gestão de riscos (2013) - aula 7
DESCRIPTION
Slides da 7ª aula da disciplina Gestão de Riscos (2013). MBA em Gestão da Qualidade de Sistemas de Informação.TRANSCRIPT
Alessandro Almeida | www.alessandroalmeida.com
1° Semestre de 2013
Apresentar o conceito de Gestão de Riscos, incentivando a reflexão sobre o tema no dia-a-dia
Compartilhar frameworks e (boas) práticas aplicáveis à rotina da Gestão de Riscos em TI
Atingimos o objetivo?
Apresentações dos Grupos
Os próximos slides fazem parte de uma atividade realizada pelos alunos do MBA em Gestão da Qualidade de Sistemas da Informação
Tema da atividade: Plano para Gestão de Riscos
Luis Eduardo Afonso | Stéphanie Hengle | Vagner Favoni Rocha | Vanessa Santos
Gerenciamento de
Riscos
Plano de Risco
Plano de Risco
Zeta Transportes e Logística
A Empresa
• Zeta Transporte e Logística
• Empresa fictícia de médio porte
• Atua a dez anos no mercado
• Clientes do segmento eletrônico e
alimentício
A Empresa
• Presta serviços de armazenagem, gestão do
estoque, inventários e transporte de
mercadorias.
• Devido a concorrência do mercado atual, a
Zeta precisa fornecer um serviço eficiente,
seguro e com uma boa logística e
segurança das informações.
Objetivo
• Elaboração de Plano de risco para a sala de
servidores da empresa.
• Segurança dos bancos de dados e sistemas
de controle de estoque, sistemas de
transportes e logística, dados dos clientes e
de todos os funcionários e arquivos da
empresa.
Framework adotado: ISO 31000
• ISO 31000 - Norma de Gestão de Riscos
com reconhecimento internacional.
• Não tem finalidade de certificação.
• Pode ser utilizada por qualquer empresa
pública, privada, associação ou grupo pois,
não é uma norma específica.
Framework adotado: ISO 31000
• Princípios e diretrizes podem ser aplicados
ao longo da vida de uma organização e a
uma ampla gama de atividades.
• Exemplos: estratégias, decisões, operações,
processos, funções, projetos, produtos,
serviços e ativos.
Framewrok 4a
• A metodologia 4A foi aplicada para a
identificação do impacto comercial dos
riscos, oferecendo uma nova visão sobre os
riscos levantados.
• Identificado um maior risco a disponibilidade
de serviços.
Identificação dos Riscos
• Utilizando o brainstorming foi elaborada uma
lista de riscos, suas fontes e o impacto
causado por cada um.
• Os riscos são classificados como negativos
ou positivos.
• A identificação da fonte possibilita o
agrupamento dos riscos.
Classificação dos Riscos
Os riscos são classificados de três formas:
o Em relação a probabilidade.
o Em relação a severidade.
o Em relação a resposta ao risco.
Tratamento de Risco
• Execução de plano elaborado.
• Implementar e checar continuamente o
planejamento feito.
• Identificar possíveis melhorias.
Matriz de Risco
Descrição do Risco Impacto Conseqüências Fonte 4A
Pro
ba
bil
ida
de
Se
ve
rid
ad
e
Cla
ssif
ica
çã
o
do
Ris
co
Resposta
do RiscoAção
Perda de informações (banco de dados) Negativo
perda de dados sensíveis de
clientes, trabalhos agendados e
histórico realizado
Falta de manutenção Disponibilidade 2 5 Médio MitigarEfetuar backup em um local externo ao
datacenter da empresa
Defeito de Hardware NegativoPerda de dados, paralizaçao do
serviçosFalta de manutenção Disponibilidade 3 3 Médio Mitigar
Gerar redundância interna de todos os
servidores
Defeito de Software NegativoPerda de dados, paralizaçao do
serviçosFalta de manutenção Disponibilidade 3 3 Médio Transferir
Gerar contrato com os fornecedores
para que as perdas financeiras
decorrentes de erro de software
sejam repostas pelo fornecedor
Temperatura do ambiente Negativoqueima de computadores, perda de
eficiência de processamentoFalta de manutenção Disponibilidade 3 5 Alto Mitigar
Manter dois sistemas de ar
condicionado, um principal e outro de
emergência
Falha do sistema de ar condicionado de
emergênciaNegativo
queima de computadores, perda de
eficiência de processamentoFalta de manutenção Disponibilidade 1 5 Médio Mitigar
testar o sistema de emergência a cada
15 dias para garantir seu
funcionamento
Excesso de usuário conectados NegativoPerda de eficiência, demora nas
respostas as requisiçõesFalta de Planejamento Disponibilidade 1 3 Baixo Aceitar
O volume de usuários na empresa e
requisições é baixo, vamos apenas
acompanhar o volume de requisições e
caso haja um aumento iremos estudar
medidas
Falha no acesso à serviços externos Negativo problemas para consulta de mapa Falha no serviço externo Disponibilidade 3 3 Médio Evitartrazer todos os serviços necessários
para dentro da empresa
Acesso indevido Negativo
Perda de dados, paralizaçao do
serviços, contaminação de toda a
rede da empresa
Falta de Planejamento Acesso 2 5 Médio Mitigar
efetuar auditorias e certificação de
segurança em nossa rede contra
invasões
Tamanho/Capacidade do servidor Negativo paralização dos serviços Falta de Planejamento Disponibilidade 1 3 Baixo Mitigar
monitorar, utilizar alguma ferramenta
que verifique essas informações e
envie alertas caso o espaço no
servidor atinja o nível de segurança
determinado
Queda de energia NegativoPerda de dados, paralizaçao do
serviçosFalha no serviço externo Disponibilidade 2 5 Médio Mitigar
Montar um sistema de gerador interno
para evitar a paralização dos serviços
Falha no gerador Negativo paralização dos serviços Falta de manutenção Disponibilidade 3 5 Alto Mitigar
efetuar testes semanais com o
gerador e rotinas de manutenção
periódicas
Perda de conexão Negativo paralização dos serviços Falha no serviço externo Disponibilidade 2 5 Médio Mitigar
contratar sistema de conexão de
backup para suprir a queda do sistema
principal
FIM
Juliane Chaud | Michele Lima | Tatiane Virginio | Vagner Rodrigues
INTEGRANTES:
Juliane Chaud
Michele Lima
Tatiane Virginio
Vagner Rodrigues
GESTÃO DE RISCOS
OBJETIVO
Este projeto de Gerenciamento de Riscos relacionado inicialmente ao mapeamento dos riscos envolvidos com a migração da nova ferramenta;
Os impactos dessa ação;
E o envolvimento direto dos stackholders.
Após esse levantamento e análise vamos apresentar o Plano de Risco, com o intuito de mitigar, transferir ou aceitar os riscos de forma a avalia-los e trata-los para minimizar os impactos negativos e aumentar os positivos.
Para o desenvolvimento do Gerenciamento de Riscos iremos utilizar a metodologia CMMI com base nas normas da ISO 31000.
ORGANIZACIONAL
Empresa: Hewlett Packard (HP).
Área de atuação: A HP é uma grande empresa, com sede em Palo Alto, Califórnia e Estados Unidos. Ela se concentra no campo de computação, impressão, tratamento de imagens, Outsourcing Full e também venda de softwares e serviços.
Concorrentes:
- IBM;
- Sonda Tecnologia;
- Capgemini (antiga CPM);
- Stefanini.
PROJETO
O projeto terá atuação na área de TI, com subárea na operação de Service Desk;
Turno de trabalho com escala de 24x7;
Realizar a migração de uma ferramenta de Gerenciamento de Chamando, desenvolvida pela HP e customizada pelo cliente;
Esta ferramenta ainda apresentando erros e com a necessidade de correção destes, o cliente solicitou um projeto com plano de migração para a nova ferramenta de Gerenciamento de Chamado;
Atualmente, em produção, temos cerca de 5% da operação migrada com sucesso e mesmo assim ainda apresentando alguns desvios.
ISO 31000
LEVANTAMENTO DOS RISCOS
ID Riscos
01 Abertura de chamado para fila incorreto
02 Aceitação do novo sistema de migração
03 Insatisfação em relação aos serviços
04 Rapidez no atendimento dos chamados
05 Erro na abertura de chamado (ferramenta)
06 Relatório com dados incorretos ou fora da realidade
07 Adaptação dos funcionários após a migração
08 Seleção incorreta do SLA no chamado
09 Requisitos não atendidos
10 Sistema fora das normas de qualidade
11 Maior agilidade na execução das tarefas
IDENTIFICAÇÃO DOS RISCOS: ID Riscos Categoria Fonte
01 Abertura de chamado para fila incorreto Externo Falta de planejamento
02 Aceitação do novo sistema de migração Gerenciamento Nova tecnologia
03 Insatisfação em relação aos serviços Técnico Deficiência no treinamento do
suporte
04 Rapidez no atendimento dos chamados Técnico Metodologias bem aplicadas
05 Erro na abertura de chamado
(ferramenta) Técnico
Interface com usuário
confusa
06 Relatório com dados incorretos ou fora da
realidade Interno Métricas incorretas
07 Adaptação dos funcionários após a
migração Interno Deficiência no treinamento
08 Seleção incorreta do SLA no chamado Técnico Deficiência no treinamento do
suporte
09 Requisitos não atendidos Qualidade Testes não realizados
adequadamente
10 Sistema fora das normas de qualidade Qualidade Testes não realizados
adequadamente
11 Maior agilidade na execução das tarefas Técnico Metodologias bem aplicadas
ANÁLISE E AVALIAÇÃO DOS RISCOS
ID Riscos P I C (P)ositivo
(N)egativo
01 Abertura de chamado para fila incorreto 2 2 4 N
02 Aceitação do novo sistema de migração 1 2 2 P
03 Insatisfação em relação aos serviços 3 3 9 N
04 Rapidez no atendimento dos chamados 2 2 4 P
05 Erro na abertura de chamado (ferramenta) 1 1 1 N
06 Relatório com dados incorretos ou fora da realidade 3 3 9 N
07 Adaptação dos funcionários após a migração 2 1 2 P
08 Seleção incorreta do SLA no chamado 1 2 2 N
09 Requisitos não atendidos 3 3 9 N
10 Sistema fora das normas de qualidade 2 3 6 N
11 Maior agilidade na execução das tarefas 2 2 4 P
Legenda: P = probabilidade / I = impacto / C = criticidade
Escala: Sendo 1 – Muito baixo / 2 – Baixo / 3 – Médio / 4 – Alto / 5 – Muito alto
PLANO DE AÇÃO ID Riscos Plano de Ação
O que fazer? Quem fará? Envolvidos
01 Abertura de chamado para fila incorreto Treinamento de funcionários Cliente HP/Cliente
02 Aceitação do novo sistema de migração Demonstração das vantagens
do novo sistema HP HP/Cliente
03 Insatisfação em relação aos serviços Treinamento em atendimento HP HP/Cliente
04 Rapidez no atendimento dos chamados Incluir como lições aprendidas HP HP
05 Erro na abertura de chamado (ferramenta) Treinamento de funcionários Cliente HP/Cliente
06 Relatório com dados incorretos ou fora da
realidade
Reunião com realinhamento
sobre as métricas corretas HP/ cliente HP/Cliente
07 Adaptação dos funcionários após a migração Reciclagem de funcionários
com dificuldades Cliente Cliente
08 Seleção incorreta do SLA no chamado Reunião de realinhamento
sobre contratos de SLA HP HP
09 Requisitos não atendidos Identificação correta dos testes
a serem realizados e aplicação HP HP/ Cliente
10 Sistema fora das normas de qualidade Aplicação de um processo de
melhoria continua HP HP
11 Maior agilidade na execução das tarefas Registro como lição aprendida HP HP
TRATAMENTO
ID Riscos Tratamento
01 Abertura de chamado para fila incorreto Transferir
02 Aceitação do novo sistema de migração Mitigar
03 Insatisfação em relação aos serviços Mitigar
04 Rapidez no atendimento dos chamados Aceitar
05 Erro na abertura de chamado (ferramenta) Transferir
06 Relatório com dados incorretos ou fora da realidade Mitigar
07 Adaptação dos funcionários após a migração Transferir
08 Seleção incorreta do SLA no chamado Mitigar
09 Requisitos não atendidos Mitigar
10 Sistema fora das normas de qualidade Mitigar
11 Maior agilidade na execução das tarefas Aceitar
APLICAÇÃO DO MODELO
PLANEJAMENTO DO PROJETO (PP):
SP 1.1 Estimar o Escopo do Projeto
SP 1.2 Estabelecer Estimativas de Produto de Trabalho e atributos de tarefas
SP 1.3 Definir Projeto do Ciclo de Vida
SP 1.4 Determinar estimativas de esforço e custo
SP 2.1 Estabelecer o orçamento e cronograma
SP 2.2 Identificar os riscos do projeto
SP 2.3 Plano para Gerenciamento de Dados
SP 2.4 Plano de Recursos do Projeto
SP 2.5 Plano para o Conhecimento e Habilidades Necessárias
SP 2.6 Plano de Envolvimento das Partes Interessadas
SP 2.7 Estabelecer o Plano de Projeto
SP 3.1 Analisar os planos que afetam o projeto
SP 3.2 conciliar o trabalho e os níveis de recursos
SP 3.3 Obter Comprometimento Plano
APLICAÇÃO DO MODELO
GERENCIAMENTO DE RISCOS (RSKM):
SP 1.1 Determinar Fontes e Categorias de Risco
SP 1.2 Definir parâmetros de risco
SP 1.3 Estabelecer uma Estratégia de Gestão de Riscos
SP 2.1 Identificar Riscos
SP 2.2 Avaliar, Categorizar e Priorizar Riscos
SP 3.1 Desenvolver planos de mitigação de risco
SP 3.2 Implementar Planos de Mitigação de Risco
APLICAÇÃO DO MODELO
MONITORAMENTO E CONTROLE DO PROJETO (PMC):
SP 1.1 Monitorar parâmetros de planejamento do projeto
SP 1.2 Monitorar Compromissos
SP 1.3 Monitorar Riscos do Projeto
SP 1.4 Monitorar Gestão de Dados
SP 1.5 Monitorar a participação das partes interessadas
SP 1.6 Conduta Progresso Comentários
SP 1.7 Conduta das partes interessadas Comentários
SP 2.1 Analisar Questões
SP 2.2 Tomar uma ação corretiva
SP 2.3 Gerenciar Ação Corretiva
ESTRUTURA DO PLANO DE RISCO
BIBLIOGRAFIA
http://www.bb.com.br/portalbb/page3,136,2546,0,0,1,8.b
b?codigoNoticia=7288&codigoMenu=208&codigoRet=550
6&bread=3_3
http://www.alessandroalmeida.com/mba2013.htm
CMMI for Developers, Version 1.3 - Carnegie Mellon
OBRIGADO!
André de Barros Schmidt | Alexander Shkromada | Carlos Eduardo | Thiago Fuglini Franchini
GESTÃO DE RISCOS Trabalho de conclusão da disciplina
INTEGRANTES DO GRUPO
André de Barros Schmidt
Alexander Shkromada
Carlos Eduardo
Thiago Fuglini Franchini
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
39
INFORMAÇÕES SOBRE A EMPRESA
O trabalho irá abordar uma empresa real, que existiu
entre 2002 – 2006.
O ramo da empresa, era voltado para materiais de
borracharia.
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
40
PARÂMETROS DE RISCOS
Nesse ramo de atividade, existe tanto os riscos
positivos e os negativos.
Muitas vezes, a probabilidade de um risco
acontecer, pode ser menor ou maior do que o seu
impacto.
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
41
PARÂMETROS DE RISCOS
Os parâmetros para Probabilidade e Impacto que
estamos utilizando são de 1 a 5.
Probabilidade: Evento incerto ou conhecido, também
podendo considerar um evento Futuro;
Impacto: Ação de um Risco, refletido na tabela a seguir.
Devido aos valores de Probabilidade e Impacto, o
Peso do Risco pode variar 1 a 25, abaixo segue
uma simples tabela para entendimento desses
valores:
Prioridade Peso do Risco
Alta 17 – 25
Média 8 – 16
Baixa 1 – 8
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
42
PLANO DE RISCOS
Foi feito em etapas:
Lista dos riscos;
Identificação de Positivo e Negativo;
Identificação da fonte de cada um deles;
Classificação de Probabilidade, Impacto e Peso do
risco;
Estratégia de resposta;
Detalhamento de cada risco.
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
43
PLANO DE RISCOS
Lista dos riscos
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
44
PLANO DE RISCOS
Identificação de Positivo e Negativo
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
45
PLANO DE RISCOS
Identificação da fonte de cada um deles
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
46
PLANO DE RISCOS
Classificação de Probabilidade, Impacto e Peso do risco
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
47
PLANO DE RISCOS
Estratégia de resposta
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
48
PLANO DE RISCOS
Ação referente a cada estratégia de resposta
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
49
PLANO DE RISCOS
Detalhamento de cada risco
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
50
FRAMEWORKS E PRÁTICAS CONSIDERADOS
O nosso trabalho será “baseado” no CMMI-SVC, pois é
voltado ao processo de empresas prestadoras de
serviços;
Contendo 24 Áreas de processo;
Podendo ser focada as seguintes PAs:
IRP - Incident Resolution and Prevention (Prevenção e
Resolução de Incidentes);
SCON - Service Continuity (Continuidade de Serviços);
SD - Service Delivery (Entrega de Serviço);
STSM - Strategic Service Management (Gerenciamento de
Serviço Estratégico).
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
51
TABELA COM ÁREA DE PROCESSO,
CATEGORIA E MATURIDADE
Área de Processo Categoria Nível de Maturidade
Entrega de Serviço
Entrega e
estabelecimento de
serviço
2
Gerenciamento de
Serviço Estratégico
3
Prevenção e Resolução
de Incidentes
Continuidade de
Serviços Projeto e gestão de
trabalho
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
52
SD - SERVICE DELIVERY (ENTREGA DE
SERVIÇO)
Entrega dos serviços com base nos acordos
definidos.
Abrange a estabelecer e manter um acordo
escrito com os clientes. Um "acordo de serviço"
descreve o serviço a ser entregue para o cliente,
metas de nível de serviço e as responsabilidades
do prestador de serviços, cliente e usuário final,
conforme o caso.
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
53
STSM GERENCIAMENTO DE SERVIÇO
ESTRATÉGICO
Estabelece e mantém um padrão de serviços
alinhados com os planos e necessidades
estratégicas.
Em organizações pequenas, os serviços padrão
podem consistir de um único serviço ou pequeno
grupo de serviços. As organizações maiores
podem ter um conjunto mais complexo de serviços
padrão.
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
54
IRP PREVENÇÃO E RESOLUÇÃO DE
INCIDENTES
Garante a rápida resolução das solicitações e
incidentes que ocorrem;
Através da identificação das causas, prevenir a
ocorrência de incidentes.
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
55
SCON CONTINUIDADE DE SERVIÇOS
Estabelece e mantém planos de contingência para
continuidade do serviço em caso de interrupções;
Desastres naturais ou eventos humanos(greve,
por exemplo).
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
56
BIBLIOGRAFIA
Slides do Professor
http://www.slideshare.net/alessandroalmeida/cmmi-
for-services-3-edio-presentation
http://www.teclogica.com.br/blog/?p=508
http://pt.wikipedia.org/wiki/CMMI
http://www.isdbrasil.com.br/servicos/curso-oficial-
cmmi-svc-v1.3.php
http://www.sei.cmu.edu/reports/10tr034.pdf
Apresentação V1.3 - Gestão de riscos - Prof. Alessandro
57
[email protected] www.alessandroalmeida.com/unifieo.htm www.slideshare.net/alessandroalmeida