GOVERNANÇA DE TI - TEMA5

Prévia do material em texto

DESCRIÇÃO
A arquitetura de TI com o uso do COBIT, ISO 38500 e TOGAF. A governança de processo e o uso BABOK e BPM CBOK. A governança de
projetos e as práticas do PMBOK, PRINCE2 e SCRUM. Os benefícios das normas ISO 27001, ISO 27002 e ISO 27014 na governança de
segurança da informação.
PROPÓSITO
Compreender a importância dos padrões de arquitetura de TI, governança de processo, de projetos e de segurança da informação para a
aplicação de uma Governança de TI eficiente dentro da organização.
OBJETIVOS
MÓDULO 1
Descrever a arquitetura de TI com o uso de COBIT, ISO 38500 e TOGAF
MÓDULO 2
Estabelecer a governança de processo com uso do BABOK e BPM CBOK
MÓDULO 3
Reconhecer a governança de projetos com o uso do PMBOK, PRINCE2 e SCRUM
MÓDULO 4
Identificar o funcionamento da governança de segurança da informação através das normas ISO 27001, ISO 27002 e ISO 27014
INTRODUÇÃO
Apresentaremos de forma ampla os principais conceitos sobre arquitetura de TI com o uso de COBIT, ISO 38500 e TOGAF. Veremos a
importância do desenvolvimento de governança de processo com uso do BABOK e BPM CBOK, bem como a relevância da governança de
projetos com o uso do PMBOK, PRINCE2 e SCRUM. Por fim, identificaremos como funciona a governança de segurança da informação
através das normas ISO 27001, ISO 27002 e ISO 27014.
MÓDULO 1
Descrever a arquitetura de TI com o uso de COBIT, ISO 38500 e TOGAF
A ARQUITETURA DE TI
A Arquitetura de TI é considerada uma competência da área de TI, cujo principal objetivo é garantir que todos os processos e soluções
tecnológicas atendam às necessidades da empresa, de modo que todas as ações executadas estarão totalmente alinhadas com os objetivos
estratégicos da organização.
RESUMINDO
A Arquitetura de TI se certificará que a área de TI tomará todas as ações necessárias de modo a entregar todos os benefícios esperados pela
instituição.
OBJETIVOS DA ARQUITETURA DE TI
Os principais objetivos de uma Arquitetura de TI totalmente alinhada com a Governança de TI de uma organização são: planejar, estruturar,
desenvolver e monitorar soluções de TI com base na estratégia e na necessidade de negócio da organização.
UM DOS PAPÉIS EXISTENTES EM UMA INSTITUIÇÃO COM O OBJETIVO DE IMPLEMENTAR
UMA ARQUITETURA DE TI EFICIENTE É O ARQUITETO DE TI.
O QUE FAZ UM ARQUITETO DE TI
O papel do Arquiteto de TI é extremamente importante dentro de uma organização, pois ele é responsável por analisar todo o ambiente de TI
e demais áreas com o intuito de identificar a situação na qual a empresa se encontra e o que pode ser otimizado para torná-la mais
estratégica.
COMENTÁRIO
É muito comum, principalmente em grandes organizações, que não se tenha conhecimento de todos os recursos (hardware, software e
outros) existentes e se eles estão sendo utilizados de forma produtiva e devidamente alinhados com a estratégia.
BENEFÍCIOS DA ARQUITETURA DE TI
São diversos os benefícios que uma Arquitetura de TI devidamente alinhada com o modelo de Governança pode oferecer para uma
organização, entre eles podemos citar:
AUMENTO NA PRODUTIVIDADE DE TODOS OS PROCESSOS
Uma Arquitetura de TI bem elaborada identificará todos os processos da organização e o que pode ser otimizado. Desta forma, será natural
que todos os processos da organização tenham uma melhora de desempenho.
AUMENTO NA GARANTIA DE DISPONIBILIDADE
A Arquitetura de TI irá colaborar de forma efetiva para a criação de um plano de continuidade de TI. Tal plano, sendo bem elaborado, tem
como objetivo garantir que ocorra uma continuidade de todos os sistemas, ou seja, que todos os sistemas estejam sempre disponíveis para
os usuários. O plano de continuidade é uma ferramenta extremamente importante dentro da Governança de TI.
RECURSOS UTILIZADOS DE FORMA EFICIENTE
A Arquitetura de TI, através do mapeamento dos ativos de TI e da identificação dos recursos que estão ou não sendo utilizados de forma
eficiente, permitirá a alocação eficaz dos recursos, identificando quais recursos estão sendo subutilizados e quais podem ser descontinuados
por estarem gerando custos desnecessários.
A ÁREA DE TI ESTARÁ TOTALMENTE ALINHADA COM O NEGÓCIO
Este com certeza é um dos principais ganhos, pois os resultados gerados por uma Arquitetura de TI eficiente deverão garantir maior
alinhamento da TI com o negócio, ou seja, de que modo o negócio irá utilizar a TI de forma eficiente e como a TI irá prover serviços de forma
mais eficiente para o negócio.
O COBIT
O COBIT – Objetivos de Controle para a Informação e Tecnologia relacionada ou Control Objectives for Information and related Technology,
apoia as organizações a alcançar as múltiplas necessidades da administração pela superação dos espaços entre os riscos de negócio,
necessidades de controle e aspectos técnicos.
OBJETIVOS DO COBIT
O principal objetivo do COBIT é proporcionar boas práticas para a organização através de um modelo de domínio e processos em uma
estrutura lógica e gerenciável.
BOAS PRÁTICAS DO COBIT SIGNIFICAM O CONSENSO ENTRE OS ESPECIALISTAS, POIS
ELAS APOIARÃO A ORGANIZAÇÃO A OTIMIZAR SEUS INVESTIMENTOS EM INFORMAÇÕES
E FORNECERÃO UMA MEDIDA DE COMPARAÇÃO QUANDO OS RESULTADOS NÃO FOREM
SATISFATÓRIOS.
O OBJETIVO DE UM CONTROLE DE TI
O objetivo de um Controle de TI dentro de uma organização é uma declaração de resultados esperados ou propósitos a serem alcançados
pela implementação de procedimentos de controle dentro de atividades específicas de TI.
A alta gestão da organização deve assegurar que um sistema ou modelo de controle interno esteja em vigor para que os processos de
negócio sejam suportados.
ATENÇÃO
É importante que fique claro como cada atividade de controle individual atenderá aos requisitos de informação e aos impactos nos recursos
de TI.
QUAIS SÃO AS CARACTERÍSTICAS DO COBIT?
O COBIT foi criado tendo como principais características:
Foco no negócio da organização.
Orientado a processos.
Faz uso de controles.
Direcionado por métricas.
Suportado por ferramentas e treinamentos.
QUAIS SÃO OS BENEFÍCIOS DO COBIT PARA A ORGANIZAÇÃO?
São diversos os benefícios que uma organização possuirá ao fazer uso do COBIT, entre os principais, podemos citar:
Fonte: NDAB Creativity/ShutterStock
Haverá uma melhora na qualidade das informações de modo a suportar com mais eficácia as decisões de negócios.
Fonte: Gorodenkoff/ShutterStock
Agregação de valor aos investimentos de TI de modo a atingir e superar as metas estratégicas de se entregar benefícios de negócio por meio
eficaz do uso da TI.
Fonte: Blue Planet Studio/ShutterStock
A organização atingirá um nível de excelência operacional através de aplicações confiáveis e eficientes.
Fonte: SFIO CRACHO/ShutterStock
Todos os riscos relacionados com a TI serão mantidos em níveis aceitáveis.
Fonte: wutzkohphoto/ShutterStock
O custo de serviços de TI será otimizado.
Fonte: create jobs 51/ShutterStock
A organização estará em total conformidade com leis, acordos contratuais, políticas internas e externas e regulamentos.
Fonte: Blue Planet Studio/ShutterStock
O COBIT possui aceitação internacional como framework de modelo para a Governança de TI e sempre está em desenvolvimento contínuo.
DOMÍNIOS E PROCESSOS DO COBIT
O COBIT é organizado em processos de governança e de gestão. Os processos de governança são 5 e estão organizados em um único
domínio. Já os processos de gestão são 32 e estão organizados em 4 domínios (ISACA, 2020).
A governança assegura que as necessidades, condições e opções das partes interessadas sejam avaliadas para que se determine os
objetivos de negócio a serem atingidos.
RESUMINDO
A governança define a direção da organização por meio da priorização e da tomada de decisão.
A governança inclui o domínio:
AVALIAR, DIRIGIR E MONITORAR (EDM)
Os processos deste domínio ditam as responsabilidades da alta direção para a avaliação, direcionamento e monitoração do uso dos ativos de
TI para a criação de valor para a organização, sendo eles:
EDM01 – Garantira definição e manutenção do modelo de governança.
EDM02 – Garantir a realização de benefícios.
EDM03 – Garantir a otimização do risco.
EDM04 – Garantir a otimização dos recursos.
EDM05 – Garantir transparência para as partes interessadas.
A gestão consiste basicamente em planejar, construir, executar e monitorar todas as atividades que estiverem alinhadas com os objetivos
estratégicos estabelecidos pela Governança de TI de modo que os objetivos de negócio da organização sejam atingidos.
A gestão inclui os domínios (ISACA, 2020):
ALINHAR, PLANEJAR E ORGANIZAR (APO)
Esse domínio trata da forma como a TI pode contribuir de forma eficaz para os objetivos de negócio da organização e basicamente inclui os
processos abaixo:
APO01 – Gerenciar a Estrutura de Gestão de TI.
APO02 – Gerenciar a Estratégia.
APO03 – Gerenciar a Arquitetura da Organização.
APO04 – Gerenciar Inovação.
APO05 – Gerenciar Portfólio.
APO06 – Gerenciar Orçamento e Custos.
APO07 – Gerenciar Recursos Humanos.
APO08 – Gerenciar Relacionamentos.
APO09 – Gerenciar Contratos de Prestação de Serviços.
APO10 – Gerenciar Fornecedores.
APO11 – Gerenciar Qualidade.
APO12 – Gerenciar Riscos.
APO13 – Gerenciar Segurança.
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI)
Esse domínio é responsável por tornar concreta a estratégia de TI de modo a identificar os requisitos necessários para a TI e de gerenciar o
programa de investimentos em TI. Os processos desse domínio são:
BAI01 – Gerenciar Programas e Projetos.
BAI02 – Gerenciar Definição de Requisitos.
BAI03 – Gerenciar Identificação e Desenvolvimento de Soluções.
BAI04 – Gerenciar Disponibilidade e Capacidade.
BAI05 – Gerenciar Capacidade de Mudança Organizacional.
BAI06 – Gerenciar Mudanças.
BAI07 – Gerenciar Aceitação e Transição da Mudança.
BAI08 – Gerenciar Conhecimento.
BAI09 – Gerenciar Ativos.
BAI10 – Gerenciar Configuração.
ENTREGAR, SERVIR E SUPORTAR (DSS)
Esse domínio se refere à entrega de todos os serviços de TI que são necessários para atender os planos táticos e estratégicos da
organização. Os processos desse domínio são:
DSS01 – Gerenciar Operações.
DSS02 – Gerenciar Solicitações e Incidentes de Serviços.
DSS03 – Gerenciar Problemas.
DSS04 – Gerenciar Continuidade.
DSS05 – Gerenciar Serviços de Segurança.
DSS06 – Gerenciar Controles do Processo de Negócio.
MONITORAR, AVALIAR E ANALISAR (MEA)
Esse domínio tem como principal objetivo o de monitoramento de desempenho dos processos de TI no qual será avaliado se a execução dos
processos está em conformidade com os objetivos e requisitos da organização. Os processos desse domínio são:
MEA01 – Monitorar, Avaliar e Analisar Desempenho e Conformidade.
MEA02 – Monitorar, Avaliar e Analisar o Sistema de Controle Interno.
MEA03 – Monitorar, Avaliar e Analisar Conformidade com Requisitos Externos.
A NBR ISO 38500
A NBR ISO/IEC 38500 e o COBIT são as normas mais utilizadas para Governança de TI. Os dois modelos oferecem excelentes medidas
para que uma instituição possa organizar a sua TI de forma eficiente.
A norma ISO 38500 oferece todas as informações necessárias para que os membros responsáveis pela governança (diretores, alta gestão,
consultores e outros) possam fazer uso da tecnologia de modo aceitável e eficaz.
OBJETIVOS DA ISO 38500
O principal objetivo da norma ISO 38500 é oferecer uma estrutura de princípios básicos para que a diretoria e a alta gestão possam gerenciar
e monitorar o uso de tecnologia da informação em sua organização.
COMENTÁRIO
Atualmente, a TI é uma ferramenta fundamental para as organizações e praticamente nenhuma organização pode realmente funcionar de
forma eficaz sem ela.
A norma ISO 38500 oferece uma estrutura para que as organizações façam uso eficiente de sua governança de TI, pois as organizações a
partir do uso desta norma irão entender e cumprir suas obrigações legais e regulamentares, assim como questões éticas com relação ao uso
da TI.
QUAIS SÃO OS 6 PRINCÍPIOS BÁSICOS PARA UMA BOA GOVERNANÇA
DE TI?
A norma ISO 38500 define 6 princípios básicos para a aplicação de uma Governança de TI eficiente, sendo eles (ISO/IEC 38500, 2020):
Fonte: Gorodenkoff/ShutterStock
RESPONSABILIDADE:
Todos os colaboradores e grupos da organização devem entender e aceitar devidamente suas responsabilidades para que a TI seja fornecida
de forma eficiente. Todos os colaboradores responsáveis pelas ações devem possuir a autoridade necessária para que as ações possam ser
executadas.
Fonte: Pressmaster/ShutterStock
ESTRATÉGIA:
A estratégia de negócio da organização deve levar em conta a sua capacidade atual e futura de TI, assim como todo o planejamento
estratégico que atenda suas necessidades atuais e contínuas.
Fonte: Gorodenkoff/ShutterStock
AQUISIÇÕES:
Todas as aquisições de TI deverão ser realizadas por motivos claros, com uma base aprofundada e análise transparente de todas as
decisões. Deverá existir um equilíbrio entre os benefícios, oportunidades, custos e riscos.
Fonte: Matej Kastelic/ShutterStock
DESEMPENHO:
O desempenho da TI deve ser adequado e eficiente de modo a suportar todas as necessidades da organização e os serviços devem ser
disponibilizados de forma eficiente a níveis adequados de qualidade.
Fonte: enzozo/ShutterStock
CONFORMIDADE:
A TI deverá se encontrar em total conformidade com a legislação e todos os tipos de regulamentos aplicáveis. As políticas e demais práticas
deverão estar claramente definidas.
Fonte: NDAB Creativity/ShutterStock
COMPORTAMENTO HUMANO:
Todas as políticas, práticas e decisões de TI estão relacionadas ao comportamento humano, incluindo as necessidades atuais e a evolução
das necessidades de todas as pessoas envolvidas neste processo.
QUAIS SÃO AS 3 TAREFAS RECOMENDADAS PELA NORMA ISO 38500?
A norma ISO 38500 recomenda aos responsáveis pela organização que a TI seja governada através das seguintes tarefas:
Avaliar o uso atual e futuro da TI.
Orientar a preparação e a implementação de todos os planos e políticas necessárias de modo a garantir que os objetivos de negócio
sejam atingidos através do uso eficiente da TI.
Monitorar o cumprimento de todas as políticas aplicadas e do desempenho em relação ao que foi planejado.
O TOGAF
O TOGAF – The Open Group Architecture Framework reúne um conjunto de boas práticas (framework) que fornece uma abordagem global
ao projeto (design), planejamento, implementação e governança de uma arquitetura corporativa (EA).
OBJETIVOS DO TOGAF
O principal objetivo do TOGAF é oferecer um conjunto de arquitetura base que permite que a equipe de arquitetura vislumbre o estado atual e
futuro da organização. O TOGAF é baseado no TAFIM (Framework de arquitetura técnica para gerenciamento de informações), que define
uma estrutura de gerenciamento de TI que foi desenvolvida pelo departamento de defesa dos EUA na década de 90 que é considerada um
modelo de referência para a arquitetura corporativa.
OS DOMÍNIOS DO TOGAF
A arquitetura corporativa (EA) do TOGAF basicamente é modelada em quatro níveis ou domínios, sendo eles (OPEN GROUP, 2020):
ARQUITETURA DE NEGÓCIO
Esse domínio é responsável por definir a estratégia do negócio e os processos chave de negócio da organização.
null
Fonte: UfaBizPhoto/ShutterStock
ARQUITETURA DE APLICAÇÕES
Esse domínio define a “planta” para a implementação de sistemas de aplicações individuais, suas interações e seus relacionamentos com os
processos de negócio centrais da organização.
null
Fonte: REDPIXEL.PL/ShutterStock
ARQUITETURA DE DADOS
Esse domínio define a estrutura lógica e física de todos os ativos de uma organização e todos seus recursos de gerenciamento de dados.
null
Fonte: SFIO CRACHO/ShutterStock
ARQUITETURA DE INFRAESTRUTURA TECNOLÓGICA
Esse domínio define as capacidades lógicas de hardware e software que são necessárias para que se dê o suporte necessário ao emprego
dos serviços de negócio, dados e aplicações. Ele também inclui toda a infraestrutura de TI, redes de comunicação, servidores,protocolos de
comunicação, padrões de processamento etc.
null
Fonte: Techapanupreeda/ShutterStock
BENEFÍCIOS DO TOGAF
O TOGAF ajuda a instituição a organizar seu processo de desenvolvimento por meio de uma abordagem sistemática, que é totalmente
focada na Governança de TI e no cumprimento dos objetivos de negócio, e que tem como principal objetivo o de reduzir falhas, manter
cronogramas e garantir o alinhamento da TI com a área de negócio de modo a gerar resultados com qualidade e alinhados a estratégia da
organização.
O TOGAF se destina principalmente a (OPEN GROUP, 2020):
Garantir que todos da organização falem o mesmo idioma.
Padronizar métodos abertos para a arquitetura corporativa de modo a evitar que a organização fique presa a soluções proprietárias.
Utilizar todos os recursos de forma eficaz, economizando tempo e reduzindo custos.
Permitir um retorno sobre o investimento (ROI – Return on investment) demonstrável.
O TOGAF PERMITE CRIAR UMA ABORDAGEM SISTEMÁTICA QUE VISA A SIMPLIFICAR
TODO O PROCESSO DE DESENVOLVIMENTO DA ORGANIZAÇÃO. É CRIADA UMA
LINGUAGEM COMUM NA ORGANIZAÇÃO QUE PREENCHE LACUNAS EXISTENTES ENTRE A
ÁREA DE TI E A ÁREA DE NEGÓCIO.
O TOGAF é um documento bem extenso e totalmente flexível de modo que a organização pode escolher quais partes do TOGAF serão
utilizadas de forma a atender as suas necessidades de negócio.
PRINCIPAL CARACTERÍSTICA DO TOGAF
A principal característica do TOGAF, além do fato de ser um framework aberto, é a disponibilização de uma metodologia amplamente
customizável que tem como objetivo orientar todos os esforços de arquitetura da organização. O coração do TOGAF é o ADM – Architecture
Development Method que possui as seguintes fases:
FASE PRELIMINAR:
Nessa fase iniciam-se os trabalhos da arquitetura corporativa em que será definida a equipe de arquitetura e o método de trabalho.
FASE A – VISÃO DA ARQUITETURA:
Fase que corresponde ao planejamento do projeto de arquitetura corporativa a ser executado. Será estabelecida a visão de como deverá ser
a arquitetura de modo a atender a estratégia e as necessidades de negócio da organização.
FASE B – ARQUITETURA DE NEGÓCIO:
Fase na qual serão documentados o estado atual e futuro de todos os processos de negócio da organização.
FASE C – ARQUITETURA DE SISTEMAS DE INFORMAÇÃO:
Nessa fase serão identificados todos os sistemas de informação e dados necessários para atender aos processos de negócio documentados
na fase anterior.
FASE D – ARQUITETURA DE TECNOLOGIA:
Essa fase tem como objetivo documentar todas as necessidades futuras da organização em termos de infraestrutura tecnológica de modo a
atender as necessidades da fase anterior.
FASES E E F – OPORTUNIDADES E SOLUÇÕES E PLANEJAMENTO DA
MIGRAÇÃO:
Nessas duas fases serão consolidados todos os pontos de melhoria das fases B, C e D de modo a criar um portfólio de projetos para atingir a
arquitetura corporativa desejada pela organização.
FASE G – GOVERNANÇA DA IMPLEMENTAÇÃO:
Fase na qual serão realizadas revisões de conformidade e auditorias no portfólio de projetos de modo a garantir que tudo esteja sendo
executado conforme a arquitetura corporativa proposta.
FASE H – GESTÃO DE MUDANÇAS NA ARQUITETURA:
Fase responsável pelo acompanhamento diário de modo a garantir que a arquitetura implantada na fase G esteja alinhada com a estratégia
da organização. Grandes mudanças identificadas devido a mudanças no ambiente de negócios e da estratégia da organização poderão
impactar em uma nova execução de todo o ciclo do ADM.
No vídeo abaixo, veja um breve resumo sobre COBIT, ISO 38500 e TOGAF.
VERIFICANDO O APRENDIZADO
1. ESTUDAMOS CONCEITOS IMPORTANTES SOBRE ARQUITETURA DE TI E SEUS PRINCIPAIS BENEFÍCIOS.
ASSINALE A ALTERNATIVA QUE DESCREVE OS PRINCIPAIS BENEFÍCIOS QUE A ORGANIZAÇÃO TERÁ AO
IMPLEMENTAR UMA ARQUITETURA DE TI:
A) Aumento no lucro da organização, aumento no custo operacional e perda na produtividade de um modo geral.
B) Aumento na produtividade de todos os processos, aumento na garantia de disponibilidade, recursos utilizados de forma eficiente e a área
de TI estará totalmente alinhada com o negócio.
C) Aumento nos investimentos de infraestrutura de TI e de pessoal capacitado.
D) Maior motivação de toda equipe, recursos ainda utilizados de forma ineficiente e com maior custo operacional.
2. CONHECEMOS AS FASES DO TOGAF E SEUS OBJETIVOS. ASSINALE A ALTERNATIVA QUE APRESENTA
A FASE RESPONSÁVEL PELAS REVISÕES DE CONFORMIDADE E AUDITORIA NO PORTFÓLIO DE
PROJETOS DA ORGANIZAÇÃO:
A) Fase D – Arquitetura de Tecnologia.
B) Fase H – Gestão de Mudanças na Arquitetura.
C) Fase G – Governança da Implementação.
D) Fase C – Gestão da Conformidade.
GABARITO
1. Estudamos conceitos importantes sobre Arquitetura de TI e seus principais benefícios. Assinale a alternativa que descreve os
principais benefícios que a organização terá ao implementar uma Arquitetura de TI:
A alternativa "B " está correta.
A implementação de uma Arquitetura de TI eficiente trará benefícios para a organização, pois esta fará uso mais eficiente de seus recursos
de TI. De um modo geral, haverá uma melhoria no desempenho de todos os processos e um excelente ganho em termos de alinhamento
entre as áreas de TI e de negócio.
2. Conhecemos as fases do TOGAF e seus objetivos. Assinale a alternativa que apresenta a fase responsável pelas revisões de
conformidade e auditoria no portfólio de projetos da organização:
A alternativa "C " está correta.
A fase de Governança da Implementação é fundamental, pois nela serão realizadas todas as revisões de conformidade e auditorias. Esta
fase é responsável pela garantia de qualidade de todo o processo. Todas as não conformidades encontradas deverão ser resolvidas de modo
a garantir que os resultados estejam de acordo com o que foi planejado pela organização.
MÓDULO 2
Estabelecer a governança de processo com uso do BABOK e BPM CBOK
O GUIA BABOK
O BABOK – Guia para o Corpo de Conhecimento da Análise de Negócios ou A Guide to the Business Analysis Body of Knowledge define um
padrão para a prática de análise de negócios, sendo globalmente reconhecido.
O GUIA BABOK DESCREVE TODAS AS ÁREAS DE CONHECIMENTO, ATIVIDADES, TAREFAS
E HABILIDADES NECESSÁRIAS PARA QUE SE FAÇA UMA ANÁLISE DE NEGÓCIOS
EFICIENTE DENTRO DE UMA ORGANIZAÇÃO.
OBJETIVOS DO BABOK
O principal objetivo do BABOK é definir um excelente padrão que serve como apoio para que todos os analistas de negócio possam entregar
valor para suas organizações, estando essa prática totalmente aderente as boas práticas de Governança de TI.
OS PRINCIPAIS BENEFÍCIOS DO BABOK
A utilização de um guia como o BABOK, que define um conjunto de práticas padronizado e globalmente reconhecido, permite que a área de
negócio e todos aqueles que trabalham dentro da organização com análise de negócios gerem resultados com excelência através do uso de
um vocabulário comum e de boas práticas de mercado.
Ao se utilizar o BABOK, a organização irá usufruir dos seguintes benefícios:
Maior assertividade na identificação de problemas.
Maior eficiência no trabalho de análise de negócios.
Utilização de técnicas modernas e efetivas no trabalho de análise de negócios.
Maior motivação por estar utilizando um padrão globalmente reconhecido.
Busca constante pela excelência na atividade de análise de negócios.
Maior reconhecimento pelo cliente.
Maior competitividade em relação aos concorrentes que não fazem uso deste padrão globalmente reconhecido.
Entregas de valor com o máximo de qualidade e aderência a estratégia da organização.
AS PREMISSAS DO BABOK
Para que as práticas do BABOK sejam executadas com o máximo de eficiência, as seguintes premissas devem ser atendidas:
Fonte: Rawpixel.com/ShutterStock
O PROCESSO DE ANÁLISE DE NEGÓCIOS NÃO É SOBRE A TI DA
ORGANIZAÇÃO:
O processo de análise de negócios é sobre encontrar problemas nos processos da organização, identificar pontos de melhoria e propor
soluções otimizadas nos mais diferentesníveis da organização.
Fonte: Rawpixel.com/ShutterStock
O PROCESSO DE ANÁLISE DE NEGÓCIOS NÃO PODE NEM DEVE SER SOMENTE
EXECUTADO POR ANALISTAS DE NEGÓCIO:
A alta gestão da organização e todos aqueles que identificarem problemas nos processos e o que pode ser melhorado e otimizado também
devem fazer a análise de negócio.
Fonte: Syda Productions/ShutterStock
O PROCESSO DE ANÁLISE DE NEGÓCIOS NÃO É SOMENTE UMA DISCIPLINA:
A análise de negócios não deve ser vista somente como uma disciplina ou um simples papel dentro da organização. A análise de negócios
deve ser vista como um mindset, ou seja, uma forma diferente de pensar, uma forma de procurar enxergar além e de forma estratégica, uma
forma de ter uma visão de futuro e aonde a organização pretende chegar.
COMO ESTÁ ORGANIZADO O BABOK
O BABOK está organizado em 6 grandes áreas de conhecimento, 1 capítulo das competências fundamentais, 1 capítulo sobre as técnicas
que devem ser utilizadas e 1 capítulo sobre as perspectivas.
As áreas de conhecimento do BABOK são:
PLANEJAMENTO E MONITORAMENTO DA ANÁLISE DE NEGÓCIOS
Todas as atividades desta área de conhecimento serão responsáveis por governar a execução das demais tarefas da análise de negócios. As
principais atividades desta área são:
Identificação das partes interessadas (Stakeholders).
Definição dos papéis e responsabilidades dos Stakeholders dentro do esforço da atividade de análise de negócios.
Desenvolvimento de estimativas para todas as atividades de análise de negócios.
Criação do plano de comunicação entre os analistas de negócios e Stakeholders.
Planejamento da forma como os requisitos serão priorizados e tratados.
Definição de todos os entregáveis (deliverables) que serão efetivamente produzidos e entregues pelos analistas de negócios.
Definição e determinação de todos os processos da análise de negócios.
Determinação das métricas que devem ser utilizadas para se monitorar o trabalho da análise de negócios.
ELICITAÇÃO
Define as atividades que os analistas de negócio terão que desempenhar para que as necessidades dos Stakeholders sejam compreendidas
As tarefas desta área basicamente são:
Preparação das atividades.
Condução das atividades.
Documentação das necessidades.
Confirmação dos resultados produzidos na elicitação.
GERENCIAMENTO E COMUNICAÇÃO DOS REQUISITOS
O objetivo desta área é garantir que a comunicação dos requisitos e o gerenciamento serão realizados de forma eficiente. Todas as partes
interessadas deverão compreender os impactos na organização que irão ocorrer devido a mudanças e otimizações geradas pelas soluções
propostas. As tarefas desta área são:
Gerenciamento do escopo e dos requisitos da solução.
Gerenciamento da rastreabilidade dos requisitos.
Manutenção dos requisitos que terão reuso.
Preparação do pacote de requisitos.
Comunicação sobre os requisitos.
ANÁLISE CORPORATIVA
Essa área basicamente é um ponto de início para uma nova iniciativa, pois suas atividades incluem a identificação da necessidade de
negócio, problemas, oportunidades e o investimento necessário para a entrega das soluções. As tarefas desta área são:
Definição da necessidade do negócio.
Avaliação da capacidade necessária para a organização atender à necessidade do negócio.
Determinação da abordagem da solução.
Definição do escopo da solução.
Definição do plano de negócios.
ANÁLISE DE REQUISITOS
Área a qual descreve como os requisitos devem ser priorizados e levantados junto aos Stakeholders de modo que a solução proposta atenda
às necessidades de negócio e à estratégia da organização. As tarefas desta área são:
Priorização de requisitos.
Organização dos requisitos.
Especificação e modelagem dos requisitos.
Definição dos pressupostos e das restrições dos requisitos.
Verificação dos requisitos.
Validação dos requisitos.
DEFINIÇÃO E VALIDAÇÃO DA SOLUÇÃO PROPOSTA
Área responsável por determinar qual solução se encaixa melhor na necessidade de negócio da organização, pois durante todo o processo,
os analistas de negócio poderão identificar diferentes soluções a serem propostas. As tarefas desta área são:
Avaliação da solução proposta.
Alocação dos requisitos.
Avaliação da prontidão organizacional.
Definição dos requisitos de transição.
Validação da solução proposta.
Avaliação do desempenho da solução proposta.
O GUIA BPM CBOK
O Guia para o Gerenciamento de Processos – Corpo Comum de Conhecimento (BPM CBOK) ou Guide to the Business Process
Management Common Body of Knowledge possui 9 áreas de conhecimento para sustentação e habilitação em BPM com o objetivo de apoiar
profissionais de gerenciamento de processos de negócio através de uma visão das melhores práticas e lições aprendidas da ABPMP –
Association of Business Process Management Professionals.
OBJETIVOS DO BPM CBOK
O principal objetivo do Guia BPM CBOK é fornecer um documento de referência básico para todos os profissionais de gerenciamento de
processos de negócio.
O GUIA IDENTIFICA E FORNECE UMA VISÃO GERAL DAS ÁREAS DE CONHECIMENTO QUE
SÃO NORMALMENTE RECONHECIDAS E ACEITAS COMO BOAS PRÁTICAS (ABPMP-BR,
2020).
AS ÁREAS DE CONHECIMENTO DO BPM CBOK
O BPM CBOK é organizado em 9 áreas de conhecimento sobre duas perspectivas: organizacional e de processo.
Na perspectiva de processo as áreas de conhecimento são:
Fonte: NicoElNino/ShutterStock
GERENCIAMENTO DE PROCESSOS DE NEGÓCIO:
Área de conhecimento que focará nas definições chave dos processos, do processo de ponta a ponta, o que gera valor para o cliente, tipos
de processos existentes, qual o ciclo de vida de BPM, capacidades e fatores chave de sucesso.
Fonte: GaudiLab/ShutterStock
MODELAGEM DE PROCESSOS:
Área de conhecimento que inclui um conjunto de habilidades e técnicas que permitirão que todos os envolvidos na organização formalizem e
comuniquem os principais componentes de negócio. Esta área fornecerá uma visão geral e definições-chave destas técnicas e habilidades
(skills).
Fonte: Jirapong Manustrong/ShutterStock
ANÁLISE DE PROCESSOS:
Área de conhecimento que envolverá a compreensão de todos os processos de negócio, incluindo a eficácia do atendimento dos objetivos
para os quais os processos foram projetados. O foco desta área é entender como são os atuais processos de negócio — AS-IS.
Fonte: GaudiLab/ShutterStock
DESENHO DE PROCESSOS:
Área de conhecimento que é responsável pela concepção de novos processos de negócio e a especificação de como os processos
funcionarão, como serão medidos, controlados e gerenciados. O foco desta área é a criação de um modelo de futuro dos processos de
negócio — TO-BE.
Fonte: Rawpixel.com/ShutterStock
GERENCIAMENTO DE DESEMPENHO DE PROCESSOS:
Área de conhecimento que é responsável pelo monitoramento formal e planejado da execução de processos e acompanhamento do
desempenho com o objetivo de identificar o quanto são eficazes os processos de negócio.
Fonte: GaudiLab/ShutterStock
TRANSFORMAÇÃO DE PROCESSOS:
Área de conhecimento que é responsável pelas mudanças nos processos de negócio. Serão discutidas abordagens de melhoria, de
redesenho de processos, reengenharia e mudanças de paradigma. Esta área é a chave para o sucesso de transformação em muitas
organizações.
Fonte: SFIO CRACHO/ShutterStock
TECNOLOGIAS DE BPM:
Área de conhecimento que é responsável pela discussão de tecnologias que servirão para apoiar a modelagem, análise dos processos,
desenho dos processos, execução e monitoramento dos processos de negócio.
Na perspectiva organizacional as áreas de conhecimento são:
Fonte: SFIO CRACHO/ShutterStock
GERENCIAMENTO CORPORATIVO DE PROCESSOS:
Área de conhecimento que se focará na necessidade de maximizar resultados de processos para garantir que as estratégias de negócio
estejam devidamente alinhadas com a estratégia do cliente e das demais partes interessadas da organização.
Fonte: fizkes/ShutterStock
ORGANIZAÇÃO DO GERENCIAMENTO DE PROCESSOS:
Área de conhecimento que se focará no endereçamento de papéis, responsabilidadese de toda estrutura organizacional de modo a fornecer
suporte a organizações orientadas por processos.
No vídeo abaixo, veja um breve resumo sobre BABOK e BPM CBOK.
VERIFICANDO O APRENDIZADO
1. SOBRE AS ÁREAS DE CONHECIMENTO DO BABOK, ASSINALE A ALTERNATIVA QUE APRESENTA A
ÁREA DE CONHECIMENTO QUE DESCREVE COMO OS REQUISITOS DEVEM SER PRIORIZADOS E
LEVANTADOS JUNTO ÀS PARTES INTERESSADAS DA ORGANIZAÇÃO.
A) Análise de requisitos.
B) Planejamento e monitoramento da análise de negócios.
C) Elicitação.
D) Gerenciamento e comunicação dos requisitosD
2. CONHECEMOS OS PRINCIPAIS OBJETIVOS E AS ÁREAS DE CONHECIMENTO DO BPM CBOK. ASSINALE
A ALTERNATIVA QUE APRESENTA A ÁREA DE CONHECIMENTO RESPONSÁVEL POR ENTENDER COMO
SÃO OS PROCESSOS ATUAIS DA ORGANIZAÇÃO — AS-IS:
A) Desenho de processos.
B) Modelagem de processos.
C) Transformação de processos
D) Análise de processos.
GABARITO
1. Sobre as áreas de conhecimento do BABOK, assinale a alternativa que apresenta a área de conhecimento que descreve como os
requisitos devem ser priorizados e levantados junto às partes interessadas da organização.
A alternativa "A " está correta.
É extremamente importante que todos os requisitos sejam priorizados e levantados junto ao Stakeholders, de modo que a solução proposta
atenda, de forma eficaz, às necessidades de negócio. O BABOK fornece um excelente guia para apoiar uma análise de requisitos eficaz,
porém mais importante que o guia é a competência e as habilidades da equipe de análise de negócio que será responsável pela captura
correta das necessidades de negócio das partes interessadas.
2. Conhecemos os principais objetivos e as áreas de conhecimento do BPM CBOK. Assinale a alternativa que apresenta a área de
conhecimento responsável por entender como são os processos atuais da organização — AS-IS:
A alternativa "D " está correta.
A área de análise de processos envolverá a compreensão de todos os processos de negócio. É fundamental que se tenha uma visão clara de
como são os processos de negócio atuais — AS-IS, pois somente desta forma será possível identificar quais são os pontos de melhoria, se
os processos são eficientes ou não e o que deve ser otimizado através das novas soluções propostas.
MÓDULO 3
Reconhecer a governança de projetos com o uso do PMBOK, PRINCE2 e SCRUM
O GUIA PMBOK
O PMBOK – Guia do Conhecimento em Gerenciamento de Projetos ou Project Management Body of Knowledge foi criado pelo PMI –
Instituto de Gerenciamento de Projetos e reúne as melhores práticas em gerenciamento de projetos.
OS CINCO GRUPOS DE PROCESSOS DO PMBOK
Os cinco grupos essenciais de processos reconhecidos pelo PMBOK são: iniciação, planejamento, execução, monitoramento e controle
e encerramento.
OS PROCESSOS DE INICIAÇÃO DO PMBOK
Este grupo de processo é composto por dois processos que são responsáveis pela iniciação de um projeto, são eles:
DESENVOLVER O TERMO DE ABERTURA DO PROJETO:
O termo de abertura ou o Project Charter é o documento responsável pela oficialização do início de um projeto.
IDENTIFICAR AS PARTES INTERESSADAS
Processo que é responsável pela identificação das partes interessadas do projeto, os Stakeholders.
OS PROCESSOS DE PLANEJAMENTO DO PMBOK
Este grupo de processo é responsável por todos os processos de planejamento do projeto. É o grupo que mais possui processos, sendo 24
no total:
Desenvolver o plano de gerenciamento do projeto: Processo que é responsável pela criação do plano de projeto que vai detalhar
como o projeto será gerenciado.
Planejar o gerenciamento do escopo: Processo que é responsável pela definição de como o escopo do projeto será gerenciado.
Coletar requisitos: Processo que é responsável por definir como os requisitos do projeto deverão ser coletados.
Definir o escopo: Processo que é responsável por detalhar como o escopo do projeto será definido.
Criar a Estrutura Analítica do Projeto (EAP): Processo que é responsável pela criação da estrutura analítica do projeto (EAP) que
conterá todos os entregáveis do projeto.
Planejar o gerenciamento do cronograma: Processo que é responsável por definir como o cronograma do projeto será gerenciado.
Definir as atividades: Processo que é responsável pela definição de todas as atividades necessárias para a execução do projeto.
Sequenciar as atividades: Processo que é responsável pelo sequenciamento de todas as atividades do projeto, ou seja, qual a ordem
de execução das atividades.
Estimar a duração das atividades: Processo que é responsável pela estimativa da duração de todas as atividades do projeto.
Desenvolver o cronograma: Processo que é responsável pelo desenvolvimento do cronograma do projeto.
Planejar o gerenciamento de custos: Processo que é responsável pela definição de como os custos do projeto serão gerenciados.
Estimar os custos: Processo que é responsável pela estimativa de todos os custos necessários para a execução do projeto.
Determinar o orçamento: Processo que é responsável por determinar o orçamento necessário para a execução do projeto.
Planejar o gerenciamento da qualidade: Processo que é responsável pela definição de como a qualidade do projeto será planejada.
Planejar o gerenciamento de recursos: Processo que é responsável pela definição de como os recursos do projeto serão
gerenciados.
Estimar os recursos das atividades: Processo que é responsável pela estimativa de todos os recursos necessários para a execução
das atividades planejadas para o projeto.
Planejar o gerenciamento da comunicação: Processo que é responsável pela definição de como o plano de comunicação do projeto
será gerenciado.
Planejar o gerenciamento de riscos: Processo que é responsável pelo planejamento e gerenciamento de todos os riscos do projeto.
Identificar riscos: Processo que é responsável pela definição de ações e técnicas que possuem como principal objetivo a identificação
precisa de riscos do projeto.
Executar a análise qualitativa dos riscos: Processo que é responsável pela análise qualitativa dos riscos identificados do projeto.
Executar a análise quantitativa dos riscos: Processo que é responsável pela análise quantitativa dos riscos identificados do projeto.
Planejar respostas aos riscos: Processo que é responsável por planejar todas respostas aos riscos identificados do projeto.
Planejar o gerenciamento de aquisições: Processo que é responsável por planejar como o gerenciamento de aquisições deverá ser
realizado no projeto.
Planejar o gerenciamento das partes interessadas: Processo que é responsável pelo gerenciamento das partes interessadas, ou
seja, dos Stakeholders.
OS PROCESSOS DE EXECUÇÃO DO PMBOK
Este grupo de processo é responsável por todos os processos de execução do projeto. O grupo é composto por 10 processos, sendo eles:
DIRIGIR E GERENCIAR O TRABALHO DO PROJETO:
Processo que é responsável por garantir que toda a execução estará conforme o plano de projeto.
GERENCIAR O CONHECIMENTO DO PROJETO:
Processo que é responsável pela gestão do conhecimento do projeto.
GERENCIAR A QUALIDADE DO PROJETO:
Processo que é responsável por garantir que a qualidade do projeto esteja conforme o que foi planejado no plano de garantia da qualidade.
ALOCAR RECURSOS NO PROJETO:
Processo que é responsável pela alocação de recursos no projeto.
DESENVOLVER O TIME DO PROJETO:
Processo que é responsável pelo desenvolvimento do time do projeto, ou seja, pelo acompanhamento efetivo de toda equipe, das habilidades
do time e de seu desempenho.
GERENCIAR O TIME DO PROJETO:
Processo que é responsável pelo gerenciamento do time do projeto.
GERENCIAR A COMUNICAÇÃO DO PROJETO:
Processo que é responsável por garantir que a comunicação esteja efetiva e de acordo com o planejado no plano de comunicação do projeto.
IMPLEMENTAR RESPOSTAS AOS RISCOS DO PROJETO:
Processo que é responsável pela implementação de todas respostas aos riscos do projeto conforme o plano de gerenciamento de riscos.
CONDUZIR AS AQUISIÇÕES DO PROJETO:
Processo que é responsável pela conduçãode todas as aquisições necessárias para a execução do projeto.
GERENCIAR O ENGAJAMENTO DAS PARTES INTERESSADAS
Processo que é responsável por garantir que todas as partes interessadas estejam engajadas no projeto de modo a garantir o seu sucesso.
OS PROCESSOS DE MONITORAMENTO E CONTROLE DO PMBOK
Este grupo de processo é responsável por todos os processos inerentes ao monitoramento e controle do projeto. O grupo é composto por 12
processos, sendo eles:
MONITORAR E CONTROLAR O TRABALHO DO PROJETO:
Processo que é responsável pelo monitoramento e controle do projeto.
EXECUTAR O CONTROLE INTEGRADO DE MUDANÇAS
Processo que é responsável pelo controle integrado de mudanças do projeto.
VALIDAR O ESCOPO:
Processo que é responsável pela validação do escopo do projeto.
CONTROLAR O ESCOPO:
Processo que é responsável pelo controle do escopo do projeto.
CONTROLAR O CRONOGRAMA:
Processo que é responsável pelo controle do cronograma do projeto.
CONTROLAR OS CUSTOS:
Processo que é responsável pelo controle de custos do projeto.
CONTROLAR A QUALIDADE:
Processo que é responsável pelo controle de qualidade do projeto.
CONTROLAR OS RECURSOS:
Processo que é responsável pelo controle dos recursos (físicos, humanos, etc) do projeto.
MONITORAR A COMUNICAÇÃO:
Processo que é responsável pelo monitoramento da comunicação do projeto.
MONITORAR OS RISCOS:
Processo que é responsável pelo monitoramento de riscos do projeto.
CONTROLAR AS AQUISIÇÕES:
Processo que é responsável pelo controle de aquisições do projeto.
MONITORAR O ENGAJAMENTO DAS PARTES INTERESSADAS:
Processo que é responsável pelo monitoramento das partes interessadas do projeto.
OS PROCESSOS DE ENCERRAMENTO DO PMBOK
Este grupo é responsável pelo processo de encerramento do projeto. O grupo é composto somente pelo seguinte processo:
Encerrar o projeto ou fase: Processo que é responsável por todas as atividades de encerramento do projeto ou de uma fase do
projeto.
O PRINCE2
O PRINCE2 – Projetos em Ambientes Controlados ou Projects in Controlled Environments é uma metodologia de gerenciamento de projetos
criada e utilizada pelo governo britânico há um bom tempo. O grupo responsável pela manutenção do PRINCE2 é o OGC – Office of
Government Commerce e todos seus direitos autorais pertencem à coroa britânica.
COMENTÁRIO
Atualmente, a metodologia PRINCE2 é utilizada em diversos países do mundo e a sua adoção em projetos tem crescido de forma constante.
COMO ESTÁ ESTRUTURADO O PRINCE2
A metodologia de gerenciamento de projetos PRINCE2 está organizada em 7 princípios, 7 temas e 7 processos.
OS PRINCÍPIOS DO PRINCE2
Os princípios que determinam o que deve ser acordado e verificado em um projeto são:
Fonte: Song_about_summer/ShutterStock
JUSTIFICATIVA CONTÍNUA DO NEGÓCIO:
Um projeto PRINCE2 necessita possuir uma justificação de negócio contínua, ou seja, deve existir uma razão justificável para que se inicie o
projeto, e esta justificativa deve se manter do início ao fim do projeto. A justificativa do projeto é documentada em forma de Caso de Negócio
ou Business Case.
Fonte: ESB Professional/ShutterStock
APRENDER COM A EXPERIÊNCIA:
Todas as equipes de projetos gerenciados através da metodologia PRINCE2 aprenderão com a sua própria experiência, ou seja, a partir de
lições aprendidas que devem ser documentadas em uma base de conhecimento que servirá para a tomada de decisão em todos os projetos.
Fonte: NicoElNino/ShutterStock
PAPÉIS E RESPONSABILIDADES BEM DEFINIDOS:
Em um projeto PRINCE2, haverá papéis e responsabilidades bem definidos na estrutura organizacional, envolvendo interesses da área de
negócio, da diretoria, da alta gestão e das demais partes interessadas da organização.
Fonte: REDPIXEL.PL/ShutterStock
GERENCIAR POR ESTÁGIOS:
Um projeto PRINCE2 é planejado, monitorado e controlado por estágios. Organizar o projeto em estágios menores permitirá maior gestão
sobre o projeto, porém o esforço de gestão será maior considerando que todo o planejamento será realizado através de um nível de
detalhamento mais gerenciável. Ao final de cada estágio, existirão pontos de controle em que a situação do projeto será avaliada, inclusive a
própria continuidade do projeto.
Fonte: kan_chana/ShutterStock
GERENCIAR POR EXCEÇÃO:
Um projeto PRINCE2 terá tolerâncias definidas para cada objetivo do projeto para que seja estabelecido os limites de autoridade delegados.
A área de governança que será responsável por definir as responsabilidades que direcionam o gerenciamento e entrega do projeto. As
tolerâncias são em relação a 6 objetivos descritos no plano de projeto: tempo, risco, benefício, escopo, qualidade e custo.
Fonte: Blue Planet Studio/ShutterStock
FOCO EM PRODUTOS:
Um projeto PRINCE2 concentrará seu foco na definição e entrega de produtos, especificamente no que diz respeito aos requisitos de
qualidade.
Fonte: fizkes/ShutterStock
ADEQUAR AO AMBIENTE DO PROJETO:
A metodologia PRINCE2 se adaptará ao ambiente do projeto, ou seja, será totalmente adaptada ao tamanho, complexidade, importância,
capacidade e risco do projeto.
OS TEMAS DO PRINCE2
Os temas do PRINCE2 são os seguintes
BUSINESS CASE
É o documento que justifica a necessidade do projeto com análise de mercado, custo benefício e retorno sobre o investimento justificável, por
exemplo.
ORGANIZAÇÃO
E definido “Quem” irá realizar o trabalho do projeto, ou seja, a descrição de todos os papéis e responsabilidades de gestão do projeto, assim
como a distribuição de todo o trabalho entre os gerentes de projeto.
QUALIDADE
É definido “O quê”, ou seja, para qual objetivo o projeto foi criado. Deve ser assegurado que as expectativas do negócio sejam atendidas e
que sejam alcançados os benefícios propostos.
PLANOS
Tem como principal objetivo responder as seguintes questões: “Como?”, “Quanto?” e “Quando?” o projeto será realizado de modo a facilitar
todo o processo de comunicação e controle pelas quais serão definidas todas as entregas do projeto.
RISCO
Tem como principal objetivo o de identificar todos os riscos que possam impactar de forma negativa (ameaças) e de forma positiva
(oportunidades) no projeto. Os gerentes de projeto deverão gerenciar todas as incertezas do projeto evitando que a concretização dos
principais objetivos do projeto seja ameaçada pelos riscos negativos.
MUDANÇAS
Tem como principal objetivo identificar todos os possíveis impactos gerados por uma possível mudança no projeto. Todas as mudanças
deverão ser avaliadas, controladas e devidamente aprovadas.
PROGRESSO
Tem como principal objetivo o de responder “Onde o projeto se encontra?”, “Para onde o projeto está indo” e se “O projeto deve continuar”.
Todas estas questões irão justificar o processo de tomada de decisões e a aprovação dos planos com base no monitoramento de
desempenho do projeto.
OS PROCESSOS DO PRINCE2
Os processos do PRINCE2 são os seguintes:
DIRECIONANDO O PROJETO:
O comitê diretor do projeto deverá definir a direção do projeto e também tomará todas as decisões importantes ao longo da vida do projeto.
INICIANDO O PROJETO (PRÉ-PROJETO):
Neste momento, será avaliada a ideia e a necessidade real do projeto, os objetivos de negócio do projeto e todas questões referentes à
viabilidade de se iniciar o projeto.
INICIANDO O PROJETO:
Após a definição de sua viabilidade, o projeto deverá ser efetivamente iniciado e planejado em detalhes, todas as definições de estratégia do
projeto deverão ser tomadas, o desenvolvimento do Business Case de forma completa, a comunicação dos principais benefícios etc.
CONTROLANDO UM ESTÁGIO:
Processo responsável pelo controle detalhado do estágio do projeto no qual o gerente do projeto deverá garantir que o progresso do projeto
esteja conforme o que foi planejado e dentro das metas de desempenho.
GERENCIANDO A ENTREGA DO PRODUTO:
Processo responsável por garantir que o produto entregue esteja de acordo com o que foi planejado no projeto, conforme o que foi definido
no Business Case e deacordo com as expectativas do cliente e das demais partes interessadas.
GERENCIANDO UM LIMITE DE ESTÁGIO:
Processo responsável por garantir qual o limite do estágio do projeto, ou seja, de forma a garantir que os limites definidos para cada estágio
do projeto sejam respeitados.
ENCERRANDO UM PROJETO:
Processo responsável por todas as atividades necessárias para o encerramento do projeto.
O SCRUM
O scrum é um framework utilizado para o gerenciamento de projetos e desenvolvimento ágil de software. No scrum, os projetos são
tipicamente divididos em ciclos menores chamados de sprints e com duração de 1 a 4 semanas.
DICA
Uma sprint representa um time box que basicamente define um tempo para que um conjunto de atividades possa ser executado de modo que
ocorra uma entrega ao final de cada ciclo.
SCRUM VS. MÉTODO TRADICIONAL
O scrum é considerado um dos frameworks mais utilizados para o gerenciamento de projetos ágeis, sendo uma abordagem ao método
tradicional de gerenciamento de projetos que se baseava no modelo cascata ou waterfall e que consistia basicamente em ciclos com grande
duração e com diversas etapas.
Waterfall
No modelo waterfall, as etapas possuem grande duração e cada uma só pode iniciar após a conclusão da etapa anterior. Já as entregas,
geralmente, ocorrem somente ao final de cada etapa.
Scrum
O scrum permite entregas e validações mais rápidas ao longo de todo o ciclo de vida do projeto.
O MANIFESTO ÁGIL
O scrum segue as diretrizes do manifesto ágil que surgiu em 2001 e que é composto pelos seguintes valores:
Indivíduos e interações – mais que processos e ferramentas.
Software em funcionamento – mais que documentação abrangente.
Colaboração com o cliente – mais que negociação de contratos.
Resposta a mudanças – mais que seguir um plano.
O CICLO DE VIDA DO SCRUM
A figura a seguir apresenta um exemplo de um ciclo de vida de uma sprint no scrum, que basicamente terá duração de 1 a 4 semanas:
Fonte: Autor
Durante a execução do ciclo de vida da sprint, vários papéis interagem para que a entrega possa ser realizada com sucesso ao final do ciclo,
sendo os principais papéis:
Product Owner (PO): É o dono do produto tendo como principal responsabilidade a definição do Backlog do Produto ou o Product
backlog.
Equipe: Equipe scrum, geralmente um time pequeno, responsável pela entrega.
Scrum Master: Atua como um líder dentro do time scrum.
Os principais eventos presentes em um ciclo de vida da sprint são:
REUNIÃO DE PLANEJAMENTO:
A reunião de planejamento ou reunião de planning é responsável pelo planejamento do que será trabalhado dentro da sprint conforme a
capacidade de entrega do time scrum.
REUNIÃO DIÁRIA:
Reunião rápida de 15min que deverá ocorrer todos os dias da sprint após a reunião de planning. Todos integrantes da equipe devem
responder ao mínimo as seguintes questões: “O que eu fiz ontem”, “O que eu estou fazendo hoje” e “Se há algum tipo de impedimento”.
REUNIÃO DE REVISÃO:
É a reunião de entrega da sprint na qual todos os integrantes do time e apresmntarão os resultados da sprint para o PO e cliente.
REUNIÃO DE RETROSPECTIVA:
É a reunião de lições aprendidas que deverá ocorrer sempre ao final da sprint e antes de iniciar a sprint seguinte. Serão discutidos pontos
positivos, pontos negativos e quais são os pontos de melhoria para as próximas sprints.
Os principais produtos de trabalho (artefatos) presentes em um ciclo de vida da sprint são:
PRODUCT BACKLOG:
É o backlog do produto que conterá uma lista de todos os requisitos priorizados pelo PO e que deverão ser trabalhados dentro das sprints.
SPRINT BACKLOG
É o backlog da sprint, ou seja, quais requisitos foram selecionados do backlog do produto para serem trabalhados dentro da sprint.
ENTREGA
É a entrega (incremento da sprint) do software funcionando que será realizada ao final da sprint conforme planejado.
HISTÓRIAS DE USUÁRIO:
Uma história de usuário ou user story é considerada a menor unidade de trabalho dentro do ciclo de vida da sprint. Uma user story conterá o
detalhamento necessário para que o requisito possa ser desenvolvido pelo time scrum
PLANNING POKER
Técnica que consiste basicamente no uso de cartas de baralho com o objetivo de estimar o esforço das user stories que serão trabalhadas
pelo time scrum. Basicamente a estimava será realizada em pontos que poderão ser convertidos em horas de trabalho de modo a facilitar a
gestão do projeto.
No vídeo abaixo, veja um breve resumo sobre PMBOK, PRINCE2 e SCRUM.
VERIFICANDO O APRENDIZADO
1. SOBRE OS GRUPOS DE PROCESSOS DO PMBOK, ASSINALE A ALTERNATIVA QUE APRESENTA O
GRUPO DE PROCESSO RESPONSÁVEL PELO PROCESSO COLETAR REQUISITOS:
A) Iniciação.
B) Monitoramento e controle.
C) Planejamento.
D) Encerramento.
2. SOBRE OS 7 PROCESSOS PRESENTES NA METODOLOGIA DE GERENCIAMENTO DE PROJETOS
PRINCE2, ASSINALE A ALTERNATIVA QUE APRESENTA O PROCESSO NO QUAL O BUSINESS CASE
DEVERÁ SER ELABORADO DE FORMA COMPLETA:
A) Gerenciando a entrega do produto.
B) Direcionando o projeto.
C) Iniciando o projeto (Pré-projeto.
D) Iniciando o projeto.
GABARITO
1. Sobre os grupos de processos do PMBOK, assinale a alternativa que apresenta o grupo de processo responsável pelo processo
Coletar requisitos:
A alternativa "C " está correta.
O processo Coletar requisitos, que pertence ao grupo de processos de planejamento, é responsável por definir todas as entradas necessárias
para que os requisitos sejam coletados com a maior precisão possível através da utilização de ferramentas e técnicas de coleta de requisitos.
2. Sobre os 7 processos presentes na metodologia de gerenciamento de projetos PRINCE2, assinale a alternativa que apresenta o
processo no qual o Business Case deverá ser elaborado de forma completa:
A alternativa "D " está correta.
O Business Case é o documento no qual será descrito a real necessidade de negócio, quais os principais benefícios com a conclusão do
projeto, análise de custo e benefício, análise do retorno sobre o investimento, restrições, limitações e outros detalhes que se fazem
necessários para a entrega do projeto com sucesso e dentro das expectativas do cliente e das demais partes interessadas.
MÓDULO 4
Identificar o funcionamento da governança de segurança da informação através das normas ISO 27001, ISO 27002 e ISO 27014
A NBR ISO 27001
A NBR ISO/IEC 27001 é uma norma internacional de gestão da segurança da informação. É a principal norma que uma organização eficaz
deve utilizar para obter a certificação empresarial em gestão da segurança da informação.
ESTE TIPO DE CERTIFICAÇÃO ATESTA QUE A ORGANIZAÇÃO ATENDE A TODOS OS
REQUISITOS DE SEGURANÇA DA INFORMAÇÃO, SENDO EXTREMAMENTE IMPORTANTE
PARA QUALIFICAR A EMPRESA E PARA TORNÁ-LA MAIS COMPETITIVA NO MERCADO
FRENTE A SUA CONCORRÊNCIA.
OBJETIVOS DA ISO 27001
O principal objetivo da norma ISO 27001 é implementar um conjunto de requisitos, processos e controles, que visam uma gestão eficaz de
todos os riscos de segurança da informação existentes dentro de uma organização.
VOCÊ SABIA
A norma foi elaborada por diversos especialistas da área com toda sua experiência para que seja estabelecido um padrão de alto grau de
maturidade de gestão de segurança da informação.
BENEFÍCIOS DA IMPLEMENTAÇÃO DA ISO 27001
São diversos os benefícios que uma organização terá ao implementar a ISO 27001. Dentre os principais benefícios podemos citar:
A adoção das melhores práticas de mercado.
Conformidade com todas as leis e requisitos contratuais.
Redução significante de riscos.
Redução dos custos.
Vantagem competitiva frente à concorrência.
A organização estará mais organizada internamente.
A implementação de um processo de melhoria contínua na organização.
Haverá uma maior integração nos sistemas de gestão da organização.
AS PREMISSAS PARA A IMPLEMENTAÇÃO DA ISO 27001
Para que a implementação da ISO 27001 ocorra de forma eficiente dentro de uma organização, as seguintes premissas deverão ser
atendidas:
A adoção dos requisitosrequeridos pela norma.
A implementação de políticas requeridas pela norma.
A implementação de processos requeridos pela norma.
A implementação de procedimentos, controles e práticas requeridos pela norma.
AS ETAPAS PARA A IMPLEMENTAÇÃO DA ISO 27001
O TEMPO DE IMPLEMENTAÇÃO DA ISO 27001 DEPENDERÁ TOTALMENTE DA REALIDADE
DA EMPRESA, DO CENÁRIO ATUAL ONDE SE ENCONTRA A EMPRESA COM RELAÇÃO À
SEGURANÇA DA INFORMAÇÃO, DA MATURIDADE DA EMPRESA, DO PORTE DA EMPRESA E
PRINCIPALMENTE DA CULTURA ORGANIZACIONAL.
Sendo assim, as principais etapas de implementação são:
Apoio total e incondicional da diretoria e da alta gestão da organização para que seja realizado um planejamento eficiente de todas as
atividades necessárias para a implementação da norma.
Definição correta de todo o escopo necessário para a implementação de um sistema de gestão de segurança da informação.
Definição correta da metodologia de identificação, avaliação e gestão eficaz de riscos.
A elaboração de um plano de gerenciamento de riscos eficaz.
O planejamento e a implementação de programas de treinamentos e conscientização para todos os colaboradores da organização.
A implementação de todos os controles e procedimentos necessários conforme a declaração de aplicabilidade que conterá todos os controles
necessários que devem ser utilizados durante todo o processo.
Monitoramento constante e avaliação do sistema de gestão de segurança da informação da organização.
Garantia total de que serão executadas todas as ações definidas pela documentação do sistema de gestão de segurança da informação.
Planejamento e definição de como serão mensurados os níveis de eficácia de todos os controles definidos.
Realização constante de auditorias internas e análises críticas.
Implementações de ações corretivas sempre que for necessário.
A NBR ISO 27002
A NBR ISO/IEC 27002 é a norma mais antiga que trata da gestão da segurança da informação. A norma ISO 27002 trata de um conjunto de
práticas através de um documento genérico com a finalidade de um guia para a gestão da segurança da informação, não como uma
especificação formal como a norma ISO 27001.
OBJETIVOS DA ISO 27002
O principal objetivo da norma ISO 27002 é estabelecer diretrizes e princípios gerais para que se inicie, se implemente, se mantenha e se
otimize a gestão de segurança da informação da organização.
SAIBA MAIS
A norma ISO 27002 define um conjunto de 14 cláusulas de controle de segurança e 114 controles de segurança que irão suportar e apoiar de
forma efetiva a ISO 27001.
COMO ESTÁ ESTRUTURADA A ISO 27002
A norma ISO 27002 está estruturada em seções e cada seção possui uma série de controles que poderão ser implementados conforme o
porte a necessidade de segurança da organização. Os controles são divididos nas seções abaixo:
As políticas de segurança da informação.
A forma como a segurança da informação será organizada.
A gestão de ativos.
A segurança em recursos humanos.
A segurança física do ambiente.
A gestão das operações e das comunicações.
O controle de acesso.
A aquisição, o desenvolvimento e a manutenção dos sistemas de informação.
A gestão de incidentes da segurança da informação.
A gestão da continuidade do negócio.
O nível de conformidade.
BENEFÍCIOS DA IMPLEMENTAÇÃO DA ISO 27002
São diversos os benefícios que uma organização terá ao implementar a ISO 27002. Dentre os principais benefícios podemos citar:
Aumento na conscientização sobre a segurança da informação.
Gestão eficiente sobre os ativos e informações.
Abordagem para a implementação eficiente de políticas e controles.
Excelente oportunidade para identificar e corrigir os pontos fracos.
Redução significante de riscos de responsabilidade pela não implementação de um sistema de gestão de segurança da informação.
Aumento na competitividade da organização perante a sua concorrência e clientes que valorizam certificações de segurança.
Organização mais efetiva com processos bem documentados.
Total conformidade com a legislação e outros tipos de regulamentações que dizem respeito à segurança da informação.
Redução significante de custos com a prevenção de incidentes de segurança da informação.
A NBR ISO 27014
A NBR ISO/IEC 27014 é uma norma de segurança da informação que facilita a orientação sobre todos os princípios e conceitos necessários
para que se faça uma gestão eficaz da segurança da informação.
OBJETIVOS DA ISO 27014
O principal objetivo da norma ISO 27014 é permitir que as organizações possam dirigir, comunicar, avaliar e controlar a segurança da
informação que está fortemente relacionada com todas as demais atividades de negócio presentes em uma organização.
OS PRINCÍPIOS DA ISO 27014
A norma ISO 27014 indica 6 princípios de gestão de segurança da informação, sendo eles:
Estabelecer segurança da informação em toda a organização.
Seguir um foco totalmente baseado em riscos.
Estabelecer a direção das decisões de investimento.
Garantir o cumprimento de todos os requisitos internos e externos.
Promover um ambiente positivo de segurança.
Evidenciar o desempenho pela implementação da segurança da informação em relação aos resultados da organização.
BENEFÍCIOS DA IMPLEMENTAÇÃO DA ISO 27014
São diversos os benefícios que uma organização terá ao implementar a ISO 27014. Dentre os principais benefícios podemos citar:
Tornar a organização mais competitiva com relação a sua concorrência e desta forma atraindo mais clientes.
Estar em conformidade total com todos os requisitos contratuais e regulamentares.
Promover uma gestão eficaz no nível de conselho de segurança da informação.
Promover uma gestão eficaz em todos os níveis da organização.
Investimentos realizados de forma eficaz em segurança da informação.
OS PROCESSOS DA NORMA ISO 27014
Conforme a norma ISO 27014, os processos necessários para que se implemente um sistema de gestão de segurança da informação são os
seguintes:
AVALIAÇÃO
Processo que avaliará os resultados finais e previstos dos objetivos de segurança da informação com base nas atividades atuais e nas
alterações planejadas pela organização, de modo que os objetivos estratégicos sejam atingidos.
DIREÇÃO
Neste processo, a direção e a alta gestão da organização informará o direcionamento, os objetivos e a estratégia de segurança da
informação que deverá ser implementada na organização.
MONITORAÇÃO
Este processo permitirá a avaliação por parte da direção e a alta gestão da organização se os objetivos estratégicos planejados foram
concretizados com sucesso.
COMUNICAÇÃO
Neste processo será realizada a troca de informações entre a direção, a alta gestão e todas as demais partes interessadas da organização
sobre a gestão da segurança da informação.
GARANTIA
Neste processo deverão ser permitidas auditorias e análises críticas que terão como principal objetivo a identificação e validação dos
objetivos e atividades relacionadas com a governança corporativa, de modo que o nível de segurança da informação desejado seja atingido
pela organização.
No vídeo abaixo, veja um breve resumo sobre as normas ISO 27001, ISO 27002 e ISO 27014.
VERIFICANDO O APRENDIZADO
1. SOBRE OS BENEFÍCIOS DA IMPLEMENTAÇÃO DA NORMA ISO 27001 EM UMA ORGANIZAÇÃO, ASSINALE
A ALTERNATIVA QUE APRESENTA DOIS BENEFÍCIOS PELA UTILIZAÇÃO DA NORMA ISO 27001:
A) Adoção de políticas proprietárias de mercado e maior lucro para a organização.
B) Redução dos custos e dos riscos.
C) A organização estará em conformidade com algumas leis e requisitos contratuais, e haverá um aumento significante nos custos
operacionais.
D) Haverá uma melhora na integração nos sistemas de gestão da organização e a organização não estará em conformidade com leis e
requisitos contratuais.
2. ASSINALE A ALTERNATIVA QUE APRESENTA OS PROCESSOS DA NORMA ISO 27014:
A) Avaliação, Direção, Monitoração, Comunicação e Garantia.
B) Avaliação, Controle, Monitoração, Comunicação e Garantia.
C) Gestão, Controle, Monitoração, Comunicação e Avaliação.
D) Gestão, Controle, Comunicação,Garantia e Direção.
GABARITO
1. Sobre os benefícios da implementação da norma ISO 27001 em uma organização, assinale a alternativa que apresenta dois
benefícios pela utilização da norma ISO 27001:
A alternativa "B " está correta.
São diversos os riscos que uma organização possui ao não implementar um sistema eficaz de gerenciamento de segurança da informação. A
implementação da ISO 27001 tem muito a contribuir de forma positiva para que a empresa reduza seus riscos e use de forma eficiente seus
recursos em segurança de modo a reduzir custos desnecessários.
2. Assinale a alternativa que apresenta os processos da norma ISO 27014:
A alternativa "A " está correta.
A execução eficiente de todas as atividades presentes nos processos de avaliação, direção, monitoração, comunicação e garantia é
fundamental para que se implemente a norma ISO 27014 de forma eficaz dentro da organização. A norma ISO 27014 permitirá que a
organização se torne mais confiável e madura em termos da utilização da segurança da informação e, com isso, mais competitiva e atraente
para os clientes.
CONCLUSÃO
CONSIDERAÇÕES FINAIS
Estudamos os principais conceitos sobre a arquitetura de TI com a utilização de COBIT, ISO 38500 e TOGAF. Compreendemos a importância
de uma governança de processo eficaz com o uso do BABOK e do BPM CBOK. Também reconhecemos como a governança de projetos
pode ser eficaz com a aplicação de boas práticas de gerenciamento de projetos através do uso do PMBOK, PRINCE2 e do SCRUM.
Além disso, entendemos como uma organização pode ser eficaz no seu sistema de gestão de segurança da informação através da utilização
de normas internacionalmente reconhecidas como as normas ISO 27001, ISO 27002 e ISO 27014.
REFERÊNCIAS
ABPMP-BR. BPM CBOK 4.0: Guide to the Business Process Management Body of Knowledge. Consultado em meio eletrônico em: 28 ago.
2020.
ISACA. COBIT 2019: Effective IT Governance at Your Fingertips. Consultado em meio eletrônico em: 25 ago. 2020.
ISO/IEC 38500. ISO/IEC 38500: 2015: Information technology – Governance of IT for the organization. Consultado em meio eletrônico em: 26
ago. 2020.
OPEN GROUP. TOGAF 9.2: The Open Group Architecture Framework. Consultado em meio eletrônico em: 27 ago. 2020.
PMI. PMBOK: Guide and Standards. Consultado em meio eletrônico em: 27 ago 2020.
EXPLORE+
Para saber mais sobre os assuntos tratados neste tema, pesquise na internet e assista aos vídeos:
PRINCE2 a metodologia mais usada no mundo – Ernani Marques.
PMBOK Guide 6 Edição explicado com Ricardo Vargas – Ricardo Vargas.
Webinar – Scrum, PMBOK e Kanban, um modelo híbrido de perfeita sinergia – Projetos e TI.
Arquitetura Corporativa usando TOGAF na prática – eVOLVE.
Conheça a ISO 27001 – Alerta Security Solutions.
Além disso, sugerimos as seguintes leituras:
ASSI, M. Governança, riscos e compliance: mudando a conduta nos negócios. 1 ed. São Paulo: Saint Paul, 2017.
BERNARDO, K. Scrum: o guia completo e definitivo! Cultura Ágil, jun. 2019.
BROKE, J. V.; ROSEMANN, M. Manual de BPM: gestão de processos de negócio. 1 ed. Porto Alegre: Bookman, 2013.
PMI. Um Guia de conhecimento em Gerenciamento de Projetos (Guia PMBOK). 6 ed. São Paulo: PMI, 2018.
CONTEUDISTA
Marcelo Vasconcellos Gomes
CURRÍCULO LATTES