Governança de TI Com Melhores Práticas COBIT, ITIL e BSC...
{aula #3}
C S B e ® L I T I , ® T I B O C m o c I T e d a ç n a n r e v o G
Governança de TI com melhores melhores práticas práticas COBIT®, COBIT®, ITIL® ITIL® e BSC® BSC®
www.etcnologia.com.br
Rildo F Santos (11) 9123-5358
[email protected] twitter: @rildosan
Objetivo: C S B e ® L I T I , ® T I B O C Apresentação Apresentação da aula # 3 do “Workshop Governança de TI Com COBIT COBIT®, ®, ITIL® ITIL® e ”. m BSC® ”. o c Objetivo do Workshop: I T Compartilhar conhecimento, trocar experiência e prover aprendizado sobre Governança de e TI com demonstrar como utilizar utilizar as melhores práticas, práticas, técnicas técnicas e com COBIT®, COBIT®, ITIL® ITIL® e BSC® BSC® de demonstrar d ferramentas. a ç n Objetivo dessa aula: a Demonstrar como implementar a Governança de TI através de um Estudo de Caso. n r e v Pré-requisito: o Conheciment Conhecimentos os básicos básicos de COBIT®, COBIT®, ITIL® de BSC BSC e de gestão gestão de Tecnologia ecnologia da G Informação (TI).
O Conteúdo do workshop: C S B e ® L I T I , ® T I B O C m o c I T e d a ç n a n r e v o G
1 Fundamentos
2 Melhores Práticas
3 Estudo de Caso
1 – Fundamentos da Governança de TI: Explorar a Governança de TI e sua motivação, definição, conceitos, modelo e benefícios. 2 - Melhores Melhores práticas práticas para para Governanç Governança a de TI: - Apresentar e discutir as melhores práticas práticas para a Governança Governança de TI: TI: Cobi Cobit, t, ITIL ITIL e BSC. BSC. 3 – Estudo de Caso: Demonstrar Como implantar a Governança de TI com base no Cobit
C S B e ® L I T I , ® T I B O C m o c I T e d a ç n a n r e v o G
Como implantar a Governança de TI com base no Cobit Objetivo desta parte: Demonstrar um exemplo de implantação da Governança de TI.
Dúvidas: C Quando temos que implementar a Governança de TI, surge as dúvidas: S - Como começar ? B e - Por onde começar ? ® - Quando começar ? L I - O quê devo fazer primeiro ? T I .... , ® Qual abordag em Quais s ão os fatores T I devo utilizar ? críticos de s uces s o ? B O C m Quais s ão as melhores o prátic as para c I implementação da T G overnança de TI ? e d a ç n a n r e v o G
Introdução: Qual é a melhor abordagem ? C Você poderá implementar a Governança de TI, de formas diferentes, utilizando S as abordagens: B e ® 1º. Abordagem Top-Down, a alta gestão definiu que a empresa deve L I implementar a Governança de TI. T I 2º. Abordagem Bottom-up, a alta gestão não pediu, mas a TI decidiu que , deveria fazer alguma coisa para melhorar os serviços de TI, neste caso a ® T I implementação deve começar pela Gestão. Exemplo: Implementar a Gestão de B Serviços de TI ou Gestão de Segurança da Informação. O 3º. Abordagem, é mais comum, pela “dor”, ou seja pelo ponto fraco de TI que C tem impacto direto na geração de valor ao negócio. Para saber basta qual é a mdor perguntar aos usuários eles poderão ajudar. o c I T e d a ç n a n r e v o G
Abordagens de Implementação da Governança de TI: C S B e ® L I T I , ® 1 T I B O C n w m o o D c p o I T T e d a ç n a n r e v o G
Governança Corporativa Governança de Conformidade
Governança do Negócios
2 p U m o t t o B
o c i g é t a r t s E
BSC
o c i t á T e l a n o i c a r e p O
I T e d s o ç i v r e S
COSO Cobit
Governança de TI Planejamento Estratégico de TI
ITIL / ISO20000
DOR
a d o a ã ç ç n a a r m r u f o g n e I S
e e r d a w a t f c i r o b S á e F d CMMi/ Mps.br
ISO17799/ ISO27002
Arquitetura de TI Recursos
Projetos
3
s e r o d e c e n r o F SAS70 / e-SCM
PMBok/PMI Processos
BPM Qualidade ISO9001 / Seis Sigma
Quais sãos os fatores críticos de sucesso ? C Na implementação da Governança de TI, os principais fatores são:
S B Pessoas: e Motivadas e ® Capacitadas L I T I , ® T I B O C Tecnologia e m ferramentas o de produtividade c I T e d Processos & a Adoção das ç n Melhores Práticas a n r e v o A Integração de Pessoas, Processos e Tecnologia (ferramentas) e um bom Plano de GComunicação aumentam a chance de sucesso da Implementação de Governança de TI.
C S B e ® L I T I , ® T I B O C m o c I T e d a ç n a n r e v o G
Estudo de Caso 1: Objetivo desta Estudo de Caso: Demonstrar um exemplo de implantação da Governança de TI seguindo a abordagem Top Down.
Modelo de Governança: Abordagem Top Down C S B e ® L I T I , ® T I B O C m o c I T e d a ç n a n r e v o G
Governança Corporativa Governança de Conformidade
Governança do Negócios
n w o D p o T
o c i g é t a r t s E
BSC
o c i t á T e l a n o i c a r e p O
I T e d s o ç i v r e S
COSO Cobit
Governança de TI Planejamento Estratégico de TI
ITIL / ISO20000
Projetos
e e r d a w a t f c i r o b S á e F d
a d o a ã ç ç n a a r m r u f o g n e I S
s e r o d e c e n r o F
Mps.br
ISO17799
e-SCM
Arquitetura de TI Recursos
PMBok/PMI Processos
BPM Qualidade ISO9001 / Seis Sigma
Justificando a escolha do Cobit ? C O COBIT esta preparado para acomodar padrões internacionais, e está cada vez S B mais reconhecido como o framework para a Governança de TI. e O COBIT está focado em o que é necessário para alcançar a governança e o ® L I controle de alto nível. Ele está alinhado com outras melhores práticas e pode ser T I usado como o “integrador” de diferentes guias, frameworks, padrões e normas tais , como a ISO 17799 e a ITIL. ® T I B COBIT O 9 Estratégia 9 C 7 7 1 m Controle de O o S c I Processo I T e CMM d Execução de Processo ITIL a ç n • Procedimentos • Procedimentos • Procedimentos • Procedimentos • Procedimentos a •2 •2 •2 •2 •2 Procedimentos •3 •3 •3 •3 •3 n r • 4,5,6…. • 4,5,6…. • 4,5,6…. • 4,5,6…. • 4,5,6…. e v o G
Utilizando o COBIT para implementar a Governança de TI C O COBIT e outros Frameworks: S B PERFORMANCE CONFORMIDADE e Alta Gestão Metas de Negócios Basel II, Sarbanes-Oxley Act, etc. ® L I T I , Balanced Scorecard COSO Governança de Negócio ® T I B O C COBIT Governança de TI m o c I Normas, Padrões e Melhores T Mps.br ISO 17799 ITIL Práticas e d a ç Gestão de Metodologia de Politica de n Processos e Procedimentos Desenvolvimento a Serviço de TI Segurança n r e v o G
Road Map de Implantação da Governança de TI: C S 1 - Definição da Matriz de Responsabilidades e Decisões B e Governança de TI: Especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na utilização da TI ® L I Decisão Necessidade T Principios e Arquitetura Infra-estrutura Investimento I de aplicações , Missão de TI de TI de TI em TI de negócio Arquétipo ® T I Monarquia B de Negócio O Monarquia C de TI m o Federalismo c I T Duopólio e d Anarquia a ç n a Definir: n r - Quem decide e responde (presta conta) os princípios, missão e Governança de TI. e - Quem decide sobre a arquitetura e Infraestrutura de TI. v - Quem decide sobre as demandas e necessidades de aplicações. o - Quem decide sobre os investimentos em TI. G
Road Map de Implantação da Governança de TI C Um caminho para TI fazer a implementação da Governança de TI S B 2 – Fazer o alinhamento Estratégico entre o negócio e TI: e Técnicas, Frameworks, ® L Padrões e Normas Questões ? Respostas I T I Objetivos/Diretrizes do , 2.1- Para onde Negócio ou BSC Visão e Objetivos ® queremos ir? Governança de TI T I B O C Avaliação dos processos de Avaliações 2.2 - Onde estamos ? TI guiada pelo Cobit m o c I T e 2.3 - Como Implementação das Frameworks e Melhores Práticas: ITIL, ISO 17799, d chegaremos lá? Melhores Práticas CMMi... a ç n a n r e 2.4 - Como saberemos Monitoramento v Indicadores e Métricas o se chegamos? e Avaliação G
Road Map de Implantação da Governança de TI C 2.1 - Para onde queremos ir? S
B > Alinhamento da estratégia da Empresa com a Estratégia da TI e ® Exemplo: Desdobramento BSC e dos Mapas Estratégicos: L BSC para TI I T I , ® T I B O C m o c I Mapa Estratégico T Corporativo e d a ç Mapa Estratégico n para TI a n r e Mapa Estratégico para v o Gestão de Serviços de TI G (Entrega e Suporte)
BSC para Gestão de Serviços de TI
Road Map de Implantação da Governança de TI: C > Alinhamento da estratégia da Empresa com a Estratégia da TI S B Exemplo: Desdobramento BSC e dos Mapas Estratégicos: e ® COBIT L I T I Monitoramento e Avaliação Aquisição & Implantação , ® CMMi T I BSC Corporativo Requisitos B Planejamento e Organização O C m BSC para Fábrica de o Software c I T Entrega e Suporte e BSC para TI d ITIL/ Alinhamento Estratégico a ISO 20k ç n Informação a n r e BSC para Serviços v de TI o G
Road Map de Implementação de Governança de TI: C 2.2 - Onde Onde estam estamos os ? S A Metodologia de Implementação é divida em em duas fases: B dos Processos de TI e Fase 1 - Avaliação do Nível de Maturidade dos ® L I T I , Fase 1 ® T Mapear os I B Processos de TI Avaliar os O C Workshop de Processos de TI Conscientizar A valiação do Ní vel de m Maturi Mat uri dade dos Pr oces s os o c I Governança T de TI e Elaborar os d a Planos de Ação ç n Fazer a n Gap Analysis r e v o G
Road Road Map de Impla Implanta ntação ção da da Govern Governanç ança a de TI C A metodologia de implementação: Fase 1 S Atividad vidades: es: Cons Conscient cientizar izar e Mapear Mapear os Processo Processo de TI B Ati e Mapeamento de Processos Workshop de ® Identificação dos processos de TI que fazem para Conscientização L da Governança de TI. Ferramenta: Cobit I T I , ® T Objetivo é sensibilizar/conscientizar I B todos os envolvidos com o processo, O C para disseminação dos conceitos mfundamentais e definições da Gestão o Serviços de TI. c I A participação das pessoas chaves é T um fator critico de sucesso. e d a Ferramenta: Workshop ç n a n r e v o Observação: De acordo com o modelo de Governança de TI que será G implementado o número de processos pode variar.
Road Road Map de Impla Implanta ntação ção da da Govern Governanç ança a de TI C A metodologia metodologia de implementação: Fase 1 S Ati vidade: e: Avalia valiarr do Nível Nível de Maturidade Maturidade dos Process Processos os de TI B Atividad e Modelo de Maturidade do Cobit: ® L Benchmarking I (padrão de mercado) Valor T I , Otimizado ® (valor) e T I d Gerenciado a B d (serviço) i O r Definido u (pro-ativo) C t a Repetitivo m M (reativo) e o d Inicial c l (caótico) I e Não existe v T í N e d a ç < pior Tempo Melhor > n a n r e v o G
- É necessário necessário definir definir o nível de maturidade de referência (ou nível de maturidade meta). Exemplo: O nível 3 de maturidade, pois, ele é considerado como meta, por ser um padrão de benchmarking mercado.
Considerações sobre o Nível de Maturidade dos Processos de TI: C O Modelo de Maturidade do Cobit Quando maior for nível de S é uma forma de medir quão bom os maturidade do processo B processos de gerenciamento são, ou mais capaz ele será de atingir a missão o objetivos Quando maior for nível de e seja, quão capazes eles são. maturidade do processo mais capaz ele será de tender ® O quanto devem ser desenvolvidos os requisitos de conformidade L e mitigar o risco. ou capacitados deveria depender dos I T I objetivos de TI e sua conexão como , as necessidades de negócios que ® eles suportam. T I B Qual é o nível ideal de maturidade O dos processos ? C O nível de maturidade pode variar de empresa para empresa, pois o nível m depende das necessidades, objetivos o e estratégia da empresa. c I T Por exemplo, existem processos e sistemas críticos que precisam de um gerenciamento da segurança e maior do que outros que são menos críticos. Por outro lado, o grau de sofisticação dos controles que d precisam ser aplicados em um processo é mais direcionado pela exposição ao risco da empresa e pelos a requisitos aplicáveis de conformidade com leis, regulamentos e contratos. ç A escala do modelo de maturidade ajudará os profissionais a explicar aos gerentes onde existem n a deficiências no gerenciamento do processo de TI. Especificamente, o nível de maturidade gerencial n r dependerá da dependência da empresa em TI, de s ua sofisticação tecnológica e, mais importante, do e valor da informação para o negócio. v o G Melhores Práticas: Recomendamos que após alcançar o nível 3 de maturidade, os processos de TI,
considerados mais críticos devem ter sua maturidade elevada até o nível 5. Utilizar a ferramenta o PDCA.
Road Map de Implantação da Governança de TI: C Atividade: Avaliar do Nível de Maturidade dos Processos de TI S B e Principais técnicas para realizar Avaliação do Nível de Maturidade dos Processos de TI: ® L I - Entrevistas T I , ® - Preenchimento de questionário T I B - Reuniões O C - Workshops m o - Coleta de documentos (também chamada de coleta de evidências operacionais) c I T - Observação de campo. e d a ç n a n r e v o G Melhores Práticas: Utilize duas o mais técnicas para fazer a avaliação do nível de maturidade dos processos de TI. Exemplo: Preenchimento de questionário, entrevistas e coleta de documentos.
Road Map de Implantação da Governança de TI C Atividade: Avaliar do Nível de Maturidade dos Processos de TI S B e Exemplo: Questionário ®Objetivo: Fazer a avaliação do nível de maturidade do processo L I Critérios: T I , 1 – Avaliação (auto-avaliação) é baseada em questões com uma única resposta (sim ou não); ®2 – Os níveis de maturidade são seqüências; T I 3 – Para mudar de nível superior é necessário atender todos os requisitos do nível atual; B 4 – Faixa de valores válidos é de : 0 a 5. Onde 0 é menor nível e 5 o maior; O5 – Nível de maturidade é representado por número inteiro; C 6 – O Nível de Maturidade pode variar de acordo com a necessidade do negócio e de regulamentação m o c I Modelo Genérico de Maturidade: T Nível Descrição e d O Inexistente Não existe processo definido ( formalmente) a 1 Inicial Processos são „ad hoc‟ e desorganizados, o sucesso depende de esforços ç individuais. n a 2 Repetitivo Existem processos, mas são informais, não são padronizados são intuitivos n r O processo formal, documentado e comunicado e 3 Definido v Processo é monitorado e medido o 4 Gerenciável G 5 Otimizado Melhores práticas são seguidas e os processos são automatizados
Road Map de Implantação da Governança de TI C Atividade: Avaliar do Nível de Maturidade dos Processos de TI S B e Exemplo de Questionário: ® Questões L I T I Nível de Maturidade: 0 - Inexistente , 1 - Existe suporte para resolver as questões dos usuários ? ® 2 - Existe um processo de gerência de Incidentes ? T I B Nível de Maturidade: 1 - Inicial O 1- Existe processos formais ? C 2 - Existe padronização de processos ? m 3 - O suporte dos serviços de TI é apenas reativo ? o 4 - Existe a monitoria de consultas, incidentes e tendências ? c I 5 - Existe o processo escalação para garantir que o problema será resolvido ? T e Nível de Maturidade: 2 - Repetitivo d 1 - A empresa reconhece a necessidade do Service Desk e da Gerência de Incidentes ? a 2 - Existe uma base mesmo que informal disponível para ajudar no suporte ao usuário ? ç n 3 - O conhecimento é individual ? a 4 - Existem ferramentas para auxiliar na resolução dos incidentes ? n r e 5 - Existem treinamento para a equipe ? v o 6 - Existe a comunicação formal dos padrões e procedimentos ? G 7 - A responsabilidade é individual ?
Resposta (S/N)
Road Map de Implantação da Governança de TI C Atividade: Avaliar do Nível de Maturidade dos Processos de TI S B Exemplo de Questionário: e Questões ® L I Nível de Maturidade: 3 – Processo Definido T I 1 - A empresa reconhece a necessidade do Service Desk e da Gerência de Incidentes ? , 2 - Existe a padronização e documentação dos processos ? ® T I 3 - FAQ e os guias de apoio ao usuário foram desenvolvidos ? B 4 - As questões e os incidentes são acompanhados em uma base manual e monitorados individualmente? O 5 - Os usuários recebem comunicação clara de onde e em como relatar os problemas e incidentes ? C m Nível de Maturidade: 4 - Gerenciado e Mensurado o c 1 - Há uma compreensão plena dos benefícios do Servido Desk e do processo da gerência de incidente I em todos os níveis da organização ? T 2 - As ferramentas e as técnicas são automatizadas com uma base de conhecimento centralizada ? e d 3 - Existe interação entre as equipes do Service Desk e da Gerência de Problema ? a 4 - As responsabilidades são claras e eficácia é monitorada ? ç n 5 - Os procedimentos para comunicar, escalar e resolver incidentes são estabelecidos e comunicados? a 6 - O pessoal do Service Desk foram treinados apropriadamente ? n r 7 - Existe uma aplicação especifica para ajudar na execução e na melhora das atividades e tarefas do e Service Desk ? v o 8 - As métricas de desempenho já foram desenvolvidas ? G 9 - O desempenho do Service Desk é mensurado ?
Resposta (S/N)
Road Map de Implantação da Governança de TI C Atividade: Avaliar do Nível de Maturidade dos Processos de TI S B Exemplo de Questionário: e Questões ® L I Nível de Maturidade: 5 - Otimizado T I 1 - O Service Desk e o processo de Gerência de Incidente foi estabelecido e está bem organizado ? , ® 2 - As métricas KPIs e KGIs sistematicamente são medidas e relatadas ? T I B 3 - Existe interação entre as equipes do Service Desk e da Gerência de Problema ? O 4 - Os FAQ são parte da Base de Conhecimento ? C 5 - As ferramentas estão disponíveis para os usuários fazerem alto diagnostico e resolver incidentes ? m o 6 - Os incidentes são resolvido rapidamente dentro de um processo estruturado de escalação ? c I 7 - A gerência utiliza alguma ferramenta para estatísticas de desempenho do Service Desk e do processo T da Gerência de Incidente ? e 8 - Os processos foram refinados ao nível das melhores práticas de mercado? d a 9 - Existe o processo de melhoria contínua ? ç n a n r e v o G
Resposta (S/N)
Road Map de Implantação da Governança de TI C Atividade: Avaliar do Nível de Maturidade dos Processos de TI S B e Entrega e Suporte ® Gerenciar Central de Serviços e Incidentes L I Modelo de Maturidade: T I O gerenciamento do processo de “gerenciar a central de serviço e os incidentes” que satisfaça ao , ® requisito do negócio para a TI de “permitir o uso eficaz dos sistemas de TI através da análise e T I resolução de consultas, solicitações e incidentes” é: B O 2 Repetível, porém Intuitivo quando C Há uma consciência organizacional da necessidade de uma central de serviços e de um processo de gerenciamento de incidentes. Assistência está disponível de maneira informal por meio de uma m rede de indivíduos que têm conhecimento. Essas pessoas têm algumas ferramentas comuns para o auxiliar na resolução de incidentes. Não há treinamento formal, não há procedimentos padrão e c I comunicados e as responsabilidades ficam a cargo de cada pessoa. T e 3 Processo Definido quando d A necessidade de uma central de serviço e um processo de gerenciamento de incidente é a reconhecida e aceita. Os procedimentos foram padronizados e documentados e ocorrem ç treinamentos informais. Entretanto, fica a cargo das pessoas obter treinamento e seguir padrões. n a Consolidação de perguntas frequentes (FAQs) e diretrizes de usuários são desenvolvidas, mas as n r pessoas devem procurá-las e podem não seguilas. Chamados e incidentes são rastreados e manualmente e monitorados individualmente, porém não existe um sistema de reporte formal. A v resposta em tempo adequado aos chamados e incidentes não é medida e os incidentes podem o continuar sem solução. Os usuários foram claramente comunicados sobre onde e como registrar G os problemas e incidentes.
Cobit
DS8
Road Map de Implantação da Governança de TI C Primeira Fase: Avaliar do Nível de Maturidade, resultado da Avaliação: Gap Análise S B Cenário Atual: e ® A compilação da avaliação apresenta o nível de maturidade do processoo nível atual e L I nível desejado. T I Nível de Maturidade do Processo: , ® Não-definido Inicial Repetível Definido Gerenciado Otimizado T I 0 1 2 3 4 5 B O C m o c I Gap T Nível de Nível de e maturidade maturidade d atual desejado a ç Relatório de Gap Analyses: n a Nível de Nível de Os procedimentos não Maturidade Maturidade n r Processo TI Processo (Desejado) (Real) GAP estão padronizados e nem documentados v Gerenciar Central de Serviços e Incidentes DS8 3 2 -1 o G
Road Map de Implantação da Governança de TI C Primeira Fase: Elaborar o Plano de Ação S B Relatório de Gap Analyses: e Nível de Nível de Comentários Maturidade Maturidade ® Processo TI Processo (Desejado) (Real) GAP L I Os procedimentos não estão Gerenciar Central de Serviços e T I Incidentes DS8 3 2 -1 padronizados nem documentados , ® T I Plano de Ação B Objetivo: Elevar o nível de maturidade do processo para melhorar o nível de qualidade dos O serviços de TI. C Recomendação: m o - Padronizar e documentar todos os procedimentos. c I T O procedimento deve ter no seu corpo data de atualização, versão e responsável pela elaboração e e aprovação. d a Quem deverá aprovar estes documentos será o Gerente de Serviços de TI. ç n a Todos os interessados devem ter ciência (conhecer) os procedimentos e também devem receber n r treinamento adequada para usa-la de forma eficiente. e v Os procedimentos devem fazer parte da política da Empresa. o G Observe que o Plano de ação diz “O que fazer ” e “não como fazer ”. É P (plan) do PDCA
Road Map de Implementação de Governança de TI C 2.3 - Como chegaremos lá? S B Fase 2 – Implementação do Projeto de Governança de TI e ® L I T I , Fase 2 ® Implementar T I os Planos de B Ação O Treinar a Implementar os C Equipe processos m o c Governança I Implementar Verificar pós T deTI Ciclo de e implementação d Melhoria a Continua ç Selecionar e n a Adquirir da n r Ferramenta e v o G
Road Map de Implementação de Governança de TI C 2.3 - Como chegaremos lá? S B Fase 2 – Implementação do Projeto de Governança de TI (Visão Geral) e Treinar a Equipe: ® - Planejar o treinamento da equipe que participará da Fase 2 L I - Realizar o treinamento da equipe que participará da Fase 2 T I Implementar os Planos de Ação e dos Processos: , - Refinar (os Planos de Ação escritos na Fase 1) os Planos de Ação escrevendo o “como fazer” ) ® - Faça a implementação dos Planos de Ação T I - Planejar a implementação dos processos (processos de TI que não existem na empresa). B - Faça a implementação dos processos O Ferramenta: PDCA (P e D) C m Verificar pós implementação: o - Fazer a verificação pós implementação: dos Planos de Ação e dos processos que foram implementados. c Ferramenta: PDCA (C e A) I T Selecionar e Adquirir Ferramentas: e Chegou a hora de escolher as ferramentas para facilitar e automatizar os processos, procedimentos d e instruções. a - Fazer a especificação da ferramenta ç - Fazer ou solicitar o processo de compra n a Ferramentas: RFI e RFP n r Implementar o Ciclo de Melhoria Continua: e v - Estabelecer o ciclo de melhoria continua o - Definir e implantar o Comitê de Melhoria Continua G Ferramentas: Brainstorming, Diagrama de Causa Efeito, PDCA
Road Map de Implementação de Governança de TI C 2.4 - Como saberemos se chegamos? S B Governança de TI. Mensuração de desempenho: e - Planejar e definir o processo, politica e os procedimentos de Monitoramento e Avaliação ® - Implementar o processo, politica e procedimentos. L I T I Fornece Direção , ® T Define Objetivos Atividades de TI I B Aumentar a automação O TI está alinhada com o negócio (torna o negócio eficaz) C TI habilita o negócio e Reduzir custo (torna a m maximiza os benefícios empresa eficiente) o Recursos de TI são Monitoramento e Gerenciar Riscos c utilizados com I (segurança, Avaliação T responsabilidade confiabilidade e e Riscos relativos de TI são conformidade) d gerenciados a apropriadamente ç Medição do n a Desempenho n r e v Monitoramento e Avaliação: o Após a implantação da Governança de TI, como saber da efetividade da implantação ? G > Os indicadores e métricas, permitem saber o desempenho em relação a metas e objetivos.
C S B e ® L I T I , ® T I B O C m o c I T e d a ç n a n r e v o G
Melhores Práticas e Recomendações para implementação da Governança de TI Objetivo desta parte: É apresentar as melhores práticas para implementação da Governança de TI
Utilizar as melhores práticas de Gestão de Projeto: C Seguir as práticas recomendadas pelo PMBok®/PMI S PMBOK® - Project Management Body of Knowledge B Conjunto de Conhecimento do Gerenciamento de Projetos e Segundo o PMBok (4º. Edição): ® L I “Um projeto é um esforço temporário empreendido para criar um produto, T I serviço ou resultado exclusivo”. , ® Gerenciamento de projeto é a aplicação de conhecimento, habilidades, T ferramentas e técnicas às atividades do projeto a fim de atender aos I requisitos. O gerenciamento de projetos é realizado através da aplicação e B da integração dos seguintes processos de gerenciamento: iniciação, O planejamento, execução, monitoramento, controle e encerramento. C m Visão dos processos do gerenciamento de projetos o c I T e d a ç O Guia PMBok , 4ª. edição, apresenta conjunto de práticas tradicionais n jáumcomprovadas em Gerenciamento a de Projetos, amplamente utilizadas. n r e É um guia onde se descreve a v somatória de conhecimento e as práticas dentro da área de o melhores gerência de projetos; G
Definir o Escopo do Projeto de implementação: C S B e O quê fazer ® L I o T c I i g , é t ® a T r I t s B E O p C n U w o c m o m i t D o o c p t t á o o T I T e B l T a e n d o i a c a ç r n e a p n O r e v Como o G fazer
Governança Corporativa Governança de Conformidade
Governança do Negócios BSC
COSO Cobit
escopo
Governança de TI Planejamento Estratégico de TI I T e d s o ç i v r e S ITIL / ISO20000
a d o a ã ç ç n a a r m r u f o g n e I S
e e r d a w a t f c i r o b S á e F d CMMi/ Mps.br
ISO17799/ ISO27002
Arquitetura de TI Recursos
Projetos s e r o d e c e n r o F SAS70 / e-SCM
PMBok/PMI Processos
BPM Qualidade ISO9001 / Seis Sigma
Defina os Marcos e os Entregáveis Etapa 2 C Etapa 1 S B Avaliação e Abertura ® L I 1 semana T I 1 2 , ® Reunião de Workshop de Abertura T Conscientização I B Planejamento Entrevistas e O de Atividades Questionários C Reunião Executiva Observação de m Campo o c I Coleta de T Documentos e d a ç n a n r e v o G
Etapa 3
Etapa 4
Análise de Dados / Elaboração dos Planos de Ações
Apresentação / Encerramento
2 semanas
1 Semana 5 Apresentação do Gap Analyses Report Apresentação dos Planos de Ação
Gap Analysis
Revisão e Ajustes
3 Tabulação de dados
Elaboração do Gap Analysis Report
4
Elaboração dos Planos de Ação
6 Entrega Gap Analyses Report e Planos de Ação
Revisão Geral
Gestão do Projeto
Entregáveis: Relatório de Gap Analysis e Relatório de Plano de Ação
Reunião de Encerramento do projeto
Selecionar: Ferramentas que aderem aos processos C Existem duas referências sobre ferramentas que aderem aos processos ITIL®: S B 1 - Relatório: PinkVerify (da Pink Elephant - www.pinkelephant.com) e > É um relatório que avaliação aderência da ferramentas em relação aos processos da ITIL ® L I T I 2 - Esquema: OCG e APM: , ® Através do OGC (Office of Government Commerce), o APM Group estabeleceu um esquema que T I permite que os fornecedores de ferramentas de software obtenha a aprovação de uma ferramenta B baseada em ITIL. Esta aprovação (aval) permite que as ferramentas tenha uma licença e um selo de O “compliant”. C Bronze Level Process Compliance (Nível Bronze) é concedido para as operações em que a m ferramenta atende ou excede o critério de avaliação o c I T e Silver Level Process Compliance (Nível Prata) é concedido para as operações em que a d ferramenta atende ou excede o critério de avaliação e que é implantada em produção em a conformidade com os processos da ITIL, em pelo menos, três clientes. ç n a n Gold Level Process Compliance (Nível Ouro) é concedido para as operações em que a r ferramenta atende ou excede o critério de avaliação é aprovada por pelo menos três clientes e que utilizam a ferramenta em produção conformidade com os processos da ITIL v o G Fonte: http://www.itil-officialsite.com/SoftwareScheme/ITILSoftwareScheme.asp
Selecionar: Ferramentas que aderem aos processos C Existem duas referências sobre ferramentas que aderem aos processos ITIL®: S B e 1 - Relatório: PinkVerify (da Pink Elephant - www.pinkelephant.com) ® PinkVERIFY Veja de lista de fornecedores de ferramentas, que estão 100% em conformidade com PinkVERIFY 3.1 L I Os processos: T I , PM = Problem Management ® AVM = Availability Management T I B CAP = Capacity Management REL = Release & Deployment Management O C CHG = Change Management RF = Request Fulfillment m o SACM = Service Asset & Configuration EV = Event Management c Management I T FM = Financial Management SCM = Service Catalog Management e d a IM = Incident Management SLM = Service Level Management ç n a ITSCM = IT Service Continuity Management SPM = Service Portfolio Management n r e KM = Knowledge Management v o G Fonte: http://www.pinkelephant.com/PinkVERIFY/PinkVERIFY3-1Toolsets.htm
Selecionar: Ferramentas que aderem aos processos C Existem duas referências sobre ferramentas que aderem aos processos ITIL®: S B 1 - Relatório: Pink Verify (da Pink Elephant - www.pinkelephant.com) e Lista em ordem alfabética: ® L I T I , ® T I B O C m o c I T e d a ç n a n r e v o G Fonte: http://www.pinkelephant.com/PinkVERIFY/PinkVERIFY3-1Toolsets.htm
Utilizar as melhores práticas para Governança de TI: Negócio C Cobit Requisitos S B Informação e PO - Planejar e Organizar Definir um Plano Estratégico de TI ® PO1 Critérios P02 Definir a Arquitetura da Informação PO3 Determinar o Direcionamento Tecnológico L Eficiência I PO4 Definir os Processos, Organização e os Relacionamentos Eficácia TI T I de Confidencialidade PO5 Gerenciar o Investimento de TI , PO6 Comunicar as Diretrizes e Expectativas da Diretoria Integridade PO7 Gerenciar os Recursos Humanos de TI Disponibilidade ® PO8 Gerenciar a Qualidade Conformidade Avaliar e Gerenciar os Riscos de TI T I PO9 Confiabilidade PO10 Gerenciar Projetos B O Recursos de TI C ME - Monitorar e Avaliar Aplicações Monitorar e Avaliar o Desempenho m ME1 Informação ME2 Monitorar e Avaliar os Controles Internos o ME3 Assegurar a Conformidade com Requisitos Infra-estrutura c Externos Pessoas I ME4 Prover a Governança de TI T e Cubo Cobit d Modelo de Governança Os recursos de TI a são gerenciados ç pelos processos de n TI para atingir os a objetivos de TI que n respondem aos r requisitos de e negócios. Este é o v princípio básico do o modelo CobiT, como G ilustrado pelo Cubo do CobiT
AI- Adquirir e Implementar AI1 AI2 AI3 AI4 AI5 AI6 AI7
Identificar Solução Automatizadas Adquirir e Manter Software Aplicativo Adquirir e Manter Infraestrutura de Tecnologia Habilitar Operação e Uso Adquirir Recursos de TI Gerenciar Mudanças Instalar e Homologar Soluções e Mudanças
DS - Entregar e Suportar DS1 Definir e Gerenciar Níveis de Serviços DS2 Gerenciar Serviços de Terceiros DS3 Gerenciar Capacidade e Desempenho DS4 Assegurar Continuidade de Serviços DS5 Assegurar a Segurança dos Serviços DS6 Identificar e Alocar Custos DS7 Educar e Treinar os Usuários DS8 Gerenciar a Central de Serviço e os Incidentes DS9 Gerenciar a Configuração DS10 Gerenciar os Problemas DS11 Gerenciar os Dados DS12 Gerenciar o Ambiente Físico DS13 Gerenciar as Operações
Características, Missão e Definição de Governança de TI Principais Características do Cobit: -- Orientado a Negócio - Orientado para Processos - Baseado em Controles - Guiado por métricas Missão do CobiT: Pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI atualizado e internacionalmente reconhecido para s er adotado por organizações e utilizado no dia -a-dia por gerentes de negócios, profissionais de TI e profissionais de avaliação Definição de Governança segundo manual do Cobit: A governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de lidera nça, estrutura organizacional e processos que garantam que a áre a de TI da organização suporte e aprimore os objetivos e as estratégias da organização
Utilizar as melhores práticas para Gestão de Serviços de TI C ITIL v3 S B e ® L I T I , ® T I B O C m o c I T e d a ç n a n r e v o G A daptado do ori g inal de David P ultorak
Utilizar as melhores práticas para Gestão de Serviços de TI C ITIL v2 S B e Relacionamento com Negócio ® L I T I s o , i ç ® v r e T Gerenciamento do Nível de Serviço I S B e Gerenciamento Gerenciamento Gerenciamento O d Gerenciamento a Financeira de de Continuidade C g de de Capacidade e r Serviços de TI de Serviços de TI t Disponibilidade n m E o c I T s Gerenciamento de Mudança o e i ç d v r s o e i r a S Gerenciamento Gerenciamento Gerenciamento Central de ç s á u de de s Serviços n o de Liberação a U a e (porta) Incidentes Problemas t n r r o e p u v S Gerenciamento de Configuração o G
a ç n a r u g e S e d o t n e m a i c n e r e G
Adotar e Adaptar: Levar em consideração a cultura da empresa C As melhores práticas para o Gerenciamento de Serviços de TI devem ser S adaptadas a cultura da empresa. Adotar e B Suporte aos Serviços e Adaptar Registro de ® Chamado L I Gestão de Gestão de T I Configuração Incidentes , ® Central de Usuários T I Serviço B Ciclo PDCA O C Planejar Executar Gestão de Entrega dos Serviços Plan DO m Problema Agir Verificar o Check Ac t Monitoramento SLA c I RFC T e Gestão de Gestão de d Mudança Liberação Gestão SLM/SLA a ç n Gestão de Gestão de a Clientes Continuidade Disponibilidade n r (negócios) e Gestão de Gestão de Base de v Financeira Capacidade Conhecimento o G
Definir o grau de importância dos Processos de TI: C O grau de importância dos processos é uma ótima referência para definição do nível S de prioridade da implementação dos processos de TI. B Cobit pode ajudar na definição do nível de prioridade. No manual do Cobit existe uma e referência do grau de importância do processos. Veja o exemplo abaixo: ® L I T I , ® T I B O C Grau de importância: Alto m o c I T e d a ç n a n r e v o G
Definir os Papéis e Responsabilidades: C Defina claramente os papéis e responsabilidades, utilize a Matriz RACI, o Cobit tem a S Matriz definida para todos os 34 processos. B Veja o exemplo: e ® Entrega e Suporte L I T I Gerenciar Central de Serviços e Incidentes , ® T I B O C m o c I T e d a ç n a R – Responsável: Quem é responsável pela execução (a execução pode ser delegada) n r A – Accountable: Quem presta conta e (exemplo: presta conta sobre os resultados do processo) v C – Consultado: quem é consultado o (exemplo: antes ou depois da execução de uma atividade) I - Informado: quem é informado G (exemplo: antes ou depois da execução de uma atividade)
DS8
Definir os Atributos de Controle dos Processos: C Principais atributos de controle de um processo, que você deve definir: S B e PC1 - Metas e Objetivos do Processo Define e comunica as metas e objetivos específicos, mensuráveis, acionáveis, realísticos, ® orientados a resultados e no tempo apropriado para a efetiva execução de cada processo de L I TI. Assegura que eles estão ligados aos objetivos de negócios e que são suportados por T I , métricas apropriadas. ®Questões chaves: Qual é a meta do processo ? Quais são os objetivos do processos ? T I B PC2 - Propriedade dos Processos ODesigna um proprietário para cada processo de TI e claramente define os papéis e C responsabilidades de cada proprietário de processo. Inclui por exemplo, a responsabilidade mpela elaboração do processo, interação com outros processos, responsabilidade pelos o resultados finais, medidas da performance do processo e a identificação de oportunidades de c I melhorias. T Questão chave: Quem é dono do processos ? e d a PC3 - Repetibilidade dos Processos ç Elabora e estabelece cada processo-chave de TI de maneira que possa ser repetido e n produzir de maneira consistente os resultados esperados. Fornece uma sequência lógica a n r mas flexível das atividades que levarão ao resultado desejado, sendo ágil o suficiente para e lidar com exceções e emergências. Usa processos consistentes, quando possível, e v processos personalizados apenas quando inevitável. o GQuestão chave: O resultado do processo é previsível ?
Definir os Atributos de Controle dos Processos: C Principais atributos de controle de processo: (continuação) S B PC4 - Papéis e Responsabilidades: e Define as atividades-chaves e as entregas do processo. Designa e comunica papéis e ®responsabilidades para uma efetiva e eficiente execução das atividades-chaves e sua L I documentação bem como a responsabilização pelo processo e suas entregas. T I Questão chave: Quem é responsável pelas atividades ? , ® T I PC5 - Políticas Planos e Procedimentos: B Define e comunica como todas as políticas, planos e procedimentos que direcionam os Oprocessos de TI são documentados, revisados, mantidos, aprovados, armazenados, C comunicados e utilizados para treinamento. Designa responsabilidades para cada uma mdessas atividades e em momentos apropriados verifica se elas são executadas o corretamente. Assegura que as políticas, planos e procedimentos sejam acessíveis, c I corretos, entendidos e atualizados. T Questão chave: Quais são as politicas e procedimentos do processo ? e d PC6 - Melhoria do Processo de Performance: a ç Identifica um conjunto de métricas que fornecem direcionamento para os resultados e n performance dos processos. Estabelece metas que refletem nos objetivos dos processos e a indicadores de performance que permitem atingir os objetivos dos processos. n r Definem como os dados são obtidos. Compara as medições reais com as metas e toma e v medidas quanto aos desvios quando necessário. Alinha métricas, metas e métodos com o o enfoque de monitoramento de performance geral de TI. G Questão chave: Existe um enfoque em melhoria contínua ?
Definir as Politicas, Procedimentos, Planos e Registros: C Para implementação dos controles dos processos de TI, que é parte da Governança de TI, S será necessário definir e elaborar as politicas, procedimentos, planos e instruções. Veja o B modelo abaixo: e ® Nível Estratégico L I Descreve a Política da Política T I empresa (diretrizes) da Empresa , ® T I Descrevem atividades B individuais: “o quê, Planos e Nível Tático O quem e quando”. Procedimentos C m Instruções de Trabalho, Nível Operacional o Descrevem as tarefas: c Especificações, Métodos e I “como”. etc T e d Evidências Evidenciam a realização (Operacional de a Registros comprovação) ç das atividades/tarefas n a Como a empresa • Relatórios n • Relatórios de atendimento r Demonstra a • Chamado/Ticket • Registros de Treinamento e efetivamente • Resultados de Auditoria v • Formulários (exemplo: RFC) como processo o • Logs • Pesquisas de Satisfação com cliente praticado G 1 - Aderente ao padrão ISO
Definir os Indicadores de Desempenho: C Por que medir ? S “Quem não mede, não gerencia, quem não gerencia, não melhora.” -Joseph M. Juran B “O que não pode ser medido não pode ser controlado” - Prof. Ishikawa: e ® Definição dos indicadores é uma parte fundamental do Modelo de Governança, pois os L I indicadores é a principal ferramenta para avaliar o desempenho da TI. T I Características de um bom Processo: , ® Por ser mensurável, é possível T É Mensurável I avaliar sua performance (através de B - É bem definido KPI1) e aplicar o ciclo de melhoria O- Tem um dono definido C contínua (PDCA1) - Passível de repetição m o - É previsível c I - Consistente Nível de T - Integro Excelência Maturidade operacional e - É estável d a - Tem nível de maturidade ç adequado ao requisitos do negócio n a - É adaptável n r - É Documentado Consolidação e do nível v o Tempo G
Considerações sobre os Indicadores de Desempenho: C Indicadores: S B Para atender os objetivo e os requisitos do negócio devemos medir o desempenho e e a qualidade do resultado (produzido) pelo processos. ® Para isto precisamos definir quais os indicadores, metas, métricas, como será a coleta e L I análise dos dados. T I Desta forma podemos fazer a gestão e a melhoria contínua dos processos. , ® Definição de Indicadores de Desempenho e de Qualidade (Resultado): T I B Indicador-chave de Desempenho é uma medida significativa usada para monitorar o O progresso dos processos em relação a uma meta preestabelecida. (rfs-2006) C m Indicador-chave de Qualidade (Resultado) é uma medida significativa usada para para o medir o nível de qualidade do resultado produzido pelo processo em relação a uma meta c I preestabelecida. (rfs-2006) T e d Exemplo: a Processo: Atendimento ao Cliente (SAC): ç n a n r e v o G R eclamação A tendimento R es pos ta
Definir os Indicadores de Desempenho: C S Processo: Atendimento a Clientes B e Exemplos de Métricas: ® - Quantidade de chamados atendidos L I - Quantidade de chamados não atendidos T I , - Quantidade de ligações recebidas por mês ® T I Exemplos de Indicadores de Desempenho: B - Taxa de abandono de ligações O - TMA (Tempo médio de atendimento) C - Percentual de Satisfação do cliente com o primeiro nível de atendimento m o c I Exemplos de Meta: T - 97% de Satisfação do cliente com o primeiro nível de atendimento e - 80% dos Chamados resolvidos no primeiro nível de atendimento d a ç Benefícios dos Indicadores: n - Permite o Controle, Gerenciamento e Melhoria da Qualidade: a n r - Permite mensurar o desempenho do processo e - Permite implementar o ciclo de melhoria continua v o - Permite planejar e realização de treinamento G
Definir os Indicadores de Desempenho: C O Cobit tem um conjunto de indicadores (objetivos e métricas) definidos para cada um dos S seus 34 processos. Veja o exemplo abaixo: B e Entrega e Suporte ® Gerenciar Central de Serviços e Incidentes L I T I Objetivos e Métricas: , ® T I B O C m o c I T e d a ç n a n r e v o G
Cobit
DS8
Contratar ajuda externa: C Considere contratar uma empresa de consultoria especializada, para ajudar na definição S da visão do modelo de Governança, na avaliação do nível de maturidade dos processos B de TI, na condução do projeto de implementação, na gestão da mudança e na elaboração e do plano de comunicação. ® L I T I , ® T I B O C m o c I T e d a ç n a n r e v o G
Definir um Plano de Comunicação: C A implementação da Governança de TI exige (na maioria das vezes) um nível elevado de S mudança organizacional. B e A principal barreira à mudança é falta de comunicação ou uma comunicação pobre (são inconsistentes, fragmentadas e ineficazes). ® Falta de comunicação leva a incerteza, insegurança e medo. Uma pessoa insegura e com L I medo pode reagir a mudança atacando ou criando empecilhos a mudança. Isso pode T I comprometer o resultado da mudança (a implementação da , ® Governança de TI). T I B Solução: Definir um Plano de Comunicação que alcance todas as partes interessados O na implementação da Governança de TI C m o c I T e d a ç n a n r e v o G
Fazer a Gestão da Mudança: C Vender os benefícios da mudança aos colaboradores garante o comprometimento com sucesso S da mudança B Identificação da extensão das implicações e Mudança da Mudança. AÇÃO ® Noção de que o objeto da L Ação: Comprometer mudança é uma realidade I T I , ® T CRENÇA I Ação: Definir Senso de Propriedade B Demonstração de sinais de O t “buy-in ” da mudança. o C n As pessoas começam a aderir e e contribuir para mudança; m m i t o e ENTENDIMENTO c m Ação: Fazer entender o I r T p m Compreensão do objetivo da mudança, e o e C também como as pessoas estão inseridas d no contexto da mudança. Ação: Informar a Falta de CONHECIMENTO ç informação n sobre o a objeto da n mudança Conhecimento da mudança, mas ainda existe r DESCONHECIMENTO dúvidas sobre o escopo, profundidade, e impacto ou razão da mudança v o G Tempo
Fazer a Gestão da Mudança: C Melhores Práticas: Oito Passos para a Mudança (John Kotter): S 8. Institucionalizar B e a nova abordagem Implemente & Sustente a ® Transformação L 7. Consolidar a Mudança I T I , 6. Planejar e criar ganhos de Comprometa & Capacite ® toda Organização curto prazo T I B 5. Implementar a Visão O C Crie um Clima para a Mudança m 4. Comunicar a Visão o c I 3. Criar a visão da mudança T e d 2. Formar uma equipe comprometida com a a visão da mudança ç n a 1. Estabelecer um senso de urgência n r e v ”Todos os esforços de transformação altamente bem-sucedidos combinam uma boa liderança o com um bom gerenciamento”. G Based on Kotter, John P. Leading Change. Boston: Harvard Business School Press
Vender os Resultados: C Venda os resultados que a implementação de Governança de TI pode gerar e não as S funcionalidades e/ou características. Veja o exemplo abaixo: B e ® L I T I , ® Alguns Resultados: T I B - Aumento: 12% da disponibilidade O C do ambiente de TI m - Redução: 10% no TCO o c - Redução: 30% Falhas nas I T Operacionais (aumento de Resultados e confiabilidade dos serviços) d obtidos com a - Redução: 50% no tempo de a implementação de ç atendimento (respostas aos n a Gestão de Serviços incidentes) n r de TI com base nas - Redução: 25% no tempo de e v praticas da ITIL execução das mudanças o G
Referências: C S B e ® L I T I , ® T I B O C m o c I T e d a ç n a n r e v o G
Notas: C S B e ® L I T I , ® T I B O C m o c I T e d a ç n a n r e v o G
Marcas Registradas: Todos os termos mencionados que são reconhecidos como Marca Registrada e/ou comercial são de responsabilidades de seus proprietários. O autor informa não estar as sociada a nenhum produto e/ou fornecedor que é apresentado neste material. No decorrer deste, imagens, nomes de produtos e fabricantes podem ter sido utilizados, e desde já o autor informa que o uso é apenas ilustrativo para fins educativo, não visando ao lucro, favorecimento ou desmerecimento da marca ou produto. Melhoria e Revisão: Este material esta em processo constante de revisão e melhoria, se você encontrou algum problema ou erro envie um e-mail para nós. Criticas e Sugestões: Nós estamos abertos para receber criticas e sugestões que possam melhorar o material, por favor envie um e-mail para nós. Imagens: Google, Flickr e Banco de Imagem.
Rildo F dos Santos (
[email protected])
Licença: C S B e ® L I T I , ® T I B O C m o c I T e d a ç n a n r e v o G
