Canvas-MGD-P´s da Governança e
Gestão de dados:
Chegamos nos
P´s da Governança. Esse ponto representa o mecanismo complementar do
Canvas-MGD, discutido anteriormente. Aqui colocamos os pontos relacionados à
Governança de Dados, com aqueles conceitos(coincidentemente) começados pela
letra P. É puramente um artifício
mnemônico, para se gravar elementos fundamentais que deverão ser pensados ,
quando da implementação de um Programa de Governança.
O P de “problemas” já foi, de certa forma,
discutido no Canvas anterior, sendo a gênese de tudo isso. Trazido do Canvas
MGD, os problemas poderão ser melhor detalhados, conforme a Matriz de problemas
de dados, na figura 07, que mostra a sua incidência, de acordo com as áreas
mais impactadas. Os problemas são analisados em maior detalhe e identificadas
as áreas/domínios de dados que serão contempladas na sua resolução.
Figura 07-Matriz de problemas
A partir
dai, começaremos a abordagem pelos P´s do domínio da solução, ilustrados na
figura 08.
Fig 08-Canvas dos P´s da Governança de Dados
Os P´s da
Governança e Gestão de dados, estão definidos, a seguir :
Patrocínio:
Esse é um
dos fatores críticos de sucesso na implementação de um programa de Governança e
Gestão de dados nas empresas. Dai a importância de se ter levantado com cuidado
os possíveis retornos em termos de negócios, seus impactos, etc. Envolve a
conscientização do alto “board” da empresa, principalmente da área de negócios,
onde os problemas de dados normalmente repercutem. Um programa dessa natureza
deverá ter o apoio da TI mas não deverá ser uma proposição de cunho
tecnológico. Deverá ter origem nas áreas de negócios, onde dados sensíveis
representem elementos de valor. Os impactos e custos negativos de problemas de
dados são itens que devem compor a linha de argumentação e de convencimento.
Estudos de casos de negócios específicos podem ser feitos e um deles pode ser a
análise atual dos dados críticos, via Profiling, quando se analisa aspectos
físicos de integridade, completude, precisão, etc dos dados. Aqui os dados
selecionados para o estudo de caso devem ser os mais sensíveis aos aspectos de compliance/aderência
ou os que podem trazer impactos de reputação e /ou perdas financeiras. É botar
o olho nesses dados e saber da qualidade de seu conteúdo, que por vezes,
escondem ao longo de milhões de registros e fontes dispersas, problemas sérios.
Também uma avaliação sobre a cultura e propensão da empresa para programas
dessa natureza, que implicam mudanças culturais, pode ser feita para se aferir os possíveis níveis de
aceitação do programa. Conversas de “elevador” ou reuniões formais com o alto “board”
ajudam a detectar essas tendências. Projetos estratégicos de dados como levantamento
da Qualidade de dados das principais fontes de dados, resolução de Compliance, uso
de Big Data com Data Science, MDM(Gerência de dados mestres), DW/BI, etc podem
servir como elementos alavancadores de iniciativas como essas e são definidos
como “projetos triggers da Governança e Gestão de dados”, tornando mais
espessos os aspectos de patrocínio necessário.
Exemplo prático:
Comece analisando as gerências
envolvidas nos domínios dos problemas apresentados. Olhe bem o “Where” no Canvas
passado e a Matriz de Problemas, na figura 07. Esses são os primeiros targets
da abordagem de busca pelo patrocínio, pois sentem (ou podem sentir) os
problemas mais diretamente. Neste item, os problemas levantados relativos aos
riscos de compliance junto à ANSS, associados com os aspectos de impactos de
reputação no mercado, através de reclamações de atendimento(pesquisadas, por
exemplo via mídias sociais) formam um forte embasamento para a busca de
patrocínio de um programa de dados na empresa. Uma verificação anterior sobre a
propensão demonstrada pela empresa para aspectos de mudanças pode dirigir a
forma de abordagem na busca desse patrocínio. Dados factuais, como indicadores/métricas
de qualidade de dados estratégicos(Clientes, Atendimentos, Parceiros, Registros
de doenças, etc), detectados por ações de Profiling de dados também podem
servir como grande instrumento de convencimento, principalmente se apresentarem
discrepâncias e pontos fora da curva. Lembre-se que aspectos de multas vultosas
por problemas de “compliance” e arranhão na reputação, principalmente quando se
trata de saúde, são dois fatores extremamente “convincentes”.
Princípios e Políticas:
são as grandes
regras, definidas por consenso e aprovadas, atualizadas e respeitadas pela
organização, legislando sobre os dados. Os Princípios são elementos mais
filosóficos e as Políticas mais normativos e regulatórios. As Políticas são
aplicadas e exigidas em diversas etapas do ciclo de vida dos dados. Poderemos
ter políticas para a criação, replicação, uso, armazenamento principal e
secundário, arquivamento e eliminação dos dados. Aspectos mais específicos do
ciclo de vida dos dados como segurança, propriedade(ownership), distribuição,
documentação, privacidade, qualidade, etc deverão ser também objetos de regras ou
políticas, criadas pela interlocução da Governança de dados, investida dessa
autoridade, com as áreas de negócios envolvidas e, logicamente, com a TI. Esses
elementos, depois de criados, devem estar armazenados de forma facilmente acessível
e constantemente revistos e melhorados. O Portal da GD, por exemplo, um núcleo de informação e conhecimento sobre
Gestão e Governança de dados é uma boa ideia para se iniciar uma GD documentada
e conhecida.
Princípios: Considerações e exemplos:
· Dado é um ativo e portanto deverá
haver responsabilidade final sobre
eles(“accountability”). Os dados e seus conteúdos de todos os tipos são considerados ativos da mesma forma que os
outros tipos como ativos físicos, materiais e financeiros, exigindo, dessa
forma, procedimentos de controle organizacional similares;
· A informação deverá vir de uma fonte
autorizada, estar disponível, ser precisa, íntegra e sem ambiguidade, além de passível
de ser compartilhada e catalogada(metadados). Soluções de dados/ informação
manterão estrito alinhamento com o negócio da empresa respondendo às suas
necessidades e às requisições das áreas envolvidas;
· O valor do dado está no aspecto intrínseco
que ele retorna para empresa, agregando e melhorando os seus objetivos
operacionais e negociais. A Governança de dados deverá respaldar esse princípio;
· A Governança de dados é um programa
de negócios e como tal suas definições formalmente aprovadas, deverão igualmente
governar a interação da TI com dados, da mesma forma que a interação da área de
negócios, com esses mesmos ativos;
· A Governança de dados é responsabilidade
compartilhada entre Gestores de dados de áreas de Negócios em parceria com
profissionais de TI, que atuam nas diversas gerências de dados(Arquitetura, BD,
DW/BI, Segurança,etc) . A união lógica e funcional entre a Governança e a
Gerência dos dados, forma o conceito maior de Gestão de Dados;
- Cada programa de Governança e de Gestão de dados é
único e deve-se levar sempre em conta as características específicas de
cada organização e de sua cultura;
- Os melhores gestores de dados já existem e não são
feitos. Devem ser escolhidos entre os que já estão envolvidos com dados nas
suas respectivas áreas e demonstram interesse nessa nova forma de tratamento
desses ativos;
- A tomada de decisão “compartilhada” é a marca da
Governança de Dados, envolvendo as diversas camadas definidas no seu corpo
operacional;
- Há uma separação implícita entre as funções de GD e de Gerência
de dados. O Comitê de Governança de dados, o Comitê/Conselho de Gestores
de Dados e as equipes de gestores realizam as responsabilidades “legislativas”(definem
os P´s) e judiciária s(julgam sua
devida aplicação). As equipes de Gerência de dados(Bancos de dados, BI,
Segurança, Qualidade, Operações, etc), em conjunto com os Gestores de
dados, realizam as funções executivas(aplicando, administrando, coordenando,
servindo e protegendo os dados, respeitando os P´s) através dos preceitos
definidos pela Governança;
- A organização deve definir o seu modelo operacional de
GD, que deverá conter (em linhas gerais) uma camada executiva de apoio de
alta gerência, que garante patrocínio, investimento,etc; um grupo que
forma o Board de GD, composto pelos gerentes seniores, CDO, owners de
dados, que se posiciona no escalonamento final das pendências(issues), seguido
por uma área tática , onde estão os líderes dos gestores de dados e por
último, a camada operacional onde se posicionam os gestores de dados de
negócios e de TI. Ali também estão os Especialistas(SME-Subject Expert Matter),
alguns dos quais são transformados em gestores de dados, investidos das funções específicas de GD
nas suas respectivas unidades de negócios;
- Cada empresa deve ter a sua estratégia de dados, como
um guia para as atividades de Governança e de Gerência de Dados na
empresa. Normalmente uma estratégia de dados tem os seguintes
ingredientes:
- Missão(o que se pretende que a organização seja, em
termos de dados), visão( a imagem do futuro), objetivos gerais, objetivos
específicos, com todos os aspectos baseados nos principais objetivos de
dados do negócio; Escopo do programa estratégico de dados; Benefícios de
negócios; Eventuais lacunas
identificadas no estado atual de tratamento de dados, via pesquisa ou
análise de maturidade; Responsabilidades e papéis de alto nível; Lista de
envolvidos; escopo da Governança de dados; abordagem usada para o desenvolvimento
do programa de dados; medidas/indicadores para acompanhamento do programa; e um roadmap
de alto nível, com os principais passos a serem seguidos.
Políticas: Considerações e exemplos:
Políticas
são regras mais objetivas, diretas e regulatórias, aplicáveis para ajustar
comportamentos, reduzir riscos, definir responsabilidades, etc. Devem servir de
elementos de criação de elos e parcerias entre as partes da empresa envolvidas
na GD. É importante que as políticas sejam criadas estritamente para alcançar
controles objetivos, aplicáveis, usáveis e divulgados, evitando excessos e
elementos burocráticos que geram impedimentos e desmotivação. As políticas
deverão ser criadas, baseadas em processos simples e normalmente se originam de
Legislações vigentes e de Políticas organizacionais. Devem ser focadas em objetivos
e políticas de negócios, objetivos de dados, objetivos de Governança e Gerência
de dados e aspectos culturais e estruturais. Alguns exemplos:
•
Objetivos
de negócios: definir políticas para
reduzir riscos, envolvendo as áreas de segurança, compliance, dados sensíveis,
relacionamentos com clientes e parceiros,etc;
•
Objetivos
de dados: Políticas para prevenir o uso inadequado de dados, como replicações
descontroladas, para garantir a captura, armazenamento, proteção, segurança e
privacidade de dados, políticas para promover o entendimento do significado e
contexto dos dados e para garantir a qualidade e disponibilidade de dados;
•
Objetivos
de Governança de dados e Gerência de dados: Políticas para Governança de dados,
como corpo Legislativo e Judiciário dos dados da organização;
•
Políticas
para os diferentes elementos que formam os processos de dados(corpos de
conhecimento) como Arquitetura de dados, Desenvolvimento de dados, Bancos de
dados, Big Data, IoT, Qualidade de dados, DW/BI, Segurança, Metadados, etc.
•
Exemplos:
•
Qualidade
de dados:
–
Toda
a informação e os dados da empresa serão seletiva e gradativamente gerenciados e medidos na sua qualidade. A
qualidade será consistentemente aferida para garantir que o dado será usado no
seu propósito definido.
–
Haverá
gestores de dados responsáveis pela
integridade e qualidade dos dados e seus
conteúdos ao longo das suas unidades organizacionais;
•
Colaboração
no uso dos dados:
–
Dados
organizacionais serão compartilhados como um recurso ao longo da empresa. Os
dados deverão ter “ownership/accountability” definido, ou seja uma área de
negócios que será a responsável final pela sua definição, metadados e regras de
negócios.
•
Gerência
de Risco:
–
A
Governança de Dados acompanhará a análise de riscos dos dados que exigem
“compliance” garantindo sua aderência com todas as leis federais, estaduais,
municipais, estatutárias, políticas e regulações. Um acompanhamento apropriado
e rigoroso será realizado para verificar essa compatibilidade(aderência).
•
Segurança:
–
Todas
as senhas (passwords) deverão ser trocadas a cada 3 meses, com alteração
completa de seu conteúdo e a proibição do uso das 4 últimas ocorrências;
–
Todas
as senhas (passwords) deverão conter até 10 caracteres, com obrigatoriedade de
no mínimo 2 dígitos.
•
Privacidade:
–
Os
dados da empresa que estiverem sob o efeito regulatório do GDPR-General Data
Protection Regulation, da União Europeia, deverão estar no controle estrito da
Governança de dados e de seus gestores responsáveis e merecerão um tratamento
especializado, via CSO-Chief Security Officer, caso pertinente.
•
Arquitetura
de Dados:
–
Dados
organizacionais serão compartilhados como um recurso ao longo da empresa. Dado organizacional
não é um recurso que pode ser possuído com exclusividade por áreas específicas
da empresa.
–
Todos
os modelos de dados no nível lógico deverão estar compatíveis com os modelos
conceituais organizacionais e deverão ser aprovados, segundo políticas
definidas para tal.
•
Dados
Mestres e Referenciais:
–
Os
dados considerados Mestres e de Referências somente poderão ser modificados pelos Owner/Gestores ou por exceção, por
decisão da GD, via o Comitê de Gestores de Dados envolvidos nas áreas dos
assunto pertinentes.
•
Compliance:
–
As
Políticas para Normas regulatórias deverá contemplar e refletir sobre : O
quanto a norma é relevante e importante para a organização; como é a sua
interpretação;quais políticas e procedimentos estão envolvidos na norma;se já
existe padrões existentes que podem ajudar; se a organização já apresenta
“compliance atual com a norma; Como se dá esta conformidade; como deverá ser a
conformidade no futuro; como se demonstra e comprova a conformidade; como se
monitorar os aspectos de conformidade;com que frequência a norma será revista;
como identificar e reportar as não-conformidades; como gerenciar e corrigir as
não-conformidades.
•
Alinhamento
com aspectos culturais e estruturais:
–
Deverão
ser revistos periodicamente os aspectos relacionados ao valor dos dados, do
ponto de vista do negócio ou do ponto de vista de mercado e de possível monetização.
–
Dependendo
do porte e da geografia da empresa, aspectos relacionados a centralização ou
descentralização das funções de GD, com a definição de contexto para a
aplicação de suas definições, deverão ser analisadas e /ou revistas.
•
Os
dados básicos de uma Política são: identificação, definição(statement),
objetivo e racional, escopo, aplicabilidade e exceções, monitoração, violações
e escalonamento, papéis e responsabilidades, promulgação, validade e revisão,
documentos anexos, procedimentos, caso haja e contatos.
Padrões: Considerações e exemplos
Padrões são
normas e especificações definidas para
regular a forma de nomes e estruturas de elementos em geral, documentos,
desenhos, esquemas, dados, metadados, etc. Poderão ser usados padrões de
modelos, de nomenclatura de processos e padrões de dados (nome, endereço,
telefone,etc). Também poderão ser considerados padrões específicos da indústria
(dependendo do negócio), padrões de metadados(ISO 11179, ISO 15836), etc. Os
padrões deverão ser definidos em conjunto e aprovados por todos os envolvidos
na GD e Gerência de dados. Os principais
tipos de padrões são: padrões de nomes, de metadados, para aspectos
regulatórios, para especificação de requisitos de dados, padrões de modelagem
de dados, projetos de bancos de dados relacional e NoSQL,padrões para dados em
IoT,padrões para replicação e integração de dados, padrões de arquiteturas,
padrões de procedimentos de cada área de conhecimento de dados.
Exemplo prático:
Neste item podemos, após o
entendimento dos “princípios” de dados da organização, desenvolver algumas Políticas e Padrões que
regularão aspectos relacionados aos dados envolvidos nos problemas apresentados
e discutidos no Canvas MGD. Por exemplo, Políticas de Profiling periódicos de
dados, poderão ser definidas sobre os dados mais críticos, visando a prevenção
e mitigação de erros recorrentes que podem comprometer os aspectos de compliance
e/ou reputação no atendimento de consultas. Políticas de “Compliance”,
aderentes às normas da ANS deverão ser definidas, visando o acompanhamento das
regulações e atendimento às notificações e glosas recebidas,etc. Políticas de
Privacidade e Segurança sobre dados de atendimentos, doenças e tratamentos
deverão ser analisadas e consideradas, com foco nas regulações existentes e
vindouras como GDPR(General Data Protection Resolution) e de proteção aos dados
de identificação pessoal(PII-Personal Identifiable Information ).Claro, que
outras politicas poderão ser desenvolvidas, aplicadas em outros assuntos
pertinentes aos aspectos de dados, comentados dentro desse contexto de
problemas apresentado.
Nenhum comentário:
Postar um comentário