gestão de riscos (2013) - aula 7

Alessandro Almeida | www.alessandroalmeida.com

1° Semestre de 2013

Apresentar o conceito de Gestão de Riscos, incentivando a reflexão sobre o tema no dia-a-dia

Compartilhar frameworks e (boas) práticas aplicáveis à rotina da Gestão de Riscos em TI

Atingimos o objetivo?

Apresentações dos Grupos

Os próximos slides fazem parte de uma atividade realizada pelos alunos do MBA em Gestão da Qualidade de Sistemas da Informação

Tema da atividade: Plano para Gestão de Riscos

Luis Eduardo Afonso | Stéphanie Hengle | Vagner Favoni Rocha | Vanessa Santos

Gerenciamento de

Riscos

Plano de Risco

Plano de Risco

Zeta Transportes e Logística

A Empresa

• Zeta Transporte e Logística

• Empresa fictícia de médio porte

• Atua a dez anos no mercado

• Clientes do segmento eletrônico e

alimentício

A Empresa

• Presta serviços de armazenagem, gestão do

estoque, inventários e transporte de

mercadorias.

• Devido a concorrência do mercado atual, a

Zeta precisa fornecer um serviço eficiente,

seguro e com uma boa logística e

segurança das informações.

Objetivo

• Elaboração de Plano de risco para a sala de

servidores da empresa.

• Segurança dos bancos de dados e sistemas

de controle de estoque, sistemas de

transportes e logística, dados dos clientes e

de todos os funcionários e arquivos da

empresa.

Framework adotado: ISO 31000

• ISO 31000 - Norma de Gestão de Riscos

com reconhecimento internacional.

• Não tem finalidade de certificação.

• Pode ser utilizada por qualquer empresa

pública, privada, associação ou grupo pois,

não é uma norma específica.

Framework adotado: ISO 31000

• Princípios e diretrizes podem ser aplicados

ao longo da vida de uma organização e a

uma ampla gama de atividades.

• Exemplos: estratégias, decisões, operações,

processos, funções, projetos, produtos,

serviços e ativos.

Framewrok 4a

• A metodologia 4A foi aplicada para a

identificação do impacto comercial dos

riscos, oferecendo uma nova visão sobre os

riscos levantados.

• Identificado um maior risco a disponibilidade

de serviços.

Identificação dos Riscos

• Utilizando o brainstorming foi elaborada uma

lista de riscos, suas fontes e o impacto

causado por cada um.

• Os riscos são classificados como negativos

ou positivos.

• A identificação da fonte possibilita o

agrupamento dos riscos.

Classificação dos Riscos

Os riscos são classificados de três formas:

o Em relação a probabilidade.

o Em relação a severidade.

o Em relação a resposta ao risco.

Tratamento de Risco

• Execução de plano elaborado.

• Implementar e checar continuamente o

planejamento feito.

• Identificar possíveis melhorias.

Matriz de Risco

Descrição do Risco Impacto Conseqüências Fonte 4A

Pro

ba

bil

ida

de

Se

ve

rid

ad

e

Cla

ssif

ica

çã

o

do

Ris

co

Resposta

do RiscoAção

Perda de informações (banco de dados) Negativo

perda de dados sensíveis de

clientes, trabalhos agendados e

histórico realizado

Falta de manutenção Disponibilidade 2 5 Médio MitigarEfetuar backup em um local externo ao

datacenter da empresa

Defeito de Hardware NegativoPerda de dados, paralizaçao do

serviçosFalta de manutenção Disponibilidade 3 3 Médio Mitigar

Gerar redundância interna de todos os

servidores

Defeito de Software NegativoPerda de dados, paralizaçao do

serviçosFalta de manutenção Disponibilidade 3 3 Médio Transferir

Gerar contrato com os fornecedores

para que as perdas financeiras

decorrentes de erro de software

sejam repostas pelo fornecedor

Temperatura do ambiente Negativoqueima de computadores, perda de

eficiência de processamentoFalta de manutenção Disponibilidade 3 5 Alto Mitigar

Manter dois sistemas de ar

condicionado, um principal e outro de

emergência

Falha do sistema de ar condicionado de

emergênciaNegativo

queima de computadores, perda de

eficiência de processamentoFalta de manutenção Disponibilidade 1 5 Médio Mitigar

testar o sistema de emergência a cada

15 dias para garantir seu

funcionamento

Excesso de usuário conectados NegativoPerda de eficiência, demora nas

respostas as requisiçõesFalta de Planejamento Disponibilidade 1 3 Baixo Aceitar

O volume de usuários na empresa e

requisições é baixo, vamos apenas

acompanhar o volume de requisições e

caso haja um aumento iremos estudar

medidas

Falha no acesso à serviços externos Negativo problemas para consulta de mapa Falha no serviço externo Disponibilidade 3 3 Médio Evitartrazer todos os serviços necessários

para dentro da empresa

Acesso indevido Negativo

Perda de dados, paralizaçao do

serviços, contaminação de toda a

rede da empresa

Falta de Planejamento Acesso 2 5 Médio Mitigar

efetuar auditorias e certificação de

segurança em nossa rede contra

invasões

Tamanho/Capacidade do servidor Negativo paralização dos serviços Falta de Planejamento Disponibilidade 1 3 Baixo Mitigar

monitorar, utilizar alguma ferramenta

que verifique essas informações e

envie alertas caso o espaço no

servidor atinja o nível de segurança

determinado

Queda de energia NegativoPerda de dados, paralizaçao do

serviçosFalha no serviço externo Disponibilidade 2 5 Médio Mitigar

Montar um sistema de gerador interno

para evitar a paralização dos serviços

Falha no gerador Negativo paralização dos serviços Falta de manutenção Disponibilidade 3 5 Alto Mitigar

efetuar testes semanais com o

gerador e rotinas de manutenção

periódicas

Perda de conexão Negativo paralização dos serviços Falha no serviço externo Disponibilidade 2 5 Médio Mitigar

contratar sistema de conexão de

backup para suprir a queda do sistema

principal

Juliane Chaud | Michele Lima | Tatiane Virginio | Vagner Rodrigues

INTEGRANTES:

Juliane Chaud

Michele Lima

Tatiane Virginio

Vagner Rodrigues

GESTÃO DE RISCOS

OBJETIVO

Este projeto de Gerenciamento de Riscos relacionado inicialmente ao mapeamento dos riscos envolvidos com a migração da nova ferramenta;

Os impactos dessa ação;

E o envolvimento direto dos stackholders.

Após esse levantamento e análise vamos apresentar o Plano de Risco, com o intuito de mitigar, transferir ou aceitar os riscos de forma a avalia-los e trata-los para minimizar os impactos negativos e aumentar os positivos.

Para o desenvolvimento do Gerenciamento de Riscos iremos utilizar a metodologia CMMI com base nas normas da ISO 31000.

ORGANIZACIONAL

Empresa: Hewlett Packard (HP).

Área de atuação: A HP é uma grande empresa, com sede em Palo Alto, Califórnia e Estados Unidos. Ela se concentra no campo de computação, impressão, tratamento de imagens, Outsourcing Full e também venda de softwares e serviços.

Concorrentes:

- IBM;

- Sonda Tecnologia;

- Capgemini (antiga CPM);

- Stefanini.

http://www.google.com.br/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=V3PcQPfjKpFXQM&tbnid=oaKzX0O4HqRO4M:&ved=0CAUQjRw&url=http://taxprof.typepad.com/.a/6a00d8341c4eab53ef016766869f7a970b-popup&ei=Pv_CUZD0D4T88QTPvICQCw&bvm=bv.48175248,d.eWU&psig=AFQjCNHXh-9RgCgTr5OlvwfO0AmP0jFMAg&ust=1371820135814340

PROJETO

O projeto terá atuação na área de TI, com subárea na operação de Service Desk;

Turno de trabalho com escala de 24x7;

Realizar a migração de uma ferramenta de Gerenciamento de Chamando, desenvolvida pela HP e customizada pelo cliente;

Esta ferramenta ainda apresentando erros e com a necessidade de correção destes, o cliente solicitou um projeto com plano de migração para a nova ferramenta de Gerenciamento de Chamado;

Atualmente, em produção, temos cerca de 5% da operação migrada com sucesso e mesmo assim ainda apresentando alguns desvios.

ISO 31000

LEVANTAMENTO DOS RISCOS

ID Riscos

01 Abertura de chamado para fila incorreto

02 Aceitação do novo sistema de migração

03 Insatisfação em relação aos serviços

04 Rapidez no atendimento dos chamados

05 Erro na abertura de chamado (ferramenta)

06 Relatório com dados incorretos ou fora da realidade

07 Adaptação dos funcionários após a migração

08 Seleção incorreta do SLA no chamado

09 Requisitos não atendidos

10 Sistema fora das normas de qualidade

11 Maior agilidade na execução das tarefas

IDENTIFICAÇÃO DOS RISCOS: ID Riscos Categoria Fonte

01 Abertura de chamado para fila incorreto Externo Falta de planejamento

02 Aceitação do novo sistema de migração Gerenciamento Nova tecnologia

03 Insatisfação em relação aos serviços Técnico Deficiência no treinamento do

suporte

04 Rapidez no atendimento dos chamados Técnico Metodologias bem aplicadas

05 Erro na abertura de chamado

(ferramenta) Técnico

Interface com usuário

confusa

06 Relatório com dados incorretos ou fora da

realidade Interno Métricas incorretas

07 Adaptação dos funcionários após a

migração Interno Deficiência no treinamento

08 Seleção incorreta do SLA no chamado Técnico Deficiência no treinamento do

suporte

09 Requisitos não atendidos Qualidade Testes não realizados

adequadamente

10 Sistema fora das normas de qualidade Qualidade Testes não realizados

adequadamente

11 Maior agilidade na execução das tarefas Técnico Metodologias bem aplicadas

ANÁLISE E AVALIAÇÃO DOS RISCOS

ID Riscos P I C (P)ositivo

(N)egativo

01 Abertura de chamado para fila incorreto 2 2 4 N

02 Aceitação do novo sistema de migração 1 2 2 P

03 Insatisfação em relação aos serviços 3 3 9 N

04 Rapidez no atendimento dos chamados 2 2 4 P

05 Erro na abertura de chamado (ferramenta) 1 1 1 N

06 Relatório com dados incorretos ou fora da realidade 3 3 9 N

07 Adaptação dos funcionários após a migração 2 1 2 P

08 Seleção incorreta do SLA no chamado 1 2 2 N

09 Requisitos não atendidos 3 3 9 N

10 Sistema fora das normas de qualidade 2 3 6 N

11 Maior agilidade na execução das tarefas 2 2 4 P

Legenda: P = probabilidade / I = impacto / C = criticidade

Escala: Sendo 1 – Muito baixo / 2 – Baixo / 3 – Médio / 4 – Alto / 5 – Muito alto

PLANO DE AÇÃO ID Riscos Plano de Ação

O que fazer? Quem fará? Envolvidos

01 Abertura de chamado para fila incorreto Treinamento de funcionários Cliente HP/Cliente

02 Aceitação do novo sistema de migração Demonstração das vantagens

do novo sistema HP HP/Cliente

03 Insatisfação em relação aos serviços Treinamento em atendimento HP HP/Cliente

04 Rapidez no atendimento dos chamados Incluir como lições aprendidas HP HP

05 Erro na abertura de chamado (ferramenta) Treinamento de funcionários Cliente HP/Cliente

06 Relatório com dados incorretos ou fora da

realidade

Reunião com realinhamento

sobre as métricas corretas HP/ cliente HP/Cliente

07 Adaptação dos funcionários após a migração Reciclagem de funcionários

com dificuldades Cliente Cliente

08 Seleção incorreta do SLA no chamado Reunião de realinhamento

sobre contratos de SLA HP HP

09 Requisitos não atendidos Identificação correta dos testes

a serem realizados e aplicação HP HP/ Cliente

10 Sistema fora das normas de qualidade Aplicação de um processo de

melhoria continua HP HP

11 Maior agilidade na execução das tarefas Registro como lição aprendida HP HP

TRATAMENTO

ID Riscos Tratamento

01 Abertura de chamado para fila incorreto Transferir

02 Aceitação do novo sistema de migração Mitigar

03 Insatisfação em relação aos serviços Mitigar

04 Rapidez no atendimento dos chamados Aceitar

05 Erro na abertura de chamado (ferramenta) Transferir

06 Relatório com dados incorretos ou fora da realidade Mitigar

07 Adaptação dos funcionários após a migração Transferir

08 Seleção incorreta do SLA no chamado Mitigar

09 Requisitos não atendidos Mitigar

10 Sistema fora das normas de qualidade Mitigar

11 Maior agilidade na execução das tarefas Aceitar

APLICAÇÃO DO MODELO

PLANEJAMENTO DO PROJETO (PP):

SP 1.1 Estimar o Escopo do Projeto

SP 1.2 Estabelecer Estimativas de Produto de Trabalho e atributos de tarefas

SP 1.3 Definir Projeto do Ciclo de Vida

SP 1.4 Determinar estimativas de esforço e custo

SP 2.1 Estabelecer o orçamento e cronograma

SP 2.2 Identificar os riscos do projeto

SP 2.3 Plano para Gerenciamento de Dados

SP 2.4 Plano de Recursos do Projeto

SP 2.5 Plano para o Conhecimento e Habilidades Necessárias

SP 2.6 Plano de Envolvimento das Partes Interessadas

SP 2.7 Estabelecer o Plano de Projeto

SP 3.1 Analisar os planos que afetam o projeto

SP 3.2 conciliar o trabalho e os níveis de recursos

SP 3.3 Obter Comprometimento Plano


GERENCIAMENTO DE RISCOS (RSKM):

SP 1.1 Determinar Fontes e Categorias de Risco

SP 1.2 Definir parâmetros de risco

SP 1.3 Estabelecer uma Estratégia de Gestão de Riscos

SP 2.1 Identificar Riscos

SP 2.2 Avaliar, Categorizar e Priorizar Riscos

SP 3.1 Desenvolver planos de mitigação de risco

SP 3.2 Implementar Planos de Mitigação de Risco


MONITORAMENTO E CONTROLE DO PROJETO (PMC):

SP 1.1 Monitorar parâmetros de planejamento do projeto

SP 1.2 Monitorar Compromissos

SP 1.3 Monitorar Riscos do Projeto

SP 1.4 Monitorar Gestão de Dados

SP 1.5 Monitorar a participação das partes interessadas

SP 1.6 Conduta Progresso Comentários

SP 1.7 Conduta das partes interessadas Comentários

SP 2.1 Analisar Questões

SP 2.2 Tomar uma ação corretiva

SP 2.3 Gerenciar Ação Corretiva

ESTRUTURA DO PLANO DE RISCO

BIBLIOGRAFIA

http://www.bb.com.br/portalbb/page3,136,2546,0,0,1,8.b

b?codigoNoticia=7288&codigoMenu=208&codigoRet=550

6&bread=3_3

http://www.alessandroalmeida.com/mba2013.htm

CMMI for Developers, Version 1.3 - Carnegie Mellon

OBRIGADO!

André de Barros Schmidt | Alexander Shkromada | Carlos Eduardo | Thiago Fuglini Franchini

GESTÃO DE RISCOS Trabalho de conclusão da disciplina

INTEGRANTES DO GRUPO

André de Barros Schmidt

Alexander Shkromada

Carlos Eduardo

Thiago Fuglini Franchini

Apresentação V1.3 - Gestão de riscos - Prof. Alessandro

39

INFORMAÇÕES SOBRE A EMPRESA

O trabalho irá abordar uma empresa real, que existiu

entre 2002 – 2006.

O ramo da empresa, era voltado para materiais de

borracharia.


40

PARÂMETROS DE RISCOS

Nesse ramo de atividade, existe tanto os riscos

positivos e os negativos.

Muitas vezes, a probabilidade de um risco

acontecer, pode ser menor ou maior do que o seu

impacto.


41

PARÂMETROS DE RISCOS

Os parâmetros para Probabilidade e Impacto que

estamos utilizando são de 1 a 5.

Probabilidade: Evento incerto ou conhecido, também

podendo considerar um evento Futuro;

Impacto: Ação de um Risco, refletido na tabela a seguir.

Devido aos valores de Probabilidade e Impacto, o

Peso do Risco pode variar 1 a 25, abaixo segue

uma simples tabela para entendimento desses

valores:

Prioridade Peso do Risco

Alta 17 – 25

Média 8 – 16

Baixa 1 – 8


42

PLANO DE RISCOS

Foi feito em etapas:

Lista dos riscos;

Identificação de Positivo e Negativo;

Identificação da fonte de cada um deles;

Classificação de Probabilidade, Impacto e Peso do

risco;

Estratégia de resposta;

Detalhamento de cada risco.


43

PLANO DE RISCOS

Lista dos riscos


44

PLANO DE RISCOS

Identificação de Positivo e Negativo


45

PLANO DE RISCOS

Identificação da fonte de cada um deles


46

PLANO DE RISCOS

Classificação de Probabilidade, Impacto e Peso do risco


47

PLANO DE RISCOS

Estratégia de resposta


48

PLANO DE RISCOS

Ação referente a cada estratégia de resposta


49

PLANO DE RISCOS

Detalhamento de cada risco


50

FRAMEWORKS E PRÁTICAS CONSIDERADOS

O nosso trabalho será “baseado” no CMMI-SVC, pois é

voltado ao processo de empresas prestadoras de

serviços;

Contendo 24 Áreas de processo;

Podendo ser focada as seguintes PAs:

IRP - Incident Resolution and Prevention (Prevenção e

Resolução de Incidentes);

SCON - Service Continuity (Continuidade de Serviços);

SD - Service Delivery (Entrega de Serviço);

STSM - Strategic Service Management (Gerenciamento de

Serviço Estratégico).


51

TABELA COM ÁREA DE PROCESSO,

CATEGORIA E MATURIDADE

Área de Processo Categoria Nível de Maturidade

Entrega de Serviço

Entrega e

estabelecimento de

serviço

2

Gerenciamento de

Serviço Estratégico

3

Prevenção e Resolução

de Incidentes

Continuidade de

Serviços Projeto e gestão de

trabalho


52

SD - SERVICE DELIVERY (ENTREGA DE

SERVIÇO)

Entrega dos serviços com base nos acordos

definidos.

Abrange a estabelecer e manter um acordo

escrito com os clientes. Um "acordo de serviço"

descreve o serviço a ser entregue para o cliente,

metas de nível de serviço e as responsabilidades

do prestador de serviços, cliente e usuário final,

conforme o caso.


53

STSM GERENCIAMENTO DE SERVIÇO

ESTRATÉGICO

Estabelece e mantém um padrão de serviços

alinhados com os planos e necessidades

estratégicas.

Em organizações pequenas, os serviços padrão

podem consistir de um único serviço ou pequeno

grupo de serviços. As organizações maiores

podem ter um conjunto mais complexo de serviços

padrão.


54

IRP PREVENÇÃO E RESOLUÇÃO DE

INCIDENTES

Garante a rápida resolução das solicitações e

incidentes que ocorrem;

Através da identificação das causas, prevenir a

ocorrência de incidentes.


55

SCON CONTINUIDADE DE SERVIÇOS

Estabelece e mantém planos de contingência para

continuidade do serviço em caso de interrupções;

Desastres naturais ou eventos humanos(greve,

por exemplo).


56

BIBLIOGRAFIA

Slides do Professor

http://www.slideshare.net/alessandroalmeida/cmmi-

for-services-3-edio-presentation

http://www.teclogica.com.br/blog/?p=508

http://pt.wikipedia.org/wiki/CMMI

http://www.isdbrasil.com.br/servicos/curso-oficial-

cmmi-svc-v1.3.php

http://www.sei.cmu.edu/reports/10tr034.pdf


57

http://www.slideshare.net/alessandroalmeida/cmmi-for-services-3-edio-presentation











http://www.teclogica.com.br/blog/?p=508

http://pt.wikipedia.org/wiki/CMMI

http://www.isdbrasil.com.br/servicos/curso-oficial-cmmi-svc-v1.3.php









http://www.sei.cmu.edu/reports/10tr034.pdf

[email protected] www.alessandroalmeida.com/unifieo.htm www.slideshare.net/alessandroalmeida

gestão de riscos (2013) - aula 7

Business