Você está na página 1de 190

Anotaes/Comentrios

A norma ISO/IEC 20000 uma norma da International Organization for Standardization (Organizao Internacional de Normalizao) e da International Eletrotechnical Commission. Neste curso, forneceremos uma viso histrica da norma, alm de sua interpretao e tcnicas de auditoria.

Anotaes/Comentrios

Chamar a ateno para a experincia de cada um e ressaltar que h apenas uma diferena de grau entre o que fazem diariamente e o que a ISO/IEC 20000 estabelece.

Anotaes/Comentrios

Anotaes/Comentrios

Anotaes/Comentrios

Anotaes/Comentrios

Anotaes/Comentrios

Anotaes/Comentrios

Esta dinmica no dever ser realizada caso o curso conte com a presena de menos de 5 participantes. Dinmica durao: 10min Internalizar o conceito de sistema de gesto, interface entre processos e a importncia de cada um para construir e manter o sistema. Material: Barbante
8

Garrafa pet com bolas de gude dentro Caneta bic Escolher no mximo 10 participantes, cada um representar uma rea ou processo da organizao (Finanas, RH, Fornecedores, Vendas, Service Desk, etc). Dispor os participantes em um cruclo. Um deles receber o carretel de barbante e dever falar o prprio nome e nome da rea que recebeu, Anotaes/Comentrios enrolar o barbante na sua cintura e pass-lo para uma outra rea que tenha interface com a dele. Isso continuar at todos os participantes terem se amarrado ao barbante formando um emaranhado. No centro do emaranhado, deve-se pendurar a caneta bic com outro pedao de barbante e pedir que eles a coloquem dentro da garrafa pet. Caso esteja muito fcil, pode-se mudar a garrafa de lugar falando que os requisitos do cliente mudaram, a legislao mudou , etc. Mas no deixe demorar demais para no causar frustrao. Aps terem feito o trabalho, mostrar que dependeu
n

de todos. Mostrar os lderes e o que eles falaram. Apontar posturas observadas (sem apontar pessoas) e mostrar que o sistema de gesto para se fazer depende de todos os processos e de todas as pessoas que esto executando aquele processo.

Anotaes/Comentrios

Anotaes/Comentrios

Anotaes/Comentrios

10

Anotaes/Comentrios Publicada em 15/12/2005 pela International Organization for Standardization, com escopo internacional; Derivada da norma BS 15000 (BSI British Standard Institute); Teve incio com a primeira verso do ITIL e incluiu processos adicionais quela verso, tais como Responsabilidades da Direo, Gerenciamento de processos de Relacionamento e Relatos de Servios. Por este motivo, a ISO/IEC 20000 mais prxima do ITIL V3, apesar de seu mapa de processos base ter se baseado no ITIL V2.

ITIL no foi a nica fonte da ISO/IEC 20000. Ela Tambm herdou caractersticas da ISO 9000, padro para o gerenciamento da qualidade e base de todas as normas ISO que a ISO/IEC 20000 adaptou para aplicao organizao de TI.

11

Anotaes/Comentrios

12

Anotaes/Comentrios
ABNT NBR ISO/IEC 20000 o nome oficial da verso brasileira da norma, traduzida e publicada pela ABNT (Associao Brasileira de Normas Tcnicas) - Entidade no-governamental, sem fins lucrativos e de utilidade pblica, que atua como agente privado de polticas pblicas representando o Brasil internacionalmente. A norma se subdivide em: ISO/IEC 20000 Parte 1 Especificao, que detalha os elementos que devem estar presentes para uma empresa ser certificada. ISO/IEC 20000 Parte 2 Cdigo de prtica, que comenta a estrutura e meios para se cumprir e controlar a conformidade com as especificaes, relacionando prticas internacionais, como o ITIL, CobIT e outras, como instrumentos para isso, mas deixa a abertura para que prticas semelhantes ou equivalentes, mas de igual resultado, substituam aquelas j documentadas nos frameworks mais conhecidos. Apenas a parte 1 auditvel, sendo a parte 2 composta de direcionais que facilitam o atendimento aos requisitos contidos na Parte 1.

13

14

Anotaes/Comentrios
As primeiras pginas das partes 1 e 2 da norma brasileira.

14

Anotaes/Comentrios

15

Anotaes/Comentrios
O Valor de um servio um conceito associado a dois componentes: utilidade e garantia. A utilidade me permite atingir um resultado no momento do consumo do servio; a garantia de poder contar com ele quando preciso. O servio intangvel e perecvel. Ele existe em funo do resultado esperado. No se pode guard-lo e transferir sua propriedade. Seu significado est atrelado ao momento de uso e ao usurio a que se destina. Servios so sujeitos a variaes de qualidade, cujas tolerncias so objeto do gerenciamento de nvel de servio; A satisfao tem alto grau de subjetividade, dependendo, basicamente, dos conceitos de utilidade e garantia. No adianta um servio existir e no estar disponvel no momento em que eu preciso e tambm no adiante ter um servio disponvel, mas que no exatamente o que eu preciso.

16

Anotaes/Comentrios
A organizao moderna cada vez mais dependente da tecnologia da informao, que abrange todas as atividades operacionais e de administrao da organizao. A operao dos servios de TI corresponde, em mdia, a 70% dos gastos com na empresa tpica. Os outros 30% so gastos em desenvolvimento e aquisies de aplicaes, segundo estudo do Gartner. (IT Spending: How Do You Stack Up? Gartner Research Report, 2003) O gerenciamento de servios de TI tem como alvo todo o ciclo de vida dos servios, desde a definio da estratgia de servios no atendimento s necessidades do negcio, at o provisionamento dos servios aos clientes e usurios conforme o acordado e o processo de melhoria contnua dos servios. A estratgia define o qu e por qu implementar um servio e o plano de implantao; O desenho define como traduzir a estratgia e o plano em processos e servios;

17

A organizao provedora estabelece a estrutura de provisionamento e controle; O controle assegura o cumprimento das especificaes de qualidade e entrega dos servios; O suporte dos servios corrige as falhas de provisionamento na qualidade acordada; A melhoria contnua dos processos garante a adaptao dos servios realidade mutante dos negcios da organizao e a maior efetividade na satisfao dos clientes O efetivo gerenciamento de servios de TI imperativo para garantir que os servios que presta atendam as expectativas dos clientes e todas as partes interessadas. As expectativas incluem a realizao dos objetivos para que foram desenhados, em conformidade com as especificaes de qualidade e os acordos de nvel de servio.

Anotaes/Comentrios

Anotaes/Comentrios
Antes de apresentar o conceito de qualidade, perguntar: Pessoal, uma pergunta clssica: O que vocs acham que possui mais qualidade um BMW ou um fusca? Deixar alguns responderem e mostrar o conceito de qualidade fazendo o seguinte comentrio: A qualidade est diretamente associada aos requisitos do cliente daquele produto ou servio e como ele ser utilizado. No por que o Fusca mais simples que tem menos qualidade. Esse carro foi fabricado durante dcadas e vendeu milhes de unidades. Tente colocar um BMW em uma fazenda cheia de atoleiros ou uma estrada muito esburacada. Da mesma maneira, se voc for ficar preso em um engarrafamento ou for fazer uma viagem muito longa, muito melhor ir de BMW, no mesmo? A variao de qualidade, a melhor qualidade e a pior qualidade, precisam se enquadrar em tolerncias definidas de nvel de servio. Fora das tolerncias especificadas, simplesmente no existe qualidade. Pessoal, s quero chamar a ateno para esta nota aqui no slide NBR ISO 9000:2000 a norma que primeiro estabeleceu os conceitos de qualidade. Na verdade, uma famlia de normas que define como estabelecer um sistema de gesto, vocabulrio e requisitos de atendimento qualidade.

18

Anotaes/Comentrios
Se a qualidade est ligada ao atendimento de determinados requisitos, necessrio que haja um controle de atendimento destes requisitos. O controle da qualidade pode ser realizado de diversas formas. No que se refere prestao de servios, as mais comuns so: Pesquisa de satisfao pontual (ex. nota de atendimento aps o contato com uma operadora de celular) Pesquisa de Satisfao organizacional (ex. pesquisas feitas pelo provedor de servio aos gerentes e diretores das empresas clientes) Auditorias Internas, externas ou de fornecedores.

19

Anotaes/Comentrios
A garantia da qualidade existe por 2 motivos: Definir procedimentos para a realizao do produto ou servio com qualidade. Pessoal, voc lembram o que qualidade mesmo? Isso mesmo, o atendimento ao requisito do cliente, nem mais nem menos. Definir aes de avaliao e modificao do processo caso o controle de qualidade comece a apontar falhas.

20

Anotaes/Comentrios
Para tudo isso que dissemos at aqui funcionar, temos que ter ento a coordenao de todas essa atividades. Dessa forma, constituda a Gesto da Qualidade com seu sistema de gesto. (ler o slide)

21

Anotaes/Comentrios
Pessoal, esta a estrutura tpica de um sistema de gesto e seus principais pontos de apoio. Tudo isso vai gerar, dentro da rea do sistema de gesto (mostrar o local no slide), os processos, procedimentos e instrues de trabalho que garantiro o atendimento de todos estes fatores (mostrar os outros desenhos). preciso ter em mente que cada sistema de gesto nico e vai representar os valores e estruturao daquela organizao em particular.

22

A ilustrao mostra a ISO/IEC 20000, figurativamente, como um esqueleto de requisitos mnimos de especificaes de qualidade que os modelos de melhores prticas preenchem com os detalhes dos processos e procedimentos recomendados, conforme as necessidades e peculiaridades da organizao. O porte, o segmento da indstria, o mercado em que atua, a tecnologia utilizada, entre outros, determinaro o mix de modelos de melhores prticas para preencher e complementar os requisitos mnimos da ISO/IEC 20000.

Anotaes/Comentrios

23

23

Anotaes/Comentrios

24

Anotaes/Comentrios
Pessoal, falamos at agora de atendimento a requisitos, entendimento de requisitos, definio de requisitos. Mas o que so estes requisitos? Deixar falarem um pouco e mostrar a definio. Requisito, segundo a norma ISO 9000:2000 (ler o slide). A definio parece simples, mas contm uma srie de probleminhas, principalmente quando falamos de necessidades implcitas e expectativa e a est a arte de compreender tanto o que o cliente quer quanto o que a organizao quer porque os requisitos no caso no so s do cliente, mas tambm do nosso negcio.

25

Anotaes/Comentrios
Ento, se atendemos aos requisitos temos uma Conformidade que tambm importante de ser apontada como veremos mais adiante. A conformidade depende de uma srie de requisitos como: Relao custo/benefcio se a solicitao do cliente foge ao core business ou no comercialmente interessante, a organizao pode declinar e, se necessrio, entrar em entendimento com o cliente sobre a situao. Avaliao comercial e tcnica a solicitao pode ser interessante para a organizao, porm preciso saber se conseguimos atender no prazo, custo e qualidade solicitados. Requisitos de operao o que precisamos para atender a requisio: temos que considerar recursos humanos, capacidade de servidor, espao fsico, etc. Requisitos legais a solicitao do cliente implica em anlise da legislao (ex. alterao fiscal), ou ainda: a organizao no operava 24 x 7 e agora vai operar quais so as implicaes legais em relao aos colaboradores? Requisitos de entrega e atividade ps-entrega a organizao responsvel no apenas pela entrega do servio de acordo com os requisitos, mas tambm pela manuteno do servio. Uso da propriedade do cliente este um conceito existente na ISO 9000 que no est explcito na ISO/IEC 20000, porm preciso ter em mente de que a organizao responsvel, inclusive juridicamente, pela propriedade do cliente seja fsica, lgica ou
26

conhecimento.

Anotaes/Comentrios

Anotaes/Comentrios
Bem e se no atendermos os requisitos? A, teremos uma no conformidade

Reclamao de Clientes; Identificao por profissionais ou terceiros referentes ao Sistema de Gesto; Auditorias Internas ou Externas.
As fontes principais das no conformidades so:

As no conformidades podem estar relacionadas ao processo, ao produto ou servio e ao sistema de gesto.

27

Anotaes/Comentrios
A evidncia objetiva qualquer coisa que prove a conformidade ou no conformidade. Os auditores tem sempre que ter em mente que ningum culpado at que haja prova do contrrio. Isso no quer dizer que o auditor no ir investigar, porm um auditor nunca pode inferir, ele tem que encontrar evidncias. A evidncia objetiva pode ser obtida de vrias formas: entrevista, observao, medio, ensaio, etc.

28

Anotaes/Comentrios

29

Anotaes/Comentrios
Graficamente, o processo isso: entrada processo sada com guias e recursos que o auxiliam e permitem que seja executado. Este slide muito importante porque a razo de uma no conformidade sempre estar em um desses quadrantes: Entrada requisitos mal interpretados; falta de informaes; falta de materiais, etc. Sada qualidade do produto ou servio diferente do que foi requisitado Guias ausncia ou deficincia diretrizes, objetivos estratgicos, procedimentos, etc Recursos falta de subdimensionada, etc. Exemplos de Processos: Suprimentos: uma rea faz a solicitao, a rea de suprimentos ora e emite a ordem de compra, outra rea recebe e, s vezes, a rea que vai utilizar o material no a mesma que solicitou. Mudana: uma rea faz a requisio de mudana, a rea de infra-estrutura adequada, mo-de-obra

30

gerenciamento de mudana analisa e, quando cabvel, convoca outras reas para analisar o impacto da mudana, a mudana realiza por uma rea, muitas vezes, diferente da rea solicitante, para concluso do sucesso da mudana, o processo de incidentes deve fornecer informaes sobre gerao de incidentes relacionados mudana.

Anotaes/Comentrios

Anotaes/Comentrios

Este um modelo de controle do processo:

Entrada - So os requisitos usados no processo. Execuo - So as atividades e workflow do processo Sada - So os produtos ou resultados imediatos do processo. Controle - assegura a pertinncia das entradas para a execuo e a sada do processo, controlando a aplicao das
31

polticas e especificaes atravs do monitoramento de pontos de controle no workflow do servio para verificar a qualidade e a eficincia no cumprimento dos objetivos do cliente. As guias so utilizadas para direcionar o controle. Resultado - indica o resultado posterior do processo para o negcio (valor), a efetividade do processo em cumprir os objetivos do negcio. Os resultados so sempre comparados contra metas.

Anotaes/Comentrios

Anotaes/Comentrios
dessa forma que a documentao do GSTI deve ser estruturada. Tipicamente temos: Os documentos de deciso, ou seja, aqueles que determinam as diretrizes do GSTI que so: O manual ou Plano de Gerenciamento de Servio onde estar definido como o sistema est desenhado. Ele deve estar alinhado com a poltica e objetivos estratgicos da organizao. As normas e toda a documentao externa (ex. Legislao) que devem ser obedecidas Os documentos de execuo, aqueles que informam como o produto ou servio ser executado: Procedimentos e instrues de trabalho informam como se dar a execuo do produto ou servio Registros evidenciam a execuo do servio e o resultado do servio conforme determinado.

32

Anotaes/Comentrios
Neste slide podemos ver a definio de documentos, procedimentos e registros. Ler o slide at a definio de registro. Os registros so um tipo especial de documento porque so eles que evidenciam a conformidade dos processos. So sempre solicitados em auditorias e, por isso, devem: (ler o restante do slide)

33

Anotaes/Comentrios

34

Anotaes/Comentrios
Para liderar e operar com sucesso uma organizao necessrio dirigir e control-la de forma sistemtica e transparente. Os princpios da qualidade foram introduzidos e normalizados pela ISO 9000 que se constituiu a norma mais bem sucedida no mundo e que permitiu literalmente a globalizao da economia graas uniformizao da filosofia, dos conceitos e das mtricas e critrios para o gerenciamento da qualidade que passaram a ser usadas mundialmente aps os anos 90.

35

Anotaes/Comentrios

36

Anotaes/Comentrios

37

Anotaes/Comentrios

38

Anotaes/Comentrios
Modelo PDCA O Ciclo de Deming ou modelo PDCA, como mais conhecido, o Modelo-Chave de Gerenciamento da Qualidade

aplicvel a todos os processos e, at mesmo, no nosso dia-adia. Quando planejamos, por exemplo, uma viagem, ns utilizamos o conceito do PDCA: P: Planejamos onde queremos ir e escolhemos o lugar de acordo com nosso oramento D: Estudamos a rota da viagem (caso no saibamos o caminho), colocamos o p na estrada e fazemos os passeios programados. C: Olhamos para a cara de quem foi conosco ou a nossa prpria no espelho para saber se tudo foi conforme a expectativa. A: Se tudo ocorreu conforme o planejado, reptiremos a faanha. Se no: escolheremos outro hotel, lembraremos de colocar gasolina no carro, escolheremos outra companhia....e por a vai.

39

A repetio do ciclo no nos coloca em um novo crculo, mas sim numa espiral de melhoria, pois, cada ciclo, aumenta o nvel de otimizao e eficcia dos processos.

Anotaes/Comentrios

Anotaes/Comentrios
Planejamento: define o que fazer, como, quando, onde, por quem e com qu recursos, bem como de que forma e com quais mtricas gerenciar o plano. Fazer: implementar o que foi planejado Checar: Determinar se as atividades provem os resultados planejados monitorando as mtricas e analisando os resultados Agir: Ajustar o plano para corrigir quaisquer no conformidades detectadas na fase Checar. nessa fase que o ciclo entra em

espiral, pois sero obrigatoriamente elaborados planos de ao para corrigir os desvios encontrados, esses planos de ao tambm entram no ciclo do PDCA, ou seja, so planejados com definio de indicadores, implementados de acordo com o planejamento e checados para avaliar sua eficcia em corrigir o desvio apontado.

40

Anotaes/Comentrios Outra ferramenta importante o mapa de processos. Aps estabelecido o plano do GSTI, ele dar origem a um Mapa de Processos que ajudar a organizao a visualizar a estruturao do GSTI e a interface entre os processos. Apesar do Mapa de Processos ser gerado aps a implementao do GSTI, recomendvel que ele faa parte do registro deste plano.

41

Anotaes/Comentrios
Este o Mapa de Processos da ISO 20000 (mostrar a partir da Entrega de Servios para baixo). O Mapa de Processos uma das ferramentas mais importantes de qualquer sistema de gesto, ele que reflete a estrutura do sistema de gesto e, em um nvel macro, a inter-relao dos processos. O PDCA tambm uma ferramenta muito importante e falaremos sobre ele mais detalhadamente mais adiante. O importante a ser entendido aqui que, apesar de ele ser detalhado na Norma para o Planejamento e Implementao do Gerenciamento de Servio, ele ocorre no desenho, realizao, monitorao e melhoria contnua de cada um dos processos mostrados neste mapa. Os processos de gerenciamento de servios da ISO/IEC 20000 so interdependentes e intimamente relacionados atravs de um workflow comum. As relaes entre os processos dependem da aplicao dentro da organizao e, pela sua complexidade, no so mostradas no diagrama. As organizaes podem ter exigncias adicionais de controles e processos especficos e localizados no previstos no padro e que iro
42

necessitar ser incorporados ao grupo de processos aqui mapeados e, da mesma forma, documentados. A estruturao dessas exigncias organizacionais e algumas outras exigncias da norma esto aqui representadas pelas 2 caixas de cima deste Mapa de Processos. No decorrer do curso voltaremos a este mapa diversas vezes para situar onde est cada processo e item da norma que vai ser estudado.

Anotaes/Comentrios

Anotaes/Comentrios
A auditoria tem uma lgica a ser seguida. Cada auditor tem uma forma de auditar, mas todos eles seguem um raciocnio lgico para a coleta de evidncias. Ns apresentaremos a auditoria de processos segundo uma lgica sugerida. No a nica lgica vlida, mas a que ns utilizamos em nossa prtica.

43

Anotaes/Comentrios

44

Anotaes/Comentrios

45

Anotaes/Comentrios
(Ler o slide) Pessoal, para cada grfico da parte estratgica da Norma, teremos um quadro com o passo-a-passo de como auditar em linhas gerais.

46

Anotaes/Comentrios
Pessoal, preciso chamar ateno para um ponto: quando falamos em interface do processo, estamos falando em interfaces obrigatrias ou sugeridas por norma. Porm, o sistema de gesto desenhado para cada empresa, pois, cada uma, tem uma realidade particular. Por isso, as interfaces das quais falaremos so as principais. Isso no quer dizer que no podem existir outras.

47

Anotaes/Comentrios
Pessoal, lembram-se de que a gente falou sobre a importncia da documentao? Ento, a ISO/IEC 20000 reconhece esta importncia e estabelece alguns requisitos.

48

Anotaes/Comentrios

49

Anotaes/Comentrios

50

Anotaes/Comentrios

51

Anotaes/Comentrios
Slide auto-explicativo.

52

O quadro mostra as entradas e as sadas do em nvel macro do plano de implementao do gerenciamento de servios: Entradas: Os requisitos gerais, metas e polticas da organizao para o planejamento; Requisitos dos clientes, especficos do servio; Requisies de mudanas e servios novos. Numa organizao madura, sistemas e servios totalmene novos s iro acontecer por motivo de mudanas estratgicas radicais. A maioria dos servios novos sero novas verses, mudanas e melhorias em servios existentes; Integraes com outros processos, clientes, a organizao e fornecedores de servios ou complementos a servios existentes; Integraes e coordenao com outras funes. Sadas: A entrega dos servios ao cliente para produzir os resultados esperados; A satisfao do cliente gerenciada; O desenvolvimento ou aquisio do servio novo ou modificado; A atualizao dos processos; A satisfao da comunidade de pessoas e equipes envolvidas no processo,

Anotaes/Comentrios

53

53

Todos os processos implementados pela gesto de servios obedecem metodologia PDCA: PLANEJAR (PLAN) Estabelecer os objetivos, polticas e processos necessrios para entregar os servios de acordo com os requisitos dos clientes e as polticas da organizao FAZER (DO) Implementar os processos CHECAR (CHECK) Monitorar e mensurar os processos e servios em relao s polticas, objetivos e requisitos e relatar os resultados AGIR (ACT) Tomar medidas para melhorar continuamente o desempenho dos processos

Anotaes/Comentrios

Anotaes/Comentrios

54

Anotaes/Comentrios

55

Anotaes/Comentrios

56

Anotaes/Comentrios

57

Anotaes/Comentrios

58

Anotaes/Comentrios
A fase de realizao fazer o que foi desenhado. Ento, para efeito de auditoria o auditor deve ter em mente o que foi planejado (as documentaes que ele viu e os registros l descritos) e comparar com o que est sendo realizado: O processo est sendo seguido conforme descrito? Todos esto cientes dos procedimentos e instrues de trabalho? Todos esto utilizando as verses atualizadas? Os registros esto sendo colhidos conforme descrito? Sua guarda est segura? Sua recuperao fcil? Sua reteno de acordo com o estabelecido? Eles so suficientes?

59

Anotaes/Comentrios

60

Anotaes/Comentrios

61

Anotaes/Comentrios
Esta forma de auditoria pode ser aplicada a qualquer processo estratgico ou operacional.

62

Anotaes/Comentrios

63

Anotaes/Comentrios

64

Anotaes/Comentrios Melhoria contnua um dos 8 princpios do gerenciamento da qualidade. a parte mais difcil do plano de melhoria do servio. aqui que temos a certeza que o sistema de gesto um organismo vivo que alimentado periodicamente e se modifica e transforma de acordo com as necessidades de organizao e de todas as partes interessadas.

65

Anotaes/Comentrios

66

Anotaes/Comentrios

67

Anotaes/Comentrios

68

Anotaes/Comentrios

69

Anotaes/Comentrios

70

Anotaes/Comentrios

71

Anotaes/Comentrios

72

Anotaes/Comentrios

73

Anotaes/Comentrios

74

Anotaes/Comentrios

Esta dinmica no dever ser realizada caso o curso conte com a presena de menos de 5 participantes. Dinmica durao: 30min Desenho do Produto Objetivo: Observar as habilidades de comunicao, empatia, colaborao. Procedimentos Formam-se grupos de 5 pessoas:
75

cliente gerente supervisor (cego) operrio (mudo) observador Os clientes so levados para fora da sala a fim de fazerem um desenho de um produto. Ex.: guardasol, carro, motocicleta, microcomputador, vestido, bolsa. A orientao para que faam com o maior nvel de detalhamento possvel, com lpis de cor e caneta hidrocor. A seguir, o gerente de cada equipe chamado e Anotaes/Comentrios ele conversa com um cliente, v o desenho, faz todas as perguntas necessrias e se compromete a produzir o produto o mais perfeito possvel pode fazer anotaes. O gerente volta para a sala e repassa as informaes para o supervisor que cego e s pode ouvir as explicaes e fazer perguntas. Em seguida, o supervisor passa informaes para o operrio que mudo e, portanto, s pode ouvir sem perguntar. Quando o produto estiver concludo, ele ser colado na parede junto com o do cliente e comparado. Explorao
n

- Estratgia utilizada por sua equipe - Barreiras na comunicao (hierarquia, diferenas individuais) - Competncias individuais (a pessoa certa no lugar certo) - Foco no cliente

Anotaes/Comentrios

Anotaes/Comentrios

76

Anotaes/Comentrios
Slide auto-explicativo.

77

Anotaes/Comentrios

78

Anotaes/Comentrios
Agora, iremos falar sobre os processos de entrega de servios. Eles existem para garantir o alinhamento da Operao de TI aos clientes, ao negcio e aos fornecedores. Este alinhamento feito atravs do Gerenciamento de Nvel de Servio. O Relato de Servio, que tratado separadamente na Norma, responsvel por fornecer informaes a todos os processos, aos clientes e aos fornecedores. Para que todos possam fazer as anlises crticas pertinentes em busca de melhoria. O Gerenciamento da Capacidade deve garantir que a TI capaz de entregar os servios acordados tanto atuais quanto futuros. O Gerenciamento da Disponibilidade e Continuidade responsvel por garantir que o servio entregue dentro dos nveis e acordados e, caso haja uma perda, que o servio ser recuperado dentro dos prazos e padres acordados. O Gerenciamento da Segurana da Informao garante que os dados entregues so confiveis, pois deve tomar todas as providncias para proteger sua integridade. E o Oramento e Contabilizao para Servios de TI garante que a Organizao contabiliza seus ativos e controla seus seus custos, oramentos e investimentos de maneira apropriada.

79

Anotaes/Comentrios
A organizao evolui e seus sistemas de informao se modificam. Portanto, as atividades de gerenciamento de segurana devem ser revistas com frequncia para garantir sua efetividade. Gerenciar segurana da informao, assim como os demais processos ISO, significa repetir o ciclo PDCA continuamente. Como dissemos anteriormente, a Segurana da Informao existe para garantir a proteo e confiabilidade dos dados. A prpria norma ISO 20000 informa que nela esto contidas as diretrizes bsicas para a Segurana da Informao, porm que a verdadeira dimenso, aplicabilidade, objetivos e controles podem ser encontrados na norma ISO 27001 partes 1 e 2 e recomenda, embora no exija, que as pessoas ligadas rea da Segurana da Informao conheam, pelo menos, a parte 2 da norma ISO 27001.

80

Anotaes/Comentrios
Slide auto-explicativo.

81

Anotaes/Comentrios
Slide auto-explicativo.

82

Anotaes/Comentrios

83

Anotaes/Comentrios

84

Anotaes/Comentrios

85

Anotaes/Comentrios
Slide auto-explicativo.

86

Anotaes/Comentrios

87

Anotaes/Comentrios

88

Anotaes/Comentrios
Slide auto-explicativo.

89

Anotaes/Comentrios

90

Anotaes/Comentrios

91

Anotaes/Comentrios

92

Anotaes/Comentrios

93

Anotaes/Comentrios

94

Anotaes/Comentrios

95

Anotaes/Comentrios

96

Anotaes/Comentrios

97

Anotaes/Comentrios
Slide auto-explicativo.

98

Anotaes/Comentrios

Dinmica durao: 50min Preparar os alunos para produzirem e analisarem a documentao dos processos. Dividir a sala em 2 grupos: 20 minutos Um grupo ir preparar um Procedimento relativo a Gerenciamento de Incidentes e uma lista de perguntas para verificar o Gerenciamento de Problemas.
99

O outro grupo ir preparar Procedimento relativo a Gerenciamento de Problemas e uma lista de perguntas para verificar o Gerenciamento de Incidentes. 25 minutos Trocar os Procedimentos e listas de perguntas dos grupos. Dar 5 minutos para cada um dos grupos ler os procedimentos. Dar 10 minutos para cada um dos grupos auditar o outro utilizando a Anotaes/Comentrios lista de perguntas. 5 minutos Fazer as consideraes finais do exerccio. O que faltou nos procedimentos. O que poderia ser melhor nas listas de verificao. Comentrio breve sobre sensao do auditado e auditor e postura de auditoria.

Anotaes/Comentrios

100

Anotaes/Comentrios
Slide auto-explicativo.

101

Anotaes/Comentrios

102

Anotaes/Comentrios

103

Anotaes/Comentrios
Slide auto-explicativo.

104

Anotaes/Comentrios
Slide auto-explicativo.

105

Anotaes/Comentrios

106

Anotaes/Comentrios
Slide auto-explicativo.

107

Anotaes/Comentrios

108

Anotaes/Comentrios

109

Anotaes/Comentrios
Slide auto-explicativo.

110

Anotaes/Comentrios
Slide auto-explicativo.

111

Anotaes/Comentrios
Slide auto-explicativo.

112

Anotaes/Comentrios

113

Anotaes/Comentrios

114

Anotaes/Comentrios
Slide auto-explicativo.

115

Anotaes/Comentrios
Slide auto-explicativo.

116

Anotaes/Comentrios
Slide auto-explicativo.

117

Anotaes/Comentrios

118

Anotaes/Comentrios

119

Anotaes/Comentrios

120

Anotaes/Comentrios

121

Anotaes/Comentrios
Slide auto-explicativo.

122

Anotaes/Comentrios
Slide auto-explicativo.

123

Anotaes/Comentrios

124

Anotaes/Comentrios
Slide auto-explicativo.

125

Anotaes/Comentrios

126

Anotaes/Comentrios

127

Anotaes/Comentrios

128

Anotaes/Comentrios

129

Anotaes/Comentrios

130

Anotaes/Comentrios

131

Anotaes/Comentrios

132

Anotaes/Comentrios

133

Anotaes/Comentrios

134

Anotaes/Comentrios

135

Anotaes/Comentrios
Slide auto-explicativo.

136

Anotaes/Comentrios

137

Anotaes/Comentrios
Pessoal, Numa auditoria, a rea de Recursos Humanos que, normalmente, a rea responsvel pela definio das competncias em uma organizao a ltima rea a ser auditada. E por que isso ocorre? porque o auditor deve coletar evidncias para poder auditar corretamente a rea. Isso tambm pode ser aplicado gesto de fornecedores, particularmente, naquelas organizaes onde h um alto ndice de terceirizao.

138

Anotaes/Comentrios

139

Anotaes/Comentrios
Em termos comportamentais, esta a sntese do que ter em mente. Deus nos deu 2 ouvidos e uma boca para ouvirmos mais do que falar O auditor deve levar esse preceito ao seu grau mximo, ou seja, falar o mnimo possvel, escutar e observar o mximo possvel. Para o auditor essa frase ficaria da seguinte forma Deus nos deu 2 ouvidos, 2 olhos e uma boca para ouvirmos e observarmos mais do que falar. E por que isso? Para que no deixemos passar nenhuma evidncia.

140

Anotaes/Comentrios
Aqui, temos ento, a definio de auditoria: Ela um processo sistemtico isso quer dizer ela preparada e segue um sistema, uma ordem. A auditoria tem uma lgica como veremos mais adiante. Ela sempre documentada a auditoria conta com um planejamento documentado, as evidncias coletadas so documentadas assim como o relatrio final. Tudo isso ocorre para que a coleta e anlise de evidncias possam ser realizadas de maneira eficaz, dessa forma a auditoria pode atingir plenamente seus objetivos: (ler e explicar a segunda parte do slide) Pessoal, apenas mais uma observao aqui: como podem notar a definio de auditoria, assim como as prximas, vem da norma NBR ISO 19011:2002 Diretrizes para Auditorias de sistema de Gesto da Qualidade e/ou Ambiental. Apesar de ela ter sido escrita antes de normas ISO especficas para TI terem sido elaboradas, suas diretrizes podem ser expandidas e utilizadas para qualquer processo de auditoria.

141

Anotaes/Comentrios
Uma auditoria deve ser realizada por pessoa competente, com conhecimento tanto nos requisitos da qualidade e da norma especfica quanto no assunto objeto de auditoria. Porm, essa pessoa no precisa necessariamente ter experincia aprofundada em programao de SW ou monitorao de mainframe, pois, quando necessrio, o auditor pode contar com especialistas para auxili-lo.

142

Anotaes/Comentrios
O auditor nunca deve inferir. Todos os apontamentos de uma auditoria devem ser baseados em evidncias que podem ser desde registros at declaraes. Para que uma evidncia possa ser considerada como tal, ela precisa ter as seguintes caractersticas: (ler o slide)

143

Anotaes/Comentrios
A anlise das evidncias coletadas levaro s constataes de auditoria e a partir da teremos o relato das: Conformidades evidncias que comprovam o seguimento dos requisitos No conformidades evidncias que ferem os requisitos Observaes evidncia que colocam em risco os requisitos. Elas no se caracterizam por no conformidades, porm so no conformidades potenciais. Oportunidades de melhoria dever do auditor agregar valor com sua auditoria, por isso, ele pode apontar situaes onde o processo, apesar de no estar inadequado, puder ser otimizado.

144

Anotaes/Comentrios

145

Anotaes/Comentrios

146

Anotaes/Comentrios

147

Anotaes/Comentrios
A auditoria pode ser tipificada de 2 maneiras: quem audita e o que auditado. Mais comumente, nos referimos a quem audita e a temos as auditorias de: 1 parte so as auditorias internas, obrigatrias por norma, que fazem com que a organizao se auto avalie periodicamente e proponha aes de melhoria. 2 parte quando a organizao tem por objetivo garantir a qualidade da prestao de servios de empresas fornecedoras ou terceiras, ela pode optar por realizar este tipo de auditoria. 3 parte so as auditorias externas pelas quais a organizao passa quando para ela importante contar com um selo de aprovao internacional como a ISO. As auditorias externas ocorrem para certificao, manuteno ou recertificao como explicaremos mais adiante. A figura do auditor-lder obrigatria nas auditorias de 3 parte. Nas
148

auditorias de 1 e 2 partes, esta presena opcional e depende do tamanho e tipo de conduo da auditoria. O auditor-lder uma pessoa, de preferncia com certa experincia, que passou por um curso de formao de auditores e por uma prova no qual, assim como a organizao, ele foi acreditado e recebeu uma certificao de que ele sabe e pode auditar sistemas ISO h cursos voltados para a ISO 9001, 27001, 20000 e outros. Esta certificao fornecida por um organismo reconhecido internacionalmente.

Anotaes/Comentrios

Anotaes/Comentrios
Falando agora em o que auditado, podemos ter auditorias de sistema, de processo e de produto. A no ser que o objetivo da auditoria seja, especificamente, voltado para um destes tipos, o que se v normalmente o auditor abordar os trs tipos no transcorrer da auditoria.

149

Anotaes/Comentrios

150

Anotaes/Comentrios

151

Anotaes/Comentrios

152

Anotaes/Comentrios
Como no podia deixar de ser, o programa de auditoria tambm baseado no bom e velho PDCA. (ler e explicar o slide) Neste curso, iremos abordar a fase de planejamento e implementao de um programa de auditoria.

153

Anotaes/Comentrios
Ao planejar um programa de auditoria, devemos ter em mente: Quais so os objetivos desta auditoria? A partir dos objetivos estratgicos da auditoria, so definidos o escopo, objetivo e frequncia da auditoria. Sabendo o que, at onde e quando eu vou auditar, eu consigo definir quais papis vou precisar: necessrio um auditor-lder? Vou precisar de especialistas auxiliando em alguma rea? Pessoal, vocs se lembram que eu falei que a auditoria seguia uma lgica, pois bem: aqui a lgica comea a se delinear. Ao planejar uma auditoria, eu devo considerar: Qual a importncia de cada processo para aquela organizao? se for uma organizao cujo core business outsourcing de data center, estes processos devero ser sempre auditados. Ao contrrio, se o core business for desenvolvimento de SW, obrigatoriamente a auditoria ter

154

que passar por l. H alguma rea ou processo que foi crtico na auditoria anterior? Temos que verificar essa reas. As no-conformidades registradas em auditorias anteriores tem que obrigatoriamente ser revistas. H comunicao de alteraes de processos ou procedimentos? Eles tero que ser visitados para verificar se essas alteraes esto sendo seguidas conforme proposto. Houve alterao de requisitos? Seu correto atendimento dever ser verificado durante a auditoria.

Anotaes/Comentrios

Anotaes/Comentrios
Aps as consideraes anteriores, hora de elaborar o Plano de Auditoria que deve conter (ler slide) Os auditados principais no sero necessariamente as pessoas que sero auditadas in loco. Um gestor pode, por exemplo, solicitar que um de seus subordinados seja auditado, pois ele pode estar mais envolvido na realizao de determinado processo. muito importante divulgar o plano de auditoria com antecedncia por dois motivos: -Os auditados precisam se programar e solicitaes de alterao podem ocorrer. Elas podem ser acatadas desde que no comprometam a lgica da auditoria. Por exemplo, no recomendvel auditar a rea de recursos humanos antes das demais reas. -A organizao tem que enxergar a auditoria, principalmente a interna, como uma ferramenta de melhoria de processos. Algo bom que os ajudar, em ltima anlise, a realizar suas tarefas mais facilmente. As auditorias-surpresa tem mais carter punitivo e de apontamento de erros do que de auxlio. Quando isto ocorre, os auditados perdem a confiana de expor as falhas do processo.
155

Anotaes/Comentrios Durante o planejamento da auditoria, deve-se definir em quais auditorias cada auditor deve ser alocado. Para tomar esse tipo de deciso, devemos ter em mente: As Habilidades Especficas de cada um: mtodos e tcnicas relacionadas com qualidade e governana de TI processos, produtos e servios. As Habilidades Genricas de cada um: princpios, procedimentos e tcnicas de auditoria; sistema de gesto de documentos de referncia; situaes organizacionais; leis, regulamentos e outros requisitos, etc. Quais os Atributos Pessoais de cada um e quais sero demandados em cada auditoria: tico,

156

Mente aberta, Diplomtico, Observador, Perceptivo, Verstil, Tenaz, Decisivo, Autoconfiante.

Anotaes/Comentrios

Anotaes/Comentrios Aps o planejamento da auditoria, hora de implementar o programa planejado da seguinte forma: (ler o slide)

157

Anotaes/Comentrios
Ler o slide Para qu elaborar um check list? O check list: Ajuda a memria Assegura a cobertura de todos os temas e pontos a serem verificados Assegura profundidade e continuidade da auditoria Ajuda a administrao de tempo Organiza as anotaes

158

Anotaes/Comentrios
A reunio de abertura um evento formal e deve ser conduzida com formalismo. Membros da Alta Direo devem participar para demonstrar seu comprometimento com o processo de audiroria e com a manuteno do sistema em si. Gestores e responsveis por processos tambm devem ser convocados. Outras convocaes ficam a critrio da organizao. Os passos da reunio de abertura so (ler a primeira parte do slide). muito importante deixar claro quais so os critrios de conformidade, no conformidade e observao. Alm disso, importante deixar claro que a auditoria amostral que a existncia de no conformidades devem ter sua abrangncia investigada e a no constatao no quer dizer que ela no existam e que, por isso, muito importante que todos estejam cientes de que devem sempre supervisionar e melhorar o processo. A auditoria um processo independente o auditor imparcial e profissional em suas observaes. Ela ocorre em determinado perodo de tempo e uma foto do momento.
159

As entrevistas e observaes sero feitas na rea de trabalho dos auditados que devem estar preparadas para receber os auditores e fornecer prontamente toda a documentao requerida. Tanto registros documentais quanto declaraes so evidncia de auditoria.

Anotaes/Comentrios

Anotaes/Comentrios

160

Anotaes/Comentrios

161

Anotaes/Comentrios Entre a auditoria final e a reunio de encerramento, deve-se reservar um perodo para a reunio de equipe para (ler o slide)

muito importante: Cuidado com evidncias; Documentar apenas o que agrega valor; No documentar a provvel causa da NC no relatrio essa parte deve ser reservada para a anlise de causa.

162

Anotaes/Comentrios

163

Anotaes/Comentrios

Dinmica durao: 20min Entender a importncia da postura do auditor e dos auditados. Material: 3 cpias de uma Instruo de Trabalho fictcia 6 cartes cada um com um papel: 1 kit Auditor que interrompe o auditado a todo momento; Auditado nervoso; Chefe que ameaa o auditado
164

Falar para o participante que ser o auditado sem os outros ouvirem que ele deve falar que faz tudo o que est na instruo,mas no encontrar nenhum registro. 2 kit Auditor que julga o que o auditado falou ou fez; Auditado que fala muito baixo; Chefe estressado que interrompe o auditor Falar para o participante que ser o auditado que ele no dever conhecer o procedimento, falar que nunca viu e mostrar alguns registros que no tero a ver com que o auditor perguntar.
Anotaes/Comentrios

Escolher 3 participantes, cada um receber um papel auditor, auditado, chefe. Solicitar que leiam a instruo de trabalho 5 min. Fornecer o 1 kit e solicitar que cada um assuma seu papel 5 min. Fornecer o 2 kit e trocar os papis 5 min. Debater com os participantes como cada um se sentiu 5 min.
n

Anotaes/Comentrios

165

Anotaes/Comentrios

166

Anotaes/Comentrios

167

Anotaes/Comentrios

168

Anotaes/Comentrios

169

Anotaes/Comentrios

170

Anotaes/Comentrios

171

Anotaes/Comentrios
Durao 20 min. 10 min para a redao das no conformidades 10 min para ouvir as redaes feitas e dar algumas sugestes

172

Anotaes/Comentrios

173