Governança e Gestão de TI

Introdução a Governança e Gestão de TI

ISO/IEC 38.500

Planejamento Estratégico de TI

COBIT 5

Qualidade de software (CCMI e MPS.BR)

ITIL 3

Introdução a Governança e Gestão de TI

Governança de TI → controle da Gestão de TI e tomada de decisão pela alta administração;
- faz parte da Governança Corporativa da instituição e é dirigida por esta;
- a norma ISO/IEC 38.500 estabelece um modelo para a governança corporativa de TI, utilizado por base do COBIT 5;
- a alta administração deve:
  - Avaliar (evaluate) o uso atual e futuro da TI para garantir a qualidade dos investimentos;
  - Dirigir (direct) ao atribuir responsabilidades, definir estratégias e políticas para o uso eficiente e convergente da TI com os objetivos de negócio da instituição;
  - Monitorar (monitor) o desempenho da TI por meio de sistema de mensuração do alcance dos objetivos (planejamento estratégico e plano de negócio);

Gestão de TI → controle operacional e implementação das decisões pela gerência executiva;
- é o sistema de controles e processos necessários para alcançar os objetivos estratégicos e implementar as decisões;
- atua no planejamento, na construção, na execução e monitoramento das atividades operacionais de acordo com os objetivos e decisões da alta administração.
- entende a estratégia do negócio e traduz em infraestrutura, processos e planos para sistemas, aplicações e soluções;

ISO/IEC 38.500

Contexto histórico → necessidade de aprimorar o controle corporativo, decorrente da grande expansão do mercado de capitais da metade do século XIX, a partir da separação entre propriedade (principal) e gestão empresarial (agente), a fim de mediar os interesses dos sócios (perpetuidade e crescimento), executivos (retornos financeiros) e demais partes interessadas.
- Relatório de Cadbury (comitê sobre aspectos financeiros) →código de boas práticas de governança corporativa.
- Guia ISO 73 → gerenciamento de risco (genérico), devendo-se observar a ISO 27005 voltada para TI;
- Princípios da OCDE para um sistema de governança corporativa → garantir a integridade das corporações em seus processos de gestão, e de relacionamento com as partes interessadas;
  - I. Existência de bases legais para a efetividade do sistema de governança corporativa.
  - II. Assegurar o tratamento equitativo dos acionistas, bem como a proteger e facilitar o exercício dos direitos dos acionistas, inclusive aos minoritários e estrangeiros, relativos a sua propriedade, bem como assegurar a oportunidade de obter reparação efetiva por violação de seus direitos.
  - III. Estimular as relações com a cadeia de investimento, como investidores institucionais, analistas de mercado, agências de risco, instituições financeiras representativas de acionistas, e outros intermediários que provem análises e incentivos relevantes aos investidores, para criar riquezas, empregos e sustentabilidade de empresas financeiramente sólidas.
  - IV. Estimular a cooperação ativa entre corporação e partes interessadas (proprietários, membros dos conselhos, agentes, funcionários, clientes e outros) devido a importância do reconhecimento de seus direitos estabelecidos por lei ou acordo mútuos, que inclui os códigos de ética, em prol da criação de riqueza, empregos e sustentabilidade (a população afetada direta ou indiretamente pelas operações da empresa) por meio do acesso regular a informações que permitam a identificação de violações a estes direitos.
  - V. Assegurar a transparência e divulgação precisa de questões relevantes relacionadas com a corporação, como relatórios financeiros, resultados operacionais, fatores de risco, remunerações e critérios de bonificação de gestores, além do estabelecimento de auditoria interna e submeter-se a auditoria externa.
  - VI. Responsabilidades do Conselho de Administração, que intermedeia a visão dos acionistas (propriedade) e a tomada de decisões pela empresa (agente) e supervisiona a relação com as demais partes interessadas, incluem a revisão da orientação estratégica da empresa, a seleção dos diretores, a definição dos salários dos diretores, aprovação de aquisições e desinvestimentos de grande porte, a aprovação de fusões, o monitoramento eficiente da administração e a prestação de contas (accountability) pelo conselho à empresa e aos acionistas de todos os atos da administração.

Governança corporativa → sistema pelo qual as organizações são dirigidas, controladas, monitoradas e incentivadas, envolvendo as práticas e os relacionamentos entre proprietários, conselho de administração, diretoria e órgãos de controle. Converte princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso ao capital e contribuindo para sua longevidade (IBGC);

Governança corporativa em TI → sistema pelo qual o uso atual e futuro da Tecnologia da Informação é dirigido e controlado;
- a otimização do retorno dos investimentos (adequado as necessidade) é mais relevante do que a minimização dos custos (economicamente vantajosa);
- para fins da norma ISO 38.500, entende-se por TI os termos Tecnologia da Comunicação (TC) e Tecnologia da Informação e Comunicação (TIC);
- aplica-se à governança dos processos de gerenciamento e decisões relacionadas aos serviços de TI, uma vez que estes fundamentam-se das diretrizes a nível estratégico que são subsidiados pela governança de TI;
  - governança de TI → diretrizes a nível estratégico → governança dos processos de gerenciamento;

ISO/IEC 38.500 → fornece princípios, definições e um modelo de governança para a orientação dos dirigentes a avaliar, dirigir e monitorar do uso da TI;
- Os princípios de governança corporativa também são aplicados a TI, assim como a primeira alcança partes externas a organização, a governança de TI alcança a organização como um todo, e não se limita a própria TI, abrangendo o Conselho de Administração e Comitês de Auditoria;

Escopo
- orientação aos dirigentes das organizações (proprietários,membros de conselhos, diretores, etc) para o uso eficaz, eficiente e aceitável de TI (não delegável), e, complementarmente;
- orientação aos que aconselham, informam ou assessoram os dirigentes (gerentes seniores, especialistas, auditores, etc), envolvidos no projeto e na implementação de gerenciamento de políticas, processos e estruturas que suportam a governança;

Aplicações → aplicável a qualquer setor e a empresas de qualquer porte;

Objetivos → a observação a norma ISO 38.500:
- assegura as partes interessadas confiabilidade à implementação da governança corporativa de TI;
- informa e orienta dirigentes, e;
- fornece base de avaliação objetiva, mensuração e verificação da governança corporativa de TI;

Benefícios para a organização;
- Vocabulário comum → fornece definições, princípios e um modelo de governança de TI;
- Conformidade → garantir o cumprimento de obrigações formais decorrentes de leis, regulamentos, contratos, etc. (normas de segurança, legislação de acessibilidade ou privacidade, direitos de propriedade intelectual;
- Desempenho → garantir que o uso da TI contribua positivamente para o bom desempenho da organização;
  - Continuidade do negócio, e sua sustentabilidade;
  - Correta implementação e operação dos ativos de TI;
  - Alinhamento da TI com as necessidades do negócio;
  - Redução de custos;
  - Alocação eficiente de recursos;
  - Concretização dos benefícios dos investimentos;
  - Responsabilidade e obrigatoriedade da prestação de contas relativas ao uso e provisão de TI para atingir as metas da organização;

Definições (vocabulário comum) → ¹complementares;
- eficaz¹ → atingir os resultados desejados;
- eficiente¹ → atingir os resultados da melhor forma possível (economicamente, rapidamente, etc);
- aceitável → atender as expectativas das partes interessadas que podem ser apresentadas como razoáveis ou merecedoras;
- competente → combinação de conhecimento, habilidades formais e informais, treinamento, experiência e atributos comportamentais compatíveis com a atividade;
- dirigente → membros da mais alta direção de uma organização;
- comportamento humano → considerar a cultura, necessidades e aspirações de pessoas como indivíduos ou grupos;
- gerenciamento → sistema de controle e processos necessários para alcançar os objetivos estratégicos estabelecidos pela direção (sujeito às diretrizes, políticas e ao monitoramento da governança corporativa);
- padrão¹ (foco em abrangência) → direcionamento a ser seguidos por várias empresas, entidades ou pessoas, criado por um conjunto de empresas ou organismos (abrangência maior que a própria empresa);
- plano¹ (foco em gestão) → direciona a operação, em nível estratégico/tático por meio de definições ou em nível tático/operacional por meio de procedimentos de execução;
- política (foco em governança) → regras para tomada de decisão afetas a problemas que podem ser bem estruturados, reflete-se assim, em instruções claras e mensuráveis de direção e comportamento desejado que condicionem e limitam as decisões tomadas;
- proposta → compilação de benefícios, custos, riscos, oportunidades e outros fatores aplicáveis as decisões a serem tomadas;
- recursos → pessoas, procedimentos, software, informações, equipamentos, infraestrutura, capital, fundos de operação e tempo;
- parte interessada (stakeholder) → qualquer ente que possa afetar, ser afetado ou ter que a percepção de que será afetado por decisão ou atividade;
- estratégia → plano geral de desenvolvimento da organização que descreve o uso eficaz dos recursos;
- uso da TI → gerenciamento e aplicação da TI para atender as necessidades do negócio por meio de planejamento, projeto, desenvolvimento, distribuição e operação, e abrange a demanda e o fornecimento (oferta) de serviços de TI por unidades internas de negócio, unidades especializadas em TI e fornecedores externos;

Princípios → Convém que os dirigentes exijam que os princípios sejam aplicados., embora sejam aplicáveis à maioria das organizações., seu enunciado refere-se ao que convém acontecer, mas não descreve como, quando ou por quem…
- Responsabilidade → todos devem compreender e aceitar suas responsabilidades quanto ao fornecimento (oferta) e a demanda (cliente) de serviços de TI, devendo os responsáveis pelas ações terem autoridade para desempenhá-las;
- Estratégia → a estratégia de negócio da organização deve considerar as capacidades atuais e futuras da TI (estratégia → considera → capacidade de TI), bem como, os planos estratégicos de TI devem satisfazer as necessidades atuais e contínuas da estratégia de negócio da organização (estratégia de TI → satisfaz → estratégia de negócio);
- Aquisição → a TI deve prezar pelo equilíbrio em aquisição e considerar benefícios, oportunidades, custos e riscos;
- Desempenho → a TI deve ter como propósito apoiar a organização, fornecendo serviços em nível e qualidade necessários para atender os requisitos atuais e futuros, incluindo a continuidade do negócio;
- Conformidade → a TI deve cumprir a legislação e regulamentos obrigatórios, bem como políticas e práticas claramente definidas, implementadas e fiscalizadas;
- Comportamento humano → as políticas, práticas e decisões de TI devem demonstram respeito pelo comportamento humano, incluindo as necessidades atuais e futuras de todas as “pessoas no processo”;

Modelo de governança corporativa de TI → convém que os dirigentes governem a TI por meio de três tarefas principais;
- Avaliar o uso atual e futuro da TI;
  - Os dirigentes devem avaliar estratégias, propostas e arranjos de fornecimento externo e interno considerando pressões externas e internas que influenciam o negócio (mudanças tecnológicas, tendências econômicas e sociais, influências políticas, etc);
  - Convém que os dirigentes empreendam avaliação contínua, conforme as pressões mudam, e levem em conta as necessidades atuais e futuras do negócio;
- Dirigir a preparação e a implementação de planos e políticas para assegurar que o uso da TI atenda aos objetivos do negócio;
  - Convém que aos dirigentes designar responsabilidades e exijam preparação e implementação dos planos e políticas;
  - Os dirigentes devem assegurar que a transição dos projetos para a entrada em operação seja planejada e gerenciada;
  - Convém que os diretores encorajam a cultura da boa governança de TI, exigindo que os gerentes forneçam informações em tempo adequado e em conformidade com os seis princípios;
- Monitorar o cumprimento das políticas (conformidade) e o desempenho em relação aos planos;
  - Convém que os dirigentes se certifiquem de que a TI está em conformidade com as obrigações externas e práticas internas de trabalho;
  - Convém que os dirigentes monitorem e se certifiquem que o desempenho está de acordo com os planos, principalmente com relação aos objetivos de negócio por meio de sistemas de mensuração apropriados;
    - Indicadores de metas e desempenho (mede projetos, processos e operação) → lead indicator;
    - Indicadores de negócio (mede o alcance a objetivos de negócio) → lag indicator;
    - qualquer meta deve estar alinhada a um objetivo maior de negócio;

Generalidades
- Cada organização é responsável por identificar as ações específicas para implementação dos princípios, levando em consideração sua natureza e outros fatores;

Planejamento Estratégico de TI (PETI)

Governança de TI
- Garantir a entrega de valor → expõe o efetivo apoio à estratégia de negócio pela TI; monitora as operações para garantir a entrega de valor;
  - Lean Thinking → Valor, Fluxo de Valor, Fluxo Contínuo, Produção Puxada e Perfeição);
- Avaliação independente de conformidade → avalia a TI quanto a leis, políticas, etc; promove a transparência, confiança e a compreensão dos riscos;
- Definir a estrutura e organização da TI
  - Projetos → definição da organização por projetos ou funcional (departamentos), bem como responsáveis pela gestão dos projetos;
  - Serviços → definição de serviços de apoio às demais áreas (os recursos, os sistemas de informação, pessoas e infraestrutura, etc);
  - Relacionamento com os clientes → especifica como o cliente solicita, quem solicita, critérios de priorização, os padrões de solicitação e status das solicitações;
  - Relacionamento com fornecedores → diretrizes para contrações, níveis de serviço e outsourcing;
- Decisões → critérios para definição de responsabilidades, a nível de gerência, comitês, alta administração, etc.
- Portfólio → metodologia de priorização de investimentos (alocação de recursos) e definição das ações essenciais aos resultados de negócio;
  - considera o retorno esperado e o alinhamento estratégico de cada ação da TI;
  - apresenta valores de investimento e custeio;
  - informa o estado atual de execução dos projetos e do orçamento;
  - limita a atuação da TI, mas não a torna uma lista fechada, uma vez que possibilita-se mudanças, embora como reflexo da mudança de estratégia;
  - direciona o relacionamento com clientes, fornecedores e parceiros da TI;
  - classificação das ações do portfólio na perspectiva da TI;
    - Projetos, Serviços, Ativos e Inovação;
    - Aplicações, Serviços, Infraestrutura e Gestão;
  - classificação das ações do portfólio na perspectiva do negócio;
    - Estratégico → melhoram os resultados de negócio;
    - Fábrica → operacionais e de continuidade do negócio;
    - Nova Estratégia → focam em resultados futuros;
    - Obrigatório → ações de conformidade;
- Papéis de governança na organização
  - Alta administração → define estratégias, aprova políticas, prioriza investimentos, acompanha a execução da estratégia e orçamentária;
  - Diretor de TI → define a estratégia de TI, gerencia o portfólio, o desempenho, os recursos humanos, os riscos e a conformidade da TI;
  - Governança de TI → dirige o planejamento, gerenciamento de desempenho (indicadores) e monitora os planos, estratégias e o portfólio;
  - Áreas de TI → elaboram conjuntamente o PETI, implementam as ações e gerenciam os projetos em suas áreas;
- Fatores motivadores da governança de TI
  - TI como prestadora de serviços;
  - Integração tecnológica;
  - Dependência do negócio em relação a TI;
  - Marcos de regulação;
  - Ambiente de negócio;
- Principais objetivos da governança de TI
  - Promover o alinhamento da TI ao negócio;
  - Garantir a continuidade do negócio;
  - Promover a conformidade e a gestão de riscos;

Planejamento estratégico (institucional ou organizacional) → inteligência competitiva da estratégia corporativa, competitiva e de posicionamento;;
- Planejamento
  - processo de reflexão e análise do cenário atual, definição objetivos e meios efetivos de alcançá-los;
- Administração (gestão) estratégica
  - processo contínuo e interativo para a adequação da organização as estratégias;
- Plano estratégico
  - produto do planejamento estratégico e os objetivos estratégicos;
- Planejamento estratégico (plano de negócios) → características válidas também para o PETI;
  - detalha a administração (gestão) estratégica por meio de um processo (metodologia gerencial) dinâmico e interativo;
  - elaborado por equipe multidisciplinar (patrocinador, gestor, cliente, técnicos, especialistas, etc);
  - formalizado em documento escrito estruturado;
  - especifica o caminho para o alcance de resultados a partir das sinergias de decisões e ações;
- Conteúdo do planejamento estratégico;
  - determina a missão (razão de ser, finalidade), a visão (cenário, projeção e reconhecimento) e os valores (princípios);
  - identificação dos problemas e dificuldades internas e externas;
  - propõe objetivos para mitigar cada problema;
  - define estratégias para alcance dos objetivos;
  - indica ações como desdobramento das estratégias;
- Balanced Score Card (BSC)
  - derivado da missão e da estratégia em forma de medidas quantitativas do desempenho organizacional (financeiro, cliente, processos internos e aprendizado) por meio de indicadores operacionais;

Planejamento de TI → pode ser divido em etapas:
- Planejamento estratégico de TI;
- Análise de necessidades de informação;
- Alocação de recursos;
- Planejamento de projeto;

Planejamento estratégico de TI
- Metodologias para planejamento de TI
  - BSP (Business Systems Planning) → foca-se nas relações entre os sistemas e o negócio da organização;
    - Planejamento top-down da arquitetura de informação → envolve as pessoas para conhecerem a organização como um todo;
    - Design e implementação bottom-up da arquitetura de informação → aprofunda a análise ao documentar e implementar;
  - SSP (Strategic Systems Planning);
  - Engenharia da informação;
  - Fatores críticos de sucesso;
  - Modelo eclético de Sullivan;
  - Estágios de crescimento da organização;
  - Manual de planejamento de informática empresarial (Norberto Torres);
  - Um guia prático para o planejamento estratégico e sistemas de informação (Anita Cassidy);
  - Tecnologia da Informação – A arte do planejamento estratégico (Benard Boar);
- Abordagens
  - Princípios de TI;
  - Arquitetura de TI;
  - Infraestrutura de TI;
  - Organização das operações de serviços;
  - Capacidade de atendimento;
  - Competências;
  - Necessidades de aplicações;
  - Estratégias de fornecedores de serviços;
  - Investimentos;
  - Política de segurança da informação;

Estrutura do PETI
- processo de gestão que direciona as ações da TI;
  - habilita a alta administração no entendimento do potencial de contribuição da TI para a estratégia de negócio;
  - produz documento que expõe de forma clara os objetivos, produtos, sistemas e serviços providos pela TI para apoiar todas as áreas da organização;
  - planejamento estratégico organizacional → planos táticos e funcionais individualizados por área ← plano estratégico de TI (sistemas, ativos e pessoas);
  - deve possuir um indicador de resultado para cada objetivo estratégico;
  - estrutura estratégica, tática e operacionalmente as informações organizacionais;
- apresenta estratégias, missão e visão subordinadas (ao PE), bem como os meios para implantá-las (consecução dos objetivos) a fim de atender o negócio da organização:
  - metas;
  - projetos → visão inicial do cronograma, dos recursos necessários e seu estado, etapa e fase atual (histórico documental);
  - planos de ação → especifica ações, prazos (curto, médio ou longo) e responsáveis;
- detalha os recursos sustentadores de sistemas de informação e de conhecimento (adquiridos ou desenvolvidos);
  - tecnologia da informação → hardware, software, rede, gestão de dados e informações (propõe adequações e padronizações);
  - pessoas
    - identifica o pessoal e seus perfis; analisa a adequação dos recursos humanos as necessidades dos projetos (expõe eventual déficit);
    - planeja a alocação de mão de obra (define os serviços terceirizados e as atividades realizadas por pessoal próprio) e expõe as necessidades de treinamento;
    - contexto organizacional → analisa o organograma e propõe adequações;
- detalha a o planejamento de custos e investimentos (no detalhamento das ações e projetos), e aprimora a gestão de recursos (investimentos);
- artefato de alinhamento estratégico;
  - estático → desdobramento (derivação) do plano e objetivos estratégicos da organização para a área de TI;
  - dinâmico → alteração do plano e objetivos estratégicos de TI em função da mudança (aleatória) dos objetivos estratégicos (negócio) da organização;
  - bidirecional → o plano estratégicos de TI, ao potencializar novas oportunidades, influencia e produz mudança nos objetivos de negócio, e vice-versa;
  - ciclo de alinhamento
    - estratégias da organização → demandam → necessidades de informação → que são atendidas por → necessidades de TI (recursos sustentadores);
    - necessidades de TI → atendem → necessidades de informação → que alinham-se → as estratégias da organização;

Planejamento da TI no setor público
- Inexistindo plano estratégico, os objetivos de TI devem ser derivados do Mapa estratégico, do BSC ou do Plano Plurianual;
- Níveis de planejamento
  - Planejamento estratégico institucional → objetivos estratégicos institucionais;
  - Plano Diretor de TI → objetivos estratégicos e táticos de TI;
  - Planejamentos operacionais → plano de contratações, projetos, etc;
- Estratégia nos poderes
  - Executivo
    - Estratégia Geral de TI (EGTI) → instrumento de planejamento com as diretrizes estratégicas para todos os órgãos do executivo federal e elaborado pela SLTI;
    - Plano Diretor de TI → no executivo apresenta modelo unificado estratégico e tático, podendo ser separado em PETI (estratégico) e PDTI (tático);
  - Judiciário
    - PE do Judiciário → resolução nº 198/2014 CNJ;
    - PETI do Judiciário → resolução nº 211/2015 CNJ;
    - Planejamento e contratações de TI → resolução nº 182/2013 CNJ;

Projeto de elaboração do PETI (Denis Rezende)
- Planejar o projeto;
  - organizar o projeto (equipe multidisciplinar, objetivos, metodologia);
  - capacitar a equipe e definir plano de trabalho;
- Revisar o planejamento estratégico organizacional;
  - identificar objetivos, estratégias e ações organizacionais (entender o negócio)
  - complementar a missão, visão, valores, políticas, normas, estrutura organizacional, modelo de gestão e controles organizacionais;
- Planejar informações e conhecimentos;
  - identificar as necessidades de informação e conhecimentos para o negócio;
  - identificação de atividades ou processos de negócio;
- Avaliar e planejar sistemas de informação e de conhecimentos;
  - identificar e avaliar sistemas atuais (descrever detalhadamente sistemas existentes, com pontos fracos, fortes, grau de satisfação, etc);
  - planejar sistemas para aquisição ou desenvolvimento (descrever detalhadamente os sistemas propostos);
- Avaliar e planejar a tecnologia da informação;
  - identificar, descrever e avaliar o parque tecnológico e políticas (planos de contingência, segurança, auditoria, etc);
  - planejar a aquisição de software, padronização de hardware, contratação de conectividade e gestão de dados e informações;
  - apresenta a organização da TI por meio de modelos de gestão, políticas, normas internas e padronização de processos;
- Avaliar e planejar os recursos humanos;
  - identificar, descrever e avaliar funções, cargos, perfil profissional, competências, habilidades, estrutura organizacional e capacitação;
  - planejar a organização dos recursos humanos e propor nova estrutura organizacional (cargos, hierarquia, etc);
- Priorizar e custear o projetor;
  - estabelecer prioridades, necessidades e avaliar os impactos positivos e negativos (financeiro, infraestrutura, jurídico, logístico, operacional, ambiental, comportamental, etc);
  - elaborar plano econômico-financeiro com cronograma de desembolso, retorno dos investimentos, custos, benefícios, riscos e viabilidades;
- Executar o planejamento do projeto;
  - elaborar planejamento detalhado de cada ação e projeto (plano de ação, planos de trabalho, cronogramas, atividades);
- Gerir o projeto;
  - garantir a execução adequada dos planos (resolver conflitos, acompanhar prazos, verificar efetividade, etc);
  - divulgar, articular, promover, avaliar, aprovar o PETI e manter histórico documental;

Projeto de elaboração do PDTI
- Fase de preparação
  - Definir a abrangência e o período do PDTI;
  - Definir a equipe de elaboração do PDTI;
  - Descrever a metodologia de elaboração do PDTI;
  - Identificar a reunir os documentos de referência;
  - Identificar estratégias da organização;
  - Identificar princípios e diretrizes;
  - Elaborar e aprovar o plano de trabalho do PDTI;
- Fase de diagnóstico
  - Avaliar os resultados do planejamento de TI anterior;
  - Analisar o referencial estratégico da área de TI;
  - Analisar a organização da TI;
  - Realizar análise SWOT da TI;
  - Identificar necessidade de informação;
  - Identificar necessidade de serviços de TI;
  - Identificar necessidade de infraestrutura de TI;
  - Identificar necessidade de contratação de TI;
  - Identificar necessidade de pessoal de TI;
  - Consolidar o inventário de necessidades;
  - Alinhar as necessidades de TI à estratégias da organização;
- Fase de planejamento
  - Priorizar as necessidades inventariadas;
  - Definir metas e ações;
  - Planejar a execução das ações;
  - Planejar ações de pessoal;
  - Planejar investimentos e custeio;
  - Consolidar a proposta orçamentária de TI;
  - Aprovar os planos específicos;
  - Planejar o gerenciamento de riscos;
  - Identificar os fatores críticos para a implantação do PDTI;
  - Aprovar e publicar o PDTI;

COBIT 5

O COBIT 5 é um framework de governança e gestão corporativa de TI, compilado a partir de um conjunto de frameworks existentes:
- COBIT 4.1, Val IT, Risk IT, COSO, ITIL, ISO 38500 e 27000, PMBOK, Prince2, CMMI, TOGAF;

Objetivos
- permitir que os stakeholders tenham maior participação em decisões;
- permitir que a TI seja governada e gerenciada de forma holística e de ponta a ponta a fim de viabilizar o sucesso negócio;
- oferecer um framework abrangente que propicia:
  - informação de alta qualidade;
  - alinhamento estratégico;
  - gestão de riscos e conformidade;

Benefícios a organização
- manter informações de alta qualidade;
- tornar claro o “valor” relacionado aos investimentos de TI;
- atingir a excelência operacional;
- manter riscos controlados;
- otimizar o custo;
- manter a conformidade (com leis, regulamentos e ANS);

Família de Produtos
- Framework COBIT 5
- Enabler guides (viabilizadores de governança e gestão)
- Professional guides
  - COBIT 5 Implementation
  - COBIT 5 for Information Security
  - Process Assessment → níveis de capacidade;

Princípios
- Atender às necessidades das partes interessadas (stakeholders)
  - alinhamento estratégico entre a TI o negócio;
  - considerar a opiniões de todos os stakeholders;
  - as organizações existem e são governadas para criar valor para os stakeholders, por meio de:
    - alcance dos benefícios;
    - otimização dos recursos (custo ideal dos recursos);
    - otimização do risco;
- Cobrir a empresa de ponta a ponta
  - gerencia a TI como qualquer outro ativo da organização, não limita-se as funções de TI;
  - cobre todas as funções e processos dentro da organização relacionados a TI;
  - componentes do sistema de governança de TI:
    - viabilizadores de governança;
    - definição do escopo da governança;
    - papéis, atividades e relacionamentos;
- Aplicar um framework único e integrado
  - atua como integrador entre os diversos frameworks existentes;
  - adicionado aos viabilizadores do COBIT 5 para influenciar a governança e gestão corporativa de TI;
  - criar uma linguagem comum (agnóstica) entre a tecnologia da informação e os objetivos de negócio da instituição;
- Permitir uma abordagem holística
  - engloba a organização como um todo, inclusive suas inter-relações;
  - relaciona-se com os 7 viabilizadores, que é algo tangíveis ou intangível que auxilia a governança;
- Distinguir a governança da gestão
  - a governança é realizada pela alta administração para o controle da gestão;
    - assegura a geração de valor para as partes interessadas por meio de priorizações e tomadas de decisão;
    - realiza as atividades de avaliar, dirigir e monitorar o alcance dos objetivos estratégicos;
  - a gestão é realizada pela gerência executiva para o controle operacional;
    - realiza as atividades de planejamento, construção, execução e monitoramento da implementação das decisões;

Metas em cascata (Goals cascade)
- fornece metas de negócio, de TI e de viabilizadores genéricas;
- relaciona as metas de negócio (metas estratégicas) com:
  - as perspectivas BSC da organização;
  - aos objetivos de governança para a criação de valor (alcance dos objetivos e otimização do risco e de recursos);
  - as metas de TI;
- permite definir prioridades a partir da seleção das metas de TI mais importantes para implementação por meio das metas de viabilizadores;
- Níveis de metas genéricas;
  - Motivadores das partes interessadas (aumento do lucro, conformidades com novas leis, etc);
  - Necessidades das partes interessadas;
  - Metas de negócio (6);
  - Metas de TI (17);
  - Metas de viabilizadores;

Viabilizadores (habilitadores) → são interligados entre si para benefício mútuo;
- Princípios, políticas e frameworks
  - traduzem as diretrizes e os comportamentos desejados pela organização;
  - expõe valores, crenças e premissas, a intenção e direção da organização, e guias práticos;
- Processos
  - conjunto organizado de práticas e atividades, influenciadas pelas políticas, para alcance dos objetivos do negócio;
  - Descrição dos processos
    - descrição, propósito, metas, métricas, práticas com entradas e saídas, matriz RACI e guias relacionados;
- Estruturas organizacionais
  - entidades chaves responsáveis pela tomada de decisão da organização;
  - possuem princípios de funcionamento, membros definidos, limites de atuação e poderes específicos;
- Cultura, ética e comportamento
  - definem a forma de trabalhar e aspectos do indivíduo e da organização;
  - ajudam a diferenciar o certo do errado;
- Informação
  - todos os dados usados pelo negócio ou necessários para manter a governabilidade;
  - Metas → os resultados dos viabilizados permitem:
    - Qualidade intrínseca → fornece informações corretas, confiáveis, imparciais, desambiguas, verdadeiras, precisas e objetivas;
    - Qualidade contextual → fornece informações úteis, completas, volume correto, atualizada, compacta e de fácil compreensão;
    - Qualidade em segurança e acessibilidade → fornece informações restritas as partes autorizadas, disponível e recuperável;
- Serviços, infraestrutura e aplicações
  - tecnologia e procedimentos operacionais que fornecem suporte ao negócio;
- Pessoas, habilidades e competências
  - formação das pessoas para que as decisões sejam realizadas da maneira correta;
  - define habilidades necessárias e seus níveis para cada papel;

Dimensões comuns dos viabilizadores → permitem que a organização possa gerenciar interações entre os viabilizadores de forma simples e estruturada;
- Partes interessadas (stakeholders)
  - internas ou externas a organização, conselhos, auditores, usuários;
  - relaciona-se a matriz RACI (responsável, responsabilizado (accountable), consultado e informado) para cada viabilizador;
- Metas/Objetivos (goals)
  - gerar valor por meio do alcance das metas de cada viabilizador;
  - medido pelos resultados esperados ou por sua aplicação/operação;
- Ciclo de vida (life cycle) → seis fases;
  - planejar, projetar, construir (adquirir, implementar), utilizar (operar), avaliar (monitorar), eliminar;
  - definido, criado, operado, monitorado, atualizado, aposentado;
- Boas práticas (good pratices)
  - apoiam a realização dos objetivos por meio de exemplos e sugestões para implementação dos viabilizadores;

Ciclo de Vida da Implementação do COBIT
- Fase 1 → Quais são os direcionadores?
  - reconhece e aceita a necessidade de uma iniciativa de implementação ou melhoria;
  - identifica os pontos de dor atuais e direcionares de mudança que criam o desejo de mudança;
  - direcionador de mudança é um evento interno ou externo, condição ou problema;
- Fase 2 → Onde estamos agora?
  - definir os problemas e as oportunidades;
  - realiza-se uma avaliação de capacidade, problemas e deficiências atuais dos processos da organização;
  - define o escopo da iniciativa de implementação ou melhoria;
- Fase 3 → Onde queremos estar?
  - definir o guia de implementação;
  - estabelecer um objetivo de melhoria;
  - priorizar iniciativas mais fáceis de realizar e as susceptíveis de produzir os maiores benefícios;
- Fase 4 → O que precisa ser feito?
  - planejar soluções práticas, refletidas em projetos e justificadas com Business Case;
  - um plano de mudança para execução também é desenvolvido;
- Fase 5 → Como chegaremos lá?
  - executar o plano e implementar as soluções propostas no dia-a-dia;
  - medidas são definidas e o monitoramento estabelecido;
  - garantir que o alinhamento de negócios seja alcançado e mantido e o desempenho possa ser medido;
- Fase 6 → Já chegamos lá?
  - realizar benefícios;
  - operação sustentável dos habilitadores novos ou melhorados;
  - monitorar se os benefícios esperados estão sendo alcançados;
- Fase 7 → Como mantemos essa dinâmica?
  - realizar análise da eficácia da solução;
  - reforçar a necessidade de melhoria continua para manter o sucesso;

Business Case
- elaborado para justificar um projeto ou solução proposta a partir dos benefícios esperados;
- contém o alinhamento com a estratégia de negócio e as mudanças necessárias;
- descreve os investimentos, custos, riscos, papéis e responsáveis;
- indica a forma de monitorar esses recursos e medir o alcance dos benefícios;

Processos – modelo de referência

Processos de governança
- Domínio → avaliar, dirigir e monitorar (EDM – evaluate, direct e monitor)
  - garantir a definição e manutenção do modelo de governança → estabelece o framework de governança;
  - garantir a realização de benefícios → a entrega de valor;
  - garantir a otimização do risco → perfil de tolerância a riscos no contexto da organização;
  - garantir a otimização dos recursos;
  - garantir a transparência para as partes interessadas → prover informações que satisfação as partes interessadas;

Processos de gestão
- Domínio → alinhar, planejar e organizar (APO)
  - gerenciar a estrutura de gestão → o framework de gestão de TI;
  - gerenciar a estratégia → alinhamento da TI ao negócio;
  - gerenciar a arquitetura → define a arquitetura de informação;
  - gerenciar a inovação → gerar valor a organização;
  - gerenciar o portfólio → priorização dos projetos e investimentos;
  - gerenciar o orçamento → define, aloca e monitora o orçamento para os gastos planejados;
  - gerenciar os recursos humanos → define papeis, realiza treinamentos;
  - gerenciar os relacionamentos entre stakeholders;
  - gerenciar os contratos de prestação de serviços → acordo de nível de serviço;
  - gerenciar os fornecedores → selecionar e gerenciar o relacionamento com fornecedores;
  - gerenciar a qualidade → monitorar os requisitos de qualidade em projetos e processos;
  - gerenciar os riscos → no contexto de projeto;
  - gerenciar a segurança → estabelece SGSI;
- Domínio → construir, adquirir e implementar (BAI)
  - gerenciar programas e projetos;
  - gerenciar a definição dos requisitos;
  - gerenciar o desenvolvimento de soluções;
  - gerenciar a disponibilidade e capacidade;
  - gerenciar a implementação de mudança → mudança da cultura organizacional;
  - gerenciar as mudanças → mudança específica a partir da solicitação, análise, aceitação ou rejeitação;
  - gerenciar a aceitação e transição das mudanças → homologa, revisa e gerencia a mudança;
  - gerenciar o conhecimento;
  - gerenciar os ativos → controla o ciclo de vida para fornecimento contínuo de valor;
  - gerenciar a configuração → controle de versão, recursos, baselines;
- Domínio → entregar, servir e suportar (DSS)
  - gerenciar as operações;
  - gerenciar as solicitações de serviços e incidentes;
  - gerenciar os problemas;
  - gerenciar a continuidade;
  - gerenciar serviços de segurança;
  - gerenciar controles do processo de negócio;
- Domínio → monitorar, avaliar e medir (MEA)
  - monitorar o desempenho e conformidade;
  - monitorar o sistema de controle interno;
  - monitorar a conformidade com os requisitos externos → leis, regulamentos;

Modelo de avaliação de capacidade de processos

Modelo de capacidade de processos
- fornece informações sobre o nível de capacidade dos processos;
- compara a capacidade de processos entre organizações;
- mapeia o estado atual do processo e definir estado desejado;
- identifica o gap entre o estado atual e o desejado;
- de escopo/propósito interno (benefício próprio) ou externo (avaliação formais e certificação);

Atributo de processo (AP)
- nove características mensuráveis de capacidade aplicadas a qualquer processo;
- produzem resultado do atributo do processo;
- AP1.1, 2.1, 2.2, 3.1, 3.2, 4.1, 4.2, 5.1, 5.2

Níveis de capacidade do processo → Incompleto, Executado, Gerenciado, Estabelecido, Previsível e em Otimização;
- Nível 0 → Incompleto
  - o processo não é implementado ou não atinge seu propósito;
- Nível 1 → Executado ou Performado
  - o processo alcança seu propósito e atinge suas metas;
  - AP 1.1 – Desempenho do processo
    - o processo atinge o seu propósito e gera todos os produtos de trabalho necessários;
- Nível 2 → Gerenciado
  - o processo é planejado, executado e implementado de forma gerenciadas;
  - há uma política e um plano para executá-los,
  - os produtos de trabalho são controlados;
  - AP 2.1 – Gerenciamento de desempenho do processo
    - a execução do processo é planejada e segue uma política organizacional estabelecida;
    - os objetivos do processo são definidos, planejados e monitorados de acordo com um plano;
    - as responsabilidades e autoridades são definidas;
    - os recursos são identificados;
    - a comunicação é clara;
  - AP 2.2 – Gerenciamento dos produtos de trabalho do processo
    - os produtos de trabalho são identificados, documentados, controlados e avaliados;
- Nível 3 → Estabelecido;
  - o processo é gerenciado e personalizado (adaptações específicas);
  - há um padrão de processo organizacional;
  - as melhorias são institucionalizadas em projetos integrados de forma mais consistente;
  - AP 3.1 – Definição do processo
    - existe um padrão para o processo;
    - contém competências, papéis, infraestrutura, ambiente de trabalho, sequência de interação dos processos;
  - AP 3.2 – Implementação do processo
    - o processo padrão é efetivamente implementado;
    - as responsabilidade e papéis são alocados;
    - os recursos e a infraestrutura são disponibilizados e as as pessoas são treinadas;
- Nível 4 → Previsível
  - o processo estabelecido e gerenciado quantitativamente;
  - há limites definidos;
  - AP 4.1 – Medição do processo
    - os objetivos de medição são identificados e os resultados são coletados e analisados;
  - AP 4.2 – Controle do processo
    - limites de controle são estabelecidos para avaliar o desempenho normal do processo;
    - ações corretivas são realizadas para tratar as variações de desempenho;
- Nível 5 → Em otimização
  - o processo é melhorado continuamente a partir do entendimento quantitativo;
  - AP 5.1 – Inovação e melhorias do processo
    - as mudanças no processo são identificadas a partir da análise de defeitos e causas comuns de variação, além das investigações de enfoques inovadores;
    - oportunidades de melhoria a partir de novas tecnologias ou conceitos;
  - AP 5.2 – Otimização do processo
    - as mudanças são propostas, implementadas e avaliadas;
    - tem impacto efetivo para o alcance dos objetivos relevantes de melhoria;

Qualidade de software

ISO/IEC 9.126

ISO/IEC 12.207:2009

CMMI 1.3

Constelações → três áreas (interesses específicos) de processos integradas por 16 processos comuns (core), bem como material de treinamento e documentos de avaliação;
- CMMI-DEV (desenvolvimento) → Processos para desenvolver produtos de serviços de software; +1 processo compartilhado e 5 processos específicos; (~~IPPD~~);
- CMMI-SVC (serviços) → Processos para entrega e suporte de serviços; +1 processo compartilhado;
- CMMI-ACQ (aquisições) → Processos para suprimento, aquisições e terceirizações e relações com fornecedores;

CMMI-DEV → Capability Maturity Model Integration (não é metodologia pois não define “quem faz ou como fazer“)
- Capacidade → define conceitos de níveis de capacidade de alcançar determinado objetivo;
- Maturidade → define conceitos de níveis de desenvolvimento e organização em cada área de interesse;
- Modelo → representação simplificada (framework) de aspectos e perspectivas essenciais de algo (representa “o que fazer“);
- Integração → integração consistente entre os modelos e funções organizacionais;
- Modelo de referência do Software Engineering Institute (SEI) de processo de desenvolvimento de software com foco em qualidade por meio da melhoria contínua;
- Descreve as melhores práticas e características para a definição, implantação e melhoria de processos, bem como atividades, métodos e ferramentas;
- Fornece modelos integrados para a melhoria dos processos e habilidades organizacionais, e redução de custos e esforços inconsistentes ou duplicados;
- Permite avaliar a maturidade e capacidade a fim de promover ações de melhoria em busca de melhor produtividade, qualidade e satisfação do cliente;
- Elaborado a partir da análise das práticas das empresas;
- Aborda a aplicação de método ágeis, requisitos não-funcionais, de qualidade e satisfação do cliente;

Disciplinas → área de conhecimento;
- Engenharia de Software (SW) → desenvolvimento de software (criação, manutenção e evolução), implementa regras de negócio;
- Engenharia de Hardware (HW) → implementação de hardware (técnicas e tecnologias);
- Engenharia de Sistemas (SE) → desenvolvimento de sistemas, soluções completas que abrangem processos, pessoas, software e hardware;

Classificação dos componentes para avaliação de nível e maturidade e capacidade.
- Requeridos → obrigatórios e foco das avaliações de nível (metas);
- Esperados → podem ser substituídos por práticas alternativas aceitáveis (práticas);
- Informativos → auxiliam a implementação e o entendimento das metas e práticas (objetivos, notas introdutórias, etc);

Componentes de Áreas de Processos → conjunto de práticas relacionadas implementadas conjuntamente para obtenção melhorias significativas;
- Metas específicas (requerido) → definem características (resultados) únicas para satisfazer determinada área de processo;
  - Práticas específicas (esperado) → descrevem as atividades importantes para satisfazer as metas específicas;
    - Exemplos de produtos de trabalho e subpráticas (informativo);
- Metas genéricas (requerido) → definem características (resultados) comuns (repetidas) e compartilhados por várias áreas de processo (institucionalização do processo);
  - Práticas genéricas (esperado) → descrevem atividades importantes para satisfazer as metas genéricas a fim de tornar os processos repetíveis (mantém o controle do processo);
    - Orientações para aplicação e subpráticas (informativo);
- Objetivos, notas e referências a áreas de processo relacionadas (informativo);

Representações → escolha inicial realizada pela organização para implementação do CMMI (a medição da capacidade dos processos ocorre em ambas as representações);
- Representação contínua → representa o nível de capacidade de cada área de processos, permite selecionar processos para priorizar a melhoria de áreas estratégicas;
  - o alcance de cada nível representa a melhoria do processo;
  - os processos precisam ser conhecidos;
  - existem dependências entre as áreas de processos que limitam a flexibilidade da seleção dos processos;
- Representação por estágios → representa o nível de maturidade da organização por meio de uma sequência definida (rígida) de melhoria;
  - o alcance de cada nível representa o amadurecimento da organização;
  - os estágios definem uma ordem de implementação;
  - permite comparações entre organizações;

Níveis de capacidade de uma área processo → determinado pelo alcance da respectivas metas genéricas de uma determinada área processo;
- Nível 0 → Incompleto
  - uma das metas específicas não é executada ou executada parcialmente;
  - um dos objetivos específicos não é satisfeito;
- Nível 1 → Executado ou Performado
  - os processos associados a esta área são executados;
  - realiza o trabalho necessário para produzir produtos de trabalho;
  - satisfaz todas as metas e objetivos específicas do processo;
  - as melhorias podem ser perdidas;
- Nível 2 → Gerenciado
  - há políticas e planos para executá-los, bem como os produtos de trabalho são controlados;
  - o processo é planejado e executado de acordo com cada projeto; as descrições de processo e procedimentos podem ser diferentes em cada projeto;
  - possui políticas, pessoas qualificadas, recursos adequados, saídas controladas e aderente aos requisitos do projeto;
  - as melhorias são institucionalizadas por projeto;
- Nível 3 → Definido
  - há um processo padrão adaptável;
  - o processo é gerenciado e personalizado (adaptações específicas) a partir de um padrão de processo organizacional, e possuem uma evolução contínua;
  - as melhorias são institucionalizadas em projetos integrados de forma mais consistente;

Metas (GG) e Práticas genéricas (GP) → aplicáveis a qualquer processo;
- GG 1 – Atingir metas específicas;
  - GP 1.1 – Executar práticas específicas;
- GG 2 – Institucionalizar um processo gerenciado;
  - GP 2.1 – Estabelecer política organizacional;
  - GP 2.2 – Planejar o processo;
  - GP 2.3 – Prover recursos;
  - GP 2.4 – Atribuir responsabilidades;
  - GP 2.5 – Treinar pessoas;
  - GP 2.6 – Controlar produtos de trabalho;
  - GP 2.7 – Identificar e envolver as partes interessadas relevantes;
  - GP 2.8 – Monitorar e controlar o processo;
  - GP 2.9 – Avaliar objetivamente a aderência do processo;
  - GP 2.10 – Revisar o status com a alta administração;
- GG 3 – Institucionalizar um processo definido;
  - GP 3.1 – Estabelecer um processo definido;
  - GP 3.2 – Coletar experiências relacionadas ao processo;

Níveis de maturidade da organização → determinado pelo alcance de metas específicas e respectiva meta genérica de um conjunto de áreas de processo;
- Processos de Nível 1 → Inicial – os processos imprevisíveis, pouco controlados e reativos, depende de pessoas e a organização compromete-se além da sua capacidade;
- Processos de Nível 2 → Gerenciado (+meta genérica nível 2) – os processos são caracterizados por projeto e as ações são frequentemente reativas, embora haja medição, controle e revisão dos processos; utiliza políticas (regras) organizacionais que não impõe uma mesma forma de realizar cada projeto;
  - Gestão de projetos → Planejamento de projeto;
  - Gestão de projetos → Monitoramento e controle de projeto;
  - Gestão de projetos → Gestão de contratos com fornecedores;
  - Gestão de projetos → Gestão de requisitos;
  - Suporte → Gestão de configuração;
  - Suporte → Garantia da qualidade de processo e produto;
  - Suporte → Mediação e análise;
- Processos de Nível 3 → Definido (+metas genéricas níveis 2 e 3) – os processos são bem caracterizados, descritos em padrões organizacionais documentados que abrangem procedimentos, métodos e ferramentas;
  - Gestão de processos → Foco nos processos da organização;
  - Gestão de processos → Definição dos processos da organização;
  - Gestão de processos → Treinamento na organização;
  - Gestão de projetos → Gestão integrada de projeto;
  - Gestão de projetos → Gestão de riscos;
  - Engenharia → Desenvolvimento de requisitos;
  - Engenharia → Solução técnica;
  - Engenharia → Integração de produto;
  - Engenharia → Verificação;
  - Engenharia → Validação;
  - Suporte → Análise e tomada de decisões;
- Processos de Nível 4 → Gerenciado quantitativamente – aplicados aos [sub]processos essenciais de nível 3 que são medidos e controlado por meio de técnicas estatísticas;
  - Gestão de processos → Desempenho dos processos da organização;
  - Gestão de projetos → Gestão quantitativa de projeto;
- Processos de Nível 5 → Em otimização ou otimizado – aplicados aos [sub]processos essenciais de nível 3 que são melhorados continuamente a partir do entendimento quantitativo;
  - Gestão de processos → Gestão do desempenho organizacional;
  - Suporte → Análise e resolução de causas;

Categorias, Áreas de Processos e Metas específicas (SG)
- Gestão de Projetos
  - Planejamento de projeto (nível 2) → estabelecer e manter planos que definam as atividades de projeto;
    - SG 1 – Estabelecer estimativas → escopo, cronograma, custos, etc;
    - SG 2 – Desenvolver o plano do projeto → a partir das estimativas e riscos;
    - SG 3 – Obter compromisso com o plano → garantir que as pessoas estejam disponíveis e compromissadas;
  - Monitoramento e controle de projeto (nível 2) → proporcionar um entendimento do progresso do projeto e permitir a implementação de ações corretivas;
    - SG 1 – Monitorar o projeto em relação ao plano→ verifica se o planejamento está dentro dos parâmetros e monitora os riscos;
    - SG 2 – Gerenciar ações corretivas até o encerramento;
  - Gestão de acordos com fornecedores (nível 2) → gerenciar a aquisição de produtos de fornecedores;
    - SG 1 – Estabelecer acordos com o fornecedor → determinar o tipo de aquisição, selecionar os fornecedores e gerar o documento contratual;
    - SG 2 – Satisfazer acordos com o fornecedor → executar o o acordo estabelecido e validar as entregas dos produtos;
  - Gestão de requisitos (nível 2) → gerenciar requisitos dos produtos e garantir alinhamento entre esses requisitos e os planos e produtos do projeto;
    - SG 1 – Gerenciar requisitos → identificar e registrar (não avalia como registrar) as necessidades do negócio, verificar seu cumprimento durante o ciclo de vida do projeto, e mantém a rastreabilidade;
  - Gestão integrada de projeto (nível 3) → estabelecer e gerenciar o projeto e o ambiente dos stakeholders relevantes de acordo com um processo integrado e definido que é adaptado a partir de processo padrão da organização;
    - SG 1 – Usar o processo definido do projeto → planos de projeto integrados;
    - SG 2 – Coordenar e colaborar com os stakeholders relevantes → envolvê-los no plano do projeto;
  - Gestão de riscos (nível 3) → identificar potenciais problemas antes que ocorram, e mitigar impactos indesejáveis na obtenção dos objetivos;
    - SG 1 – Preparar para a gestão de risco → definir estratégia;
    - SG 2 – Identificar e analisar riscos → avaliar, categorizar e priorizar os riscos;
    - SG 3 – Mitigar os riscos → definir plano de tratamento de riscos;
  - Gestão quantitativa de projeto (nível 4) → gerenciar quantitativamente o processo definido do projeto para alcançar os objetivos de qualidade e de desempenho de processo;
    - SG 1 – Preparar para a gestão quantitativa → estabelecer os objetivos do projeto e selecionar subprocessos, atributos, medidas e técnicas analíticas;
    - SG 2 – Gerenciar o projeto quantitativamente → gerenciar o desempenho dos subprocessos selecionados, do projeto e realizar análise de causas raiz;
- Engenharia
  - Desenvolvimento de requisitos (nível 3) → produzir e analisar os requisitos do cliente, de produto e de seus componentes;
    - SG 1 – Desenvolver os requisitos de cliente → elicitar e documentar os requisitos;
    - SG 2 – Desenvolver os requisitos de produto → avaliar os requisitos de cliente para identificar componentes do produto;
    - SG 3 – Analisar e validar requisitos → analisar consistência, ambiguidade e completude dos requisitos e obter aceite do cliente;
  - Solução técnica (nível 3) → projetar, desenvolver e implementar soluções para os requisitos;
    - SG 1 – Selecionar as soluções de componentes do produto → definir a solução;
    - SG 2 – Elaborar o design → definir o projeto dos componentes do projeto;
    - SG 3 – Implementar o design do produto → implementar os componentes e fornecer manuais do produto;
  - Integração de produto (nível 3) → montar o produto a partir dos componentes, garantir que o produto integrado implemente os requisitos e entregar o produto;
    - SG 1 – Preparar para a integração de produto → analisar as interfaces;
    - SG 2 – Garantir a compatibilidade das interfaces → validar a integração;
    - SG 3 – Montar os componentes do produto e entregar o produto → gerar release;
  - Verificação (nível 3) → assegurar que os produtos de trabalho selecionados atendem aos requisitos especificados;
    - SG 1 – Preparar para a verificação → definir testes;
    - SG 2 – Realizar revisão por pares → analisar o release de forma conjunta;
    - SG 3 – Verificar os produtos de trabalho selecionados → analisar a forma (eficácia);
  - Validação (nível 3) → demonstrar que um produto ou componente de produto atende ao seu uso pretendido quando colocado em seu ambiente alvo;
    - SG 1 – Preparar para a validação → definir procedimentos;
    - SG 2 – Validar o produto ou componente do produto → analisar a solução (efetividade) entregue no ambiente do cliente (teste beta);
- Gestão de Processos
  - Foco nos processos da organização (nível 3) → planejar, implementar e implantar melhorias do processo organizacional (análise do ambiente interno);
    - SG 1 – Determinar as oportunidades de melhoria do processo;
    - SG 2 – Planejar e implementar as atividades de melhoria de processo;
    - SG 3 – Implementar os ativos de processo da organização e incorporar as lições aprendidas;
  - Definição dos processos da organização (nível 3) → estabelecer e manter um conjunto de ativos de processo da organização e padrões de ambiente de trabalho;
    - SG 1 – Estabelecer ativos de processos da organização → disponibilizar guia de adaptação, processos padrão e o modelo de ciclo de vida;
  - Treinamento na organização (nível 3) → desenvolver as habilidades e o conhecimento das pessoas para que elas possam desempenhar seus papéis de forma eficaz e eficiente;
    - SG 1 – Estabelecer necessidades estratégicas de treinamento → definir as disciplinas e pessoas a serem treinadas;
    - SG 2 – Fornecer treinamento necessário → fornece e avaliar a eficácia dos treinamentos;
  - Desempenho dos processos da organização (nível 4) → estabelecer e manter um entendimento quantitativo do desempenho do conjunto de processo padrão da organização;
    - SG 1 – Estabelecer baselines e modelos de desempenho → define os indicadores, a finalidade, a periodicidade, a fórmula e parâmetros;
  - Gestão do desempenho organizacional (nível 5) → gerenciar proativamente o desempenho da organização para alcançar seus objetivos de negócio (~~inovação~~);
    - SG 1 – Gerenciar o desempenho do negócio → analisar dados de desempenho dos processos de negócio e identificar áreas potenciais para melhoria;
    - SG 2 – Selecionar melhorias → identificar melhorias para selecionadas;
    - SG 3 – Implementar melhorias;
- Suporte
  - Gestão de configuração (nível 2)→ estabelecer e manter a integridade dos produtos de trabalho, utilizando a identificação, controle e auditorias de configuração;
    - SG 1 – Estabelecer baselines → estabelecer um SGC e identificar os ativos de controle;
    - SG 2 – Rastrear e controlar alterações;
    - SG 3 – Estabelecer integridade → realizar auditorias de configuração;
  - Garantia da qualidade de processo e produto (nível 2) → munir a equipe e a gerência com uma visão clara sobre os processos e os produtos de trabalho associados;
    - SG 1 – Avaliar objetivamente processos e produtos de trabalho;
    - SG 2 – Fornecer um entendimento objetivo →comunicar e solucionar as não conformidades;
  - Mediação e análise (nível 2) → desenvolver e sustentar a capacidade de medições para suportar o gerenciamento de informações;
    - SG 1 – Alinhar as atividades de medição e análise → estabelecer medidas, seus objetivos, e estrutura de medição para suporte a outros processos;
    - SG 2 – Fornecer resultados de medições → coletar, analisar e comunicar o resultado das medições;
  - Análise e tomada de decisões (nível 3) → analisar decisões possíveis usando um processo de avaliação formal que avalia alternativas identificadas com relação a critérios estabelecidos;
    - SG 1 – Avaliar alternativas → definir procedimento para avaliação de alternativas para tomada de decisão;
  - Análise e resolução de causas (nível 5) → identificar causas de defeitos e de outros problemas e executar ações para evitar que ocorram no futuro;
    - SG 1 – Determinar causas de defeitos;
    - SG 2 – Tratar as causas dos defeitos;

MPS.BR

Conceito → não é metodologia;
- um programa que mantém um modelo de qualidade para a melhoria do processo de software;
- focado em pequenas e médias empresas e adaptado a realidade brasileira;
- requer menor esforço, tempo e custo em para implementação e avaliação em relação ao CMMI;

Maturidade → melhoria gradual dos processos por meio de sete níveis de maturidade;
- definem patamares de evolução dos processos que representam estágios de melhoria dos processos;
- cada patamar indica um perfil de processos para que a organização deve concentrar esforços;
- o progresso depende do alcance do propósito de cana nível, dos resultados esperados dos processos e dos atributos dos processo;

Referências do MPS.BR
- CMMI-DEV
  - inclui todos os requisitos das áreas de processo do CMMI-DEV;
- ISO/IEC 12.207
  - inclui a arquitetura comum para o ciclo de vida do software (processos, tarefas e atividades para o desenvolvido de software);
- ISO/IEC 15.504
  - inclui a melhoria e avaliação do processo de software em níveis graduais maturidade e utiliza os conceitos de capacidade, mas não implementa níveis capacidade;

Componentes
- Modelo de Referência (MR-MPS)
  - Guia geral (natureza normativa) → descreve os requisitos e resultados alcançados para conformidade com o modelo;
  - Guia de aquisição (natureza informativa) → boas práticas para aquisição de software ou serviços;
  - Guia de implementação (natureza informativa) → orientações para cada nível de maturidade;
- Método de Avaliação (MA-MPS)
  - Guia de avaliação → orientações e descrição das atividades para preparação, execução e conclusão de uma avaliação de conformidade com o modelo;
  - Etapas → alguns resultados de processos podem ser excluídos para adequação a finalidade da empresa avaliada;
    - Contratar instituição avaliadora e estabelecer contrato;
    - Preparar a realização da avaliação;
    - Conduzir a avaliação, comunicar seus resultados e avaliar o próprio processo de avaliação;
    - Documentar os resultados da avaliação e enviar a SOFTEX;
- Modelo de Negócio (MN-MPS)
  - Documentos do programa → descreve regras de negócio, ou seja, o relacionamento contratual entre os entes envolvidas;
  - Modelo de negócio cooperado (MNC) → modelo para um grupo de empresas que buscam a avaliação;
  - Modelo de negócio específico (MNE) → modelo personalizado para uma empresa;
  - Instituição implementadora (consultoria) → instituições autorizadas a implementar o modelo em outras empresas;
  - Instituição avaliadora;
  - Gestão do programa → comissão de ética do programa, fóruns credenciamento e controle, equipe técnica do modelo;

Guia geral
- Capacidade do processo → habilidade do processo atingir objetivos de negócio atuais e futuros por meio de atributos de processo;
- Resultado esperado do processo → resultado observável do sucesso do alcance do propósito do processo;

Atributo de processo (AP) → nove características mensuráveis de capacidade aplicadas a qualquer processo; e produzem resultado do atributo do processo;
- AP 1.1 – O processo é executado
  - o processo atinge o seu propósito;
- AP 2.1 – O processo é gerenciado
  - a execução do processo é planejada e segue uma política organizacional estabelecida;
- AP 2.2 – Os produtos de trabalho do processo são gerenciados
  - os produtos de trabalho são identificados, documentados, controlados e avaliados;
- AP 3.1 – O processo é definido
  - existe um padrão para o processo;
- AP 3.2 – O processo está implementado
  - o processo padrão é efetivamente implementado;
- AP 4.1 – O processo é medido
  - os objetivos de medição são identificados e os resultados são coletados e analisados;
- AP 4.2 – O processo é controlado
  - limites de controle são estabelecidos e ações corretivas são realizadas para tratar as variações;
- AP 5.1 – O processo é objeto de melhorias e inovações
  - as mudanças no processo são identificadas a partir da análise de defeitos e causas comuns de variação, além das investigações de enfoques inovadores;
- AP 5.2 – O processo é otimizado continuamente
  - as mudanças no processo tem impacto efetivo para o alcance dos objetivos relevantes de melhoria;

Níveis de Maturidade
- Processos do Nível G → Parcialmente Gerenciado;
  - AP 1.1 (executado) e AP 2.1 (gerenciado);
  - Gerência de Requisitos (GRE) → gerencia e controla mudanças dos requisitos existentes (não define, elicita ou valida os requisitos);
  - Gerência de Projetos (GPR) → planejamento do projeto;
- Processos do Nível F → Gerenciado (equivalente ao Nível 2 do CMMI);
  - + AP 2.2 (gerenciamento dos produtos de trabalho do processo);
  - Medição (MED);
  - Garantia de Qualidade (GQA);
  - Gerência de Portfólio de Projetos (GPP) →mantém projetos necessários para o alcance dos objetivos estratégicos;
  - Gerência de Configuração (GCO);
  - Aquisição (AQU);
- Processos do Nível E → Parcialmente Definido;
  - + AP 3.1 (definido) e AP 3.2 (implementado);
  - Gerência de Projetos (GPR) → integração a padronização dos processos;
  - Gerência de Reutilização (GRU) → gerenciar o ciclo de vida dos ativos (especificações, manuais, diagramas, documentação, casos de teste, etc) reutilizáveis;
  - Gerência de Recursos Humanos (GRH) → treinamento organizacional, aquisição de pessoal e gerenciamento do conhecimento;
  - Definição do Processo Organizacional (DFP) → escreve o padrão em uma biblioteca de padrões;
  - Avaliação e Melhoria do Processo Organizacional (AMP);
- Processos do Nível D → Largamente Definido;
  - Desenvolvimento de requisitos (DRE) → elicita e define os requisitos;
  - Projeto e construção do produto (PCP) → analisar, desenvolver e implementar componentes da solução técnica;
  - Integração do produto (ITP) → integrar os componentes e construir o produto;
  - Verificação (VER) → verificar/testar se o produto atende as especificações e requisitos;
  - Validação (VAL) → verificar se o produto atende as reais necessidades (efetividade);
- Processos do Nível C → Definido (equivalente ao Nível 3 do CMMI);
  - Gerência de riscos (GRI) → identificar, analisar, tratar e monitorar para mitigação contínua dos riscos;
  - Gerência de decisões (GDE);
  - Desenvolvimento para reutilização (DRU) → identificar oportunidades de reutilização sistemática de ativos e desenvolvê-los a partir da engenharia de domínio;
- Processos do Nível B → Gerenciado Quantitativamente (equivalente ao Nível 4 do CMMI);
  - + AP 4.1 (medido) e AP 4.2 (controlado);
  - Gerência de Projetos (GPR) → gestão quantitativa;
- Processos do Nível A → Em otimização (equivalente ao Nível 5 do CMMI);
  - + AP 5.1 (objeto de melhorias e inovações) e AP 5.2 (otimizado continuamente);

ITIL 3

O ITIL é um guia das melhores práticas utilizadas para o gerenciamento de serviços de TI;
- fundamenta-se me processos, tecnologia e pessoas a partir de práticas que convém que sejam estabelecidas;
- não é metodologia;
- não define a implementação os processos;
- não define procedimentos para implementar o gerenciamento de serviços;

Serviço de TI
- conjunto de componentes relacionados e fornecidos no suporte a um ou mais processos de negócio;
- um meio de fornecer algo que um cliente perceba como tendo valor;
- facilita a obtenção de resultados que os clientes desejam, e desassocia a complexidade intrínseca, riscos e custos de sua implementação;

Governança
- garante que estratégias, políticas e planos sejam implementados;
- garante que os processos requeridos estão sendo corretamente seguidos pela gestão;
- garante que os resultados esperados estão sendo alcançados;
- envolve a definição de papéis e responsabilidades, medições, relatórios e ações corretivas;

Gerenciamento de serviços → ativo estratégico (~~não é ativo operacional~~);
- executa as políticas, processos e operações;
- coordena e monitora o trabalho;
- envolve processos que cooperam para garantir a qualidade dos serviços de TI;
- conjunto especializado de habilidades organizacionais para fornecer valor a clientes na forma de serviços;
- habilidades organizacionais envolve processos, funções, atividades e papéis;

Objetivos
- alinhar os serviços de TI com as necessidades atuais e futuras do negócio de uma organização e de seus clientes;
- melhorar a qualidade dos serviços entregues;
- reduzir os custos na provisão dos serviços no longo prazo;
- estruturados por meio de processos eficientes e eficazes;

Provedores de serviço de TI
- Função de negócio → interna a organização;
  - dedicada
    - possui uma área de TI especializada dentro de cada área do negócio;
    - permite maior conhecimento do negócio e gera maiores custos;
  - compartilhada
    - possui uma área de TI para atender a toda a organização;
    - permite a redução de custos e a padronização dos serviços;
- Autônomo → externa a organização;
  - terceirização dos serviços de TI;
  - permite a especialização dos serviços e a busca pelas melhores práticas, com risco de dependência;

Estágios do ciclo de vida de serviços
- Estratégia
  - Gestão da estratégia para serviços de TI;
  - Gestão de relacionamento de negócio;
  - Gestão de demanda;
  - Gestão do portfólio;
  - Gestão financeira;
- Desenho
  - Coordenação de desenho;
  - Gestão de fornecedores;
  - Gestão do catálogo de serviços;
  - Gestão de segurança da informação;
  - Gestão de continuidade;
  - Gestão de capacidade;
  - Gestão de disponibilidade;
  - Gestão de nível de serviço;
- Transição
  - Planejamento e suporte da transição;
  - Gestão de liberações e implantação;
  - Validação e teste do serviço;
  - Avaliação de mudança;
  - Gestão do conhecimento;
  - Gestão de ativos e configuração;
  - Gestão de mudanças;
- Operação
  - Gestão de incidentes;
  - Gestão de problemas;
  - Cumprimento de requisição;
  - Gestão de eventos;
  - Gestão de acesso;
  - Função de gestão de operação;
  - Função de gestão de aplicação;
  - Função de gestão técnica;
  - Função de central de serviços;
- Melhoria contínua
  - Melhoria de processos em 7 etapas;

Estratégia de serviço

Conceitos → FED-P;
- Saída → um nível de serviço definido por utilidade e garantia para um determinado pacote de serviço (Service Level Package);
- desenvolve estratégia, influencia a demanda, controla o estado dos serviços e avalia o retorno financeiro;
  - entende a estratégia por meio da perspectiva (missão e visão), posição, plano e padrão;
  - integra a TI com o negócio por meio de requisitos e resultados esperados;
  - a fim de alcançar metas e objetivos da organização, crescer e operar de modo sustentável a longo prazo, por meio de serviços de TI;
- Tipos de implementação
  - Modo “even keel” → foco na melhoria contínua;
  - Modo “trouble” → foco em construir soluções e resolver problemas imediatos;
  - Modo “growth” → foco na implementação frameworks de melhores práticas;
  - Modo “radical change” → foco na transição (terceirização, fusão) da organização;
- Estrutura da organização
  - Nível estratégico → Grupo de direção da TI, escritório de gerenciamento de projetos, escritórios de gerenciamento de serviços, função de gerenciamento de relacionamento com o negócio;
  - Nível tático → funções de gestão técnica, de aplicações e de operações;

Gestão da estratégia para serviços de TI
1. Define o mercado
  - define o público-alvo;
  - entende o cliente e identifica oportunidades de negócio;
2. Desenvolve a oferta
  - percepção dos resultados de negócio pelo cliente;
  - define os serviços a serem oferecidos;
  - criação de valor dá-se pelo grau de atendimento às expectativas do cliente (valor do serviço);
  - utilidade → atende ao propósito do serviço ou remove de restrições;
  - garantia → atende a sustentação do uso, com disponibilidade, capacidade, continuidade e segurança;
  - define a diferenciação dos concorrentes;
  - antecipa os concorrentes;
  - oportuniza aos provedores de serviços a entrega de valor (competitividade e espaço de mercado);
3. Desenvolve os ativos estratégicos
  - adquire e desenvolve os ativos estratégicos (habilidades e recursos) que propiciam vantagens competitivas ou diferenciação no mercado;
  - habilidades (capacidades) → ativos intangíveis, como pessoas (capital intelectual), conhecimento, processos, organização e gerenciamento;
  - recursos → ativos concretos, como pessoas (recurso humano), informações, aplicações, infraestrutura e capital financeiro;
4. Prepara a execução
  - define fatores críticos de sucesso;
  - realiza a análise da competitividade e análise SWOT;
  - define a alocação eficiente de recursos e priorizar investimentos;

Gestão do relacionamento de negócio
- estabelece e mantém um relacionamento de negócio entre o provedor de serviços e clientes;
- identifica as necessidades de negócio do cliente e garante o atendimento pelo provedor;
- assegura que as expectativas do cliente não ultrapassa e está compatível com o custo esperado;
- assegura níveis altos de satisfação do cliente;
- compreende o negócio do cliente e suas motivações;

Gestão do portfólio
- gerencia os serviços e seu estado (estratégia, desenho, transição, operação, obsolescência), não entra em detalhes de funcionalidade do serviço;
- fornece informações dos serviços em todas as fases do ciclo de vida que permite um visão de negócio dos possíveis futuros serviços de TI;
- essa visão geral dos serviços subsidia a decisão em direcionar estratégias e investimentos em novos serviços ou em seu aprimoramento;
- Funil de serviços (não é visível ao cliente) → documento que lista todos os serviços sob consideração ou desenvolvimento, mas que ainda não estão disponíveis aos clientes;
  - Requisitos e definição de serviços → há muitos possíveis serviços (lado largo do funil);
  - Análise do do espaço de mercado e cliente → há um filtro para seleção dos que serão desenhados;
  - Aprovação → uma parte dos serviços é aprovado;
  - Formalizado → aqueles que estão aptos a serem construídos (lado estreito do funil);
- Catálogo de serviços (visível ao cliente) → documento que lista os serviços que estão operacionais e opcionalmente aqueles que estão em transição;
  - Serviços em transição → sendo projetados, em desenvolvimento, construção, teste ou liberados;
  - Serviços em operação;
  - Serviços em obsolescência → são retirados do catálogo;

Gestão de demanda
- Nível estratégico → identifica o perfil e o padrão de consumo dos clientes;
- Nível tático → influenciar a demanda (os clientes) por incentivos e penalidades para adequação da capacidade estabelecida;
- subsidia o gerenciamento de capacidade para ajuste de capacidade;

Gestão financeira
- identifica o custo efetivo de todos os componentes e serviços de TI;
- realiza a análise de retorno financeiro do serviço para subsidiar sua aprovação;
- Atividades
  - Orçamentação → estimativa de custo do serviço e definição de metas financeiras (negociação das finanças);
  - Contabilização → análise de custo de cada serviço por cliente (monitoramento das finanças);
  - Cobrança → recuperar os custos (opcional) e provê proposta de mudanças dos requisitos de negócio;

Desenho de serviço

Conceitos → CS-FNS-SIC-DC;
- Saída → as características detalhadas (CS-FNS-SIC-DC) do serviço (Service Design Package);
- transforma objetivos estratégicos (Service Level Package) em especificação do projeto de serviço,
  - realiza a estratégia a partir de requisitos de negócio, funcionais e de operação;
  - desenha a estratégia por meio da pessoas, produtos, processos e parceiros;
  - define todos os aspectos de um serviço (arquitetura, topologia, recursos humanos, etc) e estratégia de transição (implantação, recuperação, etc);
  - envolve novos serviços, serviços alterados pela melhoria continua (mudança, continuidade ou conformidade) e a retirada de serviços;
  - define a qualidade e identifica métricas;
  - valor do negócio, aspectos do projeto, requisitos, modelos, opções de entrega, gestão do catálogo de serviço;
- Aspectos do projeto do serviço
  - Soluções para serviços novos ou modificados;
  - Sistemas de informação e ferramentas de gerenciamento;
  - Arquiteturas tecnológicas e arquiteturas de gerenciamento;
  - Os processos necessários;
  - Métodos de medições e métricas;
- Modelos de entrega (sourcing)
  - Interno (insourcing) → utiliza somente recursos e unidades internas à organização;
  - Externo (outsourcing) → utiliza somente recursos e unidades externas à organização;
  - Cofornecimento (co-sourcing) → utiliza recursos e unidades internas e externas;
  - Parceria ou múltiplas-fontes (partnership ou multi-sourcing) → utiliza duas ou mais empresas;
  - Processo de negócio externo (business process outsourcing – BPO) → funções de negócio ou processos gerenciados e fornecidos por uma organização externa;
  - Provisão de serviço de aplicação (application service provision – ASP) → serviços computacionais compartilhados;
  - Conhecimento de processo externo (knowledge process outsourcing – KPO) → o fornecedor fornece a expertise completa de processo e de negócio;
  - Produtos de prateleira (commercial off-the-shelf);
  - Desenvolvimento (rapid application development);

Coordenação de desenho
- assegurar que os objetivos do estágio de desenho do serviço sejam alcançados;
- provê um único ponto de coordenação e controle para todas as atividades do desenho de serviço;
- coordena os recursos e habilidades requeridas;
- coordena as atividades de desenho entre projetos, mudanças, fornecedores e suporte;
- gerenciar os critérios de qualidade, requisitos e pontos de repasse entre a estratégia, o desenho e a transição;

Gestão do catálogo de serviços
- documento com descrição detalhada dos serviços de TI da organização, com escopo, nível de serviço, formas de cobrança, etc;
- permite a categorização por cliente (interno, usuários, externos, etc);
- identifica os responsáveis e os relacionamentos entre os serviços;

Gestão de fornecedores
- Saída → base de dados de fornecedores e contratos (SCD);
- garantir que os serviços providos por fornecedores atendem as necessidades do negócio;
- garantir que os fornecedores atinjam as metas estabelecidas;
- Tipos de fornecedores
  - Estratégicos → serviços essenciais de longo prazo e informações confidenciais;
  - Táticos → serviços especializados e significativa dependência;
  - Operacionais → serviços comerciais e substituíveis;
  - Commodity → serviços comuns;

Gestão de nível de serviço
- definir, documentar, concordar, monitorar, mensurar e verificar conformidade os níveis de serviços;
- desenvolver e documentar contatos com os clientes e partes interessadas;
  - foco no relacionamento com o cliente (e ~~não com o usuário~~);
  - prover e melhorar o relacionamento com o cliente;
  - medir e monitorar a satisfação do cliente;
  - negocia acordos de nível de serviço com o cliente;
  - criar vínculo com cliente;
  - registrar reclamações relacionadas;
- desenvolver, manter e operar procedimentos;
  - melhorar o nível do serviço e justificar o custo;
  - monitorar e medir a performance;
  - usar métricas e indicadores de desempenho (key performance indicators – KPI) para julgar a eficiência e eficácia das atividades;
- levantar os Requisitos de Nível de Serviço (SLR) com o cliente → definir características de disponibilidade, capacidade, continuidade, segurança, etc;
  - transformar o SLR em Acordos de Nível de Serviço (SLA);
    - com linguagem clara e entendível pela área de negócio;
    - nada deve ser incluso no SLA que não seja eficientemente mensurável, evitar subjetividade;
  - definir Acordos de Nível Operacional (OLA);
    - realiza acordo com o áreas internas necessárias para apoio a entrega de serviços;
  - definir Contratos de Acordo (UC);
    - realiza contratos com fornecedores que abrange nível, custo, prazos, etc;
    - o processo de gestão de fornecedores é responsável pela conformidade dos contratos realizados;
  - gestão dos acordos e contratos;
    - disponibilizar e manter atualizados os modelos de acordos;
    - produzir relatórios para identificar pontos positivos e negativos para fundamentar revisões dos serviços e dos acordos (SLA/OLA/UC) para melhorá-los;
- Tipos de SLA
  - SLA baseado no serviços → o SLA é padronizado por serviço, aplicado a todos os clientes daquele serviço;
  - SLA baseado no cliente → o SLA é combinado com cada cliente individualmente;
  - SLA multi-nível → corporativo (genérico), por cliente e por serviço;

Gestão de segurança da informação
- Saída → política e plano de segurança da informação e sistema de informações de gestão de segurança (ISMS);
- alinhar a segurança da informação com a segurança do negócio;
  - confidencialidade → garantir que a informação é acessada somente por pessoas autorizadas;
  - integridade → garantir a completude e corretude da informação;
  - disponibilidade → garantir que a informação esteja disponível quando solicitado;
  - autenticidade e não-repúdio → garantir a confiabilidade na troca de informações entre a organização e parceiros;
- Sistema de gestão de segurança da informação → baseada na norma ISO 27.001;
  - Planejar (Plan) → a organização deve definir o escopo, limites e uma política nos termos das características do negócio;
  - Implantar (Do) → a organização deve implantar controles e realizar programas de conscientização e treinamento;
  - Avaliar (Check) → a organização deve conduzir auditorias internas e medir a eficácia dos controles;
  - Manter (Act) → a organização deve implementar as melhorias identificadas e comunicar as ações e melhorias a todas as partes interessadas;

Gestão de continuidade
- Saída → política e plano de contingência e plano de recuperação;
- mantém um conjunto de planos de continuidade para recuperação do serviços após um evento que impacte o negócio;
- define o escopo da gestão de continuidade com base nos objetivos de negócio;
- garantir a capacidade mínima para suportar ao escopo;
- conduzir uma avaliação de riscos a fim de reduzir suas vulnerabilidades;
- completar a análise de impacto no negócio (perdas e danos possíveis) e definir os riscos serão aceitos;
- avaliar o impacto na continuidade de todas as modificações a serem feitas;
- garantir que os mecanismos de continuidade e recuperação atendam as necessidades e acordos (SLA);
- melhorar proativamente a disponibilidade, justificar e reduzir os custos;
- negociar a capacidade com os fornecedores;
- Ciclo de vida da continuidade
  - Iniciação → definição do escopo;
  - Requisitos e estratégias;
  - Implementação → teste da estratégia de recuperação;
  - Operação → treinamento, capacitação, teste periódicos;
- Arranjos de recuperação
  - Recuperação gradual (cold standby) → recuperação em mais de 72h com infraestrutura essencial para reconstrução;
  - Recuperação intermediária (warm standby) → recuperação de 24h a 72h com infraestrutura compartilhada entre empresas;
  - Recuperação rápida (hot standby) → recuperação em menos de 24h com infraestrutura pré-configurada própria;
  - Recuperação imediata (espelhamento) → recuperação imediata com infraestrutura espelhada e sem intervenção;
- Processo relacionados
  - Gestão de nível de serviços → prover informações das obrigações relacionadas aos serviços de TI;
  - Gestão de disponibilidade → apoiar a disponibilidade no desenvolvimento e implementação de medidas preventivas;
  - Gestão de configuração → definir a infraestrutura necessária para prover a continuidade de negócio baseado no escopo da continuidade;
  - Gestão de capacidade → garantir que existam requerimentos de negócio e que estes sejam totalmente suportados;
  - Gestão de mudanças → garantir que os planos de continuidade sejam corretamente utilizados;

Gestão de capacidade
- garantir recursos para atender aos requisitos atuais e futuros do negócio e dos acordos de nível de serviço estabelecidos;
- manter o serviço em funcionamento com o desempenho acordado, de forma sustentável, quantitativa e econômica;
- a capacidade é formada por: técnica, condições financeiras, recursos, condições históricas de performance de serviços semelhantes;
- subsidia a determinação do retorno de investimento;
- influenciar proativa e positivamente o consumo, considerando custos e clientes específicos, junto a gestão da demanda;
- permite a melhoria da qualidade, a maximização da economia e a redução da probabilidade de incapacidade temporária de prestar o serviço;
- Objetivos
  - produzir e manter o plano de capacidade;
  - prover diretrizes e guias;
  - garantir performance para atender os requisitos previstos;
  - apoiar o diagnóstico e resolução de incidentes e problemas;
- Atividades → objetivo do continuo suporte aos objetivos de negócio;
  - Monitoramento (monitoring) → para o cumprimento do acordo de nível de serviço;
  - Análises (analysis) → análise dos dados monitorados para identificação de tendências;
  - Refinamento (tuning) → define ajustes de capacidade;
  - Implementação (implementation) → colocar em prática os ajustes definidos na forma de mudança da capacidade;
- Subprocessos
  - Revisão da capacidade e performance atual (assessment)
    - avalia a fim de identificar serviços que necessitam de melhorias de capacidade;
  - Melhoria da capacidade dos serviços e componentes atuais (modeling)
    - analisa as possíveis melhorias por meio de técnicas de modelagem para simular cenários;
    - acorda e documenta os novos requisitos de capacidade;
    - planeja o alcance de melhorias por meio do plano de capacidade;
- Dimensionamento do serviço → assegurar a capacidade (previsão) para atender:
  - Gestão de capacidade do negócio → as necessidades futuras do negócio;
  - Gestão de capacidade de serviço → aos acordos de nível de serviços estabelecidos, a gestão, aos controles e as atividades operacionais;
  - Gestão de capacidade de recursos → aos componentes técnicos do serviço;
- Componentes
  - Sistema de Informações da Gestão de Capacidade (CMIS);
  - Banco de dados de capacidade (CDB) → informações técnicas, de negócio, financeiras, de serviço, de recursos;
  - Plano de Capacidade (capacity plan);
  - Informações e relatórios de performance do serviços;
  - Análise e relatórios de carga de trabalho;
  - Relatórios eventuais (aleatórios) de capacidade e performance de pontos específicos;
  - Relatórios de previsões e planos de demanda (forecast);
  - Definição de limiares, alertas e eventos;
- Processo relacionados
  - Gestão de incidentes → informar os incidentes de capacidade, contenções;
  - Gestão de liberações → verificar a existência de capacidade para suportar a liberação de serviço;
  - Gestão de configuração → informações relacionadas entre o CMDB com o CDB;
  - Gestão de nível de serviços → níveis de serviços compatíveis com a capacidade suportada;

Gestão de disponibilidade
- Saída → plano de disponibilidade e sistema de informações de gestão de disponibilidade (AMIS);
  - produz e mantém atualizado o plano de disponibilidade para manter o serviço disponível de acordo com as necessidades atuais e futuras de negócio;
  - avaliar o impacto de todas as mudanças no plano de disponibilidade;
  - assegura que a disponibilidade seja atingida, medida e melhorada, bem como atenda aos objetivos de negócio;
  - apoia o diagnóstico e resolução de incidentes e problemas;
  - prover diretrizes e guias de disponibilidade;
  - prever para a melhoria da disponibilidade e consequente redução de custos;
- Métricas
  - Disponibilidade → o tempo que o serviço permanece no ar a disposição do cliente;
    - Uptime (MTBF – Mean Time to Between Failures)
    - tempo médio entre as falhas;
    - fases → da restauração até o próximo incidente;
  - Manutenabilidade → executar atividades necessárias para manter os serviços em operação ou para restauração;
    - Downtime (MTTR – Mean Time to Repair)
    - tempo médio de reparo do serviço desde que o incidente ocorreu;
    - fases → do incidente, detecção, diagnóstico até a conclusão do reparo;
  - Resiliência/Sustentabilidade → capacidade concreta de retornar ao estado de excelência;
    - Downtime (MTRS – Mean Time to Restore)
    - tempo médio de restauração do serviço desde o incidente ocorreu;
    - fases → do incidente, detecção, diagnóstico, reparo, recuperação até a conclusão da restauração;
  - Confiabilidade → certeza que o serviço estará disponível no período combinado;
    - Downtime+Uptime (MTBSI – Mean Time Between System Incidentes)
    - tempo médio entre a ocorrência de dois incidentes consecutivos;
    - fases → do incidente, detecção, diagnóstico, reparo, recuperação, restauração até o próximo incidente;
  - Servicibilidade (servicibility): → responsabilidade pela disponibilidade do serviço, independentemente da terceirização;

Transição de serviço

Conceitos → MACCAV-LIMP
- Saída → o serviço em produção de acordo com o SDP (Service Design Package);
- garantir que o serviço pode ser gerenciado, operador, suportado de acordo com o requisitos e restrições de projetos;
- avalia, testa e valida todos os aspectos do serviço para implantá-lo efetivamente em produção com mínimo de impacto aos demais serviços;
- planejar e gerenciar recursos necessário para implantar um novo serviço ou alterar um serviço existente;
- controla a implantação dos serviços desenhados/projetados;
- gerencia as mudanças e riscos encontrados;
- fornecer uma estrutura para avaliar o risco que se corre ao ser promover a transição;
- estabelece e mantém a integridade de todos os ativos de serviço e suas configurações;
- fornecer conhecimento e informação de boa qualidade para subsidiar a tomada de decisão colocação um serviço funcional;
- fornecer mecanismos eficientes e repetíveis;

Planejamento e suporte da transição
- planejar e coordenador recursos para colocar um serviço novo ou modificado de forma eficiente, quanto ao custo, qualidade e prazos;
- fornecer planos claros e compreensíveis, para permitir a adequada compreensão pelos operadores da transição;
- garantir que todos os parceiros adotem um framework comum de padrões (mecanismos eficientes e repetíveis);
- gerencia os riscos relativos as falhas e interrupções de serviços decorrentes da transição;
- permite a gestão de quantidade significativa de mudanças e liberações;

Validação e testes do serviço
- provê rotinas para produção de evidências objetivas de que o serviço implantado atende aos requisitos e ao SLA;
- elabora testes de regressão para implantações de mudança;

Gestão de liberação e implantação (implantação e publicação)
- distribui uma liberação (Release Unit) ou um conjunto delas (Release Package) em produção para habilitar o uso efetivo do serviço;
- entrega as mudanças, de forma consistente, rápida, com baixo custo e com riscos minimizados;
- garante que o cliente e usuários possam usar o serviço para atender as metas de negócio;
- contribuir para atingir os requisitos de rastreabilidade;
- garantir a integridade do CMDB (banco de dados de gerenciamento de configuração), principalmente após a realização de mudanças;
- observar: liberação, implementação, mudanças e verificação;
- gerenciar as expectativas dos clientes e usuários sobre as liberações, informando data e conteúdo a serem disponibilizados;
- estratégias de liberação → Big Bang, Phased, Push, Pull, Automática e Manual;

Avaliação de mudança
- garante que o serviço é adequado aos objetivos de negócio;
- avalia o desempenho previsto comparado ao desempenho real após a implementação;
- subsidia a aprovação e determina a conclusão da implantação;

Gestão do conhecimento
- Saída → Sistema de Gestão do Conhecimento dos Serviços (SKMS);
- garantir que a informação relevante esteja disponível a pessoas responsáveis;
- Sistema de Gestão do Conhecimento dos Serviços (SKMS) → integração do contexto com o entendimento:
  - Sabedoria → a partir da análise do conhecimento (Porque?);
  - Conhecimento → a partir do processamento da informação (Como?);
  - Informação → a partir da contextualização dos dados (Quem? O que? Quando? Onde?);
  - Dados

Gestão de ativos e configuração
- Ativo → qualquer recurso ou habilidade que contribua para a entrega de um serviço;
- Item de configuração → um ativo que precisa ser gerenciado para a entrega de um serviço de TI;
- Registro de configuração → conjunto de atributos e relacionamentos de um item de configuração;
- gerencia itens de configuração, sendo qualquer ativo de serviço que necessita ser gerenciados;
- otimiza a performance, os custos e minimiza riscos a partir da adequada gestão dos itens de configuração;
- fornece modelo lógico para possibilitar:
  - identificação; controle; registro; auditoria; verificação;
  - versões dos itens; linha base; componentes; relacionamentos; atributos;
- contabiliza para gerenciar e proteger a integridade dos ativos;
- compara os registros contra a infraestrutura para corrigir possíveis exceções;
- estabelece e mantém Banco de Dados de Gestão de Configuração (CMDB) e um Sistema de Gestão de Configuração (CMS);
- melhorar a capacidade de planejamento, com a definição das metas;
- melhorar a aderência a padrões, normas, leis e contratos;
- prover bases sólidas de informação para gestão de incidentes, problemas, mudanças e liberações;
- apoiar a entrega do nível de serviço;
- Sistema de Gestão de Configuração (CMS)
  - Camada de apresentação e conhecimento
    - Visão de mudança e liberações;
    - Visão de gestão de ativos;
    - Visão de ciclo de vida de configurações;
    - Visão de configurações técnicas;
    - Visão de gestão da qualidade;
    - Visão da central de serviços;
  - Processamento de conhecimento
    - Consultas e análises;
    - Relatórios;
    - Gestão de desempenho, previsões, planejamento e orçamento;
    - Modelagem;
    - Monitoração, Scorecards, Dashboards e alertas;
  - Camada de integração de informações
    - Negócio, cliente, provedor, usuário;
    - Serviço, aplicação, mapa de infraestrutura;
    - Portifólio e catálogo de serviços;
    - Modelo de serviços;
    - BDGC;
    - Liberação de serviços;
    - Mudanças de serviços;
  - Ferramentas e fontes de informações e dados
    - Repositório de documentos de projeto;
    - Biblioteca de mídia;
    - BDGC físico;
    - Ferramentas de configuração;
    - Gestão de configuração de software;
    - Investigação, gestão de ativos e ferramentas de auditoria;
    - Aplicações empresarias;
    - Gestão de acesso, recursos humanos, fornecedores e relacionamento com o cliente;

Gestão de mudanças
- Mudança
  - é o processo de inclusão, alteração ou exclusão autorizada de um serviço ou item de configuração;
  - de forma documentada e planejada;
- Proposta de mudança
  - um documento que inclui uma descrição de alto nível;
  - de uma potencial introdução de serviço ou mudança significativa em um serviço;
  - junto com um caso de negócio correspondente e;
  - um cronograma da implementação esperada;
  - que permite uma análise mais detalhada de mudanças maiores e de maior risco;
- Requisição de mudança
  - um documento que solicita a implementação da mudança em um serviço que já existe;
  - são registradas no Sistema de Gerenciamento de Mudanças (Change Managemeant System);
  - o Comitê Consultivo de Mudanças (Change Advisory Board) fornece apoio a avaliação e priorização de mudanças;
  - o Comitê Consultivo de Mudanças Emergenciais é um subconjunto do CAB para decisões de mudanças de grande impacto;
- analisa o impacto das mudanças a partir das necessidades e restrições;
- avalia a aprovação das mudanças, a partir: do solicitante, da razão, do benefício esperado, dos riscos, dos recursos, do responsável e da relação com outras mudanças;
- coordenar sua implementação para que as mudanças ocorram de forma eficiente, com menor custo, tempo e riscos;
- garante a padronização de métodos, processos e procedimentos;
- Tipos de mudanças
  - Mudança padrão → mudança simples pré-aprovadas;
  - Mudança normal → requerem avaliação e aprovação;
  - Mudança emergencial → maior prioridade para implantação;

Operação de serviço

Conceitos → PERAI-TAOCS;
- opera os serviços de forma eficiente e efetiva de acordo com o SLA estabelecido, garantido a entrega de valor ao cliente;
- gerenciar aplicações, tecnologia e infraestrutura
- transforma o negócio desenhado em um atividade usual;
- usa práticas robustas de operações para não cometer erros durante a transformação;
- utiliza funções, unidades formadas por pessoas e ferramentas para executar atividades, para atingir determinado objetivo;

Gestão de incidentes
- incidente é um evento que não faz parte da operação normal de um serviço;
- o incidente causa redução da qualidade do serviço ou interrupção não planejada percebida pelo usuário;
- processo reativo para restaurar o serviço ao nível normal o mais rápido possível;
- reduzir o impacto dos incidentes sobre as operações de negócio;
- mantém registros dos incidentes, soluções tomadas, recursos utilizados, pessoas envolvidas;
- detecta, registra, classifica, investiga, diagnostica e resolve incidentes;
- Escalação e níveis dos incidentes
  - Escalação funcional (horizontal) → repasse para especialistas;
  - Escalação hierárquica (vertical) → repasse para gerentes;
- Diagnóstico do incidente (Incidente matching)
  - o incidente é associável a um erro conhecido;
    - aplicar a resolução ou procedimento da base de conhecimento;
    - incrementar o contador de registro de erros conhecidos;
    - atualizar o registro deste incidente com o código do erro conhecido;
    - atualizar o registro deste incidente com sua classificação;
    - informar ao cliente o procedimento;
  - o incidente não é associável a um erro conhecido;
    - o incidente é associável a um problema;
      - incrementar o contador de incidentes no registro de problema;
      - atualizar o registro do incidente com o código do problema;
      - atualizar o registro do incidente com sua classificação;
    - o incidente não é associável a um problema;
      - o incidente não é rotineiro;
        
        registrar um novo problema;

Gestão de problemas
- problema é a causa raiz desconhecida de vários incidentes que necessita investigação para identificação;
- erro conhecido é um problema diagnosticado que possui uma solução definitiva ou solução de contorno;
- requisição de mudança (Request for Change) para alcançar um solução estruturada para um problema;
- gere o ciclo de vida dos problemas, minimiza seu impacto e reduz a ocorrência de incidentes;
- priorizar problemas pelo impacto as operações de negócio;
- identifica, registra, classifica, investiga, diagnostica problemas;

Gestão de eventos
- evento é qualquer ocorrência detectável ou discernível que possa gerar um incidente e afetar o negócio;
- monitora, identifica e analisa eventos para determinar a ação a ser tomada;
- notificações criadas pelo serviço, por itens de configuração ou ferramentas de monitoramento;
- Tipos de eventos
  - Informativo → eventos com informação de estado;
  - Alerta → eventos que indicam a passagem de limiar que pode gerar um incidente;
  - Exceção → eventos que indicam uma situação indevida;
- Tipos de monitoramento
  - Ativo → monitora itens de configuração chaves e notifica corretamente as exceções;
  - Passivo → detecta e correlaciona alertas operacionais e comunicações geradas pelos itens de configuração;

Cumprimento de requisição
- representa um requisição do usuário por informações, orientações, mudanças padronizadas ou acesso a um serviço;
- permite um tratamento diferenciado para requisições de menor risco e impacto ao negócio;

Gestão de acesso
- garante a execução da política de controle de acesso, faz parte do contexto de gestão de segurança da informação;
- concede acesso a usuários autorizados (não decida, apenas segue a política);
- reduz o nível de erros pelo uso indevido dos níveis de informação, e contribui para a confidencialidade, integridade e disponibilidade;
- permite auditorias e rastreabilidade;
- habilita a concessão e retiradas de direitos para que se possa adequar as permissões a necessidades de acesso;
- identifica a identidade, verifica a legitimidade, fornece o direito, registra e monitora o acesso, remove e limita direito;

Função de gestão técnica
- planeja, implanta e mantém uma infraestrutura estável para suportar os processos de negócio;
- define características técnica, projeta topologias de implantação e define padrões para os projetos;
- provê suporte de segundo nível a incidentes;

Função de gestão de aplicação
- gerencia aplicativos para mantê-los em produção (não desenvolve o software);

Função de gestão de operação
- gestão contínua e manutenção da infraestrutura;
- controle de operações, elaboração de jobs, realização de backups e restauração;
- gerenciamento de instalações de datacenters;

Função de Central de Serviços
- unidade funcional para tratar os eventos que afetam o negócio;
- ponto único de contato com os usuários;
- registra incidentes e problemas;
- resolve incidentes;
- fornece o primeiro nível de atendimento;
- manter os usuários informados sobre o atendimento;
- fechar os incidentes;
- Benefícios
  - Melhora o serviço;
  - Aumentar a acessibilidade;
  - Melhora a comunicação;
  - Aumenta o foco e a proatividade;
  - Reduz os impactos;
  - Melhora a gestão da infraestrutura;
  - Melhora o uso dos recursos;
  - Melhora a produtividade com a escalação eficiente;

Melhoria contínua de serviço

Conceitos
- mantém a entrega de valor ao cliente por meio da avaliação e melhoria contínua para adaptação a mudança de estratégia;
- identifica oportunidades, fraquezas ou falhas identificadas dentro de qualquer um dos estágios do ciclo de vida;
- permite a visão global de todos os elementos utilizados;
- Registro de melhoria contínua
  - documento estruturado usado para registrar e gerenciar as oportunidades de melhoria em todo o seu ciclo de vida;
  - classifica o esforço e tempo para implementar a melhoria;
- Modelo de melhoria contínua (IDEAL)
  - Iniciação (initiating) → base para que exista sucesso na melhoria (Qual a visão?);
  - Diagnóstico (diagnosing) → identificação a situação do serviço em relação a seu objetivos (Onde estamos agora?);
  - Estabeleça (establishing) → planejar como alcançar os objetivos e definir métricas (Onde nós queremos chegar?)
  - Aja (acting) → execute o plano, serviços e processos (Como chegamos lá?);
  - Lições (learning) → medir e aprender com as experiências (Chegamos lá?);

Melhoria de processos em 7 etapas
- Etapas;
  1. identificar a estratégia para melhoria (a visão, a estratégia, os objetivos táticos e operacionais);
  2. definir o que será medido (dentro da capacidade possível);
  3. definir quem, como e quando os dados serão coletados (dados brutos);
  4. definir a frequência, o formato, o sistema e a precisão que os dados serão processados (informação);
  5. definir as tendências, os plano e metas, e melhorias requeridas que serão analisados (conhecimento);
  6. apresentar de forma resumida a informação e planos de ação;
  7. implementar ações corretivas (sabedoria);
- Orientações de medição do serviço
  - medições para corrigir atividades para garantir o alinhamento ao negócio e atendimento a especificação do serviço;
  - medições para validar decisões;
  - Níveis de métricas
    - Serviços → mede as etapas do serviço para verificar o alcance dos benefícios de negócio do serviço;
    - Processo → mede o alcance dos fatores críticos de sucesso;
    - Tecnologia → mede a disponibilidade, a performance, etc;
- Orientações de relatório de serviços
  - disponibiliza informações com o desempenho passado e as ameaças que podem afetar o desempenho futuro;
  - informações de indisponibilidade, razões, procedimentos executados e preventivos para evitar os eventos;

reinaldoc

Governança e Gestão de TI

Introdução a Governança e Gestão de TI

ISO/IEC 38.500

Planejamento Estratégico de TI (PETI)

COBIT 5

Processos – modelo de referência

Modelo de avaliação de capacidade de processos

Qualidade de software

ISO/IEC 9.126

ISO/IEC 12.207:2009

CMMI 1.3

MPS.BR

ITIL 3

Estratégia de serviço

Desenho de serviço

Transição de serviço

Operação de serviço

Melhoria contínua de serviço

Reinaldo Gil Lima de Carvalho