Empresa 8

6.8.1 Qualificação

- Origem: brasileira;

- Ano da obtenção da certificação ISO 20.000: 2011;

- Número de profissionais: mais de 2.500;

- Cargo do entrevistado: Gerente de Governança de TI;

- Atitude da organização perante o risco: conservadora (Q18: reduz/mitiga os riscos);

- Período da coleta de dados: agosto a setembro/2014.

- Como é o processo de decisão sobre investimentos em TI (Q4): o processo é feito em

conjunto com a participação de diferentes áreas interessadas, através do Comitê de TI. - Investimento em certificações, treinamentos, consultorias e atividades internas específicas

para a certificação ISO 20.000 (Q5): não revelado.

- Quais outros modelos de referência de práticas de governança de TI sua organização adota

(Q6): Cobit, ITIL, PMBoK, BSC e CMMI. Para Seis Sigma houve investimentos em certificações para profissionais da organização.

- A empresa investiu em certificação para os profissionais nestes modelos de referência (Q7):

sim.

- Com relação à estratégia de implantação da norma (Q8): a organização já possuía os

processos, que foram adaptados aos requisitos da norma.

Empresa 8 é uma instituição financeira brasileira presente em todo o país, com amplo portfólio para atendimento a pessoas físicas e jurídicas cujas operações se iniciaram na década de 1940. Sempre pioneira na utilização de informática em seus processos internos, introduz os computadores na década de 1960 e investe constantemente em atualização de seu parque tecnológico para dar agilidade a seus negócios e garantir a confiabilidade de seus dados.

Seu portfólio de serviços de TI internos compreende o gerenciamento de todos os elementos de tecnologia, corporativos e transacionais. Apesar de ser uma organização cujo negócio-fim não é TI, sua rentabilidade depende fundamentalmente de tecnologia.

Sua imagem ao mercado é fundamentada em confiança e segurança, portanto indisponibilidades causadas por falhas de tecnologia ou invasões de sistemas causadas por ataques comprometem diretamente seu desempenho.

É uma organização que busca inovações apresentadas pelo mercado para poder evoluir seus sistemas de informação e infraestrutura de TI, apesar de ser muito cautelosa ao introduzir essas novidades no ambiente de produção.

6.8.2 Resumo do caso

A organização conta com terceirização de serviços somente em áreas consideradas não fundamentais para o funcionamento da TI em relação a seu negócio-fim (D1). Dentro da área de TI são aproximadamente 3.000 pessoas contratadas diretamente, segundo regras CLT. Isso ajuda a manter a inteligência do negócio dentro da organização. Há cerca de dez anos houve experiências mal sucedidas neste aspecto, que acabaram causando a diminuição da metade do quadro de terceiros, absorvendo-os como profissionais da organização.

Foi institucionalizado um conceito de “cadeia de valor ao negócio” (D7), à qual todas as

decisões de tecnologia da informação devem estar alinhadas. Esta cadeia permite a análise de requisitos desde o início através dos analistas de negócio, que trazem diretamente de suas áreas as necessidades a serem implantadas com TI (D2). Estes requisitos são especificados gerando uma requisição que será tratada pelos desenvolvedores de sistemas e aprovadas pelos gestores das áreas envolvidas.

O Comitê de TI é formado por diretores e executivos de todos os departamentos da organização, permitindo que as prioridades sejam estabelecidas em conjunto ao serem observadas em conjunto (D12, D14). Assim o portfólio de serviços internos de TI é definido pelo departamento de tecnologia dos negócios, que busca nas referências de mercado como fabricantes, integradores e concorrentes, quais as tecnologias mais atuais que podem ser aplicadas ao

negócio (D3). As áreas interagem através do comitê, permitindo um processo participativo mais intenso (D5).

Nas reuniões semanais de comitê também são avaliados os indicadores de desempenho das áreas (D11, R9), bem como acompanhamentos de dados históricos para permitir análises ao longo do período da evolução de desempenho, ou sucesso de planos de ação implantados. Dentro de cada área há indicadores mais detalhados, que são acompanhados por seus gestores para serem apresentados de maneira consolidada no comitê (D6, D10).

A arquitetura de TI foi considerada pelo gestor como principal diferencial de sua organização prestadora de serviços (D4). Ao utilizar uma arquitetura baseada em componentes (SOA:

Service Oriented Architecture) e padronizada, houve grande diminuição de retrabalho.

Considerando o alto volume de mudanças tratadas (entre 300 e 400 mensalmente), a padronização ajuda a evitar erros operacionais. As mudanças são tratadas através de um comitê semanal fixo, cujas reuniões são registradas e as solicitações apresentadas para as diferentes áreas, para que todos entendam os riscos associados àquela mudança (R10). Este comitê se desdobra em outros: gerencial, departamental e executivo de acordo com a complexidade da mudança e o risco a que expõe o negócio da organização. Quando há mudanças que alterem processos, são feitos planos de comunicação e treinamento dos profissionais envolvidos (D9). O controle dos ativos de TI é feito através do processo de gerenciamento de configurações, que tem ferramentas específicas para automatizá-lo (R8).

Sobre o desenvolvimento dos profissionais, são estabelecidas carreiras internas juntamente à área de recursos humanos, e se estabelece um planejamento anual para treinamentos e certificações (D8). São incentivadas visitas a fornecedores para manter os profissionais atualizados com o que há de novo em tecnologia e soluções possíveis para a organização.

Ao analisar os benefícios da utilização da norma ISO 20.000 nas operações da organização, aponta-se como maior deles o controle e visibilidade sobre a maturidade dos processos, uma vez que é possível mapear e mitigar erros operacionais de uma maneira mais eficiente (D13).

A área de governança de TI faz parte do departamento das áreas de operações, porém responde de maneira independente ao vice-presidente. Esta área é responsável por acompanhar e

direcionar as práticas aplicadas aos projetos e operações continuadas de serviços de TI (D10). Os resultados apurados são financeiros e operacionais.

O planejamento para investimentos em TI, considerando manutenções e desenvolvimentos de novos sistemas, é proposto e controlado anualmente pelo comitê de TI, tendo orçamento aprovado pelos executivos (R1).

A organização conta com uma área de segurança corporativa com 170 profissionais, que investiga e trata incidentes e estabelece políticas de segurança. Como a preocupação do negócio é com relação a sua confiabilidade, o tema de ataques e ameaças foi destacado, tanto os de origem interna, partindo de seus profissionais (R2), quanto externamente (R3).

Há estrutura de contingência a quente, que permite a continuidade imediata das operações em caso de desastre (R4). A característica de risco considerada mais grave das operações é a indisponibilidade dos serviços (R6), já que se reflete diretamente à imagem de confiabilidade que a organização precisa ter perante o mercado.

A organização investe consistentemente em inovação e tecnologia para melhorar seu desempenho, ao reduzir custos internos, e competir no mercado (R7). Contudo, o entrevistado classifica a organização como conservadora para assumir riscos, dada sua natureza de negócios. Há grande cautela desde o processo de decisão do investimento pelo comitê (R11) até o gerenciamento das mudanças (R10) para garantir que a introdução das novidades tecnológicas não interfira com o funcionamento adequado das operações.

6.8.3 Pontos mais relevantes do caso

Os planos de ação e gerenciamento sempre são orientados à redução de riscos. Este posicionamento é compreensível dado o mercado em que a organização está inserida.

Nota-se que as práticas de melhoria contínua estão presentes na organização. Um trabalho contratado junto a uma consultoria de negócios ajudou a estabelecer limites aceitáveis de risco para onze variáveis de controle das operações de TI. Quando as medições acompanhadas

semanalmente atingem tais limites, necessariamente são criados e acompanhados planos de ação para seu tratamento.

Destacou-se a arquitetura de TI como diferencial de negócios. Novamente se trata de um conjunto de investimentos voltados à redução de erros operacionais, que podem ser causados pela complexidade do ambiente gerenciado. A simplificação dos processos e padronização de desenvolvimento e infraestrutura facilitam as atividades dos profissionais. Apesar da valorização das pessoas e processos, buscou-se investir na causa dos problemas medidos de retrabalho.

Foi citado pelo entrevistado que, pela natureza do negócio, a organização está sempre passando por auditorias de diferentes órgãos oficiais e regulatórios. Portanto, as práticas e processos estão em contínua revisão. Como destaque positivo apontado por estes auditores está o comitê de TI, que cumpre um importante papel de comunicação e integração entre as áreas.