sexta-feira, 24 de março de 2017

Análise de processos de negócio através da mineração de dados


Ao longo das últimas décadas, observamos o crescimento das iniciativas de modelagem de processos de negócio, tanto em organizações públicas quanto privadas. Em geral, independentemente da metodologia utilizada, estas iniciativas envolvem o levantamento, análise e desenho das atividades e fluxos de trabalho executados nas organizações. Esse trabalho é quase sempre baseado em informações qualitativas, levantadas em entrevistas, reuniões e oficinas com as equipes envolvidas na execução dos processos. Informações quantitativas, quando existentes, são escassas ou não estão disponíveis no nível de detalhamento e abrangência necessário para as atividades de modelagem.

O grande desenvolvimento nos últimos anos de técnicas e ferramentas computacionais muda este cenário. Uma nova metodologia, a Mineração de Processos, permite que as organizações possam conduzir suas iniciativas de análise de processos mais baseadas na evidência dos dados que na força das opiniões.

A Mineração de Processos é uma combinação de métodos e ferramentas, originalmente desenvolvidos para mineração de dados e aplicações de aprendizado de máquinas, que exploram os registros existentes nos sistemas de informação da organização, A partir desses registros relativos à execução das atividades do processo, produz-se automaticamente modelos de processos que refletem a prática operacional registrada nesses sistemas. Além da produção de modelos, as ferramentas possibilitam filtrar os registros de execução de modo a, por exemplo, focar nossa análise nas atividades mais frequentes ou caminhos problemáticos, ou ainda apresentar visualizações dos modelos gerados em diferentes níveis de detalhamento.

O ciclo de trabalho típico da Mineração de Processos é mostrado na figura abaixo dividido em 3 etapas. Inicia-se com a montagem do Log de Eventos, que contém a compilação dos registros disponíveis sobre a execução das atividades. Em seguida, aplicam-se ferramentas especializadas que analisam o Log e produzem modelos e artefatos diversos que apoiam as atividades de análise na etapa seguinte. A última etapa do ciclo consiste na análise dos resultados obtidos e pode resultar em decisões para execução de novas iterações deste ciclo de trabalho.


De acordo com os objetivos desejados, a etapa de análise pode ter até 4 focos principais: a produção de modelos do processo, a verificação do desempenho dos processos executados, a verificação da conformidade entre a execução e modelos previstos, e o monitoramento de tendências na execução dos processos. Exemplos típicos de objetivos na mineração de processos são:


  • Produzir um modelo que represente o processo conforme executado: que atividades são realmente executadas e em que sequência?
  • Identificar desvios de conformidade: que atividades prescritas não estão sendo executadas?
  • Identificar em que pontos do processo vale mais a pena investir:  em que atividades uma melhoria será mais efetiva?
  • Identificar casos em risco: dado o histórico do processo qual a probabilidade de sucesso de cada caso ativo?


Como exemplo, considere o diagrama da figura abaixo. Ele foi gerado a partir das atividades de um processo de aprovação de documentos em um grande projeto de engenharia de infraestrutura.  O Log de Eventos foi produzido pela compilação dos registros do sistema de gestão de documentos usado no projeto, e conta com: 212.523 eventos distribuídos em 66.149 documentos analisados ao longo de 3,5 anos. No diagrama, cada caixa corresponde a uma ação sobre um documento, as setas são os caminhos seguidos na execução dessas atividades, enquanto que os números registram quantas vezes cada atividade foi executada ou o caminho seguido nos eventos registrados. Para melhor visualização, o diagrama mostra apenas 50% das atividades mais frequentemente executadas e os caminhos mínimos necessários para seu sequenciamento. 


Resumindo, a Mineração de Processos permite explorar as minas de dados enterrados nos sistemas de informação em benefício das organizações. Para saber mais, recomendo as referências:


  • Site da Eindhoven University of Technology (TU/e) dedicado à Mineração de Processos:  www.processmining.org
  • Site da  IEEE Task Force on Process Miningwww.win.tue.nl/ieeetfpm
  • Livro Process Mining: Discovery, Conformance and Enhancement of Business Processes, Wil van der Aalst, Springer Verlag, 2011



quinta-feira, 23 de março de 2017

O GDPR e a Segurança e Privacidade das Informações Pessoais

No último dia 17 de Fevereiro o Governo Federal criou um grupo de trabalho para produzir proposta de Política Nacional de Segurança da Informação (ver detalhes aqui). Entre outras coisas, um dos objetivos é definir diretrizes em matéria de proteção das informações Pessoais e Biométricas, e estabelecimento de mecanismos e instrumentos legais e técnicos para a proteção do sigilo das informações armazenadas, processadas e veiculadas, e da privacidade e da segurança das pessoas físicas e jurídicas.

Neste sentido, é importante verificar como um movimento semelhante está ocorrendo na União Europeia, desde a publicação, em Abril de 2016, do GDPR-General Data Protection Regulation (Regulamentação Geral para Proteção de Dados), e que entrará em vigor em Maio de 2018. Resultado do trabalho conjunto dos diversos países membros da União Europeia, esta regulamentação visa unificar o marco legal sobre o assunto, aumentar a proteção sobre privacidade de dados para os cidadãos europeus, e mudar a forma como as organizações abordam a privacidade e a segurança das informações pessoais.

Os Pontos Principais do GDPR


Dados Pessoais: qualquer informação relativa a uma pessoa natural identificada ou identificável ('sujeito de dados'); uma pessoa natural identificável é uma que possa ser identificada, direta ou indiretamente, em particular através de referência a um identificador como nome, número de identificação, dados de localização, identificador on-line, ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social desta pessoa natural.

Abrangência territorial estendida: um dos pontos mais polêmicos do GDPR é estabelecer que a proteção à privacidade e segurança dos dados pessoais é um direito do cidadão, independente de onde os dados são coletados, armazenados e processados, e, principalmente, da localização ou vinculação das empresas envolvidas com a Comunidade Europeia. Isto significa que qualquer empresa ou organização, em qualquer país no mundo, pode estar sujeita às regras e penalidades estabelecidas na GDPR, desde que haja dados de cidadãos europeus envolvidos. Empresas e organizações de fora da União Europeia, que lidem com dados de cidadãos europeus, deverão obrigatoriamente ter um representante legal dentro da União.

Penalidades: organizações não conformes com o GDPR podem ser multadas em até 4% do seu faturamento anual, ou EUR20 milhões (o que for maior). Esta é a multa máxima que pode ser imposta para violações sérias, como não obter consentimento suficiente do sujeito para processar seus dados, ou violar o cerne do conceito de Privacidade por Desenho. Importante notar que as multas são devidas tanto pelo controlador da informação como pelo processador - o uso de processamento ou armazenamento na nuvem não é uma saída!

Consentimento: as condições para consentimento foram apertadas, e as empresas não serão mais capazes de usar longas condições ilegíveis ou cheias de jargão legal, uma vez que a solicitação de consentimento deve ser dada de forma inteligível e de fácil acesso, com o propósito do processamento anexo a este consentimento. O consentimento deve ser claro e distinguível de outros assuntos, em linguagem simples. Deve ser tão fácil retirar o consentimento como é dá-lo.

Notificação de vazamento: a notificação de vazamento se torna obrigatória onde este vazamento possa "resultar em risco para os direitos e liberdade dos indivíduos", e deve ser feito em até 72 horas após ter sido descoberto o vazamento. Processadores também são solicitados a notificar seus clientes, os controladores, "sem demora" após haverem descoberto um vazamento.

Direito de acesso: os sujeitos têm o direito de obter do controlador confirmação se seus dados pessoais estão sendo processados, onde, e com que propósito. Além disso, o controlador deve fornecer uma cópia dos dados pessoais, sem custo, em formato eletrônico. Isto reforça a transparência e fortalece os indivíduos.

Direito de ser esquecido: permite que o sujeito exija que seus dados sejam completamente apagados, cessando qualquer processamento ou disseminação adicional, inclusive dos dados eventualmente em poder de terceiros. As condições para a eliminação dos dados pessoais incluem os dados não serem mais relevantes para o propósito original de processamento, ou o sujeito retirar seu consentimento.

Portabilidade dos dados: o direito de um sujeito receber seus dados pessoais, que ele tenha fornecido anteriormente, em um formato comum e legível por equipamento, e ter o direito de transmitir estes dados para outro controlador.

Privacidade por desenho: é um conceito que vem se desenvolvendo há alguns anos, mas agora se torna um requisito legal. No âmago, a privacidade por desenho exige a inclusão da proteção aos dados desde a concepção dos sistemas, e não como uma adição posterior. Mais especificamente, "o controlador deve implementar medidas técnicas e organizacionais apropriadas, de forma efetiva, para atender aos requisitos deste Regulamento e proteger os direitos dos sujeitos de dados". Os controladores devem reter e processar apenas os dados absolutamente necessários para completar suas obrigações (minimização de dados), bem como limitar o acesso aos dados pessoais apenas àqueles que precisam atuar no processamento.

Diretores de Proteção de Dados: para controladores e processadores cuja atividade principal consista de operações de processamento que requeiram monitoramento regular e sistemático de sujeitos de dados em larga escala, ou de categorias de dados especiais, ou dados relacionados com registros criminais, é obrigatório a nomeação de um Diretor de Proteção de Dados (DPO-Data Protection Officer), que, entre outras exigências, será apontado com base em suas qualificações profissionais e, em particular, conhecimento especializado em leis e práticas de proteção de dados.

Impacto do GDPR nas Empresas Brasileiras


O primeiro e principal impacto do GDPR nas empresas brasileiras é a necessidade de avaliar, analisar e garantir que a empresa realmente não está sujeita às determinações do GDPR. Considerando a extensão e a abrangência dos casos em que uma empresa está sujeita ao Regulamento, é arriscado pressupor, a priori, que uma empresa não está sujeita e, portanto, não está correndo um enorme e custoso risco. É de se esperar que as empresas de auditoria incluirão esta análise nas suas avaliações de rotina sobre os riscos a que uma empresa está exposta, visando alertar seus controladores e acionistas sobre a possibilidade de risco financeiro de grande valor.

O segundo, e também forte, impacto do GDPR é que ele abre caminho para a adoção de requisitos similares na legislação brasileira, trazendo então para o universo de praticamente todas as empresas a preocupação com a forma como os dados pessoais dos indivíduos são coletados, armazenados, transportados, processados e descartados. O conceito de Privacidade por Desenho ainda não é muito difundido no País, e é de se esperar que uma significativa parcela das empresas, sejam elas controladoras dos dados pessoais, como também as processadoras e os desenvolvedores de sistemas, não estarão conformes e precisarão fazer um esforço enorme, demorado, e caro, para se ajustar a estas normas.

Finalmente, cabe registrar que toda esta discussão e chamada para ação em torno da privacidade e segurança das informações pessoais acabará por provocar um imenso impacto sobre a forma como os dados e informações são tratados pelas organizações, sejam elas privadas ou públicas, trazendo a área de Gestão de Dados e Segurança de Informações, até agora tratada como um assunto da "cozinha" da área de TI, para a frente do palco, adquirindo uma importância para a saúde das empresas nunca antes sonhada.

 

O que Fazer Agora?


A primeira coisa a fazer é simples e direta: procure informações sobre o GDPR, envolva as várias áreas afetadas da organização (legal, TI, marketing e vendas, financeira etc.) e faça uma avaliação rigorosa sobre a real situação da sua empresa em relação ao GDPR.

Se sua empresa estiver sujeita aos requisitos do GDPR, você tem apenas pouco mais de um ano para adaptar seus procedimentos e sistemas a eles. Quanto trabalho isto representará é uma avaliação que cada organização deverá realizar, com base em sua situação particular. Encontrar os recursos (financeiros, humanos, técnicos) para resolver as não conformidades, sem perder de vista o curto prazo para regularização, será um enorme desafio.

Se a sua organização não estiver sujeita ao GDPR, considere a conveniência de iniciar um esforço voluntário de adequação, não só como preparação para um eventual endurecimento da legislação brasileira, como também como um sinal de respeito pela privacidade, segurança, transparência e sigilo das informações pessoais dos seus clientes, colaboradores, e de outras pessoas, que você porventura controle ou processe.

Não perca tempo! Aja agora!


quarta-feira, 22 de março de 2017

O FACIN e a EGD - A necessidade da transformação digital

Olá! A partir de hoje postaremos, quinzenalmente, artigos de uma série que abordará o alinhamento entre o Framework de Arquitetura Corporativa para Interoperabilidade em Apoio à Governança (FACIN) e a Estratégia de Governança Digital (EGD)Tais artigos têm como insumo um trabalho desenvolvido pela Professora Claudia Cappelli, da UniRio, uma das principais colaboradoras na construção do FACIN.

Neste primeiro artigo abordaremos a necessidade de transformação digital pelas organizações, principalmente as públicas, de forma a melhor atender as demandas de serviço advindas da sociedade.

A necessidade de evolução e transformação digital que as empresas – de diferentes tamanhos, mercados e localidades - estão buscando como uma melhor capacidade competitiva e posicionamento no mercado, pode ser compreendida como uma opção, em termos de: quando começar, qual velocidade adotar e melhores formas de abordar tais mudanças, sem um prejuízo para a operação atual dos negócios.
Um consenso, entretanto, é que novos resultados somente serão viabilizados com diferentes formas de atuação e posicionamento – o mercado mudou, seja em sua relação com os consumidores e clientes, parceiros e entre os times internos de uma mesma organização.

Com isso, novas práticas e mudanças nas formas de trabalho vem surgindo, todas com algumas práticas comuns, tais como:

  • Orientação a Serviços
  • Foco na Experiência do Cliente
  • Métodos Ágeis e Iterativos
  • Inovação e Cocriação
  • Transparência 

Entretanto, enquanto para organizações privadas é mais fácil a implementação das práticas apresentadas, para governos não há a mesma versatilidade. Seja por aspectos de austeridade econômica ou dificuldade de mudanças de processos/cultura organizacional. Neste cenário, a transformação digital para o governo surge com um sentido de urgência maior, uma vez que provoca fortes mudanças culturais – em termos de forma de atuação –, e estas, usualmente, tendem a consumir mais atenção, tempo e recursos iniciais, em relação às organizações que, de alguma maneira, já vem se preparando em termos formais de trabalho mais eficientes, integradas, automatizadas, controladas e transparentes. Por exemplo, basta observarmos os serviços oferecidos pelas organizações dos segmentos financeiro, varejo ou comunicação, entre outras. Suas ofertas são disponibilizadas e tratadas por meio digital em grande maioria, de forma prioritária, enquanto que boa parte de serviços públicos ainda se utilizam de canais presenciais, via balcão.

No próximo artigo apresentaremos a Estratégia de Governança Digital (EGD), uma iniciativa do governo Brasileiro, que tem como principal objetivo modificar essa situação aprimorando o acesso às informações públicas, melhorando a prestação de serviços e incentivando a participação dos cidadãos no processo de tomada de decisão.

Deixe aqui a sua opinião sobre o tema!

sexta-feira, 17 de março de 2017

Documentando Processos – Solução ou Problema?



Com sua origem em Organização e Métodos (O&M), o Business Processes Management (BPM) sempre deu à documentação dos processos um grande destaque. E para isso surgiram várias notações de modelagem de processos (EPC, BPMN, IDEF0, UML, etc.), formas de registro dos processos de negócio das organizações, bem como de tecnologias que cercam a matéria.

Não há dúvidas quanto a importância da documentação para a gestão de processos, tendo em vista que para que possamos evoluir nossos processos, precisamos de uma base histórica, um repositório, uma metodologia de manutenção, uma filosofia para estruturar a arquitetura de processos da organização.

Atualmente a notação mais utilizada em BPM é o BPMN, mantida pela Object Management Group – OMG, notação esta adotada pela  arquitetura ePING – Padrões de Interoperabilidade de Governo Eletrônico.

Algumas organizações, no entanto, tem visto com certa restrição a documentação de processos, alegando que a atividade drena muito tempo de seus técnicos e gestores sem que este investimento traga um retorno à altura.

Este argumento pode ser verdadeiro, na medida em que o trabalho de mapeamento de uma organização resulte em simples registro documental dos processos de negócio.

Para que haja um ganho com a atividade de documentação, esta deverá integrar os processos de melhoria contínua do processo. Isso mesmo, processo de melhoria de processo! Fazendo, desta forma, parte de uma rotina desenvolvida pelos gestores junto ao Escritório de Processos. Para tanto, tais processos de melhoria tem de ser estruturados e utilizados pelos atores da Gestão por Processos.

Por outro lado, os processos tem uma dinâmica própria e muitos se alteram frequentemente para dar conta de suas entregas. Neste sentido, a atualização dos documentos deverá ser feita de maneira ágil, se possível com ferramentas on-line, de amplo acesso pela organização. 

A documentação de processos, portanto, pode ser um fardo sem sentido? Sim, se for um fim em si mesma. Não, se for um meio (ágil) para apoiar um processo de melhoria contínua dos processos de negócio da organização.


Até a próxima!

quarta-feira, 15 de março de 2017

Modelo de Maturidade em Governança Corporativa e a Lei das Estatais - Parte 1

Em junho de 2016, foi sancionada a chamada Lei das Estatais, Lei 13.303, que dispõe sobre o estatuto jurídico da empresa pública, da sociedade de economia mista e de suas subsidiárias, no âmbito da União, dos Estados, do Distrito Federal e dos Municípios.

Em fevereiro de 2017, o Governo de Minas Gerais editou o Decreto nº 47.154 para regulamentar a Lei das Estatais estabelecendo regras mais rígidas que passaram a valer de forma imediata. O desafio das organizações passa por estabelecer um roteiro para aplicar as recomendações de governança corporativa ou verificar sua aderência ao recomendado.

Nesse sentido o artigo Maturidade em Governança Corporativa: Diretrizes para um Modelo Preliminar, elaborado por Pedro Bramont e João Souza Neto (Universidade Católica de Brasília), apresenta uma série de boas práticas de governança corporativa que podem suprir esta lacuna, uma vez que permitem estruturar a evolução organizacional em etapas predefinidas e mensuráveis.

Com o uso da Arquitetura Corporativa, proposto pelo FACIN (Framework de Arquitetura Corporativa para Interoperabilidade no Apoio à Governança) a organização pode identificar e avaliar as capacidades de negócio que dispõe e que necessita, viabilizando o alcance de seus propósitos e finalidades, definidos em uma estratégia e direcionados por sua governança. 

Para mapear o alinhamento entre o roteiro de recomendações proposto pelo decreto e as boas práticas propostas pelo referido artigo foi desenvolvido um Modelo em Rede de Maturidade em Governança Corporativa que possa ser aplicado nas empresas públicas. 

O Modelo da figura 1 pode ser acessado em: 



Figura 1 – Dimensões e Níveis de Maturidade em Governança 

O modelo é constituído de dois componentes: elementos e conexões. Navegue por ele selecionando a Dimensão ou o Nível que deseja visualizar, com um clique do lado esquerdo da tela, para filtrar as práticas diretamente relacionadas.

Em seguida, selecione o elemento, clicando sobre a bola do lado direito, para acessar as práticas relacionadas aos níveis de maturidade e os respectivos Capítulos, Seções e Artigos do Decreto, de acordo com a figura 2.




Figura 2 – Detalhamento das práticas relacionadas aos níveis e o Decreto 

Para voltar à tela inicial basta clicar em qualquer lugar vazio do lado direito da tela.

Os elementos são conceituados de acordo com sua especificidade e são relacionados a outros elementos por intermédio de conexões.

As conexões são estabelecidas de acordo com o elo de ligação entre os elementos identificados no modelo objeto dessa avaliação.

Siglas utilizadas nesse artigo: Conselho de Administração (CA), Comitê de Auditoria Estatutário (CAE), Conselho Fiscal (CF), Governança Corporativa (GC), Assembleia Geral (AG) e Recursos Humanos (RH).


O mapa com as Práticas do Nível 1 - Iniciado de Maturidade foi desenhado de acordo com a figura 3.




Figura 3 – Mapa das Práticas do Nível 1 - Iniciado de Maturidade


O mapa destaca as conexões do Nível 1 - Iniciado de Maturidade com as seguintes Práticas:

A companhia possui um CA.
Decreto nº 47.154 - Capítulo II - Do regime societário das empresas estatais
Seção III - Do estatuto
Artigo 21. 
Seção VIII - do Conselho de Administração
Artigos 28 a 35.

As demonstrações financeiras são auditadas por auditor totalmente independente da gestão: contratação, destituição, honorários, escopo e avaliação. 
Decreto nº 47.154 - Capítulo II - Do regime societário das empresas estatais
Seção I - Das normas gerais
Artigos 12, 13 e 17
Seção IX - Do Comitê de Auditoria Estatutário
Artigo 36, § 1º, incisos III, IV e VII 

Ninguém na companhia está envolvido em decisão sobre sua remuneração.
Decreto nº 47.154 - Capítulo II - Do regime societário das empresas estatais
Seção VIII - do Conselho de Administração
Artigo 29, inciso VI

A companhia possui um CAE.
Decreto nº 47.154 - Capítulo II - Do regime societário das empresas estatais
Seção III - Do estatuto
Artigo 21, inciso IV
Seção IX - Do Comitê de Auditoria Estatutário
Artigos 36 e 37

Função social.
Decreto nº 47.154 - Capítulo III – Da função social da empresa estatal
Artigo 42

Fiscalização pelo Estado e sociedade.
Decreto nº 47.154 - Capítulo IV – Da fiscalização pelo Estado e pela Sociedade
Artigos 43 a 48

Visões do FACIN relacionadas aos Artigos do Decreto 47.154:
Governança, Risco e Conformidade: 12, 13, 17, 21, 29, 34, 36, 37 e 43 
Estratégia: 34
Plano de Negócios: 34
Dados: 12, 13, 29, 36, 43, 44 e 46
Aplicações: 12, 13, 29, 36, 43, 44 e 46
Infraestrutura: 12, 13, 29, 36, 43, 44 e 46
Segurança: 12, 13, 29, 36, 43, 44 e 46
Sociedade: 42, 43 a 48

Acesse aqui o detalhamento completo das práticas de governança. 

No próximo artigo abordaremos as práticas do Nível 2 de Maturidade em Governança Corporativa, fiquem ligados!


Autores: Guttenberg Ferreira Passos, João Souza Neto e Pedro Bramont