Governança e Gestão de TI
Introdução a Governança e Gestão de TI
- Governança de TI → controle da Gestão de TI e tomada de decisão pela alta administração;
- faz parte da Governança Corporativa da instituição e é dirigida por esta;
- a norma ISO/IEC 38.500 estabelece um modelo para a governança corporativa de TI, utilizado por base do COBIT 5;
- a alta administração deve:
- Avaliar (evaluate) o uso atual e futuro da TI para garantir a qualidade dos investimentos;
- Dirigir (direct) ao atribuir responsabilidades, definir estratégias e políticas para o uso eficiente e convergente da TI com os objetivos de negócio da instituição;
- Monitorar (monitor) o desempenho da TI por meio de sistema de mensuração do alcance dos objetivos (planejamento estratégico e plano de negócio);
- Gestão de TI → controle operacional e implementação das decisões pela gerência executiva;
- é o sistema de controles e processos necessários para alcançar os objetivos estratégicos e implementar as decisões;
- atua no planejamento, na construção, na execução e monitoramento das atividades operacionais de acordo com os objetivos e decisões da alta administração.
- entende a estratégia do negócio e traduz em infraestrutura, processos e planos para sistemas, aplicações e soluções;
ISO/IEC 38.500
- Contexto histórico → necessidade de aprimorar o controle corporativo, decorrente da grande expansão do mercado de capitais da metade do século XIX, a partir da separação entre propriedade (principal) e gestão empresarial (agente), a fim de mediar os interesses dos sócios (perpetuidade e crescimento), executivos (retornos financeiros) e demais partes interessadas.
- Relatório de Cadbury (comitê sobre aspectos financeiros) →código de boas práticas de governança corporativa.
- Guia ISO 73 → gerenciamento de risco (genérico), devendo-se observar a ISO 27005 voltada para TI;
- Princípios da OCDE para um sistema de governança corporativa → garantir a integridade das corporações em seus processos de gestão, e de relacionamento com as partes interessadas;
- I. Existência de bases legais para a efetividade do sistema de governança corporativa.
- II. Assegurar o tratamento equitativo dos acionistas, bem como a proteger e facilitar o exercício dos direitos dos acionistas, inclusive aos minoritários e estrangeiros, relativos a sua propriedade, bem como assegurar a oportunidade de obter reparação efetiva por violação de seus direitos.
- III. Estimular as relações com a cadeia de investimento, como investidores institucionais, analistas de mercado, agências de risco, instituições financeiras representativas de acionistas, e outros intermediários que provem análises e incentivos relevantes aos investidores, para criar riquezas, empregos e sustentabilidade de empresas financeiramente sólidas.
- IV. Estimular a cooperação ativa entre corporação e partes interessadas (proprietários, membros dos conselhos, agentes, funcionários, clientes e outros) devido a importância do reconhecimento de seus direitos estabelecidos por lei ou acordo mútuos, que inclui os códigos de ética, em prol da criação de riqueza, empregos e sustentabilidade (a população afetada direta ou indiretamente pelas operações da empresa) por meio do acesso regular a informações que permitam a identificação de violações a estes direitos.
- V. Assegurar a transparência e divulgação precisa de questões relevantes relacionadas com a corporação, como relatórios financeiros, resultados operacionais, fatores de risco, remunerações e critérios de bonificação de gestores, além do estabelecimento de auditoria interna e submeter-se a auditoria externa.
- VI. Responsabilidades do Conselho de Administração, que intermedeia a visão dos acionistas (propriedade) e a tomada de decisões pela empresa (agente) e supervisiona a relação com as demais partes interessadas, incluem a revisão da orientação estratégica da empresa, a seleção dos diretores, a definição dos salários dos diretores, aprovação de aquisições e desinvestimentos de grande porte, a aprovação de fusões, o monitoramento eficiente da administração e a prestação de contas (accountability) pelo conselho à empresa e aos acionistas de todos os atos da administração.
- Governança corporativa → sistema pelo qual as organizações são dirigidas, controladas, monitoradas e incentivadas, envolvendo as práticas e os relacionamentos entre proprietários, conselho de administração, diretoria e órgãos de controle. Converte princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso ao capital e contribuindo para sua longevidade (IBGC);
- Governança corporativa em TI → sistema pelo qual o uso atual e futuro da Tecnologia da Informação é dirigido e controlado;
- a otimização do retorno dos investimentos (adequado as necessidade) é mais relevante do que a minimização dos custos (economicamente vantajosa);
- para fins da norma ISO 38.500, entende-se por TI os termos Tecnologia da Comunicação (TC) e Tecnologia da Informação e Comunicação (TIC);
- aplica-se à governança dos processos de gerenciamento e decisões relacionadas aos serviços de TI, uma vez que estes fundamentam-se das diretrizes a nível estratégico que são subsidiados pela governança de TI;
- governança de TI → diretrizes a nível estratégico → governança dos processos de gerenciamento;
- ISO/IEC 38.500 → fornece princípios, definições e um modelo de governança para a orientação dos dirigentes a avaliar, dirigir e monitorar do uso da TI;
- Os princípios de governança corporativa também são aplicados a TI, assim como a primeira alcança partes externas a organização, a governança de TI alcança a organização como um todo, e não se limita a própria TI, abrangendo o Conselho de Administração e Comitês de Auditoria;
- Escopo
- orientação aos dirigentes das organizações (proprietários,membros de conselhos, diretores, etc) para o uso eficaz, eficiente e aceitável de TI (não delegável), e, complementarmente;
- orientação aos que aconselham, informam ou assessoram os dirigentes (gerentes seniores, especialistas, auditores, etc), envolvidos no projeto e na implementação de gerenciamento de políticas, processos e estruturas que suportam a governança;
- Aplicações → aplicável a qualquer setor e a empresas de qualquer porte;
- Objetivos → a observação a norma ISO 38.500:
- assegura as partes interessadas confiabilidade à implementação da governança corporativa de TI;
- informa e orienta dirigentes, e;
- fornece base de avaliação objetiva, mensuração e verificação da governança corporativa de TI;
- Benefícios para a organização;
- Vocabulário comum → fornece definições, princípios e um modelo de governança de TI;
- Conformidade → garantir o cumprimento de obrigações formais decorrentes de leis, regulamentos, contratos, etc. (normas de segurança, legislação de acessibilidade ou privacidade, direitos de propriedade intelectual;
- Desempenho → garantir que o uso da TI contribua positivamente para o bom desempenho da organização;
- Continuidade do negócio, e sua sustentabilidade;
- Correta implementação e operação dos ativos de TI;
- Alinhamento da TI com as necessidades do negócio;
- Redução de custos;
- Alocação eficiente de recursos;
- Concretização dos benefícios dos investimentos;
- Responsabilidade e obrigatoriedade da prestação de contas relativas ao uso e provisão de TI para atingir as metas da organização;
- Definições (vocabulário comum) → ¹complementares;
- eficaz¹ → atingir os resultados desejados;
- eficiente¹ → atingir os resultados da melhor forma possível (economicamente, rapidamente, etc);
- aceitável → atender as expectativas das partes interessadas que podem ser apresentadas como razoáveis ou merecedoras;
- competente → combinação de conhecimento, habilidades formais e informais, treinamento, experiência e atributos comportamentais compatíveis com a atividade;
- dirigente → membros da mais alta direção de uma organização;
- comportamento humano → considerar a cultura, necessidades e aspirações de pessoas como indivíduos ou grupos;
- gerenciamento → sistema de controle e processos necessários para alcançar os objetivos estratégicos estabelecidos pela direção (sujeito às diretrizes, políticas e ao monitoramento da governança corporativa);
- padrão¹ (foco em abrangência) → direcionamento a ser seguidos por várias empresas, entidades ou pessoas, criado por um conjunto de empresas ou organismos (abrangência maior que a própria empresa);
- plano¹ (foco em gestão) → direciona a operação, em nível estratégico/tático por meio de definições ou em nível tático/operacional por meio de procedimentos de execução;
- política (foco em governança) → regras para tomada de decisão afetas a problemas que podem ser bem estruturados, reflete-se assim, em instruções claras e mensuráveis de direção e comportamento desejado que condicionem e limitam as decisões tomadas;
- proposta → compilação de benefícios, custos, riscos, oportunidades e outros fatores aplicáveis as decisões a serem tomadas;
- recursos → pessoas, procedimentos, software, informações, equipamentos, infraestrutura, capital, fundos de operação e tempo;
- parte interessada (stakeholder) → qualquer ente que possa afetar, ser afetado ou ter que a percepção de que será afetado por decisão ou atividade;
- estratégia → plano geral de desenvolvimento da organização que descreve o uso eficaz dos recursos;
- uso da TI → gerenciamento e aplicação da TI para atender as necessidades do negócio por meio de planejamento, projeto, desenvolvimento, distribuição e operação, e abrange a demanda e o fornecimento (oferta) de serviços de TI por unidades internas de negócio, unidades especializadas em TI e fornecedores externos;
- Princípios → Convém que os dirigentes exijam que os princípios sejam aplicados., embora sejam aplicáveis à maioria das organizações., seu enunciado refere-se ao que convém acontecer, mas não descreve como, quando ou por quem…
- Responsabilidade → todos devem compreender e aceitar suas responsabilidades quanto ao fornecimento (oferta) e a demanda (cliente) de serviços de TI, devendo os responsáveis pelas ações terem autoridade para desempenhá-las;
- Estratégia → a estratégia de negócio da organização deve considerar as capacidades atuais e futuras da TI (estratégia → considera → capacidade de TI), bem como, os planos estratégicos de TI devem satisfazer as necessidades atuais e contínuas da estratégia de negócio da organização (estratégia de TI → satisfaz → estratégia de negócio);
- Aquisição → a TI deve prezar pelo equilíbrio em aquisição e considerar benefícios, oportunidades, custos e riscos;
- Desempenho → a TI deve ter como propósito apoiar a organização, fornecendo serviços em nível e qualidade necessários para atender os requisitos atuais e futuros, incluindo a continuidade do negócio;
- Conformidade → a TI deve cumprir a legislação e regulamentos obrigatórios, bem como políticas e práticas claramente definidas, implementadas e fiscalizadas;
- Comportamento humano → as políticas, práticas e decisões de TI devem demonstram respeito pelo comportamento humano, incluindo as necessidades atuais e futuras de todas as “pessoas no processo”;
- Modelo de governança corporativa de TI → convém que os dirigentes governem a TI por meio de três tarefas principais;
- Avaliar o uso atual e futuro da TI;
- Os dirigentes devem avaliar estratégias, propostas e arranjos de fornecimento externo e interno considerando pressões externas e internas que influenciam o negócio (mudanças tecnológicas, tendências econômicas e sociais, influências políticas, etc);
- Convém que os dirigentes empreendam avaliação contínua, conforme as pressões mudam, e levem em conta as necessidades atuais e futuras do negócio;
- Dirigir a preparação e a implementação de planos e políticas para assegurar que o uso da TI atenda aos objetivos do negócio;
- Convém que aos dirigentes designar responsabilidades e exijam preparação e implementação dos planos e políticas;
- Os dirigentes devem assegurar que a transição dos projetos para a entrada em operação seja planejada e gerenciada;
- Convém que os diretores encorajam a cultura da boa governança de TI, exigindo que os gerentes forneçam informações em tempo adequado e em conformidade com os seis princípios;
- Monitorar o cumprimento das políticas (conformidade) e o desempenho em relação aos planos;
- Convém que os dirigentes se certifiquem de que a TI está em conformidade com as obrigações externas e práticas internas de trabalho;
- Convém que os dirigentes monitorem e se certifiquem que o desempenho está de acordo com os planos, principalmente com relação aos objetivos de negócio por meio de sistemas de mensuração apropriados;
- Indicadores de metas e desempenho (mede projetos, processos e operação) → lead indicator;
- Indicadores de negócio (mede o alcance a objetivos de negócio) → lag indicator;
- qualquer meta deve estar alinhada a um objetivo maior de negócio;
- Avaliar o uso atual e futuro da TI;
- Generalidades
- Cada organização é responsável por identificar as ações específicas para implementação dos princípios, levando em consideração sua natureza e outros fatores;
Planejamento Estratégico de TI (PETI)
- Governança de TI
- Garantir a entrega de valor → expõe o efetivo apoio à estratégia de negócio pela TI; monitora as operações para garantir a entrega de valor;
- Lean Thinking → Valor, Fluxo de Valor, Fluxo Contínuo, Produção Puxada e Perfeição);
- Avaliação independente de conformidade → avalia a TI quanto a leis, políticas, etc; promove a transparência, confiança e a compreensão dos riscos;
- Definir a estrutura e organização da TI
- Projetos → definição da organização por projetos ou funcional (departamentos), bem como responsáveis pela gestão dos projetos;
- Serviços → definição de serviços de apoio às demais áreas (os recursos, os sistemas de informação, pessoas e infraestrutura, etc);
- Relacionamento com os clientes → especifica como o cliente solicita, quem solicita, critérios de priorização, os padrões de solicitação e status das solicitações;
- Relacionamento com fornecedores → diretrizes para contrações, níveis de serviço e outsourcing;
- Decisões → critérios para definição de responsabilidades, a nível de gerência, comitês, alta administração, etc.
- Portfólio → metodologia de priorização de investimentos (alocação de recursos) e definição das ações essenciais aos resultados de negócio;
- considera o retorno esperado e o alinhamento estratégico de cada ação da TI;
- apresenta valores de investimento e custeio;
- informa o estado atual de execução dos projetos e do orçamento;
- limita a atuação da TI, mas não a torna uma lista fechada, uma vez que possibilita-se mudanças, embora como reflexo da mudança de estratégia;
- direciona o relacionamento com clientes, fornecedores e parceiros da TI;
- classificação das ações do portfólio na perspectiva da TI;
- Projetos, Serviços, Ativos e Inovação;
- Aplicações, Serviços, Infraestrutura e Gestão;
- classificação das ações do portfólio na perspectiva do negócio;
- Estratégico → melhoram os resultados de negócio;
- Fábrica → operacionais e de continuidade do negócio;
- Nova Estratégia → focam em resultados futuros;
- Obrigatório → ações de conformidade;
- Papéis de governança na organização
- Alta administração → define estratégias, aprova políticas, prioriza investimentos, acompanha a execução da estratégia e orçamentária;
- Diretor de TI → define a estratégia de TI, gerencia o portfólio, o desempenho, os recursos humanos, os riscos e a conformidade da TI;
- Governança de TI → dirige o planejamento, gerenciamento de desempenho (indicadores) e monitora os planos, estratégias e o portfólio;
- Áreas de TI → elaboram conjuntamente o PETI, implementam as ações e gerenciam os projetos em suas áreas;
- Fatores motivadores da governança de TI
- TI como prestadora de serviços;
- Integração tecnológica;
- Dependência do negócio em relação a TI;
- Marcos de regulação;
- Ambiente de negócio;
- Principais objetivos da governança de TI
- Promover o alinhamento da TI ao negócio;
- Garantir a continuidade do negócio;
- Promover a conformidade e a gestão de riscos;
- Garantir a entrega de valor → expõe o efetivo apoio à estratégia de negócio pela TI; monitora as operações para garantir a entrega de valor;
- Planejamento estratégico (institucional ou organizacional) → inteligência competitiva da estratégia corporativa, competitiva e de posicionamento;;
- Planejamento
- processo de reflexão e análise do cenário atual, definição objetivos e meios efetivos de alcançá-los;
- Administração (gestão) estratégica
- processo contínuo e interativo para a adequação da organização as estratégias;
- Plano estratégico
- produto do planejamento estratégico e os objetivos estratégicos;
- Planejamento estratégico (plano de negócios) → características válidas também para o PETI;
- detalha a administração (gestão) estratégica por meio de um processo (metodologia gerencial) dinâmico e interativo;
- elaborado por equipe multidisciplinar (patrocinador, gestor, cliente, técnicos, especialistas, etc);
- formalizado em documento escrito estruturado;
- especifica o caminho para o alcance de resultados a partir das sinergias de decisões e ações;
- Conteúdo do planejamento estratégico;
- determina a missão (razão de ser, finalidade), a visão (cenário, projeção e reconhecimento) e os valores (princípios);
- identificação dos problemas e dificuldades internas e externas;
- propõe objetivos para mitigar cada problema;
- define estratégias para alcance dos objetivos;
- indica ações como desdobramento das estratégias;
- Balanced Score Card (BSC)
- derivado da missão e da estratégia em forma de medidas quantitativas do desempenho organizacional (financeiro, cliente, processos internos e aprendizado) por meio de indicadores operacionais;
- Planejamento
- Planejamento de TI → pode ser divido em etapas:
- Planejamento estratégico de TI;
- Análise de necessidades de informação;
- Alocação de recursos;
- Planejamento de projeto;
- Planejamento estratégico de TI
- Metodologias para planejamento de TI
- BSP (Business Systems Planning) → foca-se nas relações entre os sistemas e o negócio da organização;
- Planejamento top-down da arquitetura de informação → envolve as pessoas para conhecerem a organização como um todo;
- Design e implementação bottom-up da arquitetura de informação → aprofunda a análise ao documentar e implementar;
- SSP (Strategic Systems Planning);
- Engenharia da informação;
- Fatores críticos de sucesso;
- Modelo eclético de Sullivan;
- Estágios de crescimento da organização;
- Manual de planejamento de informática empresarial (Norberto Torres);
- Um guia prático para o planejamento estratégico e sistemas de informação (Anita Cassidy);
- Tecnologia da Informação – A arte do planejamento estratégico (Benard Boar);
- BSP (Business Systems Planning) → foca-se nas relações entre os sistemas e o negócio da organização;
- Abordagens
- Princípios de TI;
- Arquitetura de TI;
- Infraestrutura de TI;
- Organização das operações de serviços;
- Capacidade de atendimento;
- Competências;
- Necessidades de aplicações;
- Estratégias de fornecedores de serviços;
- Investimentos;
- Política de segurança da informação;
- Metodologias para planejamento de TI
- Estrutura do PETI
- processo de gestão que direciona as ações da TI;
- habilita a alta administração no entendimento do potencial de contribuição da TI para a estratégia de negócio;
- produz documento que expõe de forma clara os objetivos, produtos, sistemas e serviços providos pela TI para apoiar todas as áreas da organização;
- planejamento estratégico organizacional → planos táticos e funcionais individualizados por área ← plano estratégico de TI (sistemas, ativos e pessoas);
- deve possuir um indicador de resultado para cada objetivo estratégico;
- estrutura estratégica, tática e operacionalmente as informações organizacionais;
- apresenta estratégias, missão e visão subordinadas (ao PE), bem como os meios para implantá-las (consecução dos objetivos) a fim de atender o negócio da organização:
- metas;
- projetos → visão inicial do cronograma, dos recursos necessários e seu estado, etapa e fase atual (histórico documental);
- planos de ação → especifica ações, prazos (curto, médio ou longo) e responsáveis;
- detalha os recursos sustentadores de sistemas de informação e de conhecimento (adquiridos ou desenvolvidos);
- tecnologia da informação → hardware, software, rede, gestão de dados e informações (propõe adequações e padronizações);
- pessoas
- identifica o pessoal e seus perfis; analisa a adequação dos recursos humanos as necessidades dos projetos (expõe eventual déficit);
- planeja a alocação de mão de obra (define os serviços terceirizados e as atividades realizadas por pessoal próprio) e expõe as necessidades de treinamento;
- contexto organizacional → analisa o organograma e propõe adequações;
- detalha a o planejamento de custos e investimentos (no detalhamento das ações e projetos), e aprimora a gestão de recursos (investimentos);
- artefato de alinhamento estratégico;
- estático → desdobramento (derivação) do plano e objetivos estratégicos da organização para a área de TI;
- dinâmico → alteração do plano e objetivos estratégicos de TI em função da mudança (aleatória) dos objetivos estratégicos (negócio) da organização;
- bidirecional → o plano estratégicos de TI, ao potencializar novas oportunidades, influencia e produz mudança nos objetivos de negócio, e vice-versa;
- ciclo de alinhamento
- estratégias da organização → demandam → necessidades de informação → que são atendidas por → necessidades de TI (recursos sustentadores);
- necessidades de TI → atendem → necessidades de informação → que alinham-se → as estratégias da organização;
- processo de gestão que direciona as ações da TI;
- Planejamento da TI no setor público
- Inexistindo plano estratégico, os objetivos de TI devem ser derivados do Mapa estratégico, do BSC ou do Plano Plurianual;
- Níveis de planejamento
- Planejamento estratégico institucional → objetivos estratégicos institucionais;
- Plano Diretor de TI → objetivos estratégicos e táticos de TI;
- Planejamentos operacionais → plano de contratações, projetos, etc;
- Estratégia nos poderes
- Executivo
- Estratégia Geral de TI (EGTI) → instrumento de planejamento com as diretrizes estratégicas para todos os órgãos do executivo federal e elaborado pela SLTI;
- Plano Diretor de TI → no executivo apresenta modelo unificado estratégico e tático, podendo ser separado em PETI (estratégico) e PDTI (tático);
- Judiciário
- PE do Judiciário → resolução nº 198/2014 CNJ;
- PETI do Judiciário → resolução nº 211/2015 CNJ;
- Planejamento e contratações de TI → resolução nº 182/2013 CNJ;
- Executivo
- Projeto de elaboração do PETI (Denis Rezende)
- Planejar o projeto;
- organizar o projeto (equipe multidisciplinar, objetivos, metodologia);
- capacitar a equipe e definir plano de trabalho;
- Revisar o planejamento estratégico organizacional;
- identificar objetivos, estratégias e ações organizacionais (entender o negócio)
- complementar a missão, visão, valores, políticas, normas, estrutura organizacional, modelo de gestão e controles organizacionais;
- Planejar informações e conhecimentos;
- identificar as necessidades de informação e conhecimentos para o negócio;
- identificação de atividades ou processos de negócio;
- Avaliar e planejar sistemas de informação e de conhecimentos;
- identificar e avaliar sistemas atuais (descrever detalhadamente sistemas existentes, com pontos fracos, fortes, grau de satisfação, etc);
- planejar sistemas para aquisição ou desenvolvimento (descrever detalhadamente os sistemas propostos);
- Avaliar e planejar a tecnologia da informação;
- identificar, descrever e avaliar o parque tecnológico e políticas (planos de contingência, segurança, auditoria, etc);
- planejar a aquisição de software, padronização de hardware, contratação de conectividade e gestão de dados e informações;
- apresenta a organização da TI por meio de modelos de gestão, políticas, normas internas e padronização de processos;
- Avaliar e planejar os recursos humanos;
- identificar, descrever e avaliar funções, cargos, perfil profissional, competências, habilidades, estrutura organizacional e capacitação;
- planejar a organização dos recursos humanos e propor nova estrutura organizacional (cargos, hierarquia, etc);
- Priorizar e custear o projetor;
- estabelecer prioridades, necessidades e avaliar os impactos positivos e negativos (financeiro, infraestrutura, jurídico, logístico, operacional, ambiental, comportamental, etc);
- elaborar plano econômico-financeiro com cronograma de desembolso, retorno dos investimentos, custos, benefícios, riscos e viabilidades;
- Executar o planejamento do projeto;
- elaborar planejamento detalhado de cada ação e projeto (plano de ação, planos de trabalho, cronogramas, atividades);
- Gerir o projeto;
- garantir a execução adequada dos planos (resolver conflitos, acompanhar prazos, verificar efetividade, etc);
- divulgar, articular, promover, avaliar, aprovar o PETI e manter histórico documental;
- Planejar o projeto;
- Projeto de elaboração do PDTI
- Fase de preparação
- Definir a abrangência e o período do PDTI;
- Definir a equipe de elaboração do PDTI;
- Descrever a metodologia de elaboração do PDTI;
- Identificar a reunir os documentos de referência;
- Identificar estratégias da organização;
- Identificar princípios e diretrizes;
- Elaborar e aprovar o plano de trabalho do PDTI;
- Fase de diagnóstico
- Avaliar os resultados do planejamento de TI anterior;
- Analisar o referencial estratégico da área de TI;
- Analisar a organização da TI;
- Realizar análise SWOT da TI;
- Identificar necessidade de informação;
- Identificar necessidade de serviços de TI;
- Identificar necessidade de infraestrutura de TI;
- Identificar necessidade de contratação de TI;
- Identificar necessidade de pessoal de TI;
- Consolidar o inventário de necessidades;
- Alinhar as necessidades de TI à estratégias da organização;
- Fase de planejamento
- Priorizar as necessidades inventariadas;
- Definir metas e ações;
- Planejar a execução das ações;
- Planejar ações de pessoal;
- Planejar investimentos e custeio;
- Consolidar a proposta orçamentária de TI;
- Aprovar os planos específicos;
- Planejar o gerenciamento de riscos;
- Identificar os fatores críticos para a implantação do PDTI;
- Aprovar e publicar o PDTI;
- Fase de preparação
COBIT 5
- O COBIT 5 é um framework de governança e gestão corporativa de TI, compilado a partir de um conjunto de frameworks existentes:
- COBIT 4.1, Val IT, Risk IT, COSO, ITIL, ISO 38500 e 27000, PMBOK, Prince2, CMMI, TOGAF;
- Objetivos
- permitir que os stakeholders tenham maior participação em decisões;
- permitir que a TI seja governada e gerenciada de forma holística e de ponta a ponta a fim de viabilizar o sucesso negócio;
- oferecer um framework abrangente que propicia:
- informação de alta qualidade;
- alinhamento estratégico;
- gestão de riscos e conformidade;
- Benefícios a organização
- manter informações de alta qualidade;
- tornar claro o “valor” relacionado aos investimentos de TI;
- atingir a excelência operacional;
- manter riscos controlados;
- otimizar o custo;
- manter a conformidade (com leis, regulamentos e ANS);
- Família de Produtos
- Framework COBIT 5
- Enabler guides (viabilizadores de governança e gestão)
- Professional guides
- COBIT 5 Implementation
- COBIT 5 for Information Security
- Process Assessment → níveis de capacidade;
- Princípios
- Atender às necessidades das partes interessadas (stakeholders)
- alinhamento estratégico entre a TI o negócio;
- considerar a opiniões de todos os stakeholders;
- as organizações existem e são governadas para criar valor para os stakeholders, por meio de:
- alcance dos benefícios;
- otimização dos recursos (custo ideal dos recursos);
- otimização do risco;
- Cobrir a empresa de ponta a ponta
- gerencia a TI como qualquer outro ativo da organização, não limita-se as funções de TI;
- cobre todas as funções e processos dentro da organização relacionados a TI;
- componentes do sistema de governança de TI:
- viabilizadores de governança;
- definição do escopo da governança;
- papéis, atividades e relacionamentos;
- Aplicar um framework único e integrado
- atua como integrador entre os diversos frameworks existentes;
- adicionado aos viabilizadores do COBIT 5 para influenciar a governança e gestão corporativa de TI;
- criar uma linguagem comum (agnóstica) entre a tecnologia da informação e os objetivos de negócio da instituição;
- Permitir uma abordagem holística
- engloba a organização como um todo, inclusive suas inter-relações;
- relaciona-se com os 7 viabilizadores, que é algo tangíveis ou intangível que auxilia a governança;
- Distinguir a governança da gestão
- a governança é realizada pela alta administração para o controle da gestão;
- assegura a geração de valor para as partes interessadas por meio de priorizações e tomadas de decisão;
- realiza as atividades de avaliar, dirigir e monitorar o alcance dos objetivos estratégicos;
- a gestão é realizada pela gerência executiva para o controle operacional;
- realiza as atividades de planejamento, construção, execução e monitoramento da implementação das decisões;
- a governança é realizada pela alta administração para o controle da gestão;
- Atender às necessidades das partes interessadas (stakeholders)
- Metas em cascata (Goals cascade)
- fornece metas de negócio, de TI e de viabilizadores genéricas;
- relaciona as metas de negócio (metas estratégicas) com:
- as perspectivas BSC da organização;
- aos objetivos de governança para a criação de valor (alcance dos objetivos e otimização do risco e de recursos);
- as metas de TI;
- permite definir prioridades a partir da seleção das metas de TI mais importantes para implementação por meio das metas de viabilizadores;
- Níveis de metas genéricas;
- Motivadores das partes interessadas (aumento do lucro, conformidades com novas leis, etc);
- Necessidades das partes interessadas;
- Metas de negócio (6);
- Metas de TI (17);
- Metas de viabilizadores;
- Viabilizadores (habilitadores) → são interligados entre si para benefício mútuo;
- Princípios, políticas e frameworks
- traduzem as diretrizes e os comportamentos desejados pela organização;
- expõe valores, crenças e premissas, a intenção e direção da organização, e guias práticos;
- Processos
- conjunto organizado de práticas e atividades, influenciadas pelas políticas, para alcance dos objetivos do negócio;
- Descrição dos processos
- descrição, propósito, metas, métricas, práticas com entradas e saídas, matriz RACI e guias relacionados;
- Estruturas organizacionais
- entidades chaves responsáveis pela tomada de decisão da organização;
- possuem princípios de funcionamento, membros definidos, limites de atuação e poderes específicos;
- Cultura, ética e comportamento
- definem a forma de trabalhar e aspectos do indivíduo e da organização;
- ajudam a diferenciar o certo do errado;
- Informação
- todos os dados usados pelo negócio ou necessários para manter a governabilidade;
- Metas → os resultados dos viabilizados permitem:
- Qualidade intrínseca → fornece informações corretas, confiáveis, imparciais, desambiguas, verdadeiras, precisas e objetivas;
- Qualidade contextual → fornece informações úteis, completas, volume correto, atualizada, compacta e de fácil compreensão;
- Qualidade em segurança e acessibilidade → fornece informações restritas as partes autorizadas, disponível e recuperável;
- Serviços, infraestrutura e aplicações
- tecnologia e procedimentos operacionais que fornecem suporte ao negócio;
- Pessoas, habilidades e competências
- formação das pessoas para que as decisões sejam realizadas da maneira correta;
- define habilidades necessárias e seus níveis para cada papel;
- Princípios, políticas e frameworks
- Dimensões comuns dos viabilizadores → permitem que a organização possa gerenciar interações entre os viabilizadores de forma simples e estruturada;
- Partes interessadas (stakeholders)
- internas ou externas a organização, conselhos, auditores, usuários;
- relaciona-se a matriz RACI (responsável, responsabilizado (accountable), consultado e informado) para cada viabilizador;
- Metas/Objetivos (goals)
- gerar valor por meio do alcance das metas de cada viabilizador;
- medido pelos resultados esperados ou por sua aplicação/operação;
- Ciclo de vida (life cycle) → seis fases;
- planejar, projetar, construir (adquirir, implementar), utilizar (operar), avaliar (monitorar), eliminar;
- definido, criado, operado, monitorado, atualizado, aposentado;
- Boas práticas (good pratices)
- apoiam a realização dos objetivos por meio de exemplos e sugestões para implementação dos viabilizadores;
- Partes interessadas (stakeholders)
- Ciclo de Vida da Implementação do COBIT
- Fase 1 → Quais são os direcionadores?
- reconhece e aceita a necessidade de uma iniciativa de implementação ou melhoria;
- identifica os pontos de dor atuais e direcionares de mudança que criam o desejo de mudança;
- direcionador de mudança é um evento interno ou externo, condição ou problema;
- Fase 2 → Onde estamos agora?
- definir os problemas e as oportunidades;
- realiza-se uma avaliação de capacidade, problemas e deficiências atuais dos processos da organização;
- define o escopo da iniciativa de implementação ou melhoria;
- Fase 3 → Onde queremos estar?
- definir o guia de implementação;
- estabelecer um objetivo de melhoria;
- priorizar iniciativas mais fáceis de realizar e as susceptíveis de produzir os maiores benefícios;
- Fase 4 → O que precisa ser feito?
- planejar soluções práticas, refletidas em projetos e justificadas com Business Case;
- um plano de mudança para execução também é desenvolvido;
- Fase 5 → Como chegaremos lá?
- executar o plano e implementar as soluções propostas no dia-a-dia;
- medidas são definidas e o monitoramento estabelecido;
- garantir que o alinhamento de negócios seja alcançado e mantido e o desempenho possa ser medido;
- Fase 6 → Já chegamos lá?
- realizar benefícios;
- operação sustentável dos habilitadores novos ou melhorados;
- monitorar se os benefícios esperados estão sendo alcançados;
- Fase 7 → Como mantemos essa dinâmica?
- realizar análise da eficácia da solução;
- reforçar a necessidade de melhoria continua para manter o sucesso;
- Fase 1 → Quais são os direcionadores?
- Business Case
- elaborado para justificar um projeto ou solução proposta a partir dos benefícios esperados;
- contém o alinhamento com a estratégia de negócio e as mudanças necessárias;
- descreve os investimentos, custos, riscos, papéis e responsáveis;
- indica a forma de monitorar esses recursos e medir o alcance dos benefícios;
Processos – modelo de referência
- Processos de governança
- Domínio → avaliar, dirigir e monitorar (EDM – evaluate, direct e monitor)
- garantir a definição e manutenção do modelo de governança → estabelece o framework de governança;
- garantir a realização de benefícios → a entrega de valor;
- garantir a otimização do risco → perfil de tolerância a riscos no contexto da organização;
- garantir a otimização dos recursos;
- garantir a transparência para as partes interessadas → prover informações que satisfação as partes interessadas;
- Domínio → avaliar, dirigir e monitorar (EDM – evaluate, direct e monitor)
- Processos de gestão
- Domínio → alinhar, planejar e organizar (APO)
- gerenciar a estrutura de gestão → o framework de gestão de TI;
- gerenciar a estratégia → alinhamento da TI ao negócio;
- gerenciar a arquitetura → define a arquitetura de informação;
- gerenciar a inovação → gerar valor a organização;
- gerenciar o portfólio → priorização dos projetos e investimentos;
- gerenciar o orçamento → define, aloca e monitora o orçamento para os gastos planejados;
- gerenciar os recursos humanos → define papeis, realiza treinamentos;
- gerenciar os relacionamentos entre stakeholders;
- gerenciar os contratos de prestação de serviços → acordo de nível de serviço;
- gerenciar os fornecedores → selecionar e gerenciar o relacionamento com fornecedores;
- gerenciar a qualidade → monitorar os requisitos de qualidade em projetos e processos;
- gerenciar os riscos → no contexto de projeto;
- gerenciar a segurança → estabelece SGSI;
- Domínio → construir, adquirir e implementar (BAI)
- gerenciar programas e projetos;
- gerenciar a definição dos requisitos;
- gerenciar o desenvolvimento de soluções;
- gerenciar a disponibilidade e capacidade;
- gerenciar a implementação de mudança → mudança da cultura organizacional;
- gerenciar as mudanças → mudança específica a partir da solicitação, análise, aceitação ou rejeitação;
- gerenciar a aceitação e transição das mudanças → homologa, revisa e gerencia a mudança;
- gerenciar o conhecimento;
- gerenciar os ativos → controla o ciclo de vida para fornecimento contínuo de valor;
- gerenciar a configuração → controle de versão, recursos, baselines;
- Domínio → entregar, servir e suportar (DSS)
- gerenciar as operações;
- gerenciar as solicitações de serviços e incidentes;
- gerenciar os problemas;
- gerenciar a continuidade;
- gerenciar serviços de segurança;
- gerenciar controles do processo de negócio;
- Domínio → monitorar, avaliar e medir (MEA)
- monitorar o desempenho e conformidade;
- monitorar o sistema de controle interno;
- monitorar a conformidade com os requisitos externos → leis, regulamentos;
- Domínio → alinhar, planejar e organizar (APO)
Modelo de avaliação de capacidade de processos
- Modelo de capacidade de processos
- fornece informações sobre o nível de capacidade dos processos;
- compara a capacidade de processos entre organizações;
- mapeia o estado atual do processo e definir estado desejado;
- identifica o gap entre o estado atual e o desejado;
- de escopo/propósito interno (benefício próprio) ou externo (avaliação formais e certificação);
- Atributo de processo (AP)
- nove características mensuráveis de capacidade aplicadas a qualquer processo;
- produzem resultado do atributo do processo;
- AP1.1, 2.1, 2.2, 3.1, 3.2, 4.1, 4.2, 5.1, 5.2
- Níveis de capacidade do processo → Incompleto, Executado, Gerenciado, Estabelecido, Previsível e em Otimização;
- Nível 0 → Incompleto
- o processo não é implementado ou não atinge seu propósito;
- Nível 1 → Executado ou Performado
- o processo alcança seu propósito e atinge suas metas;
- AP 1.1 – Desempenho do processo
- o processo atinge o seu propósito e gera todos os produtos de trabalho necessários;
- Nível 2 → Gerenciado
- o processo é planejado, executado e implementado de forma gerenciadas;
- há uma política e um plano para executá-los,
- os produtos de trabalho são controlados;
- AP 2.1 – Gerenciamento de desempenho do processo
- a execução do processo é planejada e segue uma política organizacional estabelecida;
- os objetivos do processo são definidos, planejados e monitorados de acordo com um plano;
- as responsabilidades e autoridades são definidas;
- os recursos são identificados;
- a comunicação é clara;
- AP 2.2 – Gerenciamento dos produtos de trabalho do processo
- os produtos de trabalho são identificados, documentados, controlados e avaliados;
- Nível 3 → Estabelecido;
- o processo é gerenciado e personalizado (adaptações específicas);
- há um padrão de processo organizacional;
- as melhorias são institucionalizadas em projetos integrados de forma mais consistente;
- AP 3.1 – Definição do processo
- existe um padrão para o processo;
- contém competências, papéis, infraestrutura, ambiente de trabalho, sequência de interação dos processos;
- AP 3.2 – Implementação do processo
- o processo padrão é efetivamente implementado;
- as responsabilidade e papéis são alocados;
- os recursos e a infraestrutura são disponibilizados e as as pessoas são treinadas;
- Nível 4 → Previsível
- o processo estabelecido e gerenciado quantitativamente;
- há limites definidos;
- AP 4.1 – Medição do processo
- os objetivos de medição são identificados e os resultados são coletados e analisados;
- AP 4.2 – Controle do processo
- limites de controle são estabelecidos para avaliar o desempenho normal do processo;
- ações corretivas são realizadas para tratar as variações de desempenho;
- Nível 5 → Em otimização
- o processo é melhorado continuamente a partir do entendimento quantitativo;
- AP 5.1 – Inovação e melhorias do processo
- as mudanças no processo são identificadas a partir da análise de defeitos e causas comuns de variação, além das investigações de enfoques inovadores;
- oportunidades de melhoria a partir de novas tecnologias ou conceitos;
- AP 5.2 – Otimização do processo
- as mudanças são propostas, implementadas e avaliadas;
- tem impacto efetivo para o alcance dos objetivos relevantes de melhoria;
- Nível 0 → Incompleto
Qualidade de software
ISO/IEC 9.126
- …
ISO/IEC 12.207:2009
- …
CMMI 1.3
- Constelações → três áreas (interesses específicos) de processos integradas por 16 processos comuns (core), bem como material de treinamento e documentos de avaliação;
- CMMI-DEV (desenvolvimento) → Processos para desenvolver produtos de serviços de software; +1 processo compartilhado e 5 processos específicos; (
IPPD); - CMMI-SVC (serviços) → Processos para entrega e suporte de serviços; +1 processo compartilhado;
- CMMI-ACQ (aquisições) → Processos para suprimento, aquisições e terceirizações e relações com fornecedores;
- CMMI-DEV (desenvolvimento) → Processos para desenvolver produtos de serviços de software; +1 processo compartilhado e 5 processos específicos; (
- CMMI-DEV → Capability Maturity Model Integration (não é metodologia pois não define “quem faz ou como fazer“)
- Capacidade → define conceitos de níveis de capacidade de alcançar determinado objetivo;
- Maturidade → define conceitos de níveis de desenvolvimento e organização em cada área de interesse;
- Modelo → representação simplificada (framework) de aspectos e perspectivas essenciais de algo (representa “o que fazer“);
- Integração → integração consistente entre os modelos e funções organizacionais;
- Modelo de referência do Software Engineering Institute (SEI) de processo de desenvolvimento de software com foco em qualidade por meio da melhoria contínua;
- Descreve as melhores práticas e características para a definição, implantação e melhoria de processos, bem como atividades, métodos e ferramentas;
- Fornece modelos integrados para a melhoria dos processos e habilidades organizacionais, e redução de custos e esforços inconsistentes ou duplicados;
- Permite avaliar a maturidade e capacidade a fim de promover ações de melhoria em busca de melhor produtividade, qualidade e satisfação do cliente;
- Elaborado a partir da análise das práticas das empresas;
- Aborda a aplicação de método ágeis, requisitos não-funcionais, de qualidade e satisfação do cliente;
- Disciplinas → área de conhecimento;
- Engenharia de Software (SW) → desenvolvimento de software (criação, manutenção e evolução), implementa regras de negócio;
- Engenharia de Hardware (HW) → implementação de hardware (técnicas e tecnologias);
- Engenharia de Sistemas (SE) → desenvolvimento de sistemas, soluções completas que abrangem processos, pessoas, software e hardware;
- Classificação dos componentes para avaliação de nível e maturidade e capacidade.
- Requeridos → obrigatórios e foco das avaliações de nível (metas);
- Esperados → podem ser substituídos por práticas alternativas aceitáveis (práticas);
- Informativos → auxiliam a implementação e o entendimento das metas e práticas (objetivos, notas introdutórias, etc);
- Componentes de Áreas de Processos → conjunto de práticas relacionadas implementadas conjuntamente para obtenção melhorias significativas;
- Metas específicas (requerido) → definem características (resultados) únicas para satisfazer determinada área de processo;
- Práticas específicas (esperado) → descrevem as atividades importantes para satisfazer as metas específicas;
- Exemplos de produtos de trabalho e subpráticas (informativo);
- Práticas específicas (esperado) → descrevem as atividades importantes para satisfazer as metas específicas;
- Metas genéricas (requerido) → definem características (resultados) comuns (repetidas) e compartilhados por várias áreas de processo (institucionalização do processo);
- Práticas genéricas (esperado) → descrevem atividades importantes para satisfazer as metas genéricas a fim de tornar os processos repetíveis (mantém o controle do processo);
- Orientações para aplicação e subpráticas (informativo);
- Práticas genéricas (esperado) → descrevem atividades importantes para satisfazer as metas genéricas a fim de tornar os processos repetíveis (mantém o controle do processo);
- Objetivos, notas e referências a áreas de processo relacionadas (informativo);
- Metas específicas (requerido) → definem características (resultados) únicas para satisfazer determinada área de processo;
- Representações → escolha inicial realizada pela organização para implementação do CMMI (a medição da capacidade dos processos ocorre em ambas as representações);
- Representação contínua → representa o nível de capacidade de cada área de processos, permite selecionar processos para priorizar a melhoria de áreas estratégicas;
- o alcance de cada nível representa a melhoria do processo;
- os processos precisam ser conhecidos;
- existem dependências entre as áreas de processos que limitam a flexibilidade da seleção dos processos;
- Representação por estágios → representa o nível de maturidade da organização por meio de uma sequência definida (rígida) de melhoria;
- o alcance de cada nível representa o amadurecimento da organização;
- os estágios definem uma ordem de implementação;
- permite comparações entre organizações;
- Representação contínua → representa o nível de capacidade de cada área de processos, permite selecionar processos para priorizar a melhoria de áreas estratégicas;
- Níveis de capacidade de uma área processo → determinado pelo alcance da respectivas metas genéricas de uma determinada área processo;
- Nível 0 → Incompleto
- uma das metas específicas não é executada ou executada parcialmente;
- um dos objetivos específicos não é satisfeito;
- Nível 1 → Executado ou Performado
- os processos associados a esta área são executados;
- realiza o trabalho necessário para produzir produtos de trabalho;
- satisfaz todas as metas e objetivos específicas do processo;
- as melhorias podem ser perdidas;
- Nível 2 → Gerenciado
- há políticas e planos para executá-los, bem como os produtos de trabalho são controlados;
- o processo é planejado e executado de acordo com cada projeto; as descrições de processo e procedimentos podem ser diferentes em cada projeto;
- possui políticas, pessoas qualificadas, recursos adequados, saídas controladas e aderente aos requisitos do projeto;
- as melhorias são institucionalizadas por projeto;
- Nível 3 → Definido
- há um processo padrão adaptável;
- o processo é gerenciado e personalizado (adaptações específicas) a partir de um padrão de processo organizacional, e possuem uma evolução contínua;
- as melhorias são institucionalizadas em projetos integrados de forma mais consistente;
- Nível 0 → Incompleto
- Metas (GG) e Práticas genéricas (GP) → aplicáveis a qualquer processo;
- GG 1 – Atingir metas específicas;
- GP 1.1 – Executar práticas específicas;
- GG 2 – Institucionalizar um processo gerenciado;
- GP 2.1 – Estabelecer política organizacional;
- GP 2.2 – Planejar o processo;
- GP 2.3 – Prover recursos;
- GP 2.4 – Atribuir responsabilidades;
- GP 2.5 – Treinar pessoas;
- GP 2.6 – Controlar produtos de trabalho;
- GP 2.7 – Identificar e envolver as partes interessadas relevantes;
- GP 2.8 – Monitorar e controlar o processo;
- GP 2.9 – Avaliar objetivamente a aderência do processo;
- GP 2.10 – Revisar o status com a alta administração;
- GG 3 – Institucionalizar um processo definido;
- GP 3.1 – Estabelecer um processo definido;
- GP 3.2 – Coletar experiências relacionadas ao processo;
- GG 1 – Atingir metas específicas;
- Níveis de maturidade da organização → determinado pelo alcance de metas específicas e respectiva meta genérica de um conjunto de áreas de processo;
- Processos de Nível 1 → Inicial – os processos imprevisíveis, pouco controlados e reativos, depende de pessoas e a organização compromete-se além da sua capacidade;
- Processos de Nível 2 → Gerenciado (+meta genérica nível 2) – os processos são caracterizados por projeto e as ações são frequentemente reativas, embora haja medição, controle e revisão dos processos; utiliza políticas (regras) organizacionais que não impõe uma mesma forma de realizar cada projeto;
- Gestão de projetos → Planejamento de projeto;
- Gestão de projetos → Monitoramento e controle de projeto;
- Gestão de projetos → Gestão de contratos com fornecedores;
- Gestão de projetos → Gestão de requisitos;
- Suporte → Gestão de configuração;
- Suporte → Garantia da qualidade de processo e produto;
- Suporte → Mediação e análise;
- Processos de Nível 3 → Definido (+metas genéricas níveis 2 e 3) – os processos são bem caracterizados, descritos em padrões organizacionais documentados que abrangem procedimentos, métodos e ferramentas;
- Gestão de processos → Foco nos processos da organização;
- Gestão de processos → Definição dos processos da organização;
- Gestão de processos → Treinamento na organização;
- Gestão de projetos → Gestão integrada de projeto;
- Gestão de projetos → Gestão de riscos;
- Engenharia → Desenvolvimento de requisitos;
- Engenharia → Solução técnica;
- Engenharia → Integração de produto;
- Engenharia → Verificação;
- Engenharia → Validação;
- Suporte → Análise e tomada de decisões;
- Processos de Nível 4 → Gerenciado quantitativamente – aplicados aos [sub]processos essenciais de nível 3 que são medidos e controlado por meio de técnicas estatísticas;
- Gestão de processos → Desempenho dos processos da organização;
- Gestão de projetos → Gestão quantitativa de projeto;
- Processos de Nível 5 → Em otimização ou otimizado – aplicados aos [sub]processos essenciais de nível 3 que são melhorados continuamente a partir do entendimento quantitativo;
- Gestão de processos → Gestão do desempenho organizacional;
- Suporte → Análise e resolução de causas;
- Categorias, Áreas de Processos e Metas específicas (SG)
- Gestão de Projetos
- Planejamento de projeto (nível 2) → estabelecer e manter planos que definam as atividades de projeto;
- SG 1 – Estabelecer estimativas → escopo, cronograma, custos, etc;
- SG 2 – Desenvolver o plano do projeto → a partir das estimativas e riscos;
- SG 3 – Obter compromisso com o plano → garantir que as pessoas estejam disponíveis e compromissadas;
- Monitoramento e controle de projeto (nível 2) → proporcionar um entendimento do progresso do projeto e permitir a implementação de ações corretivas;
- SG 1 – Monitorar o projeto em relação ao plano→ verifica se o planejamento está dentro dos parâmetros e monitora os riscos;
- SG 2 – Gerenciar ações corretivas até o encerramento;
- Gestão de acordos com fornecedores (nível 2) → gerenciar a aquisição de produtos de fornecedores;
- SG 1 – Estabelecer acordos com o fornecedor → determinar o tipo de aquisição, selecionar os fornecedores e gerar o documento contratual;
- SG 2 – Satisfazer acordos com o fornecedor → executar o o acordo estabelecido e validar as entregas dos produtos;
- Gestão de requisitos (nível 2) → gerenciar requisitos dos produtos e garantir alinhamento entre esses requisitos e os planos e produtos do projeto;
- SG 1 – Gerenciar requisitos → identificar e registrar (não avalia como registrar) as necessidades do negócio, verificar seu cumprimento durante o ciclo de vida do projeto, e mantém a rastreabilidade;
- Gestão integrada de projeto (nível 3) → estabelecer e gerenciar o projeto e o ambiente dos stakeholders relevantes de acordo com um processo integrado e definido que é adaptado a partir de processo padrão da organização;
- SG 1 – Usar o processo definido do projeto → planos de projeto integrados;
- SG 2 – Coordenar e colaborar com os stakeholders relevantes → envolvê-los no plano do projeto;
- Gestão de riscos (nível 3) → identificar potenciais problemas antes que ocorram, e mitigar impactos indesejáveis na obtenção dos objetivos;
- SG 1 – Preparar para a gestão de risco → definir estratégia;
- SG 2 – Identificar e analisar riscos → avaliar, categorizar e priorizar os riscos;
- SG 3 – Mitigar os riscos → definir plano de tratamento de riscos;
- Gestão quantitativa de projeto (nível 4) → gerenciar quantitativamente o processo definido do projeto para alcançar os objetivos de qualidade e de desempenho de processo;
- SG 1 – Preparar para a gestão quantitativa → estabelecer os objetivos do projeto e selecionar subprocessos, atributos, medidas e técnicas analíticas;
- SG 2 – Gerenciar o projeto quantitativamente → gerenciar o desempenho dos subprocessos selecionados, do projeto e realizar análise de causas raiz;
- Planejamento de projeto (nível 2) → estabelecer e manter planos que definam as atividades de projeto;
- Engenharia
- Desenvolvimento de requisitos (nível 3) → produzir e analisar os requisitos do cliente, de produto e de seus componentes;
- SG 1 – Desenvolver os requisitos de cliente → elicitar e documentar os requisitos;
- SG 2 – Desenvolver os requisitos de produto → avaliar os requisitos de cliente para identificar componentes do produto;
- SG 3 – Analisar e validar requisitos → analisar consistência, ambiguidade e completude dos requisitos e obter aceite do cliente;
- Solução técnica (nível 3) → projetar, desenvolver e implementar soluções para os requisitos;
- SG 1 – Selecionar as soluções de componentes do produto → definir a solução;
- SG 2 – Elaborar o design → definir o projeto dos componentes do projeto;
- SG 3 – Implementar o design do produto → implementar os componentes e fornecer manuais do produto;
- Integração de produto (nível 3) → montar o produto a partir dos componentes, garantir que o produto integrado implemente os requisitos e entregar o produto;
- SG 1 – Preparar para a integração de produto → analisar as interfaces;
- SG 2 – Garantir a compatibilidade das interfaces → validar a integração;
- SG 3 – Montar os componentes do produto e entregar o produto → gerar release;
- Verificação (nível 3) → assegurar que os produtos de trabalho selecionados atendem aos requisitos especificados;
- SG 1 – Preparar para a verificação → definir testes;
- SG 2 – Realizar revisão por pares → analisar o release de forma conjunta;
- SG 3 – Verificar os produtos de trabalho selecionados → analisar a forma (eficácia);
- Validação (nível 3) → demonstrar que um produto ou componente de produto atende ao seu uso pretendido quando colocado em seu ambiente alvo;
- SG 1 – Preparar para a validação → definir procedimentos;
- SG 2 – Validar o produto ou componente do produto → analisar a solução (efetividade) entregue no ambiente do cliente (teste beta);
- Desenvolvimento de requisitos (nível 3) → produzir e analisar os requisitos do cliente, de produto e de seus componentes;
- Gestão de Processos
- Foco nos processos da organização (nível 3) → planejar, implementar e implantar melhorias do processo organizacional (análise do ambiente interno);
- SG 1 – Determinar as oportunidades de melhoria do processo;
- SG 2 – Planejar e implementar as atividades de melhoria de processo;
- SG 3 – Implementar os ativos de processo da organização e incorporar as lições aprendidas;
- Definição dos processos da organização (nível 3) → estabelecer e manter um conjunto de ativos de processo da organização e padrões de ambiente de trabalho;
- SG 1 – Estabelecer ativos de processos da organização → disponibilizar guia de adaptação, processos padrão e o modelo de ciclo de vida;
- Treinamento na organização (nível 3) → desenvolver as habilidades e o conhecimento das pessoas para que elas possam desempenhar seus papéis de forma eficaz e eficiente;
- SG 1 – Estabelecer necessidades estratégicas de treinamento → definir as disciplinas e pessoas a serem treinadas;
- SG 2 – Fornecer treinamento necessário → fornece e avaliar a eficácia dos treinamentos;
- Desempenho dos processos da organização (nível 4) → estabelecer e manter um entendimento quantitativo do desempenho do conjunto de processo padrão da organização;
- SG 1 – Estabelecer baselines e modelos de desempenho → define os indicadores, a finalidade, a periodicidade, a fórmula e parâmetros;
- Gestão do desempenho organizacional (nível 5) → gerenciar proativamente o desempenho da organização para alcançar seus objetivos de negócio (
inovação);- SG 1 – Gerenciar o desempenho do negócio → analisar dados de desempenho dos processos de negócio e identificar áreas potenciais para melhoria;
- SG 2 – Selecionar melhorias → identificar melhorias para selecionadas;
- SG 3 – Implementar melhorias;
- Foco nos processos da organização (nível 3) → planejar, implementar e implantar melhorias do processo organizacional (análise do ambiente interno);
- Suporte
- Gestão de configuração (nível 2)→ estabelecer e manter a integridade dos produtos de trabalho, utilizando a identificação, controle e auditorias de configuração;
- SG 1 – Estabelecer baselines → estabelecer um SGC e identificar os ativos de controle;
- SG 2 – Rastrear e controlar alterações;
- SG 3 – Estabelecer integridade → realizar auditorias de configuração;
- Garantia da qualidade de processo e produto (nível 2) → munir a equipe e a gerência com uma visão clara sobre os processos e os produtos de trabalho associados;
- SG 1 – Avaliar objetivamente processos e produtos de trabalho;
- SG 2 – Fornecer um entendimento objetivo →comunicar e solucionar as não conformidades;
- Mediação e análise (nível 2) → desenvolver e sustentar a capacidade de medições para suportar o gerenciamento de informações;
- SG 1 – Alinhar as atividades de medição e análise → estabelecer medidas, seus objetivos, e estrutura de medição para suporte a outros processos;
- SG 2 – Fornecer resultados de medições → coletar, analisar e comunicar o resultado das medições;
- Análise e tomada de decisões (nível 3) → analisar decisões possíveis usando um processo de avaliação formal que avalia alternativas identificadas com relação a critérios estabelecidos;
- SG 1 – Avaliar alternativas → definir procedimento para avaliação de alternativas para tomada de decisão;
- Análise e resolução de causas (nível 5) → identificar causas de defeitos e de outros problemas e executar ações para evitar que ocorram no futuro;
- SG 1 – Determinar causas de defeitos;
- SG 2 – Tratar as causas dos defeitos;
- Gestão de configuração (nível 2)→ estabelecer e manter a integridade dos produtos de trabalho, utilizando a identificação, controle e auditorias de configuração;
- Gestão de Projetos
MPS.BR
- Conceito → não é metodologia;
- um programa que mantém um modelo de qualidade para a melhoria do processo de software;
- focado em pequenas e médias empresas e adaptado a realidade brasileira;
- requer menor esforço, tempo e custo em para implementação e avaliação em relação ao CMMI;
- Maturidade → melhoria gradual dos processos por meio de sete níveis de maturidade;
- definem patamares de evolução dos processos que representam estágios de melhoria dos processos;
- cada patamar indica um perfil de processos para que a organização deve concentrar esforços;
- o progresso depende do alcance do propósito de cana nível, dos resultados esperados dos processos e dos atributos dos processo;
- Referências do MPS.BR
- CMMI-DEV
- inclui todos os requisitos das áreas de processo do CMMI-DEV;
- ISO/IEC 12.207
- inclui a arquitetura comum para o ciclo de vida do software (processos, tarefas e atividades para o desenvolvido de software);
- ISO/IEC 15.504
- inclui a melhoria e avaliação do processo de software em níveis graduais maturidade e utiliza os conceitos de capacidade, mas não implementa níveis capacidade;
- CMMI-DEV
- Componentes
- Modelo de Referência (MR-MPS)
- Guia geral (natureza normativa) → descreve os requisitos e resultados alcançados para conformidade com o modelo;
- Guia de aquisição (natureza informativa) → boas práticas para aquisição de software ou serviços;
- Guia de implementação (natureza informativa) → orientações para cada nível de maturidade;
- Método de Avaliação (MA-MPS)
- Guia de avaliação → orientações e descrição das atividades para preparação, execução e conclusão de uma avaliação de conformidade com o modelo;
- Etapas → alguns resultados de processos podem ser excluídos para adequação a finalidade da empresa avaliada;
- Contratar instituição avaliadora e estabelecer contrato;
- Preparar a realização da avaliação;
- Conduzir a avaliação, comunicar seus resultados e avaliar o próprio processo de avaliação;
- Documentar os resultados da avaliação e enviar a SOFTEX;
- Modelo de Negócio (MN-MPS)
- Documentos do programa → descreve regras de negócio, ou seja, o relacionamento contratual entre os entes envolvidas;
- Modelo de negócio cooperado (MNC) → modelo para um grupo de empresas que buscam a avaliação;
- Modelo de negócio específico (MNE) → modelo personalizado para uma empresa;
- Instituição implementadora (consultoria) → instituições autorizadas a implementar o modelo em outras empresas;
- Instituição avaliadora;
- Gestão do programa → comissão de ética do programa, fóruns credenciamento e controle, equipe técnica do modelo;
- Modelo de Referência (MR-MPS)
- Guia geral
- Capacidade do processo → habilidade do processo atingir objetivos de negócio atuais e futuros por meio de atributos de processo;
- Resultado esperado do processo → resultado observável do sucesso do alcance do propósito do processo;
- Atributo de processo (AP) → nove características mensuráveis de capacidade aplicadas a qualquer processo; e produzem resultado do atributo do processo;
- AP 1.1 – O processo é executado
- o processo atinge o seu propósito;
- AP 2.1 – O processo é gerenciado
- a execução do processo é planejada e segue uma política organizacional estabelecida;
- AP 2.2 – Os produtos de trabalho do processo são gerenciados
- os produtos de trabalho são identificados, documentados, controlados e avaliados;
- AP 3.1 – O processo é definido
- existe um padrão para o processo;
- AP 3.2 – O processo está implementado
- o processo padrão é efetivamente implementado;
- AP 4.1 – O processo é medido
- os objetivos de medição são identificados e os resultados são coletados e analisados;
- AP 4.2 – O processo é controlado
- limites de controle são estabelecidos e ações corretivas são realizadas para tratar as variações;
- AP 5.1 – O processo é objeto de melhorias e inovações
- as mudanças no processo são identificadas a partir da análise de defeitos e causas comuns de variação, além das investigações de enfoques inovadores;
- AP 5.2 – O processo é otimizado continuamente
- as mudanças no processo tem impacto efetivo para o alcance dos objetivos relevantes de melhoria;
- AP 1.1 – O processo é executado
- Níveis de Maturidade
- Processos do Nível G → Parcialmente Gerenciado;
- AP 1.1 (executado) e AP 2.1 (gerenciado);
- Gerência de Requisitos (GRE) → gerencia e controla mudanças dos requisitos existentes (não define, elicita ou valida os requisitos);
- Gerência de Projetos (GPR) → planejamento do projeto;
- Processos do Nível F → Gerenciado (equivalente ao Nível 2 do CMMI);
- + AP 2.2 (gerenciamento dos produtos de trabalho do processo);
- Medição (MED);
- Garantia de Qualidade (GQA);
- Gerência de Portfólio de Projetos (GPP) →mantém projetos necessários para o alcance dos objetivos estratégicos;
- Gerência de Configuração (GCO);
- Aquisição (AQU);
- Processos do Nível E → Parcialmente Definido;
- + AP 3.1 (definido) e AP 3.2 (implementado);
- Gerência de Projetos (GPR) → integração a padronização dos processos;
- Gerência de Reutilização (GRU) → gerenciar o ciclo de vida dos ativos (especificações, manuais, diagramas, documentação, casos de teste, etc) reutilizáveis;
- Gerência de Recursos Humanos (GRH) → treinamento organizacional, aquisição de pessoal e gerenciamento do conhecimento;
- Definição do Processo Organizacional (DFP) → escreve o padrão em uma biblioteca de padrões;
- Avaliação e Melhoria do Processo Organizacional (AMP);
- Processos do Nível D → Largamente Definido;
- Desenvolvimento de requisitos (DRE) → elicita e define os requisitos;
- Projeto e construção do produto (PCP) → analisar, desenvolver e implementar componentes da solução técnica;
- Integração do produto (ITP) → integrar os componentes e construir o produto;
- Verificação (VER) → verificar/testar se o produto atende as especificações e requisitos;
- Validação (VAL) → verificar se o produto atende as reais necessidades (efetividade);
- Processos do Nível C → Definido (equivalente ao Nível 3 do CMMI);
- Gerência de riscos (GRI) → identificar, analisar, tratar e monitorar para mitigação contínua dos riscos;
- Gerência de decisões (GDE);
- Desenvolvimento para reutilização (DRU) → identificar oportunidades de reutilização sistemática de ativos e desenvolvê-los a partir da engenharia de domínio;
- Processos do Nível B → Gerenciado Quantitativamente (equivalente ao Nível 4 do CMMI);
- + AP 4.1 (medido) e AP 4.2 (controlado);
- Gerência de Projetos (GPR) → gestão quantitativa;
- Processos do Nível A → Em otimização (equivalente ao Nível 5 do CMMI);
- + AP 5.1 (objeto de melhorias e inovações) e AP 5.2 (otimizado continuamente);
- Processos do Nível G → Parcialmente Gerenciado;
ITIL 3
- O ITIL é um guia das melhores práticas utilizadas para o gerenciamento de serviços de TI;
- fundamenta-se me processos, tecnologia e pessoas a partir de práticas que convém que sejam estabelecidas;
- não é metodologia;
- não define a implementação os processos;
- não define procedimentos para implementar o gerenciamento de serviços;
- Serviço de TI
- conjunto de componentes relacionados e fornecidos no suporte a um ou mais processos de negócio;
- um meio de fornecer algo que um cliente perceba como tendo valor;
- facilita a obtenção de resultados que os clientes desejam, e desassocia a complexidade intrínseca, riscos e custos de sua implementação;
- Governança
- garante que estratégias, políticas e planos sejam implementados;
- garante que os processos requeridos estão sendo corretamente seguidos pela gestão;
- garante que os resultados esperados estão sendo alcançados;
- envolve a definição de papéis e responsabilidades, medições, relatórios e ações corretivas;
- Gerenciamento de serviços → ativo estratégico (
não é ativo operacional);- executa as políticas, processos e operações;
- coordena e monitora o trabalho;
- envolve processos que cooperam para garantir a qualidade dos serviços de TI;
- conjunto especializado de habilidades organizacionais para fornecer valor a clientes na forma de serviços;
- habilidades organizacionais envolve processos, funções, atividades e papéis;
- Objetivos
- alinhar os serviços de TI com as necessidades atuais e futuras do negócio de uma organização e de seus clientes;
- melhorar a qualidade dos serviços entregues;
- reduzir os custos na provisão dos serviços no longo prazo;
- estruturados por meio de processos eficientes e eficazes;
- Provedores de serviço de TI
- Função de negócio → interna a organização;
- dedicada
- possui uma área de TI especializada dentro de cada área do negócio;
- permite maior conhecimento do negócio e gera maiores custos;
- compartilhada
- possui uma área de TI para atender a toda a organização;
- permite a redução de custos e a padronização dos serviços;
- dedicada
- Autônomo → externa a organização;
- terceirização dos serviços de TI;
- permite a especialização dos serviços e a busca pelas melhores práticas, com risco de dependência;
- Função de negócio → interna a organização;
- Estágios do ciclo de vida de serviços
- Estratégia
- Gestão da estratégia para serviços de TI;
- Gestão de relacionamento de negócio;
- Gestão de demanda;
- Gestão do portfólio;
- Gestão financeira;
- Desenho
- Coordenação de desenho;
- Gestão de fornecedores;
- Gestão do catálogo de serviços;
- Gestão de segurança da informação;
- Gestão de continuidade;
- Gestão de capacidade;
- Gestão de disponibilidade;
- Gestão de nível de serviço;
- Transição
- Planejamento e suporte da transição;
- Gestão de liberações e implantação;
- Validação e teste do serviço;
- Avaliação de mudança;
- Gestão do conhecimento;
- Gestão de ativos e configuração;
- Gestão de mudanças;
- Operação
- Gestão de incidentes;
- Gestão de problemas;
- Cumprimento de requisição;
- Gestão de eventos;
- Gestão de acesso;
- Função de gestão de operação;
- Função de gestão de aplicação;
- Função de gestão técnica;
- Função de central de serviços;
- Melhoria contínua
- Melhoria de processos em 7 etapas;
- Estratégia
Estratégia de serviço
- Conceitos → FED-P;
- Saída → um nível de serviço definido por utilidade e garantia para um determinado pacote de serviço (Service Level Package);
- desenvolve estratégia, influencia a demanda, controla o estado dos serviços e avalia o retorno financeiro;
- entende a estratégia por meio da perspectiva (missão e visão), posição, plano e padrão;
- integra a TI com o negócio por meio de requisitos e resultados esperados;
- a fim de alcançar metas e objetivos da organização, crescer e operar de modo sustentável a longo prazo, por meio de serviços de TI;
- Tipos de implementação
- Modo “even keel” → foco na melhoria contínua;
- Modo “trouble” → foco em construir soluções e resolver problemas imediatos;
- Modo “growth” → foco na implementação frameworks de melhores práticas;
- Modo “radical change” → foco na transição (terceirização, fusão) da organização;
- Estrutura da organização
- Nível estratégico → Grupo de direção da TI, escritório de gerenciamento de projetos, escritórios de gerenciamento de serviços, função de gerenciamento de relacionamento com o negócio;
- Nível tático → funções de gestão técnica, de aplicações e de operações;
- Gestão da estratégia para serviços de TI
- Define o mercado
- define o público-alvo;
- entende o cliente e identifica oportunidades de negócio;
- Desenvolve a oferta
- percepção dos resultados de negócio pelo cliente;
- define os serviços a serem oferecidos;
- criação de valor dá-se pelo grau de atendimento às expectativas do cliente (valor do serviço);
- utilidade → atende ao propósito do serviço ou remove de restrições;
- garantia → atende a sustentação do uso, com disponibilidade, capacidade, continuidade e segurança;
- define a diferenciação dos concorrentes;
- antecipa os concorrentes;
- oportuniza aos provedores de serviços a entrega de valor (competitividade e espaço de mercado);
- Desenvolve os ativos estratégicos
- adquire e desenvolve os ativos estratégicos (habilidades e recursos) que propiciam vantagens competitivas ou diferenciação no mercado;
- habilidades (capacidades) → ativos intangíveis, como pessoas (capital intelectual), conhecimento, processos, organização e gerenciamento;
- recursos → ativos concretos, como pessoas (recurso humano), informações, aplicações, infraestrutura e capital financeiro;
- Prepara a execução
- define fatores críticos de sucesso;
- realiza a análise da competitividade e análise SWOT;
- define a alocação eficiente de recursos e priorizar investimentos;
- Define o mercado
- Gestão do relacionamento de negócio
- estabelece e mantém um relacionamento de negócio entre o provedor de serviços e clientes;
- identifica as necessidades de negócio do cliente e garante o atendimento pelo provedor;
- assegura que as expectativas do cliente não ultrapassa e está compatível com o custo esperado;
- assegura níveis altos de satisfação do cliente;
- compreende o negócio do cliente e suas motivações;
- Gestão do portfólio
- gerencia os serviços e seu estado (estratégia, desenho, transição, operação, obsolescência), não entra em detalhes de funcionalidade do serviço;
- fornece informações dos serviços em todas as fases do ciclo de vida que permite um visão de negócio dos possíveis futuros serviços de TI;
- essa visão geral dos serviços subsidia a decisão em direcionar estratégias e investimentos em novos serviços ou em seu aprimoramento;
- Funil de serviços (não é visível ao cliente) → documento que lista todos os serviços sob consideração ou desenvolvimento, mas que ainda não estão disponíveis aos clientes;
- Requisitos e definição de serviços → há muitos possíveis serviços (lado largo do funil);
- Análise do do espaço de mercado e cliente → há um filtro para seleção dos que serão desenhados;
- Aprovação → uma parte dos serviços é aprovado;
- Formalizado → aqueles que estão aptos a serem construídos (lado estreito do funil);
- Catálogo de serviços (visível ao cliente) → documento que lista os serviços que estão operacionais e opcionalmente aqueles que estão em transição;
- Serviços em transição → sendo projetados, em desenvolvimento, construção, teste ou liberados;
- Serviços em operação;
- Serviços em obsolescência → são retirados do catálogo;
- Gestão de demanda
- Nível estratégico → identifica o perfil e o padrão de consumo dos clientes;
- Nível tático → influenciar a demanda (os clientes) por incentivos e penalidades para adequação da capacidade estabelecida;
- subsidia o gerenciamento de capacidade para ajuste de capacidade;
- Gestão financeira
- identifica o custo efetivo de todos os componentes e serviços de TI;
- realiza a análise de retorno financeiro do serviço para subsidiar sua aprovação;
- Atividades
- Orçamentação → estimativa de custo do serviço e definição de metas financeiras (negociação das finanças);
- Contabilização → análise de custo de cada serviço por cliente (monitoramento das finanças);
- Cobrança → recuperar os custos (opcional) e provê proposta de mudanças dos requisitos de negócio;
Desenho de serviço
- Conceitos → CS-FNS-SIC-DC;
- Saída → as características detalhadas (CS-FNS-SIC-DC) do serviço (Service Design Package);
- transforma objetivos estratégicos (Service Level Package) em especificação do projeto de serviço,
- realiza a estratégia a partir de requisitos de negócio, funcionais e de operação;
- desenha a estratégia por meio da pessoas, produtos, processos e parceiros;
- define todos os aspectos de um serviço (arquitetura, topologia, recursos humanos, etc) e estratégia de transição (implantação, recuperação, etc);
- envolve novos serviços, serviços alterados pela melhoria continua (mudança, continuidade ou conformidade) e a retirada de serviços;
- define a qualidade e identifica métricas;
- valor do negócio, aspectos do projeto, requisitos, modelos, opções de entrega, gestão do catálogo de serviço;
- Aspectos do projeto do serviço
- Soluções para serviços novos ou modificados;
- Sistemas de informação e ferramentas de gerenciamento;
- Arquiteturas tecnológicas e arquiteturas de gerenciamento;
- Os processos necessários;
- Métodos de medições e métricas;
- Modelos de entrega (sourcing)
- Interno (insourcing) → utiliza somente recursos e unidades internas à organização;
- Externo (outsourcing) → utiliza somente recursos e unidades externas à organização;
- Cofornecimento (co-sourcing) → utiliza recursos e unidades internas e externas;
- Parceria ou múltiplas-fontes (partnership ou multi-sourcing) → utiliza duas ou mais empresas;
- Processo de negócio externo (business process outsourcing – BPO) → funções de negócio ou processos gerenciados e fornecidos por uma organização externa;
- Provisão de serviço de aplicação (application service provision – ASP) → serviços computacionais compartilhados;
- Conhecimento de processo externo (knowledge process outsourcing – KPO) → o fornecedor fornece a expertise completa de processo e de negócio;
- Produtos de prateleira (commercial off-the-shelf);
- Desenvolvimento (rapid application development);
- Coordenação de desenho
- assegurar que os objetivos do estágio de desenho do serviço sejam alcançados;
- provê um único ponto de coordenação e controle para todas as atividades do desenho de serviço;
- coordena os recursos e habilidades requeridas;
- coordena as atividades de desenho entre projetos, mudanças, fornecedores e suporte;
- gerenciar os critérios de qualidade, requisitos e pontos de repasse entre a estratégia, o desenho e a transição;
- Gestão do catálogo de serviços
- documento com descrição detalhada dos serviços de TI da organização, com escopo, nível de serviço, formas de cobrança, etc;
- permite a categorização por cliente (interno, usuários, externos, etc);
- identifica os responsáveis e os relacionamentos entre os serviços;
- Gestão de fornecedores
- Saída → base de dados de fornecedores e contratos (SCD);
- garantir que os serviços providos por fornecedores atendem as necessidades do negócio;
- garantir que os fornecedores atinjam as metas estabelecidas;
- Tipos de fornecedores
- Estratégicos → serviços essenciais de longo prazo e informações confidenciais;
- Táticos → serviços especializados e significativa dependência;
- Operacionais → serviços comerciais e substituíveis;
- Commodity → serviços comuns;
- Gestão de nível de serviço
- definir, documentar, concordar, monitorar, mensurar e verificar conformidade os níveis de serviços;
- desenvolver e documentar contatos com os clientes e partes interessadas;
- foco no relacionamento com o cliente (e
não com o usuário); - prover e melhorar o relacionamento com o cliente;
- medir e monitorar a satisfação do cliente;
- negocia acordos de nível de serviço com o cliente;
- criar vínculo com cliente;
- registrar reclamações relacionadas;
- foco no relacionamento com o cliente (e
- desenvolver, manter e operar procedimentos;
- melhorar o nível do serviço e justificar o custo;
- monitorar e medir a performance;
- usar métricas e indicadores de desempenho (key performance indicators – KPI) para julgar a eficiência e eficácia das atividades;
- levantar os Requisitos de Nível de Serviço (SLR) com o cliente → definir características de disponibilidade, capacidade, continuidade, segurança, etc;
- transformar o SLR em Acordos de Nível de Serviço (SLA);
- com linguagem clara e entendível pela área de negócio;
- nada deve ser incluso no SLA que não seja eficientemente mensurável, evitar subjetividade;
- definir Acordos de Nível Operacional (OLA);
- realiza acordo com o áreas internas necessárias para apoio a entrega de serviços;
- definir Contratos de Acordo (UC);
- realiza contratos com fornecedores que abrange nível, custo, prazos, etc;
- o processo de gestão de fornecedores é responsável pela conformidade dos contratos realizados;
- gestão dos acordos e contratos;
- disponibilizar e manter atualizados os modelos de acordos;
- produzir relatórios para identificar pontos positivos e negativos para fundamentar revisões dos serviços e dos acordos (SLA/OLA/UC) para melhorá-los;
- transformar o SLR em Acordos de Nível de Serviço (SLA);
- Tipos de SLA
- SLA baseado no serviços → o SLA é padronizado por serviço, aplicado a todos os clientes daquele serviço;
- SLA baseado no cliente → o SLA é combinado com cada cliente individualmente;
- SLA multi-nível → corporativo (genérico), por cliente e por serviço;
- Gestão de segurança da informação
- Saída → política e plano de segurança da informação e sistema de informações de gestão de segurança (ISMS);
- alinhar a segurança da informação com a segurança do negócio;
- confidencialidade → garantir que a informação é acessada somente por pessoas autorizadas;
- integridade → garantir a completude e corretude da informação;
- disponibilidade → garantir que a informação esteja disponível quando solicitado;
- autenticidade e não-repúdio → garantir a confiabilidade na troca de informações entre a organização e parceiros;
- Sistema de gestão de segurança da informação → baseada na norma ISO 27.001;
- Planejar (Plan) → a organização deve definir o escopo, limites e uma política nos termos das características do negócio;
- Implantar (Do) → a organização deve implantar controles e realizar programas de conscientização e treinamento;
- Avaliar (Check) → a organização deve conduzir auditorias internas e medir a eficácia dos controles;
- Manter (Act) → a organização deve implementar as melhorias identificadas e comunicar as ações e melhorias a todas as partes interessadas;
- Gestão de continuidade
- Saída → política e plano de contingência e plano de recuperação;
- mantém um conjunto de planos de continuidade para recuperação do serviços após um evento que impacte o negócio;
- define o escopo da gestão de continuidade com base nos objetivos de negócio;
- garantir a capacidade mínima para suportar ao escopo;
- conduzir uma avaliação de riscos a fim de reduzir suas vulnerabilidades;
- completar a análise de impacto no negócio (perdas e danos possíveis) e definir os riscos serão aceitos;
- avaliar o impacto na continuidade de todas as modificações a serem feitas;
- garantir que os mecanismos de continuidade e recuperação atendam as necessidades e acordos (SLA);
- melhorar proativamente a disponibilidade, justificar e reduzir os custos;
- negociar a capacidade com os fornecedores;
- Ciclo de vida da continuidade
- Iniciação → definição do escopo;
- Requisitos e estratégias;
- Implementação → teste da estratégia de recuperação;
- Operação → treinamento, capacitação, teste periódicos;
- Arranjos de recuperação
- Recuperação gradual (cold standby) → recuperação em mais de 72h com infraestrutura essencial para reconstrução;
- Recuperação intermediária (warm standby) → recuperação de 24h a 72h com infraestrutura compartilhada entre empresas;
- Recuperação rápida (hot standby) → recuperação em menos de 24h com infraestrutura pré-configurada própria;
- Recuperação imediata (espelhamento) → recuperação imediata com infraestrutura espelhada e sem intervenção;
- Processo relacionados
- Gestão de nível de serviços → prover informações das obrigações relacionadas aos serviços de TI;
- Gestão de disponibilidade → apoiar a disponibilidade no desenvolvimento e implementação de medidas preventivas;
- Gestão de configuração → definir a infraestrutura necessária para prover a continuidade de negócio baseado no escopo da continuidade;
- Gestão de capacidade → garantir que existam requerimentos de negócio e que estes sejam totalmente suportados;
- Gestão de mudanças → garantir que os planos de continuidade sejam corretamente utilizados;
- Gestão de capacidade
- garantir recursos para atender aos requisitos atuais e futuros do negócio e dos acordos de nível de serviço estabelecidos;
- manter o serviço em funcionamento com o desempenho acordado, de forma sustentável, quantitativa e econômica;
- a capacidade é formada por: técnica, condições financeiras, recursos, condições históricas de performance de serviços semelhantes;
- subsidia a determinação do retorno de investimento;
- influenciar proativa e positivamente o consumo, considerando custos e clientes específicos, junto a gestão da demanda;
- permite a melhoria da qualidade, a maximização da economia e a redução da probabilidade de incapacidade temporária de prestar o serviço;
- Objetivos
- produzir e manter o plano de capacidade;
- prover diretrizes e guias;
- garantir performance para atender os requisitos previstos;
- apoiar o diagnóstico e resolução de incidentes e problemas;
- Atividades → objetivo do continuo suporte aos objetivos de negócio;
- Monitoramento (monitoring) → para o cumprimento do acordo de nível de serviço;
- Análises (analysis) → análise dos dados monitorados para identificação de tendências;
- Refinamento (tuning) → define ajustes de capacidade;
- Implementação (implementation) → colocar em prática os ajustes definidos na forma de mudança da capacidade;
- Subprocessos
- Revisão da capacidade e performance atual (assessment)
- avalia a fim de identificar serviços que necessitam de melhorias de capacidade;
- Melhoria da capacidade dos serviços e componentes atuais (modeling)
- analisa as possíveis melhorias por meio de técnicas de modelagem para simular cenários;
- acorda e documenta os novos requisitos de capacidade;
- planeja o alcance de melhorias por meio do plano de capacidade;
- Revisão da capacidade e performance atual (assessment)
- Dimensionamento do serviço → assegurar a capacidade (previsão) para atender:
- Gestão de capacidade do negócio → as necessidades futuras do negócio;
- Gestão de capacidade de serviço → aos acordos de nível de serviços estabelecidos, a gestão, aos controles e as atividades operacionais;
- Gestão de capacidade de recursos → aos componentes técnicos do serviço;
- Componentes
- Sistema de Informações da Gestão de Capacidade (CMIS);
- Banco de dados de capacidade (CDB) → informações técnicas, de negócio, financeiras, de serviço, de recursos;
- Plano de Capacidade (capacity plan);
- Informações e relatórios de performance do serviços;
- Análise e relatórios de carga de trabalho;
- Relatórios eventuais (aleatórios) de capacidade e performance de pontos específicos;
- Relatórios de previsões e planos de demanda (forecast);
- Definição de limiares, alertas e eventos;
- Processo relacionados
- Gestão de incidentes → informar os incidentes de capacidade, contenções;
- Gestão de liberações → verificar a existência de capacidade para suportar a liberação de serviço;
- Gestão de configuração → informações relacionadas entre o CMDB com o CDB;
- Gestão de nível de serviços → níveis de serviços compatíveis com a capacidade suportada;
- Gestão de disponibilidade
- Saída → plano de disponibilidade e sistema de informações de gestão de disponibilidade (AMIS);
- produz e mantém atualizado o plano de disponibilidade para manter o serviço disponível de acordo com as necessidades atuais e futuras de negócio;
- avaliar o impacto de todas as mudanças no plano de disponibilidade;
- assegura que a disponibilidade seja atingida, medida e melhorada, bem como atenda aos objetivos de negócio;
- apoia o diagnóstico e resolução de incidentes e problemas;
- prover diretrizes e guias de disponibilidade;
- prever para a melhoria da disponibilidade e consequente redução de custos;
- Métricas
- Disponibilidade → o tempo que o serviço permanece no ar a disposição do cliente;
- Uptime (MTBF – Mean Time to Between Failures)
- tempo médio entre as falhas;
- fases → da restauração até o próximo incidente;
- Manutenabilidade → executar atividades necessárias para manter os serviços em operação ou para restauração;
- Downtime (MTTR – Mean Time to Repair)
- tempo médio de reparo do serviço desde que o incidente ocorreu;
- fases → do incidente, detecção, diagnóstico até a conclusão do reparo;
- Resiliência/Sustentabilidade → capacidade concreta de retornar ao estado de excelência;
- Downtime (MTRS – Mean Time to Restore)
- tempo médio de restauração do serviço desde o incidente ocorreu;
- fases → do incidente, detecção, diagnóstico, reparo, recuperação até a conclusão da restauração;
- Confiabilidade → certeza que o serviço estará disponível no período combinado;
- Downtime+Uptime (MTBSI – Mean Time Between System Incidentes)
- tempo médio entre a ocorrência de dois incidentes consecutivos;
- fases → do incidente, detecção, diagnóstico, reparo, recuperação, restauração até o próximo incidente;
- Servicibilidade (servicibility): → responsabilidade pela disponibilidade do serviço, independentemente da terceirização;
- Disponibilidade → o tempo que o serviço permanece no ar a disposição do cliente;
- Saída → plano de disponibilidade e sistema de informações de gestão de disponibilidade (AMIS);
Transição de serviço
- Conceitos → MACCAV-LIMP
- Saída → o serviço em produção de acordo com o SDP (Service Design Package);
- garantir que o serviço pode ser gerenciado, operador, suportado de acordo com o requisitos e restrições de projetos;
- avalia, testa e valida todos os aspectos do serviço para implantá-lo efetivamente em produção com mínimo de impacto aos demais serviços;
- planejar e gerenciar recursos necessário para implantar um novo serviço ou alterar um serviço existente;
- controla a implantação dos serviços desenhados/projetados;
- gerencia as mudanças e riscos encontrados;
- fornecer uma estrutura para avaliar o risco que se corre ao ser promover a transição;
- estabelece e mantém a integridade de todos os ativos de serviço e suas configurações;
- fornecer conhecimento e informação de boa qualidade para subsidiar a tomada de decisão colocação um serviço funcional;
- fornecer mecanismos eficientes e repetíveis;
- Planejamento e suporte da transição
- planejar e coordenador recursos para colocar um serviço novo ou modificado de forma eficiente, quanto ao custo, qualidade e prazos;
- fornecer planos claros e compreensíveis, para permitir a adequada compreensão pelos operadores da transição;
- garantir que todos os parceiros adotem um framework comum de padrões (mecanismos eficientes e repetíveis);
- gerencia os riscos relativos as falhas e interrupções de serviços decorrentes da transição;
- permite a gestão de quantidade significativa de mudanças e liberações;
- Validação e testes do serviço
- provê rotinas para produção de evidências objetivas de que o serviço implantado atende aos requisitos e ao SLA;
- elabora testes de regressão para implantações de mudança;
- Gestão de liberação e implantação (implantação e publicação)
- distribui uma liberação (Release Unit) ou um conjunto delas (Release Package) em produção para habilitar o uso efetivo do serviço;
- entrega as mudanças, de forma consistente, rápida, com baixo custo e com riscos minimizados;
- garante que o cliente e usuários possam usar o serviço para atender as metas de negócio;
- contribuir para atingir os requisitos de rastreabilidade;
- garantir a integridade do CMDB (banco de dados de gerenciamento de configuração), principalmente após a realização de mudanças;
- observar: liberação, implementação, mudanças e verificação;
- gerenciar as expectativas dos clientes e usuários sobre as liberações, informando data e conteúdo a serem disponibilizados;
- estratégias de liberação → Big Bang, Phased, Push, Pull, Automática e Manual;
- Avaliação de mudança
- garante que o serviço é adequado aos objetivos de negócio;
- avalia o desempenho previsto comparado ao desempenho real após a implementação;
- subsidia a aprovação e determina a conclusão da implantação;
- Gestão do conhecimento
- Saída → Sistema de Gestão do Conhecimento dos Serviços (SKMS);
- garantir que a informação relevante esteja disponível a pessoas responsáveis;
- Sistema de Gestão do Conhecimento dos Serviços (SKMS) → integração do contexto com o entendimento:
- Sabedoria → a partir da análise do conhecimento (Porque?);
- Conhecimento → a partir do processamento da informação (Como?);
- Informação → a partir da contextualização dos dados (Quem? O que? Quando? Onde?);
- Dados
- Gestão de ativos e configuração
- Ativo → qualquer recurso ou habilidade que contribua para a entrega de um serviço;
- Item de configuração → um ativo que precisa ser gerenciado para a entrega de um serviço de TI;
- Registro de configuração → conjunto de atributos e relacionamentos de um item de configuração;
- gerencia itens de configuração, sendo qualquer ativo de serviço que necessita ser gerenciados;
- otimiza a performance, os custos e minimiza riscos a partir da adequada gestão dos itens de configuração;
- fornece modelo lógico para possibilitar:
- identificação; controle; registro; auditoria; verificação;
- versões dos itens; linha base; componentes; relacionamentos; atributos;
- contabiliza para gerenciar e proteger a integridade dos ativos;
- compara os registros contra a infraestrutura para corrigir possíveis exceções;
- estabelece e mantém Banco de Dados de Gestão de Configuração (CMDB) e um Sistema de Gestão de Configuração (CMS);
- melhorar a capacidade de planejamento, com a definição das metas;
- melhorar a aderência a padrões, normas, leis e contratos;
- prover bases sólidas de informação para gestão de incidentes, problemas, mudanças e liberações;
- apoiar a entrega do nível de serviço;
- Sistema de Gestão de Configuração (CMS)
- Camada de apresentação e conhecimento
- Visão de mudança e liberações;
- Visão de gestão de ativos;
- Visão de ciclo de vida de configurações;
- Visão de configurações técnicas;
- Visão de gestão da qualidade;
- Visão da central de serviços;
- Processamento de conhecimento
- Consultas e análises;
- Relatórios;
- Gestão de desempenho, previsões, planejamento e orçamento;
- Modelagem;
- Monitoração, Scorecards, Dashboards e alertas;
- Camada de integração de informações
- Negócio, cliente, provedor, usuário;
- Serviço, aplicação, mapa de infraestrutura;
- Portifólio e catálogo de serviços;
- Modelo de serviços;
- BDGC;
- Liberação de serviços;
- Mudanças de serviços;
- Ferramentas e fontes de informações e dados
- Repositório de documentos de projeto;
- Biblioteca de mídia;
- BDGC físico;
- Ferramentas de configuração;
- Gestão de configuração de software;
- Investigação, gestão de ativos e ferramentas de auditoria;
- Aplicações empresarias;
- Gestão de acesso, recursos humanos, fornecedores e relacionamento com o cliente;
- Camada de apresentação e conhecimento
- Gestão de mudanças
- Mudança
- é o processo de inclusão, alteração ou exclusão autorizada de um serviço ou item de configuração;
- de forma documentada e planejada;
- Proposta de mudança
- um documento que inclui uma descrição de alto nível;
- de uma potencial introdução de serviço ou mudança significativa em um serviço;
- junto com um caso de negócio correspondente e;
- um cronograma da implementação esperada;
- que permite uma análise mais detalhada de mudanças maiores e de maior risco;
- Requisição de mudança
- um documento que solicita a implementação da mudança em um serviço que já existe;
- são registradas no Sistema de Gerenciamento de Mudanças (Change Managemeant System);
- o Comitê Consultivo de Mudanças (Change Advisory Board) fornece apoio a avaliação e priorização de mudanças;
- o Comitê Consultivo de Mudanças Emergenciais é um subconjunto do CAB para decisões de mudanças de grande impacto;
- analisa o impacto das mudanças a partir das necessidades e restrições;
- avalia a aprovação das mudanças, a partir: do solicitante, da razão, do benefício esperado, dos riscos, dos recursos, do responsável e da relação com outras mudanças;
- coordenar sua implementação para que as mudanças ocorram de forma eficiente, com menor custo, tempo e riscos;
- garante a padronização de métodos, processos e procedimentos;
- Tipos de mudanças
- Mudança padrão → mudança simples pré-aprovadas;
- Mudança normal → requerem avaliação e aprovação;
- Mudança emergencial → maior prioridade para implantação;
- Mudança
Operação de serviço
- Conceitos → PERAI-TAOCS;
- opera os serviços de forma eficiente e efetiva de acordo com o SLA estabelecido, garantido a entrega de valor ao cliente;
- gerenciar aplicações, tecnologia e infraestrutura
- transforma o negócio desenhado em um atividade usual;
- usa práticas robustas de operações para não cometer erros durante a transformação;
- utiliza funções, unidades formadas por pessoas e ferramentas para executar atividades, para atingir determinado objetivo;
- Gestão de incidentes
- incidente é um evento que não faz parte da operação normal de um serviço;
- o incidente causa redução da qualidade do serviço ou interrupção não planejada percebida pelo usuário;
- processo reativo para restaurar o serviço ao nível normal o mais rápido possível;
- reduzir o impacto dos incidentes sobre as operações de negócio;
- mantém registros dos incidentes, soluções tomadas, recursos utilizados, pessoas envolvidas;
- detecta, registra, classifica, investiga, diagnostica e resolve incidentes;
- Escalação e níveis dos incidentes
- Escalação funcional (horizontal) → repasse para especialistas;
- Escalação hierárquica (vertical) → repasse para gerentes;
- Diagnóstico do incidente (Incidente matching)
- o incidente é associável a um erro conhecido;
- aplicar a resolução ou procedimento da base de conhecimento;
- incrementar o contador de registro de erros conhecidos;
- atualizar o registro deste incidente com o código do erro conhecido;
- atualizar o registro deste incidente com sua classificação;
- informar ao cliente o procedimento;
- o incidente não é associável a um erro conhecido;
- o incidente é associável a um problema;
- incrementar o contador de incidentes no registro de problema;
- atualizar o registro do incidente com o código do problema;
- atualizar o registro do incidente com sua classificação;
- o incidente não é associável a um problema;
- o incidente não é rotineiro;
- registrar um novo problema;
- o incidente não é rotineiro;
- o incidente é associável a um problema;
- o incidente é associável a um erro conhecido;
- Gestão de problemas
- problema é a causa raiz desconhecida de vários incidentes que necessita investigação para identificação;
- erro conhecido é um problema diagnosticado que possui uma solução definitiva ou solução de contorno;
- requisição de mudança (Request for Change) para alcançar um solução estruturada para um problema;
- gere o ciclo de vida dos problemas, minimiza seu impacto e reduz a ocorrência de incidentes;
- priorizar problemas pelo impacto as operações de negócio;
- identifica, registra, classifica, investiga, diagnostica problemas;
- Gestão de eventos
- evento é qualquer ocorrência detectável ou discernível que possa gerar um incidente e afetar o negócio;
- monitora, identifica e analisa eventos para determinar a ação a ser tomada;
- notificações criadas pelo serviço, por itens de configuração ou ferramentas de monitoramento;
- Tipos de eventos
- Informativo → eventos com informação de estado;
- Alerta → eventos que indicam a passagem de limiar que pode gerar um incidente;
- Exceção → eventos que indicam uma situação indevida;
- Tipos de monitoramento
- Ativo → monitora itens de configuração chaves e notifica corretamente as exceções;
- Passivo → detecta e correlaciona alertas operacionais e comunicações geradas pelos itens de configuração;
- Cumprimento de requisição
- representa um requisição do usuário por informações, orientações, mudanças padronizadas ou acesso a um serviço;
- permite um tratamento diferenciado para requisições de menor risco e impacto ao negócio;
- Gestão de acesso
- garante a execução da política de controle de acesso, faz parte do contexto de gestão de segurança da informação;
- concede acesso a usuários autorizados (não decida, apenas segue a política);
- reduz o nível de erros pelo uso indevido dos níveis de informação, e contribui para a confidencialidade, integridade e disponibilidade;
- permite auditorias e rastreabilidade;
- habilita a concessão e retiradas de direitos para que se possa adequar as permissões a necessidades de acesso;
- identifica a identidade, verifica a legitimidade, fornece o direito, registra e monitora o acesso, remove e limita direito;
- Função de gestão técnica
- planeja, implanta e mantém uma infraestrutura estável para suportar os processos de negócio;
- define características técnica, projeta topologias de implantação e define padrões para os projetos;
- provê suporte de segundo nível a incidentes;
- Função de gestão de aplicação
- gerencia aplicativos para mantê-los em produção (não desenvolve o software);
- Função de gestão de operação
- gestão contínua e manutenção da infraestrutura;
- controle de operações, elaboração de jobs, realização de backups e restauração;
- gerenciamento de instalações de datacenters;
- Função de Central de Serviços
- unidade funcional para tratar os eventos que afetam o negócio;
- ponto único de contato com os usuários;
- registra incidentes e problemas;
- resolve incidentes;
- fornece o primeiro nível de atendimento;
- manter os usuários informados sobre o atendimento;
- fechar os incidentes;
- Benefícios
- Melhora o serviço;
- Aumentar a acessibilidade;
- Melhora a comunicação;
- Aumenta o foco e a proatividade;
- Reduz os impactos;
- Melhora a gestão da infraestrutura;
- Melhora o uso dos recursos;
- Melhora a produtividade com a escalação eficiente;
Melhoria contínua de serviço
- Conceitos
- mantém a entrega de valor ao cliente por meio da avaliação e melhoria contínua para adaptação a mudança de estratégia;
- identifica oportunidades, fraquezas ou falhas identificadas dentro de qualquer um dos estágios do ciclo de vida;
- permite a visão global de todos os elementos utilizados;
- Registro de melhoria contínua
- documento estruturado usado para registrar e gerenciar as oportunidades de melhoria em todo o seu ciclo de vida;
- classifica o esforço e tempo para implementar a melhoria;
- Modelo de melhoria contínua (IDEAL)
- Iniciação (initiating) → base para que exista sucesso na melhoria (Qual a visão?);
- Diagnóstico (diagnosing) → identificação a situação do serviço em relação a seu objetivos (Onde estamos agora?);
- Estabeleça (establishing) → planejar como alcançar os objetivos e definir métricas (Onde nós queremos chegar?)
- Aja (acting) → execute o plano, serviços e processos (Como chegamos lá?);
- Lições (learning) → medir e aprender com as experiências (Chegamos lá?);
- Melhoria de processos em 7 etapas
- Etapas;
- identificar a estratégia para melhoria (a visão, a estratégia, os objetivos táticos e operacionais);
- definir o que será medido (dentro da capacidade possível);
- definir quem, como e quando os dados serão coletados (dados brutos);
- definir a frequência, o formato, o sistema e a precisão que os dados serão processados (informação);
- definir as tendências, os plano e metas, e melhorias requeridas que serão analisados (conhecimento);
- apresentar de forma resumida a informação e planos de ação;
- implementar ações corretivas (sabedoria);
- Orientações de medição do serviço
- medições para corrigir atividades para garantir o alinhamento ao negócio e atendimento a especificação do serviço;
- medições para validar decisões;
- Níveis de métricas
- Serviços → mede as etapas do serviço para verificar o alcance dos benefícios de negócio do serviço;
- Processo → mede o alcance dos fatores críticos de sucesso;
- Tecnologia → mede a disponibilidade, a performance, etc;
- Orientações de relatório de serviços
- disponibiliza informações com o desempenho passado e as ameaças que podem afetar o desempenho futuro;
- informações de indisponibilidade, razões, procedimentos executados e preventivos para evitar os eventos;
- Etapas;
Reinaldo Gil Lima de Carvalho