
        • otimização dos recursos (custo ideal dos recursos);
        • otimização do risco;
    • Cobrir a empresa de ponta a ponta
      • gerencia a TI como qualquer outro ativo da organização, não limita-se as funções de TI;
      • cobre todas as funções e processos dentro da organização relacionados a TI;
      • componentes do sistema de governança de TI:
        • viabilizadores de governança;
        • definição do escopo da governança;
        • papéis, atividades e relacionamentos;
    • Aplicar um framework único e integrado
      • atua como integrador entre os diversos frameworks existentes;
      • adicionado aos viabilizadores do COBIT 5 para influenciar a governança e gestão corporativa de TI;
      • criar uma linguagem comum (agnóstica) entre a tecnologia da informação e os objetivos de negócio da instituição;
    • Permitir uma abordagem holística
      • engloba a organização como um todo, inclusive suas inter-relações;
      • relaciona-se com os 7 viabilizadores, que é algo tangíveis ou intangível que auxilia a governança;
    • Distinguir a governança da gestão
      • a governança é realizada pela alta administração para o controle da gestão;
        • assegura a geração de valor para as partes interessadas por meio de priorizações e tomadas de decisão;
        • realiza as atividades de avaliar, dirigir e monitorar o alcance dos objetivos estratégicos;
      • a gestão é realizada pela gerência executiva para o controle operacional;
        • realiza as atividades de planejamento, construção, execução e monitoramento da implementação das decisões;
  • Metas em cascata (Goals cascade)
    • fornece metas de negócio, de TI e de viabilizadores genéricas;
    • relaciona as metas de negócio (metas estratégicas) com:
      • as perspectivas BSC da organização;
      • aos objetivos de governança para a criação de valor (alcance dos objetivos e otimização do risco e de recursos);
      • as metas de TI;
    • permite definir prioridades a partir da seleção das metas de TI mais importantes para implementação por meio das metas de viabilizadores;
    • Níveis de metas genéricas;
      • Motivadores das partes interessadas (aumento do lucro, conformidades com novas leis, etc);
      • Necessidades das partes interessadas;
      • Metas de negócio (6);
      • Metas de TI (17);
      • Metas de viabilizadores;
  • Viabilizadores (habilitadores) → são interligados entre si para benefício mútuo;

    • Princípios, políticas e frameworks
      • traduzem as diretrizes e os comportamentos desejados pela organização;
      • expõe valores, crenças e premissas, a intenção e direção da organização, e guias práticos;
    • Processos
      • conjunto organizado de práticas e atividades, influenciadas pelas políticas, para alcance dos objetivos do negócio;
      • Descrição dos processos
        • descrição, propósito, metas, métricas, práticas com entradas e saídas, matriz RACI e guias relacionados;
    • Estruturas organizacionais
      • entidades chaves responsáveis pela tomada de decisão da organização;
      • possuem princípios de funcionamento, membros definidos, limites de atuação e poderes específicos;
    • Cultura, ética e comportamento
      • definem a forma de trabalhar e aspectos do indivíduo e da organização;
      • ajudam a diferenciar o certo do errado;
    • Informação
      • todos os dados usados pelo negócio ou necessários para manter a governabilidade;
      • Metas → os resultados dos viabilizados permitem:
        • Qualidade intrínseca → fornece informações corretas, confiáveis, imparciais, desambiguas, verdadeiras, precisas e objetivas;
        • Qualidade contextual → fornece informações úteis, completas, volume correto, atualizada, compacta e de fácil compreensão;
        • Qualidade em segurança e acessibilidade → fornece informações restritas as partes autorizadas, disponível e recuperável;
    • Serviços, infraestrutura e aplicações
      • tecnologia e procedimentos operacionais que fornecem suporte ao negócio;
    • Pessoas, habilidades e competências
      • formação das pessoas para que as decisões sejam realizadas da maneira correta;
      • define habilidades necessárias e seus níveis para cada papel;
  • Dimensões comuns dos viabilizadores → permitem que a organização possa gerenciar interações entre os viabilizadores de forma simples e estruturada;
    • Partes interessadas (stakeholders)
      • internas ou externas a organização, conselhos, auditores, usuários;
      • relaciona-se a matriz RACI (responsável, responsabilizado (accountable), consultado e informado) para cada viabilizador;
    • Metas/Objetivos (goals)
      • gerar valor por meio do alcance das metas de cada viabilizador;
      • medido pelos resultados esperados ou por sua aplicação/operação;
    • Ciclo de vida (life cycle) → seis fases;
      • planejar, projetar, construir (adquirir, implementar), utilizar (operar), avaliar (monitorar), eliminar;
      • definido, criado, operado, monitorado, atualizado, aposentado;
    • Boas práticas (good pratices)
      • apoiam a realização dos objetivos por meio de exemplos e sugestões para implementação dos viabilizadores;
  • Ciclo de Vida da Implementação do COBIT
    • Fase 1Quais são os direcionadores?
      • reconhece e aceita a necessidade de uma iniciativa de implementação ou melhoria;
      • identifica os pontos de dor atuais e direcionares de mudança que criam o desejo de mudança;
      • direcionador de mudança é um evento interno ou externo, condição ou problema;
    • Fase 2Onde estamos agora?
      • definir os problemas e as oportunidades;
      • realiza-se uma avaliação de capacidade, problemas e deficiências atuais dos processos da organização;
      • define o escopo da iniciativa de implementação ou melhoria;
    • Fase 3Onde queremos estar?
      • definir o guia de implementação;
      • estabelecer um objetivo de melhoria;
      • priorizar iniciativas mais fáceis de realizar e as susceptíveis de produzir os maiores benefícios;
    • Fase 4O que precisa ser feito?
      • planejar soluções práticas, refletidas em projetos e justificadas com Business Case;
      • um plano de mudança para execução também é desenvolvido;
    • Fase 5Como chegaremos lá?
      • executar o plano e implementar as soluções propostas no dia-a-dia;
      • medidas são definidas e o monitoramento estabelecido;
      • garantir que o alinhamento de negócios seja alcançado e mantido e o desempenho possa ser medido;
    • Fase 6Já chegamos lá?
      • realizar benefícios;
      • operação sustentável dos habilitadores novos ou melhorados;
      • monitorar se os benefícios esperados estão sendo alcançados;
    • Fase 7Como mantemos essa dinâmica?
      • realizar análise da eficácia da solução;
      • reforçar a necessidade de melhoria continua para manter o sucesso;
  • Business Case
    • elaborado para justificar um projeto ou solução proposta a partir dos benefícios esperados;
    • contém o alinhamento com a estratégia de negócio e as mudanças necessárias;
    • descreve os investimentos, custos, riscos, papéis e responsáveis;
    • indica a forma de monitorar esses recursos e medir o alcance dos benefícios;

 

Processos – modelo de referência

 

  • Processos de governança
    • Domínio → avaliar, dirigir e monitorar (EDM – evaluate, direct e monitor)
      • garantir a definição e manutenção do modelo de governança → estabelece o framework de governança;
      • garantir a realização de benefícios → a entrega de valor;
      • garantir a otimização do risco → perfil de tolerância a riscos no contexto da organização;
      • garantir a otimização dos recursos;
      • garantir a transparência para as partes interessadas → prover informações que satisfação as partes interessadas;
  • Processos de gestão
    • Domínio → alinhar, planejar e organizar (APO)
      • gerenciar a estrutura de gestão → o framework de gestão de TI;
      • gerenciar a estratégia → alinhamento da TI ao negócio;
      • gerenciar a arquitetura → define a arquitetura de informação;
      • gerenciar a inovação → gerar valor a organização;
      • gerenciar o portfólio → priorização dos projetos e investimentos;
      • gerenciar o orçamento → define, aloca e monitora o orçamento para os gastos planejados;
      • gerenciar os recursos humanos → define papeis, realiza treinamentos;
      • gerenciar os relacionamentos entre stakeholders;
      • gerenciar os contratos de prestação de serviços → acordo de nível de serviço;
      • gerenciar os fornecedores → selecionar e gerenciar o relacionamento com fornecedores;
      • gerenciar a qualidade → monitorar os requisitos de qualidade em projetos e processos;
      • gerenciar os riscos → no contexto de projeto;
      • gerenciar a segurança → estabelece SGSI;
    • Domínio → construir, adquirir e implementar (BAI)
      • gerenciar programas e projetos;
      • gerenciar a definição dos requisitos;
      • gerenciar o desenvolvimento de soluções;
      • gerenciar a disponibilidade e capacidade;
      • gerenciar a implementação de mudança → mudança da cultura organizacional;
      • gerenciar as mudanças → mudança específica a partir da solicitação, análise, aceitação ou rejeitação;
      • gerenciar a aceitação e transição das mudanças → homologa, revisa e gerencia a mudança;
      • gerenciar o conhecimento;
      • gerenciar os ativos → controla o ciclo de vida para fornecimento contínuo de valor;
      • gerenciar a configuração → controle de versão, recursos, baselines;
    • Domínio → entregar, servir e suportar (DSS)
      • gerenciar as operações;
      • gerenciar as solicitações de serviços e incidentes;
      • gerenciar os problemas;
      • gerenciar a continuidade;
      • gerenciar serviços de segurança;
      • gerenciar controles do processo de negócio;
    • Domínio → monitorar, avaliar e medir (MEA)
      • monitorar o desempenho e conformidade;
      • monitorar o sistema de controle interno;
      • monitorar a conformidade com os requisitos externos → leis, regulamentos;

 

Modelo de avaliação de capacidade de processos

 

  • Modelo de capacidade de processos
    • fornece informações sobre o nível de capacidade dos processos;
    • compara a capacidade de processos entre organizações;
    • mapeia o estado atual do processo e definir estado desejado;
    • identifica o gap entre o estado atual e o desejado;
    • de escopo/propósito interno (benefício próprio) ou externo (avaliação formais e certificação);
  • Atributo de processo (AP)
    • nove características mensuráveis de capacidade aplicadas a qualquer processo;
    • produzem resultado do atributo do processo;
    • AP1.1, 2.1, 2.2, 3.1, 3.2, 4.1, 4.2, 5.1, 5.2
  • Níveis de capacidade do processo → Incompleto, Executado, Gerenciado, Estabelecido, Previsível e em Otimização;
    • Nível 0Incompleto
      • o processo não é implementado ou não atinge seu propósito;
    • Nível 1Executado ou Performado
      • o processo alcança seu propósito e atinge suas metas;
      • AP 1.1Desempenho do processo
        • o processo atinge o seu propósito e gera todos os produtos de trabalho necessários;
    • Nível 2Gerenciado
      • o processo é planejado, executado e implementado de forma gerenciadas;
      • há uma política e um plano para executá-los,
      • os produtos de trabalho são controlados;
      • AP 2.1Gerenciamento de desempenho do processo
        • a execução do processo é planejada e segue uma política organizacional estabelecida;
        • os objetivos do processo são definidos, planejados e monitorados de acordo com um plano;
        • as responsabilidades e autoridades são definidas;
        • os recursos são identificados;
        • a comunicação é clara;
      • AP 2.2Gerenciamento dos produtos de trabalho do processo
        • os produtos de trabalho são identificados, documentados, controlados e avaliados;
    • Nível 3Estabelecido;
      • o processo é gerenciado e personalizado (adaptações específicas);
      • há um padrão de processo organizacional;
      • as melhorias são institucionalizadas em projetos integrados de forma mais consistente;
      • AP 3.1Definição do processo
        • existe um padrão para o processo;
        • contém competências, papéis, infraestrutura, ambiente de trabalho, sequência de interação dos processos;
      • AP 3.2Implementação do processo
        • o processo padrão é efetivamente implementado;
        • as responsabilidade e papéis são alocados;
        • os recursos e a infraestrutura são disponibilizados e as as pessoas são treinadas;
    • Nível 4Previsível
      • o processo estabelecido e gerenciado quantitativamente;
      • há limites definidos;
      • AP 4.1Medição do processo
        • os objetivos de medição são identificados e os resultados são coletados e analisados;
      • AP 4.2Controle do processo
        • limites de controle são estabelecidos para avaliar o desempenho normal do processo;
        • ações corretivas são realizadas para tratar as variações de desempenho;
    • Nível 5Em otimização
      • o processo é melhorado continuamente a partir do entendimento quantitativo;
      • AP 5.1Inovação e melhorias do processo
        • as mudanças no processo são identificadas a partir da análise de defeitos e causas comuns de variação, além das investigações de enfoques inovadores;
        • oportunidades de melhoria a partir de novas tecnologias ou conceitos;
      • AP 5.2Otimização do processo
        • as mudanças são propostas, implementadas e avaliadas;
        • tem impacto efetivo para o alcance dos objetivos relevantes de melhoria;

 

Qualidade de software


 

ISO/IEC 9.126

 

 

ISO/IEC 12.207:2009

 

 

CMMI 1.3

 

  • Constelações → três áreas (interesses específicos) de processos integradas por 16 processos comuns (core), bem como material de treinamento e documentos de avaliação;
    • CMMI-DEV (desenvolvimento) → Processos para desenvolver produtos de serviços de software; +1 processo compartilhado e 5 processos específicos; (IPPD);
    • CMMI-SVC (serviços) → Processos para entrega e suporte de serviços; +1 processo compartilhado;
    • CMMI-ACQ (aquisições) → Processos para suprimento, aquisições e terceirizações e relações com fornecedores;
  • CMMI-DEV → Capability Maturity Model Integration (não é metodologia pois não definequem faz ou como fazer“)
    • Capacidade → define conceitos de níveis de capacidade de alcançar determinado objetivo;
    • Maturidade → define conceitos de níveis de desenvolvimento e organização em cada área de interesse;
    • Modelo → representação simplificada (framework) de aspectos e perspectivas essenciais de algo (representa “o que fazer“);
    • Integração → integração consistente entre os modelos e funções organizacionais;
    • Modelo de referência do Software Engineering Institute (SEI) de processo de desenvolvimento de software com foco em qualidade por meio da melhoria contínua;
    • Descreve as melhores práticas e características para a definição, implantação e melhoria de processos, bem como atividades, métodos e ferramentas;
    • Fornece modelos integrados para a melhoria dos processos e habilidades organizacionais, e redução de custos e esforços inconsistentes ou duplicados;
    • Permite avaliar a maturidade e capacidade a fim de promover ações de melhoria em busca de melhor produtividade, qualidade e satisfação do cliente;
    • Elaborado a partir da análise das práticas das empresas;
    • Aborda a aplicação de método ágeis, requisitos não-funcionais, de qualidade e satisfação do cliente;
  • Disciplinas → área de conhecimento;
    • Engenharia de Software (SW) → desenvolvimento de software (criação, manutenção e evolução), implementa regras de negócio;
    • Engenharia de Hardware (HW) → implementação de hardware (técnicas e tecnologias);
    • Engenharia de Sistemas (SE) → desenvolvimento de sistemas, soluções completas que abrangem processos, pessoas, software e hardware;
  • Classificação dos componentes para avaliação de nível e maturidade e capacidade.
    • Requeridos → obrigatórios e foco das avaliações de nível (metas);
    • Esperadospodem ser substituídos por práticas alternativas aceitáveis (práticas);
    • Informativos → auxiliam a implementação e o entendimento das metas e práticas (objetivos, notas introdutórias, etc);
  • Componentes de Áreas de Processosconjunto de práticas relacionadas implementadas conjuntamente para obtenção melhorias significativas;
    • Metas específicas (requerido) → definem características (resultados) únicas para satisfazer determinada área de processo;
      • Práticas específicas (esperado) → descrevem as atividades importantes para satisfazer as metas específicas;
        • Exemplos de produtos de trabalho e subpráticas (informativo);
    • Metas genéricas (requerido) → definem características (resultados) comuns (repetidas) e compartilhados por várias áreas de processo (institucionalização do processo);
      • Práticas genéricas (esperado) → descrevem atividades importantes para satisfazer as metas genéricas a fim de tornar os processos repetíveis (mantém o controle do processo);
        • Orientações para aplicação e subpráticas (informativo);
    • Objetivos, notas e referências a áreas de processo relacionadas (informativo);
  • Representações → escolha inicial realizada pela organização para implementação do CMMI (a medição da capacidade dos processos ocorre em ambas as representações);
    • Representação contínua → representa o nível de capacidade de cada área de processos, permite selecionar processos para priorizar a melhoria de áreas estratégicas;
      • o alcance de cada nível representa a melhoria do processo;
      • os processos precisam ser conhecidos;
      • existem dependências entre as áreas de processos que limitam a flexibilidade da seleção dos processos;
    • Representação por estágios → representa o nível de maturidade da organização por meio de uma sequência definida (rígida) de melhoria;
      • o alcance de cada nível representa o amadurecimento da organização;
      • os estágios definem uma ordem de implementação;
      • permite comparações entre organizações;
  • Níveis de capacidade de uma área processo → determinado pelo alcance da respectivas metas genéricas de uma determinada área processo;
    • Nível 0Incompleto
      • uma das metas específicas não é executada ou executada parcialmente;
      • um dos objetivos específicos não é satisfeito;
    • Nível 1Executado ou Performado
      • os processos associados a esta área são executados;
      • realiza o trabalho necessário para produzir produtos de trabalho;
      • satisfaz todas as metas e objetivos específicas do processo;
      • as melhorias podem ser perdidas;
    • Nível 2Gerenciado
      • há políticas e planos para executá-los, bem como os produtos de trabalho são controlados;
      • o processo é planejado e executado de acordo com cada projeto; as descrições de processo e procedimentos podem ser diferentes em cada projeto;
      • possui políticas, pessoas qualificadas, recursos adequados, saídas controladas e aderente aos requisitos do projeto;
      • as melhorias são institucionalizadas por projeto;
    • Nível 3Definido
      • há um processo padrão adaptável;
      • o processo é gerenciado e personalizado (adaptações específicas) a partir de um padrão de processo organizacional, e possuem uma evolução contínua;
      • as melhorias são institucionalizadas em projetos integrados de forma mais consistente;
  • Metas (GG) e Práticas genéricas (GP) → aplicáveis a qualquer processo;

    • GG 1 – Atingir metas específicas;
      • GP 1.1 – Executar práticas específicas;
    • GG 2 – Institucionalizar um processo gerenciado;
      • GP 2.1 – Estabelecer política organizacional;
      • GP 2.2 – Planejar o processo;
      • GP 2.3 – Prover recursos;
      • GP 2.4 – Atribuir responsabilidades;
      • GP 2.5 – Treinar pessoas;
      • GP 2.6 – Controlar produtos de trabalho;
      • GP 2.7 – Identificar e envolver as partes interessadas relevantes;
      • GP 2.8 – Monitorar e controlar o processo;
      • GP 2.9 – Avaliar objetivamente a aderência do processo;
      • GP 2.10 – Revisar o status com a alta administração;
    • GG 3 – Institucionalizar um processo definido;
      • GP 3.1 – Estabelecer um processo definido;
      • GP 3.2 – Coletar experiências relacionadas ao processo;
  • Níveis de maturidade da organização → determinado pelo alcance de metas específicas e respectiva meta genérica de um conjunto de áreas de processo;
    • Processos de Nível 1Inicial – os processos imprevisíveis, pouco controlados e reativos, depende de pessoas e a organização compromete-se além da sua capacidade;
    • Processos de Nível 2Gerenciado (+meta genérica nível 2) – os processos são caracterizados por projeto e as ações são frequentemente reativas, embora haja medição, controle e revisão dos processos; utiliza políticas (regras) organizacionais que não impõe uma mesma forma de realizar cada projeto;
      • Gestão de projetos → Planejamento de projeto;
      • Gestão de projetos → Monitoramento e controle de projeto;
      • Gestão de projetos → Gestão de contratos com fornecedores;
      • Gestão de projetos → Gestão de requisitos;
      • Suporte → Gestão de configuração;
      • Suporte → Garantia da qualidade de processo e produto;
      • Suporte → Mediação e análise;
    • Processos de Nível 3Definido (+metas genéricas níveis 2 e 3) – os processos são bem caracterizados, descritos em padrões organizacionais documentados que abrangem procedimentos, métodos e ferramentas;
      • Gestão de processos → Foco nos processos da organização;
      • Gestão de processos → Definição dos processos da organização;
      • Gestão de processos → Treinamento na organização;
      • Gestão de projetos → Gestão integrada de projeto;
      • Gestão de projetos → Gestão de riscos;
      • Engenharia → Desenvolvimento de requisitos;
      • Engenharia → Solução técnica;
      • Engenharia → Integração de produto;
      • Engenharia → Verificação;
      • Engenharia → Validação;
      • Suporte → Análise e tomada de decisões;
    • Processos de Nível 4Gerenciado quantitativamente – aplicados aos [sub]processos essenciais de nível 3 que são medidos e controlado por meio de técnicas estatísticas;
      • Gestão de processos → Desempenho dos processos da organização;
      • Gestão de projetos → Gestão quantitativa de projeto;
    • Processos de Nível 5Em otimização ou otimizado – aplicados aos [sub]processos essenciais de nível 3 que são melhorados continuamente a partir do entendimento quantitativo;
      • Gestão de processos → Gestão do desempenho organizacional;
      • Suporte → Análise e resolução de causas;
  • Categorias, Áreas de Processos e Metas específicas (SG)

    • Gestão de Projetos
      • Planejamento de projeto (nível 2) → estabelecer e manter planos que definam as atividades de projeto;
        • SG 1 – Estabelecer estimativas → escopo, cronograma, custos, etc;
        • SG 2 – Desenvolver o plano do projeto → a partir das estimativas e riscos;
        • SG 3 – Obter compromisso com o plano → garantir que as pessoas estejam disponíveis e compromissadas;
      • Monitoramento e controle de projeto (nível 2) → proporcionar um entendimento do progresso do projeto e permitir a implementação de ações corretivas;
        • SG 1 – Monitorar o projeto em relação ao plano→ verifica se o planejamento está dentro dos parâmetros e monitora os riscos;
        • SG 2 – Gerenciar ações corretivas até o encerramento;
      • Gestão de acordos com fornecedores (nível 2) → gerenciar a aquisição de produtos de fornecedores;
        • SG 1 – Estabelecer acordos com o fornecedor → determinar o tipo de aquisição, selecionar os fornecedores e gerar o documento contratual;
        • SG 2 – Satisfazer acordos com o fornecedor → executar o o acordo estabelecido e validar as entregas dos produtos;
      • Gestão de requisitos (nível 2) → gerenciar requisitos dos produtos e garantir alinhamento entre esses requisitos e os planos e produtos do projeto;
        • SG 1 – Gerenciar requisitos → identificar e registrar (não avalia como registrar) as necessidades do negócio, verificar seu cumprimento durante o ciclo de vida do projeto, e mantém a rastreabilidade;
      • Gestão integrada de projeto (nível 3) → estabelecer e gerenciar o projeto e o ambiente dos stakeholders relevantes de acordo com um processo integrado e definido que é adaptado a partir de processo padrão da organização;
        • SG 1 – Usar o processo definido do projeto → planos de projeto integrados;
        • SG 2 – Coordenar e colaborar com os stakeholders relevantes → envolvê-los no plano do projeto;
      • Gestão de riscos (nível 3) → identificar potenciais problemas antes que ocorram, e mitigar impactos indesejáveis na obtenção dos objetivos;
        • SG 1 – Preparar para a gestão de risco → definir estratégia;
        • SG 2 – Identificar e analisar riscos → avaliar, categorizar e priorizar os riscos;
        • SG 3 – Mitigar os riscos → definir plano de tratamento de riscos;
      • Gestão quantitativa de projeto (nível 4) → gerenciar quantitativamente o processo definido do projeto para alcançar os objetivos de qualidade e de desempenho de processo;
        • SG 1 – Preparar para a gestão quantitativa → estabelecer os objetivos do projeto e selecionar subprocessos, atributos, medidas e técnicas analíticas;
        • SG 2 – Gerenciar o projeto quantitativamente → gerenciar o desempenho dos subprocessos selecionados, do projeto e realizar análise de causas raiz;
    • Engenharia
      • Desenvolvimento de requisitos (nível 3) → produzir e analisar os requisitos do cliente, de produto e de seus componentes;
        • SG 1 – Desenvolver os requisitos de cliente → elicitar e documentar os requisitos;
        • SG 2 – Desenvolver os requisitos de produto → avaliar os requisitos de cliente para identificar componentes do produto;
        • SG 3 – Analisar e validar requisitos → analisar consistência, ambiguidade e completude dos requisitos e obter aceite do cliente;
      • Solução técnica (nível 3) → projetar, desenvolver e implementar soluções para os requisitos;
        • SG 1 – Selecionar as soluções de componentes do produto → definir a solução;
        • SG 2 – Elaborar o design → definir o projeto dos componentes do projeto;
        • SG 3 – Implementar o design do produto → implementar os componentes e fornecer manuais do produto;
      • Integração de produto (nível 3) → montar o produto a partir dos componentes, garantir que o produto integrado implemente os requisitos e entregar o produto;
        • SG 1 – Preparar para a integração de produto → analisar as interfaces;
        • SG 2 – Garantir a compatibilidade das interfaces → validar a integração;
        • SG 3 – Montar os componentes do produto e entregar o produto → gerar release;
      • Verificação (nível 3) → assegurar que os produtos de trabalho selecionados atendem aos requisitos especificados;
        • SG 1 – Preparar para a verificação → definir testes;
        • SG 2 – Realizar revisão por pares → analisar o release de forma conjunta;
        • SG 3 – Verificar os produtos de trabalho selecionados → analisar a forma (eficácia);
      • Validação (nível 3) → demonstrar que um produto ou componente de produto atende ao seu uso pretendido quando colocado em seu ambiente alvo;
        • SG 1 – Preparar para a validação → definir procedimentos;
        • SG 2 – Validar o produto ou componente do produto → analisar a solução (efetividade) entregue no ambiente do cliente (teste beta);
    • Gestão de Processos
      • Foco nos processos da organização (nível 3) → planejar, implementar e implantar melhorias do processo organizacional (análise do ambiente interno);
        • SG 1 – Determinar as oportunidades de melhoria do processo;
        • SG 2 – Planejar e implementar as atividades de melhoria de processo;
        • SG 3 – Implementar os ativos de processo da organização e incorporar as lições aprendidas;
      • Definição dos processos da organização (nível 3) → estabelecer e manter um conjunto de ativos de processo da organização e padrões de ambiente de trabalho;
        • SG 1 – Estabelecer ativos de processos da organização → disponibilizar guia de adaptação, processos padrão e o modelo de ciclo de vida;
      • Treinamento na organização (nível 3) → desenvolver as habilidades e o conhecimento das pessoas para que elas possam desempenhar seus papéis de forma eficaz e eficiente;
        • SG 1 – Estabelecer necessidades estratégicas de treinamento → definir as disciplinas e pessoas a serem treinadas;
        • SG 2 – Fornecer treinamento necessário → fornece e avaliar a eficácia dos treinamentos;
      • Desempenho dos processos da organização (nível 4) → estabelecer e manter um entendimento quantitativo do desempenho do conjunto de processo padrão da organização;
        • SG 1 – Estabelecer baselines e modelos de desempenho → define os indicadores, a finalidade, a periodicidade, a fórmula e parâmetros;
      • Gestão do desempenho organizacional (nível 5) → gerenciar proativamente o desempenho da organização para alcançar seus objetivos de negócio (inovação);
        • SG 1 – Gerenciar o desempenho do negócio → analisar dados de desempenho dos processos de negócio e identificar áreas potenciais para melhoria;
        • SG 2 – Selecionar melhorias → identificar melhorias para selecionadas;
        • SG 3 – Implementar melhorias;
    • Suporte
      • Gestão de configuração (nível 2)→ estabelecer e manter a integridade dos produtos de trabalho, utilizando a identificação, controle e auditorias de configuração;
        • SG 1 – Estabelecer baselines → estabelecer um SGC e identificar os ativos de controle;
        • SG 2 – Rastrear e controlar alterações;
        • SG 3 – Estabelecer integridade → realizar auditorias de configuração;
      • Garantia da qualidade de processo e produto (nível 2) → munir a equipe e a gerência com uma visão clara sobre os processos e os produtos de trabalho associados;
        • SG 1 – Avaliar objetivamente processos e produtos de trabalho;
        • SG 2 – Fornecer um entendimento objetivo →comunicar e solucionar as não conformidades;
      • Mediação e análise (nível 2) → desenvolver e sustentar a capacidade de medições para suportar o gerenciamento de informações;
        • SG 1 – Alinhar as atividades de medição e análise → estabelecer medidas, seus objetivos, e estrutura de medição para suporte a outros processos;
        • SG 2 – Fornecer resultados de medições → coletar, analisar e comunicar o resultado das medições;
      • Análise e tomada de decisões (nível 3) → analisar decisões possíveis usando um processo de avaliação formal que avalia alternativas identificadas com relação a critérios estabelecidos;
        • SG 1 – Avaliar alternativas → definir procedimento para avaliação de alternativas para tomada de decisão;
      • Análise e resolução de causas (nível 5) → identificar causas de defeitos e de outros problemas e executar ações para evitar que ocorram no futuro;
        • SG 1 – Determinar causas de defeitos;
        • SG 2 – Tratar as causas dos defeitos;

 

MPS.BR

 

  • Conceito → não é metodologia;
    • um programa que mantém um modelo de qualidade para a melhoria do processo de software;
    • focado em pequenas e médias empresas e adaptado a realidade brasileira;
    • requer menor esforço, tempo e custo em para implementação e avaliação em relação ao CMMI;
  • Maturidade → melhoria gradual dos processos por meio de sete níveis de maturidade;
    • definem patamares de evolução dos processos que representam estágios de melhoria dos processos;
    • cada patamar indica um perfil de processos para que a organização deve concentrar esforços;
    • o progresso depende do alcance do propósito de cana nível, dos resultados esperados dos processos e dos atributos dos processo;
  • Referências do MPS.BR
    • CMMI-DEV
      • inclui todos os requisitos das áreas de processo do CMMI-DEV;
    • ISO/IEC 12.207
      • inclui a arquitetura comum para o ciclo de vida do software (processos, tarefas e atividades para o desenvolvido de software);
    • ISO/IEC 15.504
      • inclui a melhoria e avaliação do processo de software em níveis graduais maturidade e utiliza os conceitos de capacidade, mas não implementa níveis capacidade;
  • Componentes
    • Modelo de Referência (MR-MPS)
      • Guia geral (natureza normativa) → descreve os requisitos e resultados alcançados para conformidade com o modelo;
      • Guia de aquisição (natureza informativa) → boas práticas para aquisição de software ou serviços;
      • Guia de implementação (natureza informativa) → orientações para cada nível de maturidade;
    • Método de Avaliação (MA-MPS)
      • Guia de avaliação → orientações e descrição das atividades para preparação, execução e conclusão de uma avaliação de conformidade com o modelo;
      • Etapas → alguns resultados de processos podem ser excluídos para adequação a finalidade da empresa avaliada;
        • Contratar instituição avaliadora e estabelecer contrato;
        • Preparar a realização da avaliação;
        • Conduzir a avaliação, comunicar seus resultados e avaliar o próprio processo de avaliação;
        • Documentar os resultados da avaliação e enviar a SOFTEX;
    • Modelo de Negócio (MN-MPS)
      • Documentos do programa → descreve regras de negócio, ou seja, o relacionamento contratual entre os entes envolvidas;
      • Modelo de negócio cooperado (MNC) → modelo para um grupo de empresas que buscam a avaliação;
      • Modelo de negócio específico (MNE) → modelo personalizado para uma empresa;
      • Instituição implementadora (consultoria) → instituições autorizadas a implementar o modelo em outras empresas;
      • Instituição avaliadora;
      • Gestão do programa → comissão de ética do programa, fóruns credenciamento e controle, equipe técnica do modelo;
  • Guia geral
    • Capacidade do processo → habilidade do processo atingir objetivos de negócio atuais e futuros por meio de atributos de processo;
    • Resultado esperado do processo → resultado observável do sucesso do alcance do propósito do processo;
  • Atributo de processo (AP) → nove características mensuráveis de capacidade aplicadas a qualquer processo; e produzem resultado do atributo do processo;
    • AP 1.1O processo é executado
      • o processo atinge o seu propósito;
    • AP 2.1O processo é gerenciado
      • a execução do processo é planejada e segue uma política organizacional estabelecida;
    • AP 2.2Os produtos de trabalho do processo são gerenciados
      • os produtos de trabalho são identificados, documentados, controlados e avaliados;
    • AP 3.1O processo é definido
      • existe um padrão para o processo;
    • AP 3.2O processo está implementado
      • o processo padrão é efetivamente implementado;
    • AP 4.1O processo é medido
      • os objetivos de medição são identificados e os resultados são coletados e analisados;
    • AP 4.2O processo é controlado
      • limites de controle são estabelecidos e ações corretivas são realizadas para tratar as variações;
    • AP 5.1O processo é objeto de melhorias e inovações
      • as mudanças no processo são identificadas a partir da análise de defeitos e causas comuns de variação, além das investigações de enfoques inovadores;
    • AP 5.2O processo é otimizado continuamente
      • as mudanças no processo tem impacto efetivo para o alcance dos objetivos relevantes de melhoria;
  • Níveis de Maturidade
    • Processos do Nível GParcialmente Gerenciado;
      • AP 1.1 (executado) e AP 2.1 (gerenciado);
      • Gerência de Requisitos (GRE) → gerencia e controla mudanças dos requisitos existentes (não define, elicita ou valida os requisitos);
      • Gerência de Projetos (GPR) → planejamento do projeto;
    • Processos do Nível FGerenciado (equivalente ao Nível 2 do CMMI);
      • + AP 2.2 (gerenciamento dos produtos de trabalho do processo);
      • Medição (MED);
      • Garantia de Qualidade (GQA);
      • Gerência de Portfólio de Projetos (GPP) →mantém projetos necessários para o alcance dos objetivos estratégicos;
      • Gerência de Configuração (GCO);
      • Aquisição (AQU);
    • Processos do Nível EParcialmente Definido;
      • + AP 3.1 (definido) e AP 3.2 (implementado);
      • Gerência de Projetos (GPR) → integração a padronização dos processos;
      • Gerência de Reutilização (GRU) → gerenciar o ciclo de vida dos ativos (especificações, manuais, diagramas, documentação, casos de teste, etc) reutilizáveis;
      • Gerência de Recursos Humanos (GRH) → treinamento organizacional, aquisição de pessoal e gerenciamento do conhecimento;
      • Definição do Processo Organizacional (DFP) → escreve o padrão em uma biblioteca de padrões;
      • Avaliação e Melhoria do Processo Organizacional (AMP);
    • Processos do Nível DLargamente Definido;
      • Desenvolvimento de requisitos (DRE) → elicita e define os requisitos;
      • Projeto e construção do produto (PCP) → analisar, desenvolver e implementar componentes da solução técnica;
      • Integração do produto (ITP) → integrar os componentes e construir o produto;
      • Verificação (VER) → verificar/testar se o produto atende as especificações e requisitos;
      • Validação (VAL) → verificar se o produto atende as reais necessidades (efetividade);
    • Processos do Nível CDefinido (equivalente ao Nível 3 do CMMI);
      • Gerência de riscos (GRI) → identificar, analisar, tratar e monitorar para mitigação contínua dos riscos;
      • Gerência de decisões (GDE);
      • Desenvolvimento para reutilização (DRU) → identificar oportunidades de reutilização sistemática de ativos e desenvolvê-los a partir da engenharia de domínio;
    • Processos do Nível BGerenciado Quantitativamente (equivalente ao Nível 4 do CMMI);
      • + AP 4.1 (medido) e AP 4.2 (controlado);
      • Gerência de Projetos (GPR) → gestão quantitativa;
    • Processos do Nível AEm otimização (equivalente ao Nível 5 do CMMI);
      • + AP 5.1 (objeto de melhorias e inovações) e AP 5.2 (otimizado continuamente);

 

ITIL 3


 

  • O ITIL é um guia das melhores práticas utilizadas para o gerenciamento de serviços de TI;
    • fundamenta-se me processos, tecnologia e pessoas a partir de práticas que convém que sejam estabelecidas;
    • não é metodologia;
    • não define a implementação os processos;
    • não define procedimentos para implementar o gerenciamento de serviços;
  • Serviço de TI
    • conjunto de componentes relacionados e fornecidos no suporte a um ou mais processos de negócio;
    • um meio de fornecer algo que um cliente perceba como tendo valor;
    • facilita a obtenção de resultados que os clientes desejam, e desassocia a complexidade intrínseca, riscos e custos de sua implementação;
  • Governança
    • garante que estratégias, políticas e planos sejam implementados;
    • garante que os processos requeridos estão sendo corretamente seguidos pela gestão;
    • garante que os resultados esperados estão sendo alcançados;
    • envolve a definição de papéis e responsabilidades, medições, relatórios e ações corretivas;
  • Gerenciamento de serviços → ativo estratégico (não é ativo operacional);
    • executa as políticas, processos e operações;
    • coordena e monitora o trabalho;
    • envolve processos que cooperam para garantir a qualidade dos serviços de TI;
    • conjunto especializado de habilidades organizacionais para fornecer valor a clientes na forma de serviços;
    • habilidades organizacionais envolve processos, funções, atividades e papéis;
  • Objetivos
    • alinhar os serviços de TI com as necessidades atuais e futuras do negócio de uma organização e de seus clientes;
    • melhorar a qualidade dos serviços entregues;
    • reduzir os custos na provisão dos serviços no longo prazo;
    • estruturados por meio de processos eficientes e eficazes;
  • Provedores de serviço de TI

    • Função de negóciointerna a organização;
      • dedicada
        • possui uma área de TI especializada dentro de cada área do negócio;
        • permite maior conhecimento do negócio e gera maiores custos;
      • compartilhada
        • possui uma área de TI para atender a toda a organização;
        • permite a redução de custos e a padronização dos serviços;
    • Autônomo → externa a organização;
      • terceirização dos serviços de TI;
      • permite a especialização dos serviços e a busca pelas melhores práticas, com risco de dependência;
  • Estágios do ciclo de vida de serviços

    • Estratégia
      • Gestão da estratégia para serviços de TI;
      • Gestão de relacionamento de negócio;
      • Gestão de demanda;
      • Gestão do portfólio;
      • Gestão financeira;
    • Desenho
      • Coordenação de desenho;
      • Gestão de fornecedores;
      • Gestão do catálogo de serviços;
      • Gestão de segurança da informação;
      • Gestão de continuidade;
      • Gestão de capacidade;
      • Gestão de disponibilidade;
      • Gestão de nível de serviço;
    • Transição
      • Planejamento e suporte da transição;
      • Gestão de liberações e implantação;
      • Validação e teste do serviço;
      • Avaliação de mudança;
      • Gestão do conhecimento;
      • Gestão de ativos e configuração;
      • Gestão de mudanças;
    • Operação
      • Gestão de incidentes;
      • Gestão de problemas;
      • Cumprimento de requisição;
      • Gestão de eventos;
      • Gestão de acesso;
      • Função de gestão de operação;
      • Função de gestão de aplicação;
      • Função de gestão técnica;
      • Função de central de serviços;
    • Melhoria contínua
      • Melhoria de processos em 7 etapas;

 

Estratégia de serviço

 

  • Conceitos → FED-P;
    • Saída → um nível de serviço definido por utilidade e garantia para um determinado pacote de serviço (Service Level Package);
    • desenvolve estratégia, influencia a demanda, controla o estado dos serviços e avalia o retorno financeiro;
      • entende a estratégia por meio da perspectiva (missão e visão), posição, plano e padrão;
      • integra a TI com o negócio por meio de requisitos e resultados esperados;
      • a fim de alcançar metas e objetivos da organização, crescer e operar de modo sustentável a longo prazo, por meio de serviços de TI;
    • Tipos de implementação
      • Modo “even keel” → foco na melhoria contínua;
      • Modo “trouble” → foco em construir soluções e resolver problemas imediatos;
      • Modo “growth” → foco na implementação frameworks de melhores práticas;
      • Modo “radical change” → foco na transição (terceirização, fusão) da organização;
    • Estrutura da organização
      • Nível estratégico → Grupo de direção da TI, escritório de gerenciamento de projetos, escritórios de gerenciamento de serviços, função de gerenciamento de relacionamento com o negócio;
      • Nível tático → funções de gestão técnica, de aplicações e de operações;
  • Gestão da estratégia para serviços de TI

    1. Define o mercado
      • define o público-alvo;
      • entende o cliente e identifica oportunidades de negócio;
    2. Desenvolve a oferta
      • percepção dos resultados de negócio pelo cliente;
      • define os serviços a serem oferecidos;
      • criação de valor dá-se pelo grau de atendimento às expectativas do cliente (valor do serviço);
      • utilidade → atende ao propósito do serviço ou remove de restrições;
      • garantia → atende a sustentação do uso, com disponibilidade, capacidade, continuidade e segurança;
      • define a diferenciação dos concorrentes;
      • antecipa os concorrentes;
      • oportuniza aos provedores de serviços a entrega de valor (competitividade e espaço de mercado);
    3. Desenvolve os ativos estratégicos
      • adquire e desenvolve os ativos estratégicos (habilidades  e recursos) que propiciam vantagens competitivas ou diferenciação no mercado;
      • habilidades (capacidades) → ativos intangíveis, como pessoas (capital intelectual), conhecimento, processos, organização e gerenciamento;
      • recursos → ativos concretos, como pessoas (recurso humano), informações, aplicações, infraestrutura e capital financeiro;
    4. Prepara a execução
      • define fatores críticos de sucesso;
      • realiza a análise da competitividade e análise SWOT;
      • define a alocação eficiente de recursos e priorizar investimentos;
  • Gestão do relacionamento de negócio

    • estabelece e mantém um relacionamento de negócio entre o provedor de serviços e clientes;
    • identifica as necessidades de negócio do cliente e garante o atendimento pelo provedor;
    • assegura que as expectativas do cliente não ultrapassa e está compatível com o custo esperado;
    • assegura níveis altos de satisfação do cliente;
    • compreende o negócio do cliente e suas motivações;
  • Gestão do portfólio
    • gerencia os serviços e seu estado (estratégia, desenho, transição, operação, obsolescência), não entra em detalhes de funcionalidade do serviço;
    • fornece informações dos serviços em todas as fases do ciclo de vida que permite um visão de negócio dos possíveis futuros serviços de TI;
    • essa visão geral dos serviços subsidia a decisão em direcionar estratégias e investimentos em novos serviços ou em seu aprimoramento;
    • Funil de serviços (não é visível ao cliente) → documento que lista todos os serviços sob consideração ou desenvolvimento, mas que ainda não estão disponíveis aos clientes;
      • Requisitos e definição de serviços → há muitos possíveis serviços (lado largo do funil);
      • Análise do do espaço de mercado e cliente → há um filtro para seleção dos que serão desenhados;
      • Aprovação → uma parte dos serviços é aprovado;
      • Formalizado → aqueles que estão aptos a serem construídos (lado estreito do funil);
    • Catálogo de serviços (visível ao cliente) → documento que lista os serviços que estão operacionais e opcionalmente aqueles que estão em transição;
      • Serviços em transição → sendo projetados, em desenvolvimento, construção, teste ou liberados;
      • Serviços em operação;
      • Serviços em obsolescência → são retirados do catálogo;
  • Gestão de demanda
    • Nível estratégico → identifica o perfil e o padrão de consumo dos clientes;
    • Nível tático → influenciar a demanda (os clientes) por incentivos e penalidades para adequação da capacidade estabelecida;
    • subsidia o gerenciamento de capacidade para ajuste de capacidade;
  • Gestão financeira
    • identifica o custo efetivo de todos os componentes e serviços de TI;
    • realiza a análise de retorno financeiro do serviço para subsidiar sua aprovação;
    • Atividades
      • Orçamentação → estimativa de custo do serviço e definição de metas financeiras (negociação das finanças);
      • Contabilização → análise de custo de cada serviço por cliente (monitoramento das finanças);
      • Cobrança → recuperar os custos (opcional) e provê proposta de mudanças dos requisitos de negócio;

 

Desenho de serviço

 

  • Conceitos → CS-FNS-SIC-DC;
    • Saída → as características detalhadas (CS-FNS-SIC-DC) do serviço (Service Design Package);
    • transforma objetivos estratégicos (Service Level Package) em especificação do projeto de serviço,
      • realiza a estratégia a partir de requisitos de negócio, funcionais e de operação;
      • desenha a estratégia por meio da pessoas, produtos, processos e parceiros;
      • define todos os aspectos de um serviço (arquitetura, topologia, recursos humanos, etc) e estratégia de transição (implantação, recuperação, etc);
      • envolve novos serviços, serviços alterados pela melhoria continua (mudança, continuidade ou conformidade) e a retirada de serviços;
      • define a qualidade e identifica métricas;
      • valor do negócio, aspectos do projeto, requisitos, modelos, opções de entrega, gestão do catálogo de serviço;
    • Aspectos do projeto do serviço
      • Soluções para serviços novos ou modificados;
      • Sistemas de informação e ferramentas de gerenciamento;
      • Arquiteturas tecnológicas e arquiteturas de gerenciamento;
      • Os processos necessários;
      • Métodos de medições e métricas;
    • Modelos de entrega (sourcing)

      • Interno (insourcing) → utiliza somente recursos e unidades internas à organização;
      • Externo (outsourcing) → utiliza somente recursos e unidades externas à organização;
      • Cofornecimento (co-sourcing) → utiliza recursos e unidades internas e externas;
      • Parceria ou múltiplas-fontes (partnership ou multi-sourcing) → utiliza duas ou mais empresas;
      • Processo de negócio externo (business process outsourcing – BPO) → funções de negócio ou processos gerenciados e fornecidos por uma organização externa;
      • Provisão de serviço de aplicação (application service provision – ASP) → serviços computacionais compartilhados;
      • Conhecimento de processo externo (knowledge process outsourcing – KPO) → o fornecedor fornece a expertise completa de processo e de negócio;
      • Produtos de prateleira (commercial off-the-shelf);
      • Desenvolvimento (rapid application development);
  • Coordenação de desenho

    • assegurar que os objetivos do estágio de desenho do serviço sejam alcançados;
    • provê um único ponto de coordenação e controle para todas as atividades do desenho de serviço;
    • coordena os recursos e habilidades requeridas;
    • coordena as atividades de desenho entre projetos, mudanças, fornecedores e suporte;
    • gerenciar os critérios de qualidade, requisitos e pontos de repasse entre a estratégia, o desenho e a transição;
  • Gestão do catálogo de serviços
    • documento com descrição detalhada dos serviços de TI da organização, com escopo, nível de serviço, formas de cobrança, etc;
    • permite a categorização por cliente (interno, usuários, externos, etc);
    • identifica os responsáveis e os relacionamentos entre os serviços;
  • Gestão de fornecedores
    • Saídabase de dados de fornecedores e contratos (SCD);
    • garantir que os serviços providos por fornecedores atendem as necessidades do negócio;
    • garantir que os fornecedores atinjam as metas estabelecidas;
    • Tipos de fornecedores
      • Estratégicos → serviços essenciais de longo prazo e informações confidenciais;
      • Táticos → serviços especializados e significativa dependência;
      • Operacionais → serviços comerciais e substituíveis;
      • Commodity → serviços comuns;
  • Gestão de nível de serviço
    • definir, documentar, concordar, monitorar, mensurar e verificar conformidade os níveis de serviços;
    • desenvolver e documentar contatos com os clientes e partes interessadas;
      • foco no relacionamento com o cliente (e não com o usuário);
      • prover e melhorar o relacionamento com o cliente;
      • medir e monitorar a satisfação do cliente;
      • negocia acordos de nível de serviço com o cliente;
      • criar vínculo com cliente;
      • registrar reclamações relacionadas;
    • desenvolver, manter e operar procedimentos;
      • melhorar o nível do serviço e justificar o custo;
      • monitorar e medir a performance;
      • usar métricas e indicadores de desempenho (key performance indicators – KPI) para julgar a eficiência e eficácia das atividades;
    • levantar os Requisitos de Nível de Serviço (SLR) com o cliente → definir características de disponibilidade, capacidade, continuidade, segurança, etc;
      • transformar o SLR em Acordos de Nível de Serviço (SLA);
        • com linguagem clara e entendível pela área de negócio;
        • nada deve ser incluso no SLA que não seja eficientemente mensurável, evitar subjetividade;
      • definir Acordos de Nível Operacional (OLA);
        • realiza acordo com o áreas internas necessárias para apoio a entrega de serviços;
      • definir Contratos de Acordo (UC);
        • realiza contratos com fornecedores que abrange nível, custo, prazos, etc;
        • o processo de gestão de fornecedores é responsável pela conformidade dos contratos realizados;
      • gestão dos acordos e contratos;
        • disponibilizar e manter atualizados os modelos de acordos;
        • produzir relatórios para identificar pontos positivos e negativos para fundamentar revisões dos serviços e dos acordos (SLA/OLA/UC) para melhorá-los;
    • Tipos de SLA
      • SLA baseado no serviços → o SLA é padronizado por serviço, aplicado a todos os clientes daquele serviço;
      • SLA baseado no cliente → o SLA é combinado com cada cliente individualmente;
      • SLA multi-nível → corporativo (genérico), por cliente e por serviço;
  • Gestão de segurança da informação
    • Saídapolítica e plano de segurança da informação e sistema de informações de gestão de segurança (ISMS);
    • alinhar a segurança da informação com a segurança do negócio;
      • confidencialidade → garantir que a informação é acessada somente por pessoas autorizadas;
      • integridade → garantir a completude e corretude da informação;
      • disponibilidade → garantir que a informação esteja disponível quando solicitado;
      • autenticidade e não-repúdio → garantir a confiabilidade na troca de informações entre a organização e parceiros;
    • Sistema de gestão de segurança da informação → baseada na norma ISO 27.001;
      • Planejar (Plan) → a organização deve definir o escopo, limites e uma política nos termos das características do negócio;
      • Implantar (Do) → a organização deve implantar controles e realizar programas de conscientização e treinamento;
      • Avaliar (Check) → a organização deve conduzir auditorias internas e medir a eficácia dos controles;
      • Manter (Act) → a organização deve implementar as melhorias identificadas e comunicar as ações e melhorias a todas as partes interessadas;
  • Gestão de continuidade
    • Saídapolítica e plano de contingência e plano de recuperação;
    • mantém um conjunto de planos de continuidade para recuperação do serviços após um evento que impacte o negócio;
    • define o escopo da gestão de continuidade com base nos objetivos de negócio;
    • garantir a capacidade mínima para suportar ao escopo;
    • conduzir uma avaliação de riscos a fim de reduzir suas vulnerabilidades;
    • completar a análise de impacto no negócio (perdas e danos possíveis) e definir os riscos serão aceitos;
    • avaliar o impacto na continuidade de todas as modificações a serem feitas;
    • garantir que os mecanismos de continuidade e recuperação atendam as necessidades e acordos (SLA);
    • melhorar proativamente a disponibilidade, justificar e reduzir os custos;
    • negociar a capacidade com os fornecedores;
    • Ciclo de vida da continuidade
      • Iniciação → definição do escopo;
      • Requisitos e estratégias;
      • Implementação → teste da estratégia de recuperação;
      • Operação → treinamento, capacitação, teste periódicos;
    • Arranjos de recuperação
      • Recuperação gradual (cold standby) → recuperação em mais de 72h com infraestrutura essencial para reconstrução;
      • Recuperação intermediária (warm standby) → recuperação de 24h a 72h com infraestrutura compartilhada entre empresas;
      • Recuperação rápida (hot standby) → recuperação em menos de 24h com infraestrutura pré-configurada própria;
      • Recuperação imediata (espelhamento) → recuperação imediata com infraestrutura espelhada e sem intervenção;
    • Processo relacionados
      • Gestão de nível de serviços → prover informações das obrigações relacionadas aos serviços de TI;
      • Gestão de disponibilidade → apoiar a disponibilidade no desenvolvimento e implementação de medidas preventivas;
      • Gestão de configuração → definir a infraestrutura necessária para prover a continuidade de negócio baseado no escopo da continuidade;
      • Gestão de capacidade → garantir que existam requerimentos de negócio e que estes sejam totalmente suportados;
      • Gestão de mudanças → garantir que os planos de continuidade sejam corretamente utilizados;
  • Gestão de capacidade
    • garantir recursos para atender aos requisitos atuais e futuros do negócio e dos acordos de nível de serviço estabelecidos;
    • manter o serviço em funcionamento com o desempenho acordado, de forma sustentável, quantitativa e econômica;
    • a capacidade é formada por: técnica, condições financeiras, recursos, condições históricas de performance de serviços semelhantes;
    • subsidia a determinação do retorno de investimento;
    • influenciar proativa e positivamente o consumo, considerando custos e clientes específicos, junto a gestão da demanda;
    • permite a melhoria da qualidade, a maximização da economia e a redução da probabilidade de incapacidade temporária de prestar o serviço;
    • Objetivos
      • produzir e manter o plano de capacidade;
      • prover diretrizes e guias;
      • garantir performance para atender os requisitos previstos;
      • apoiar o diagnóstico e resolução de incidentes e problemas;
    • Atividades → objetivo do continuo suporte aos objetivos de negócio;
      • Monitoramento (monitoring) → para o cumprimento do acordo de nível de serviço;
      • Análises (analysis) → análise dos dados monitorados para identificação de tendências;
      • Refinamento (tuning) → define ajustes de capacidade;
      • Implementação (implementation) → colocar em prática os ajustes definidos na forma de mudança da capacidade;
    • Subprocessos
      • Revisão da capacidade e performance atual (assessment)
        • avalia a fim de identificar serviços que necessitam de melhorias de capacidade;
      • Melhoria da capacidade dos serviços e componentes atuais (modeling)
        • analisa as possíveis melhorias por meio de técnicas de modelagem para simular cenários;
        • acorda e documenta os novos requisitos de capacidade;
        • planeja o alcance de melhorias por meio do plano de capacidade;
    • Dimensionamento do serviço → assegurar a capacidade (previsão) para atender:
      • Gestão de capacidade do negócio → as necessidades futuras do negócio;
      • Gestão de capacidade de serviço → aos acordos de nível de serviços estabelecidos, a gestão, aos controles e as atividades operacionais;
      • Gestão de capacidade de recursos → aos componentes técnicos do serviço;
    • Componentes
      • Sistema de Informações da Gestão de Capacidade (CMIS);
      • Banco de dados de capacidade (CDB) → informações técnicas, de negócio, financeiras, de serviço, de recursos;
      • Plano de Capacidade (capacity plan);
      • Informações e relatórios de performance do serviços;
      • Análise e relatórios de carga de trabalho;
      • Relatórios eventuais (aleatórios) de capacidade e performance de pontos específicos;
      • Relatórios de previsões e planos de demanda (forecast);
      • Definição de limiares, alertas e eventos;
    • Processo relacionados
      • Gestão de incidentes → informar os incidentes de capacidade, contenções;
      • Gestão de liberações → verificar a existência de capacidade para suportar a liberação de serviço;
      • Gestão de configuração → informações relacionadas entre o CMDB com o CDB;
      • Gestão de nível de serviços → níveis de serviços compatíveis com a capacidade suportada;
  • Gestão de disponibilidade
    • Saídaplano de disponibilidade e sistema de informações de gestão de disponibilidade (AMIS);

      • produz e mantém atualizado o plano de disponibilidade para manter o serviço disponível de acordo com as necessidades atuais e futuras de negócio;
      • avaliar o impacto de todas as mudanças no plano de disponibilidade;
      • assegura que a disponibilidade seja atingida, medida e melhorada, bem como atenda aos objetivos de negócio;
      • apoia o diagnóstico e resolução de incidentes e problemas;
      • prover diretrizes e guias de disponibilidade;
      • prever para a melhoria da disponibilidade e consequente redução de custos;
    • Métricas

      • Disponibilidade → o tempo que o serviço permanece no ar a disposição do cliente;
        • Uptime (MTBF – Mean Time to Between Failures)
        • tempo médio entre as falhas;
        • fases → da restauração até o próximo incidente;
      • Manutenabilidade → executar atividades necessárias para manter os serviços em operação ou para restauração;
        • Downtime (MTTR – Mean Time to Repair)
        • tempo médio de reparo do serviço desde que o incidente ocorreu;
        • fases → do incidente, detecção, diagnóstico até a conclusão do reparo;
      • Resiliência/Sustentabilidade → capacidade concreta de retornar ao estado de excelência;
        • Downtime (MTRS – Mean Time to Restore)
        • tempo médio de restauração do serviço desde o incidente ocorreu;
        • fases → do incidente, detecção, diagnóstico, reparo, recuperação até a conclusão da restauração;
      • Confiabilidade → certeza que o serviço estará disponível no período combinado;
        • Downtime+Uptime (MTBSI – Mean Time Between System Incidentes)
        • tempo médio entre a ocorrência de dois incidentes consecutivos;
        • fases → do incidente, detecção, diagnóstico, reparo, recuperação, restauração até o próximo incidente;
      • Servicibilidade (servicibility): → responsabilidade pela disponibilidade do serviço, independentemente da terceirização;

 

Transição de serviço

 

  • Conceitos → MACCAV-LIMP
    • Saída → o serviço em produção de acordo com o SDP (Service Design Package);
    • garantir que o serviço pode ser gerenciado, operador, suportado de acordo com o requisitos e restrições de projetos;
    • avalia, testa e valida todos os aspectos do serviço para implantá-lo efetivamente em produção com mínimo de impacto aos demais serviços;
    • planejar e gerenciar recursos necessário para implantar um novo serviço ou alterar um serviço existente;
    • controla a implantação dos serviços desenhados/projetados;
    • gerencia as mudanças e riscos encontrados;
    • fornecer uma estrutura para avaliar o risco que se corre ao ser promover a transição;
    • estabelece e mantém a integridade de todos os ativos de serviço e suas configurações;
    • fornecer conhecimento e informação de boa qualidade para subsidiar a tomada de decisão colocação um serviço funcional;
    • fornecer mecanismos eficientes e repetíveis;
  • Planejamento e suporte da transição
    • planejar e coordenador recursos para colocar um serviço novo ou modificado de forma eficiente, quanto ao custo, qualidade e prazos;
    • fornecer planos claros e compreensíveis, para permitir a adequada compreensão pelos operadores da transição;
    • garantir que todos os parceiros adotem um framework comum de padrões (mecanismos eficientes e repetíveis);
    • gerencia os riscos relativos as falhas e interrupções de serviços decorrentes da transição;
    • permite a gestão de quantidade significativa de mudanças e liberações;
  • Validação e testes do serviço
    • provê rotinas para produção de evidências objetivas de que o serviço implantado atende aos requisitos e ao SLA;
    • elabora testes de regressão para implantações de mudança;
  • Gestão de liberação e implantação (implantação e publicação)
    • distribui uma liberação (Release Unit) ou um conjunto delas (Release Package) em produção para habilitar o uso efetivo do serviço;
    • entrega as mudanças, de forma consistente, rápida, com baixo custo e com riscos minimizados;
    • garante que o cliente e usuários possam usar o serviço para atender as metas de negócio;
    • contribuir para atingir os requisitos de rastreabilidade;
    • garantir a integridade do CMDB (banco de dados de gerenciamento de configuração), principalmente após a realização de mudanças;
    • observar: liberação, implementação, mudanças e verificação;
    • gerenciar as expectativas dos clientes e usuários sobre as liberações, informando data e conteúdo a serem disponibilizados;
    • estratégias de liberação → Big Bang, Phased, Push, Pull, Automática e Manual;
  • Avaliação de mudança

    • garante que o serviço é adequado aos objetivos de negócio;
    • avalia o desempenho previsto comparado ao desempenho real após a implementação;
    • subsidia a aprovação e determina a conclusão da implantação;
  • Gestão do conhecimento
    • Saída → Sistema de Gestão do Conhecimento dos Serviços (SKMS);
    • garantir que a informação relevante esteja disponível a pessoas responsáveis;
    • Sistema de Gestão do Conhecimento dos Serviços (SKMS) → integração do contexto com o entendimento:
      • Sabedoria → a partir da análise do conhecimento (Porque?);
      • Conhecimento → a partir do processamento da informação (Como?);
      • Informação → a partir da contextualização dos dados (Quem? O que? Quando? Onde?);
      • Dados
  • Gestão de ativos e configuração
    • Ativoqualquer recurso ou habilidade que contribua para a entrega de um serviço;
    • Item de configuração → um ativo que precisa ser gerenciado para a entrega de um serviço de TI;
    • Registro de configuraçãoconjunto de atributos e relacionamentos de um item de configuração;
    • gerencia itens de configuração, sendo qualquer ativo de serviço que necessita ser gerenciados;
    • otimiza a performance, os custos e minimiza riscos a partir da adequada gestão dos itens de configuração;
    • fornece modelo lógico para possibilitar:
      • identificação; controle; registro; auditoria; verificação;
      • versões dos itens; linha base; componentes; relacionamentos; atributos;
    • contabiliza para gerenciar e proteger a integridade dos ativos;
    • compara os registros contra a infraestrutura para corrigir possíveis exceções;
    • estabelece e mantém Banco de Dados de Gestão de Configuração (CMDB) e um Sistema de Gestão de Configuração (CMS);
    • melhorar a capacidade de planejamento, com a definição das metas;
    • melhorar a aderência a padrões, normas, leis e contratos;
    • prover bases sólidas de informação para gestão de incidentes, problemas, mudanças e liberações;
    • apoiar a entrega do nível de serviço;
    • Sistema de Gestão de Configuração (CMS)
      • Camada de apresentação e conhecimento
        • Visão de mudança e liberações;
        • Visão de gestão de ativos;
        • Visão de ciclo de vida de configurações;
        • Visão de configurações técnicas;
        • Visão de gestão da qualidade;
        • Visão da central de serviços;
      • Processamento de conhecimento
        • Consultas e análises;
        • Relatórios;
        • Gestão de desempenho, previsões, planejamento e orçamento;
        • Modelagem;
        • Monitoração, Scorecards, Dashboards e alertas;
      • Camada de integração de informações
        • Negócio, cliente, provedor, usuário;
        • Serviço, aplicação, mapa de infraestrutura;
        • Portifólio e catálogo de serviços;
        • Modelo de serviços;
        • BDGC;
        • Liberação de serviços;
        • Mudanças de serviços;
      • Ferramentas e fontes de informações e dados
        • Repositório de documentos de projeto;
        • Biblioteca de mídia;
        • BDGC físico;
        • Ferramentas de configuração;
        • Gestão de configuração de software;
        • Investigação, gestão de ativos e ferramentas de auditoria;
        • Aplicações empresarias;
        • Gestão de acesso, recursos humanos, fornecedores e relacionamento com o cliente;
  • Gestão de mudanças
    • Mudança
      • é o processo de inclusão, alteração ou exclusão autorizada de um serviço ou item de configuração;
      • de forma documentada e planejada;
    • Proposta de mudança
      • um documento que inclui uma descrição de alto nível;
      • de uma potencial introdução de serviço ou mudança significativa em um serviço;
      • junto com um caso de negócio correspondente e;
      • um cronograma da implementação esperada;
      • que permite uma análise mais detalhada de mudanças maiores e de maior risco;
    • Requisição de mudança
      • um documento que solicita a implementação da mudança em um serviço que já existe;
      • são registradas no Sistema de Gerenciamento de Mudanças (Change Managemeant System);
      • o Comitê Consultivo de Mudanças (Change Advisory Board)  fornece apoio a avaliação e priorização de mudanças;
      • o Comitê Consultivo de Mudanças Emergenciais é um subconjunto do CAB para decisões de mudanças de grande impacto;
    • analisa o impacto das mudanças a partir das necessidades e restrições;
    • avalia a aprovação das mudanças, a partir: do solicitante, da razão, do benefício esperado, dos riscos, dos recursos, do responsável e da relação com outras mudanças;
    •  coordenar sua implementação para que as mudanças ocorram de forma eficiente, com menor custo, tempo e riscos;
    • garante a padronização de métodos, processos e procedimentos;
    • Tipos de mudanças
      • Mudança padrão → mudança simples pré-aprovadas;
      • Mudança normal → requerem avaliação e aprovação;
      • Mudança emergencial → maior prioridade para implantação;

 

Operação de serviço

 

  • Conceitos → PERAI-TAOCS;
    • opera os serviços de forma eficiente e efetiva de acordo com o SLA estabelecido, garantido a entrega de valor ao cliente;
    • gerenciar aplicações, tecnologia e infraestrutura
    • transforma o negócio desenhado em um atividade usual;
    • usa práticas robustas de operações para não cometer erros durante a transformação;
    • utiliza funções, unidades formadas por pessoas e ferramentas para executar atividades, para atingir determinado objetivo;
  • Gestão de incidentes
    • incidente é um evento que não faz parte da operação normal de um serviço;
    • o incidente causa redução da qualidade do serviço ou interrupção não planejada percebida pelo usuário;
    • processo reativo para restaurar o serviço ao nível normal o mais rápido possível;
    • reduzir o impacto dos incidentes sobre as operações de negócio;
    • mantém registros dos incidentes, soluções tomadas, recursos utilizados, pessoas envolvidas;
    • detecta, registra, classifica, investiga, diagnostica e resolve incidentes;
    • Escalação e níveis dos incidentes

      • Escalação funcional (horizontal) → repasse para especialistas;
      • Escalação hierárquica (vertical) → repasse para gerentes;
    • Diagnóstico do incidente (Incidente matching)
      • o incidente é associável a um erro conhecido;
        • aplicar a resolução ou procedimento da base de conhecimento;
        • incrementar o contador de registro de erros conhecidos;
        • atualizar o registro deste incidente com o código do erro conhecido;
        • atualizar o registro deste incidente com sua classificação;
        • informar ao cliente o procedimento;
      • o incidente não é associável a um erro conhecido;
        • o incidente é associável a um problema;
          • incrementar o contador de incidentes no registro de problema;
          • atualizar o registro do incidente com o código do problema;
          • atualizar o registro do incidente com sua classificação;
        • o incidente não é associável a um problema;
          • o incidente não é rotineiro;
            • registrar um novo problema;
  • Gestão de problemas
    • problema é a causa raiz desconhecida de vários incidentes que necessita investigação para identificação;
    • erro conhecido é um problema diagnosticado que possui uma solução definitiva ou solução de contorno;
    • requisição de mudança (Request for Change) para alcançar um solução estruturada para um problema;
    • gere o ciclo de vida dos problemas, minimiza seu impacto e reduz a ocorrência de incidentes;
    • priorizar problemas pelo impacto as operações de negócio;
    • identifica, registra, classifica, investiga, diagnostica problemas;
  • Gestão de eventos
    • evento é qualquer ocorrência detectável ou discernível que possa gerar um incidente e afetar o negócio;
    • monitora, identifica e analisa eventos para determinar a ação a ser tomada;
    • notificações criadas pelo serviço, por itens de configuração ou ferramentas de monitoramento;
    • Tipos de eventos
      • Informativo → eventos com informação de estado;
      • Alerta → eventos que indicam a passagem de limiar que pode gerar um incidente;
      • Exceção → eventos que indicam uma situação indevida;
    • Tipos de monitoramento

      • Ativo → monitora itens de configuração chaves e notifica corretamente as exceções;
      • Passivo → detecta e correlaciona alertas operacionais e comunicações geradas pelos itens de configuração;
  • Cumprimento de requisição
    • representa um requisição do usuário por informações, orientações, mudanças padronizadas ou acesso a um serviço;
    • permite um tratamento diferenciado para requisições de menor risco e impacto ao negócio;
  • Gestão de acesso
    • garante a execução da política de controle de acesso, faz parte do contexto de gestão de segurança da informação;
    • concede acesso a usuários autorizados (não decida, apenas segue a política);
    • reduz o nível de erros pelo uso indevido dos níveis de informação, e contribui para a confidencialidade, integridade e disponibilidade;
    • permite auditorias e rastreabilidade;
    • habilita a concessão e retiradas de direitos para que se possa adequar as permissões a necessidades de acesso;
    • identifica a identidade, verifica a legitimidade, fornece o direito, registra e monitora o acesso, remove e limita direito;
  • Função de gestão técnica
    • planeja, implanta e mantém uma infraestrutura estável para suportar os processos de negócio;
    • define características técnica, projeta topologias de implantação e define padrões para os projetos;
    • provê suporte de segundo nível a incidentes;
  • Função de gestão de aplicação
    • gerencia aplicativos para mantê-los em produção (não desenvolve o software);
  • Função de gestão de operação
    • gestão contínua e manutenção da infraestrutura;
    • controle de operações, elaboração de jobs, realização de backups e restauração;
    • gerenciamento de instalações de datacenters;
  • Função de Central de Serviços
    • unidade funcional para tratar os eventos que afetam o negócio;
    • ponto único de contato com os usuários;
    • registra incidentes e problemas;
    • resolve incidentes;
    • fornece o primeiro nível de atendimento;
    • manter os usuários informados sobre o atendimento;
    • fechar os incidentes;
    • Benefícios
      • Melhora o serviço;
      • Aumentar a acessibilidade;
      • Melhora a comunicação;
      • Aumenta o foco e a proatividade;
      • Reduz os impactos;
      • Melhora a gestão da infraestrutura;
      • Melhora o uso dos recursos;
      • Melhora a produtividade com a escalação eficiente;

 

Melhoria contínua de serviço

 

  • Conceitos
    • mantém a entrega de valor ao cliente por meio da avaliação e melhoria contínua para adaptação a mudança de estratégia;
    • identifica oportunidades, fraquezas ou falhas identificadas dentro de qualquer um dos estágios do ciclo de vida;
    • permite a visão global de todos os elementos utilizados;
    • Registro de melhoria contínua
      • documento estruturado usado para registrar e gerenciar as oportunidades de melhoria em todo o seu ciclo de vida;
      • classifica o esforço e tempo para implementar a melhoria;
    • Modelo de melhoria contínua (IDEAL)
      • Iniciação (initiating) → base para que exista sucesso na melhoria (Qual a visão?);
      • Diagnóstico (diagnosing) → identificação a situação do serviço em relação a seu objetivos (Onde estamos agora?);
      • Estabeleça (establishing) → planejar como alcançar os objetivos e definir métricas (Onde nós queremos chegar?)
      • Aja (acting) → execute o plano, serviços e processos (Como chegamos lá?);
      • Lições (learning) → medir e aprender com as experiências (Chegamos lá?);
  • Melhoria de processos em 7 etapas
    • Etapas;
      1. identificar a estratégia para melhoria (a visão, a estratégia, os objetivos táticos e operacionais);
      2. definir o que será medido (dentro da capacidade possível);
      3. definir quem, como e quando os dados serão coletados (dados brutos);
      4. definir a frequência, o formato, o sistema e a precisão que os dados serão processados (informação);
      5. definir as tendências, os plano e metas, e melhorias requeridas que serão analisados (conhecimento);
      6. apresentar de forma resumida a informação e planos de ação;
      7. implementar ações corretivas (sabedoria);
    • Orientações de medição do serviço
      • medições para corrigir atividades para garantir o alinhamento ao negócio e atendimento a especificação do serviço;
      • medições para validar decisões;
      • Níveis de métricas
        • Serviços → mede as etapas do serviço para verificar o alcance dos benefícios de negócio do serviço;
        • Processo → mede o alcance dos fatores críticos de sucesso;
        • Tecnologia → mede a disponibilidade, a performance, etc;
    • Orientações de relatório de serviços
      • disponibiliza informações com o desempenho passado e as ameaças que podem afetar o desempenho futuro;
      • informações de indisponibilidade, razões, procedimentos executados e preventivos para evitar os eventos;

 


Reinaldo Gil Lima de Carvalho

 

Anúncios