• Nenhum resultado encontrado

Avaliação do gerenciamento de incidentes com base mps requisitos da norma ABNT NBR ISO/IEC 20000 e num indicador objetivo de qualidade

N/A
N/A
Protected

Academic year: 2017

Share "Avaliação do gerenciamento de incidentes com base mps requisitos da norma ABNT NBR ISO/IEC 20000 e num indicador objetivo de qualidade"

Copied!
112
0
0

Texto

(1)

Pró-Reitoria Acadêmica

Escola Politécnica

Programa de Pós-Graduação Stricto Sensu em Gestão do

Conhecimento e da Tecnologia da Informação

AVALIAÇÃO DO GERENCIAMENTO DE INCIDENTES COM

BASE NOS REQUISITOS DA NORMA ABNT NBR ISO/IEC

20000 E NUM INDICADOR OBJETIVO DE QUALIDADE

Brasília - DF

2015

(2)

ROGÉRIO BATISTA DOS SANTOS

AVALIAÇÃO

DO

GERENCIAMENTO

DE

INCIDENTES

COM

BASE

NOS

REQUISITOS

DA

NORMA

ABNT

NBR

ISO/IEC

20000

E

NUM

INDICADOR

OBJETIVO

DE

QUALIDADE

Dissertação apresentada ao Programa de Pós-Graduação Stricto Sensu em Gestão do Conhecimento e da Tecnologia da Informação da Universidade Católica de Brasília (UCB), como requisito parcial para obtenção do grau de Mestre em Gestão do Conhecimento e da Tecnologia da Informação.

Orientador: Prof. Dr. João Souza Neto

(3)

S237a Santos, Rogério Batista dos.

Avaliação do gerenciamento de incidentes com base nos requisitos da Norma ABNT NBR ISO/IEC 20000 e num indicador objetivo de qualidade. / Rogério Batista dos Santos – 2015.

112 f.; il.: 30 cm

Dissertação (Mestrado) – Universidade Católica de Brasília, 2015. Orientação: Prof. Dr. João Souza Neto

1. Tecnologia da informação. 2. Gerenciamento de incidentes. 3. Gerenciamento de serviço de TI. 4. ISO 20000. 5. ITIL. I. Souza Neto,João, orient. II. Título.

(4)

Dissertação de autoria de Rogério Batista dos Santos, intitulada “Avaliação do gerenciamento de incidentes com base nos requisitos da norma ABNT NBR ISO/IEC 20000 e num indicador objetivo de qualidade”, apresentada como requisito parcial para obtenção do grau de Mestre em Gestão do Conhecimento e da Tecnologia da Informação da Universidade Católica de Brasília, em 13/03/2015, defendida e aprovada pela banca examinadora abaixo assinada.

Prof. Dr. João Souza Neto Orientador

MCGTI - UCB

Prof. Dr. Hércules Antônio do Prado Examinador Interno

MCGTI - UCB

Prof. Dr. Juarez Barbosa Tomé Júnior Examinador Externo

Embrapa

(5)
(6)
(7)

Dos Santos, Rogério Batista. Avaliação do gerenciamento de incidentes com base nos requisitos da norma ABNT NBR ISO/IEC 20000 e num indicador objetivo de qualidade. 2015. 112f. Gestão do Conhecimento e da Tecnologia da Informação – Universidade Católica de Brasília, Brasília, 2015.

Neste trabalho foi avaliado o gerenciamento de incidentes de quarenta unidades de uma empresa pública brasileira, com o objetivo de avaliar a situação da organização-exemplo sob a ótica dos requisitos da ABNT NBR ISO/IEC 2000:2011 e de um indicador objetivo de qualidade. A metodologia utilizada teve como base a ABNT NBR ISO/IEC 20000:2011, e dados operacionais gerados a partir dos incidentes registrados no ambiente de TI. A percepção dos gestores foi confrontada com os dados operacionais, e o resultado sugere que os novos métodos de avaliação busquem utilizar instrumentos subjetivos e objetivos na coleta das informações com o propósito de obter resultados mais próximo da realidade.

(8)

This study evaluated the incident management forty units of a Brazilian public company in order to assess the situation of the organization-example from the perspective of the requirements of ISO / IEC 2000: 2011 and an objective indicator of quality. The methodology used was based on the ISO / IEC 20000: 2011, and operational data generated from the incidents recorded in the IT environment. The perception of managers was confronted with operational data, and the results suggest that new methods of assessment instruments seek to use subjective and objective in collecting the information in order to get results closer to reality.

(9)

Figura 1 – Sequência de acreditação e certificação ... 25

Figura 2 – Avaliação de verificação para a certificação ... 26

Figura 3 – Sistema de Gestão de Serviços ... 31

Figura 4 – Resultado do questionário ... 48

Figura 5 – Percentual dos incidentes solucionados dentro dos prazos acordados ... 49

Figura 6 – Total de incidentes registrados no período ... 50

Figura 7 – Tempo médio de solução dos incidentes ... 50

Figura 8 – Ranking do resultado do questionário ... 52

Figura 9 – Resultado do questionário nos limites do Bloxplot ... 53

Figura 10 – Ranking dos incidentes solucionados nos prazos acordados ... 54

Figura 11 – Ranking do total de incidentes registrados ... 55

(10)
(11)

ABNT - Associação Brasileira de Normas Técnicas ANS - Acordo de Nível de Serviço

BDGC - Banco de Dados de Gerenciamento de Configuração BS - British Standards

BSI - British Standards Institution

CAPES - Coordenação de Aperfeiçoamento de Pessoal de Nível Superior COBIT - Control Objectives for Information and Related Technology CMM - Capability Maturity Model

CMMI-SVC - Model Integration for Services

DTI - Departamento de Tecnologia da Informação eSCM-SP - eSourcing Capability Model for Service Providers eTOM - enhanced Telecom Operations Map

GSTI - Gerenciamento de Serviços de Tecnologia da Informação IAF - International Accreditation Forum

IEC - International Electrotechnical Commission IC - Item de Configuração

ISO - International Organization for Standardization ITIL - Information Technology Infrastructure Library

ITSCMM - Information Tecnology Service Capability Maturity Model MLA - Multilateral Recognition Arrangement

NBR - Norma Brasileira NTI - Núcleo de TI

AO - Organização de Acreditação

OTI - Organismos de Certificação de Sistemas de Gestão em Tecnologia da Informação

PDCA - Plan, Do, Check, Act PMF - Process Maturity Model

SGQ - Sistema de Gerenciamento da Qualidade

SGTI - Sistema de Gerenciamento de Tecnologia da Informação SGS - Sistema de Gerenciamento de Serviço

(12)

1. INTRODUÇÃO ... 13

1.1. REVISÃO DA LITERATURA ... 16

1.2. FORMULAÇÃO DO PROBLEMA ... 19

1.3. RELEVÂNCIA DO ESTUDO ... 20

1.4. OBJETIVOS ... 20

1.4.1. Objetivo geral... 20

1.4.2. Objetivos específicos ... 20

2. REFERENCIAL TEÓRICO ... 22

2.1. HISTÓRICO DA NORMA ABNT NBR ISO/IEC 20000:2011 ... 22

2.1.1. Proposta e Benefícios da ABNT NBR ISO/IEC 20000 ... 24

2.1.2. Acreditação, Avaliação e Certificação ... 24

2.1.3. Aplicação ... 28

2.1.4. Relação com outros sistemas de gerenciamento ... 28

2.1.5. Relação com outros frameworks ... 29

2.2. ABNT NBR ISO/IEC 20000-1:2011 ... 29

2.2.1. Escopo ... 30

2.2.2. Termos e definições ... 31

2.2.3. Requisitos gerais para o sistema de gerenciamento de serviços ... 32

2.2.4. Desenho e transição de serviços novos ou modificados ... 36

2.2.5. Processo de fornecimento de serviço ... 37

2.2.6. Processos de relacionamentos ... 39

2.2.7. Processo de resolução ... 40

2.2.8. Processo de controle ... 40

2.3. MODELOS DE AVALIAÇÃO DA MATURIDADE EM GSTI ... 42

2.4. AUTOAVALIAÇÃO ... 43

3. METODOLOGIA ... 44

3.1. DELINEAMENTO DA PESQUISA ... 44

3.2. COLETA DE DADOS ... 45

4. RESULTADOS ... 48

5. ANÁLISE DOS RESULTADOS ... 52

5.1. RANKING DA PERCEPÇÃO DOS GESTORES ... 52

5.2. RANKING DOS DADOS OPERACIONAIS ... 54

5.3. COMPARAÇÃO DOS RANKINGS ... 56

6. CONSIDERAÇÕES FINAIS ... 59

(13)
(14)

1. INTRODUÇÃO

A dependência do uso da Tecnologia da Informação (TI) pelos processos de negócios e as transações comerciais levou a uma rápida e importante evolução do Gerenciamento de Serviços de TI (GSTI). Essa crescente dependência gera demanda por alta qualidade nos serviços de TI prestados (SANTOS e CAMPOS, 2009). O GSTI consiste na integração de pessoas, processos e tecnologias com o objetivo de entregar serviços de TI, com foco nas necessidades dos clientes (MAGALHÃES; PINHEIRO, 2007).

Para Cater-Steel e Lepmets (2014), a qualidade do serviço de TI é determinada pelo valor que o serviço traz para o prestador de serviços de TI e seus clientes. Geralmente, o nível de qualidade do serviço é acordado entre o provedor de serviço e seu cliente, mas superar as expectativas em um determinado momento e decepcioná-lo em outro pode levar à sua insatisfação. Assim, proporcionar qualidade constante é um dos mais importantes, mas também, dos mais difíceis aspectos para os provedores de serviços (LEPMETS; RAS; RENAULT, 2011).

Igualmente, a complexidade crescente dos serviços de TI, o aumento dos níveis de regulamentação, a elevação dos custos e os avanços tecnológicos contínuos, aumentam a necessidade de uma gestão de TI eficaz. Hervada e Piattini (2007) asseveram que a experiência tem demonstrado que a qualidade do nível de serviço não é algo que só é obtido com grandes investimentos em tecnologia e pessoal altamente qualificado, mas é o resultado de gestão e planejamento.

O gerenciamento de serviços de TI alinha a TI às necessidades de negócio, buscando de forma eficiente os serviços de TI com qualidade garantida (BRENNER, 2006). De acordo com a ISO 20000-1:2011, a implantação da gestão de TI fornece controle e oportunidades de melhoria contínua, maior eficácia e eficiência dos processos e serviços.

O Office of Government Commerce do Reino Unido define o gerenciamento de serviços de TI como um conjunto de capacidades organizacionais especializadas que proporciona valor aos clientes na forma de serviços.

(15)

práticas de domínio público, é o framework mais utilizado, oferecendo uma vantagem sobre conhecimentos e processos proprietários. Desenvolvido pelo Governo Britânico na década de 80, é aceito em todo o mundo como uma referência de fato de melhores práticas em GSTI (ROVER, 2013).

O ITIL é um framework que as organizações podem adotar e adaptar para melhorar a forma de entregarem seus serviços de TI. Por ser um conjunto de melhores práticas, ele não é prescritivo como uma norma de conformidade que deve ser seguida e, também não diz o que deve ser feito pelo prestador de serviços de TI (AGUTTER, 2013). No ano de 2000 o British Standards Institution (BSI) documentou e disponibilizou formalmente a norma britânica BS 15000, que determinou oficialmente, para as empresas provedoras de serviços da Grã-Bretanha, os requisitos para a efetiva prestação de serviços de TI (ROVER, 2013).

Em dezembro de 2005, a ISO (International Organization for Standardization) aceitou a BS 15000 como norma internacional, tornando-a a primeira edição da norma ISO/IEC 20000 (DISTERER, 2009). Revisada em abril de 2011, a ISO/IEC 20000:2011 é atualmente a norma internacionalmente reconhecida em gerenciamento de serviços de TI (KUNAS, 2012).

De acordo com Rovers (2013), existe uma percepção equivocada de que a ISO/IEC 20000:2011 é baseada exclusivamente no ITIL, ou que é necessária a adoção do ITIL para cumprir os requisitos da norma. Um prestador de serviços pode escolher qualquer estrutura de gerenciamento de serviços de TI, ou uma combinação delas, para apoiá-lo na adesão da norma.

A adoção de práticas de gerenciamento de serviços de TI deve alinhar e realinhar continuamente os esforços da TI às necessidades do negócio e promover a entrega de forma eficiente dos serviços de TI, com a qualidade desejada. Para tanto, deve-se continuamente identificar e implementar melhorias que sejam condizentes com o negócio (SOULA, 2014).

A melhoria contínua da qualidade do serviço resulta em maior satisfação do cliente, aumento da eficiência e maximização de valor do serviço para o negócio dentro da empresa (CATER-STEEL; LEPMETS, 2014). Medir e avaliar são ações importantes para melhoria contínua dos processos, uma vez que permitem identificar os pontos que são eficientes e aqueles que podem ser melhorados.

(16)

da organização e ajudam a encontrar as melhores soluções para a mudança (BECKER; KNACKSTEDT; PÖPPELBUΒ, 2009). Um modelo de maturidade é um

método para avaliar o grau de maturidade dos processos implantados, bem como o modo como são utilizados (FAIRCHILD, 2004).

De acordo com Rocha e Vasconcelos (2004), desde 1973 têm sido propostos modelos de maturidade para a gestão de TI. Segundo Bruin et al (2005), mais de cem modelos de maturidade já foram propostos até agora. Para Pereira e Silva (2010), os modelos de maturidade: Capability Maturity Model (CMM), Capability Maturity, Model Integration for Services (CMMI-SVC), Process Maturity Model (PMF), Trillium, Bootstrap, Information Tecnology Service Capability Maturity Model (ITSCMM), são considerados como sendo os mais generalistas e melhores documentados. Desses, o PMF é o único modelo de maturidade proposto especificamente para o ITIL e que está descrito no Apêndice H, do livro Service Design (OGC, 2007).

Modelos de maturidade têm sido cada vez mais utilizados por gestores de TI para autoavaliação e podem oferecer uma abordagem comum para que profissionais de TI e de controle entendam e acordem sobre prioridades e áreas que exijam maior atenção (ITGI, 2003). De acordo com ISO 20000-3:2011, uma autoavaliação de conformidade com os requisitos da norma pode ser facilmente criada, utilizando-se um questionário onde se transforme cada declaração "deve" em uma pergunta.

A medição dos modelos de maturidade pode ser apoiada em determinados procedimentos, dentre eles, a entrevista e o uso de questionário (VITORIANO, 2012). De acordo com Gonçalves (2008), o questionário é uma ferramenta bastante vantajosa devido ao baixo custo e à facilidade na coleta e tabulação dos dados. Entretanto, sua utilização dificulta saber se os inquiridos respondem ao que realmente percebem ou se respondem de acordo com o que acreditam serem as expectativas do entrevistador.

(17)

1.1. REVISÃO DA LITERATURA

A revisão da literatura foi organizada em torno dos temas principais: gerenciamento de serviço de TI e Autoavaliação. Dessa forma, foram escolhidos termos chave associados aos temas, nos idiomas português e inglês, e, ainda, suas combinações para a realização da pesquisa.

Todas as pesquisas foram realizadas no portal de periódicos CAPES (www.periodicos.capes.gov.br), com foco nas bases: ACM Digital Library (textos completos), ScienceDirect-Elsevier (textos completos), Web of Science (referenciais com resumos), IEEE Xplore (textos completos e normas técnicas), SCOPUS-Elsevier (referenciais com resumos), e SpringerLink (textos completos). Foram realizadas, ainda, buscas no portal Google Acadêmico (http://scholar.google.com.br) e no site da biblioteca da empresa-exemplo.

Tabela 1 – Publicações com termos chave em bases internacionais Expressões

utilizadas nas pesquisas

Bases Pesquisadas ACM Science

Direct

Web of Science

IEE

Xplore Scopus

Springer Link IT Service

Management 19 7 334 104 365 55

ISO 20000 0 0 7 1 17 5

ITIL 3 9 108 0 201 70

Self Assessment 14 2712 5698 0 6323 887

Fonte: O autor

As pesquisas foram realizadas entre os dias 17 de junho a 14 de outubro de 2014, e a Tabela 1 apresenta a quantidade de publicações encontradas para os argumentos selecionados. Restringiu-se a pesquisa somente para a ocorrência das expressões no campo título.

Na fase seguinte de buscas procurou-se restringir mais a pesquisa. Para isso,

(18)

Tabela 2 – Publicações em bases internacionais – Expressões compostas Expressões

utilizadas nas pesquisas

Bases Pesquisadas ACM Science

Direct

Web of Science

IEE

Xplore Scopus

Springer Link IT Service

Management and

ISO 20000 0 0 0 0 1 0

IT Service

Management and

ITIL 0 0 0 0 20 0

IT Service

Management and

Self Assessment 0 0 0 0 72 0

Fonte: O autor

A Tabela 3 resume a quantidade de publicações encontradas em língua portuguesa no site Google Acadêmico.

Tabela 3 – Publicações no Google Acadêmico na língua portuguesa

Expressões utilizadas nas pesquisas Quantidade

Gerenciamento de Serviço de TI 1

ISO 20000 4

ITIL 115

Autoavaliação 280

Gerenciamento de Serviço TI + ISO 20000 0

Gerenciamento de Serviço TI + ITIL 0

Gerenciamento de Serviço TI + Autoavaliação 0

Fonte: O autor

No site da biblioteca da empresa-exemplo foi encontrada apenas uma publicação em língua portuguesa.

(19)

Tabela 4 – Artigos selecionados

Autor/ Título Resumo

BECKER, J.; KNACKSTED, R.; PÖPPELBUß, J. Developing maturity models for IT

management: a procedure model and its application.

Utilização de uma abordagem científica para desenvolvimento de modelos de maturidade.

BRENNER, M. Classifying ITIL processes: A taxonomy under tool support aspects.

Aborda questões básicas para apoio a adoção de ITIL por meio de workflow, tais como sistemas de gerenciamento de fluxo de trabalho.

CATER-STEEL, A; TOLEMAN, M; TAN, W.G. Transforming IT service management: the ITIL impact.

Apresenta o resultado de cinco organizações australianas que adotaram ITIL e como elas estão transformando a sua gestão de serviços de TI para proporcionar benefícios significativos as organizações.

DISTERER, G. ISO 20000 for IT.

Diante da importância do uso de TI para apoiar os processos de negócio e as transações de muitas empresas, e a necessidade de entregar serviços de qualidade, os provedores de serviços estão se certificando em ISO 20000 a fim de fornecer provas sobre sua conformidade com a norma.

GARCÍA, V. V; VICENTE, E. J. F. e

ARAGONÉS, L. U. Maturity Model for IT Service Outsourcing in Higher Education Institutions.

Proposta de criação de um novo modelo de maturidade holística baseado das normas ISO/IEC 20000 e ISO/IEC 385000 com foco na terceirização de serviços de TI.

KLIMKO, G. Knowledge management and maturity models: building common

understanding.

Propõe a utilização de um modelo de avaliação da maturidade para a avaliação da implantação da gestão do conhecimento.

HOCHSTEIN, A., ZARNEKOW, R., BRENNER, W. ITIL as common practice reference model for IT service management: Formal assessment and implications for practice.

Uma análise formal do modelo ITIL com base em critérios estabelecidos de acordo com os

princípios de modelagem adequada é realizada, e as implicações para a gestão de TI são deduzidas a partir do framework.

PEREIRA, R. F. de S.; SILVA, M. M. da. ITIL Maturity Model.

Propõe um modelo de maturidade para avaliar uma implementação ITIL e fornecer um roteiro para a melhoria com base em prioridades, dependências e orientações.

SANTOS, G. S; CAMPOS, F. C. Integração das normas ISO 20000 e ISO 9001 em Gestão de Serviços de TI.

Apresenta e analisa os impactos positivos de uma integração entre a ISO 20000 e a ISO 9001 em gestão de serviços de TI.

STUDENT, B. K; TANOVIC, A. Improvement of implementation of ISO-IEC 20000.

Uma proposta de dois novos modelos de gerenciamento de TI baseados no ITIL e na norma ISO/IEC 2000.

VITORIANO, M. A. V, A percepção de gestores da administração direta federal quanto ao nível de maturidade dos processos de gerenciamento de serviços de tecnologia da informação.

Apresenta um levantamento sobre o nível de maturidade do Gerenciamento de Serviços de Tecnologia da Informação (GSTI), na

Administração Direta Federal (ADF), a partir da percepção dos gestores da área de TI de 12 Ministérios.

Fonte: O autor

(20)

1.2. FORMULAÇÃO DO PROBLEMA

A empresa-exemplo vem trabalhando, desde 2010, na definição e adoção de práticas de gerenciamento de serviços de TI, e escolheu o ITIL como framework de melhores práticas para a implantação do seu GSTI. Essa adoção se deu principalmente pela especificidade do ITIL na orientação das ações de serviços voltados a TI, e por permitir a implantação gradativa de seus processos.

Em seu projeto de implantação do GSTI a empresa selecionou cinco processos, dos 26 propostos pela biblioteca ITIL, para serem implementados. São eles: Gerenciamento do Catálogo de Serviços de TI, Gerenciamento de Incidentes, Cumprimento de Requisição, Gerenciamento de Problema e Gerenciamento de Mudanças. Também fora definida a implantação de uma Central de Serviços de TI para operacionalizar os cinco processos definidos.

Com a empresa-exemplo atuando por intermédio da sua Sede e mais 45 unidades espalhadas em todo o território nacional, sendo cada unidade autônoma na realização de suas atividades, com um Núcleo de TI (NTI) próprio, criou-se uma multiplicidade de formas na estruturação da área de TI.

Diante dessa estrutura descentralizada e não padronizada, definir e implantar um sistema único de gerenciamento de serviços de TI tornou-se um grande desafio. Reflexo disso é o fato de que, dos cinco processos ITIL definidos, apenas três deles, quais sejam, o Gerenciamento do Catálogo, o Cumprimento de Requisição e o Gerenciamento de Incidentes, foram efetivamente instituídos.

O Gerenciamento de Incidentes foi implantado, em especial, visando garantir que depois da ocorrência de um incidente, ele seja resolvido e o serviço reestabelecido o mais rápido possível, dentro dos prazos acordados, e com o menor tempo possível, evitando transtorno ao negócio.

(21)

Entretanto, a solução clássica e tradicional dos modelos de maturidade de TI de aplicar questionário de avaliação apresenta resultados podem não refletir a realidade dos processos avaliados. A utilização de questionários dificulta saber se os inquiridos respondem ao que realmente percebem ou se respondem de acordo com o que acreditam serem as expectativas do entrevistador. Com isso surge a necessidade de se ter outras informações como, por exemplo, dados operacionais, para contrastar com os questionários.

Tendo em vista a necessidade de se verificar a situação do processo de gerenciamento de incidentes da empresa-exemplo, a questão de pesquisa que se coloca é: Qual a situação do gerenciamento de incidentes de uma organização sob a ótica dos requisitos da norma ABNT NBR ISO/IEC 20000:2011 e dos resultados de um indicador objetivo de qualidade?

1.3. RELEVÂNCIA DO ESTUDO

Considerando que os modelos de avaliação tradicionalmente utilizam apenas questionário como ferramenta para aferição do nível de maturidade, e que as informações coletadas com essa ferramenta podem não estar refletindo a realidade, esse trabalho pretende avaliar a situação do processo de gerenciamento de incidentes de uma organização, confrontando os resultados de um questionário com os dados operacionais do processo de gerenciamento de incidentes.

1.4. OBJETIVOS

1.4.1. Objetivo geral

Para o processo de gerenciamento de incidentes, avaliar a situação da organização-exemplo sob a ótica dos requisitos da ABNT NBR ISO/IEC 2000:2011 e de um indicador objetivo de qualidade.

(22)

Como objetivos específicos, o trabalho pretende:

- Com base nos requisitos da ABNT NBR ISO/IEC 20000:2011, identificar a

percepção dos gestores quanto à qualidade do seu processo de gerenciamento de incidentes.

- Conhecer a situação real do gerenciamento de incidentes das unidades a

partir dos dados operacionais; e,

(23)

2. REFERENCIAL TEÓRICO

2.1. HISTÓRICO DA NORMA ABNT NBR ISO/IEC 20000:2011

A primeira edição da BS 15000 foi publicada em Novembro de 2000, com base em uma publicação anterior, a DISC PD0005:1998 (Código de Boas Práticas para o gerenciamento de gerviços de TI). A partir do feedback dos primeiros a adotar essa edição, em 2002 foi lançada sua segunda edição, a BS 15000-1:2002. Com base na BS 15000, as empresas foram capazes de certificar-se em conformidade com os requisitos e diretrizes da norma (DISTERER, 2009).

O desenvolvimento da estratégia de certificação deu um grande impulso para a aceitação da BS 15000 como uma norma formal. E, em dezembro de 2005, a ISO (International Organization for Standardization) aceitou a BS 15000 como norma internacional, tornando-a a primeira edição da norma ISO/IEC 20000:2005 (DISTERER, 2009). Revisada em abril de 2011, a ISO/IEC 20000:2011 é atualmente a norma internacionalmente reconhecida em gerenciamento de serviços de TI (KUNAS, 2012).

No Brasil, a Associação Brasileira de Normas Técnicas (ABNT) é o órgão responsável pela normalização técnica no país. Em 2008, a associação publicou a norma ABNT NBR ISO/IEC 20000-1:2008, uma tradução da ISO/IEC 20000:2005 (ABNT NBR 2000-1:2005). Em 2011, acompanhando a atualização da norma ISO/IEC 20000:2005 para a versão ISO/IEC 20000:2011, a ABNT publicou a versão revisada ABNT NBR ISO/IEC 20000:2011 (ABNT NBR 2000-1:2011).

(24)

A primeira edição da norma ABNT NBR ISO/IEC 20000-1:2008 possui o mesmo conteúdo técnico, estrutura e redação da ISO/IEC 20000-1:2005. Revisada em 2011, a ABNT NBR ISO/IEC 2000-1:2008 foi cancelada e substituída pela ABNT NBR ISO/IEC 20000-1:2011. A primeira parte da norma, a ABNT NBR ISO/IEC 20000-1:2011, apresenta o conceito de sistema de gerenciamento de serviços, exigindo uma abordagem integrada dos processos quando o provedor de serviço planeja, estabelece, implementa, opera, monitora, revisa, mantém e melhora um Sistema de Gerenciamento de Serviço (SGS).

De acordo com a ABNT NBR ISO/IEC 20000-1:2011, a integração coordenada e a implementação de um SGS fornecem um controle contínuo e oportunidades de melhoria contínua, maior eficácia e eficiência dos processos e serviços. Essa parte da norma ainda exige a aplicação da metodologia conhecida como PDCA (Plan, Do, Check, Act) em todos os aspectos do sistema de gerenciamento e dos serviços. A adoção de uma abordagem de processos integrados e da metodologia PDCA permite que o provedor de serviços alinhe e integre plenamente as normas de múltiplos sistemas de gestão (ABNT NBR ISO/IEC 20000-1:2011).

A segunda parte da norma, a ABNT NBR ISO/IEC-2:2005, foi revisada em 2013 e substituída pela nova versão ABNT NBR ISO/IEC 20000-2:2013. Ela fornece orientações sobre a aplicação de um SGS com base na ABNT NBR ISO/IEC 20000-1:2011 (ABNT NBR 20000-2:2013). Essa parte da norma apresenta exemplos e sugestões, os quais permitem que as organizações interpretem e apliquem a primeira parte da norma, além de incluir referências a outras partes da ABNT NBR ISO/IEC 20000:2011, e outras normas pertinentes (ABNT NBR ISO/IEC 20000-2:2013).

A ABNT NBR ISO/IEC 20000-3:2011 é a terceira parte da família ISO 20000. Ela auxilia o provedor de serviços que está planejando melhorias em serviços ou se preparando para uma auditoria de conformidade com base na norma ABNT NBR ISO/IEC 20000-1:2011 (ABNT NBR ISO/IEC 20000-3:2011). Pode, também, auxiliar um provedor a estabelecer um sistema de gerenciamento de serviços e, por fim, demonstra como definir o escopo de um SGS baseado em exemplos práticos (ABNT NBR ISO/IEC 20000-3:2011).

(25)

objetivo de atender os requisitos da ABNT NBR ISO/IEC 20000-1:2011(ABNT NBR ISO/IEC 20000-5:2011).

2.1.1. Proposta e Benefícios da ABNT NBR ISO/IEC 20000

A proposta da ABNT NBR ISO/IEC 20000 é estabelecer um padrão de referência comum para todas as empresas que fornecem serviços de TI, seja para clientes internos, seja para externos (KUNAS, 2012). Tendo em conta que a comunicação desempenha um papel essencial no gerenciamento de serviço de TI, uma das propostas mais importantes da norma é criar uma terminologia comum para prestadores de serviços, seus fornecedores e seus clientes (ROVERS, 2013).

Para as empresas que se certificam ou simplesmente utilizam a norma sem interesse na certificação existem muitos benefícios, que de acordo com Rovers (2013), são:

- A qualificação para novos clientes: empresas e organizações estão

considerando a certificação ABNT NBR ISO/IEC 20000 como um requisito essencial para realizar negócios com novos fornecedores;

- Acesso ao mercado global: a ISO 20000 é reconhecida

internacionalmente;

- Aumentar o foco no cliente e transparência de valor fornecido para o

negócio;

- Custos controlados e otimizados por meio de estruturas transparentes; - Alta gerencia e funcionários entendem melhor os processos e seus papéis;

e

- Gerenciamento de serviços integrados aos processos de negócios em

geral.

2.1.2. Acreditação, Avaliação e Certificação

(26)

possui sistema de gestão ativo, garantindo que as atividades especificadas estão de acordo com as normas (ABNT, 2014).

Acreditação

Os prestadores de serviço podem ser avaliados em conformidade com a norma ABNT NBR ISO/IEC 20000, e se a avaliação for positiva, eles podem ser certificados por Organismos de Certificação de Sistemas de Gestão em Tecnologia da Informação (OTI) (ROVERS, 2013). Para tornar-se um organismo certificador, o OTI precisa obter a acreditação de uma Organização de Acreditação (OA) em um país membro da ISO. No Brasil, o Inmetro é o único acreditador oficial seguindo, a tendência internacional atual de apenas um acreditador por país ou economia (SOULA, 2014).

Os Organismos de Acreditação têm o objetivo de assegurar que os OTI estejam sujeitos à supervisão de um organismo competente. Os OA obtêm o reconhecimento internacional dos serviços de acreditação por meio de avaliação de competência por pares, e assinatura de acordos de reconhecimento mútuo chamados Multilateral Recognition Arrangement (MLA) (SOULA, 2014).

Os acordos são gerenciados pelo International Accreditation Forum (IAF) nas áreas de sistemas de gestão, produtos, serviços, pessoas e outros programas similares de avaliação de conformidade.

Figura 1 – Sequência de acreditação e certificação

Fonte: Adaptado do ISO\IEC 20000:2011 A Pocket Guide (2013, cap 4, p. 40)

Na sequência dos acontecimentos representada na Figura 1, o IAF gerencia os contratos feitos pelos organismos de acreditação (OA), que credenciam os Organismos de Certificação de Sistemas de Gestão em Tecnologia da Informação (OTI), o qual atesta o prestador de serviços.

(27)

Antes de iniciar uma auditoria de certificação em larga escala, as organizações que buscam conformidade com a norma ABNT NBR ISO/IEC 20000:2011 são incentivadas a avaliar a sua disponibilidade para a certificação. De acordo com a Figura 2, existem várias etapas a serem consideradas antes de uma auditoria (externa) de certificação.

Figura 2 – Avaliação de verificação para a certificação

Fonte: Adaptada do ISO\IEC 20000:2011 A Pocket Guide (2013, cap 4, p. 44)

1. A autoavaliação - Geralmente é conduzida pelo provedor de serviços, tem baixos custos o que permite repetir este passo frequentemente. No entanto, ao avaliar o seu próprio trabalho, a objetividade pode não ser muito elevada. As autoavaliações podem ser facilmente criadas, transformando cada declaração "deve" da norma em uma pergunta, e listando as evidências para cada necessidade.

2. A primeira parte da auditoria (interna) - Geralmente é conduzida pelo departamento de auditoria do provedor de serviço, implica em que os auditores internos devam estar familiarizados com os requisitos da norma e os conceitos básicos do gerenciamento de serviços.

3. A segunda parte da auditoria (fornecedor) - Geralmente é conduzida por uma empresa com uma sólida experiência na implementação do gerenciamento de serviços de TI que está prestando serviço de consultoria para o provedor. Uma outra opção é contratar uma terceira empresa, que não esteja envolvida na consultoria, para a realização desta auditoria.

(28)

4. A terceira parte da auditoria (externa) – Geralmente são conduzidas por Organismos de Certificação de Sistemas de Gestão em Tecnologia da Informação. O OTI não pode ser uma empresa que presta o serviço de consultoria para não haver conflito de interesse. Uma auditoria deve ser independente e separada da consultoria (auditoria externa).

O sucesso da terceira parte da auditoria (externa) concede a certificação ABNT NBR ISO/IEC 20000. Isso significa que o prestador de serviço está em conformidade com todos os requisitos da norma.

Para a certificação os auditores procuram dois componentes como prova: documentos e registros.

O documento é a informação e o meio na qual ela está contida. (ABNT NBR ISO/IEC 20000-1:2011). É uma prova das intenções do prestador de serviços no que diz respeito ao gerenciamento de serviços. Exemplos de documentos são: declarações, políticas, planos, processos documentados, procedimentos, acordos de nível de serviço e contratos.

O registro é o documento que apresenta resultados obtidos ou fornece evidências de atividades realizadas (ABNT NBR ISO/IEC 20000-1:2011). Exemplos de registros são: relatórios de auditoria, pedidos de mudança, relatórios de incidentes, registros de treinamento individual, atas de reuniões e arquivos de log.

Certificação

O fornecedor contrata uma terceira parte imparcial (uma entidade certificadora) para avaliar a conformidade do seu Sistema de Gestão da Qualidade aos requisitos da ABNT NBR ISO/IEC 20000. O processo de certificação é geralmente um esforço que segue os seguintes passos:

- Questionário

- Pedido de avaliação - Pré-auditoria (Opcional) - Auditoria inicial (fase 1)

- Auditoria de Certificação (fase 2) - Auditorias de acompanhamento

(29)

A renovação da certificação é realizada após um período de três anos com o objetivo de avaliar a continuação do atendimento a todos os requisitos da norma (ABNT, 2014).

2.1.3. Aplicação

Como a norma ABNT NBR ISO/IEC 20000:2011 é ampla e seus termos são genéricos, todos os seus requisitos são aplicáveis a todos os provedores de serviços, sejam eles internos e externos, grandes e pequenos, comerciais e não comerciais (ABNT NBR ISO/IEC 20000-3:2011).

2.1.4. Relação com outros sistemas de gerenciamento

A ABNT NBR ISO/IEC 20000 habilita o alinhamento ou a integração com outros sistemas de gerenciamento relacionados (ABNT NBR ISO/IEC 20000-3:2011). A inclusão do modelo PDCA na primeira parte da norma aprimora a compatibilidade com outras normas de sistemas de gerenciamento.

De acordo com a ABNT NBR ISO/IEC 20000-3:2011, o provedor de serviços pode definir o escopo de um SGS como geograficamente ou organizacionalmente idêntico ao escopo de outros sistemas de gerenciamento, como um Sistema de Gerenciamento de Segurança da Informação (SGSI) baseado na ABNT NBR ISO/IEC 27001, ou um Sistema de Gerenciamento da Qualidade (SGQ) baseado na ABNT NBR ISO 9002.

ABNT NBR ISO/IEC 27001

(30)

ISO 9001

A família de normas ISO 9000 é focada em Sistemas de Gestão da Qualidade em nível empresarial. Ela descreve os fundamentos de sistemas de gestão da qualidade, que constituem o objetivo da família ABNT NBR ISO/IEC 9000, e define os termos a ela relacionados.

2.1.5. Relação com outros frameworks

A ABNT NBR ISO/IEC 20000 permite que muitos outros frameworks de melhores práticas possam ser usados para apoiá-la, como por exemplo, ITIL, COBIT, Business Process Framework (eTOM), eSCM-SP etc (CLIFFORD, 2011).

ITIL

ITIL é um framework de melhores práticas para o gerenciamento de serviços desenvolvido pelo Governo do Reino Unido, e é agora adotado por muitas organizações ao redor do mundo, tanto no setor público quando privado (AGUTTER, 2013). ITIL define um conjunto extenso de procedimentos de gestão destinados a ajudar as organizações a alcançar a qualidade e eficiência das operações de TI (KUNAS, 2012).

Não é difícil reconhecer semelhanças entre processos da ABNT NBR ISO/IEC 20000 e as melhores práticas da ITIL. Aplicar as melhores práticas ITIL vai ajudar um provedor de serviços a alcançar a qualidade da gestão dos serviços exigidos pela norma ABNT NBR ISO/IEC 20000 (ROVERS, 2013).

Gestão de riscos

A ABNT NBR ISO/IEC 20000 inclui requisitos que envolvem o gerenciamento de risco. O prestador de serviço é obrigado a assegurar que os riscos para os serviços sejam avaliados, gerenciados e analisados. Além disso, o prestador de serviços é obrigado a determinar uma aproximação para aceitar riscos e metas fixados para as melhorias na sua redução.

(31)

A primeira parte da norma, a ABNT NBR ISO/IEC 20000-1:2011, exige uma abordagem integrada do processo quando o provedor do serviço planeja, estabelece, implementa, opera, monitora, revisa, mantém e melhora um sistema de gerenciamento de serviços (SGS). Focada no modelo de Ciclo de Vida do Serviço, os requisitos dessa parte da norma incluem o desenho, transição, entrega e melhoria de serviços que cumprem requisitos de serviço, e fornecem valor para o cliente e para o provedor do serviço.

2.2.1. Escopo

Atualmente os provedores de serviços possuem a necessidade de demostrarem sua capacidade de fornecer serviços de qualidade e valor ao negócio de seus clientes. De acordo com ROVERS (2013), isso pode ser alcançado pela padronização do Sistema de Gerenciamento de Serviços. A ABNT NBR ISO/IEC 20000:2011 é uma norma de sistema de gerenciamento de serviços internacionalmente reconhecida para adoção de uma abordagem de processo integrado de serviços efetivamente gerenciados para atender os requisitos dos clientes e negócio (SOULA, 2013).

Essa primeira parte da norma pode ser usada pelos fornecedores de serviços para:

- Demonstrar a habilidade de cumprir os requisitos do cliente;

- Monitorar, medir e analisar criticamente seus processos de gerenciamento

de serviços;

- Utilizar como referência para seu SGS;

- Considerar como base para uma avaliação independente ou auditoria para

a certificação;

E pelo cliente de serviços de TI para:

- Assegurar que os requisitos de seu serviço serão cumpridos pelo

prestador do serviço;

- Assegurar que os requisitos de seu serviço serão cumpridos pelos seus

prestadores de serviços, incluindo aqueles em uma cadeia de fornecimento; e

(32)

Os processos de gerenciamento de serviço e os relacionamentos entre os processos podem ser implementados de formas diferentes por diferentes provedores de serviço. A figura 3 ilustra o sistema de gerenciamento de serviço, incluindo os processos de gerenciamento proposto pela ABNT NBR ISO/IEC 20000:2011.

Sendo os requisitos da ABNT NBR ISO/IEC 20000-1:2011 genéricos, eles são aplicáveis a todos os tipos de prestadores de serviços, independente do tipo de negócio, seja em empresas pública ou uma organização sem fins lucrativos, seja uma empresa de grande ou pequeno porte.

A conformidade com os requisitos da ABNT NBR ISO/IEC 20000-1:2011 pode ser demonstrada pelo provedor de serviço somente através de evidências do cumprimento de todos os requisitos.

Figura 3 – Sistema de Gestão de Serviços

Fonte: ABNT NBR ISO/IEC 20000-1:2011 (2011, seção 1, p. 2)

2.2.2. Termos e definições

(33)

2.2.3. Requisitos gerais para o sistema de gerenciamento de serviços

A fim de realizar com sucesso e qualidade a entrega de serviços de TI o primeiro grupo de processos da ABNT NBR ISO/IEC 20000-1:2011 apresenta os requisitos gerais para o sistema de gerenciamento de serviços (STUDENT; TANOVIC, 2012).

Responsabilidade da direção

De várias maneiras a ABNT NBR ISO/IEC 20000:2011 obriga a alta direção do provedor de serviços a fornecer provas de suas intenções em relação ao SGS e aos serviços. A norma também identifica a comunicação como uma importante responsabilidade da alta direção.

A alta direção deve fornecer evidências do seu comprometimento com o SGS. Assegurar que o plano de gerenciamento de serviços esteja aderente à política e atinja os objetivos do gerenciamento de serviços. Também deve verificar se os recursos disponíveis são suficientes, conduzir análises críticas em intervalos planejados, e avaliar e gerenciar os riscos aos serviços.

É responsabilidade da alta direção criar, implementar, manter e melhorar continuamente a política de gerenciamento de serviços. Também é responsável para que ela seja comunicada e entendida pelo pessoal do provedor de serviço.

A alta direção deve ainda assegurar que a autoridade e a responsabilidade do gerenciamento de serviços sejam definidas e mantidas, além de estabelecer e implementar os procedimentos para a comunicação.

A alta direção deve designar um representante para assegurar que as atividades e processos sejam, identificados, documentados, projetados, implementados, melhorados e integrados de acordo com a política e objetivos do SGS. Ela é responsável por assegurar que os ativos sejam gerenciados, relatar o desempenho e oportunidades de melhoria do Sistema de Gestão de Serviços.

(34)

Ao provedor de serviços é atribuído identificar todos os processos, ou as partes dos processos, que são operados por outra parte. Outra parte pode ser um grupo interno, um cliente ou um fornecedor.

O provedor de serviços deve demonstrar responsabilidade pelos processos e autoridade para exigir aderência das outras partes a ele, além de controlar a definição e a interface com os outros processos. Ainda deve determinar o desempenho e a conformidade com os requisitos do processo, controlando e priorizando as suas melhorias.

Gerenciamento de documentos

Os documentos são um meio importante para fornecer evidências do cumprimento dos requisitos das normas ABNT NBR ISO/IEC 20000:2011. De acordo com ROVERS (2013) a documentação também é um instrumento de gestão que garante que os dados, informações e conhecimento da organização do prestador de serviços sejam acessíveis e compartilhados quando necessário.

A documentação deve ser gerida a fim de garantir a eficácia do planejamento, operação e controle do SGS. Os documentos devem incluir políticas, objetivos, processos, procedimentos e planos de gerenciamento de serviço, além do catálogo de serviços e os Acordos de Nível de Serviço (ANS).

Os documentos requeridos pelo SGS devem ser controlados, e um procedimento deve ser estabelecido para criar, revisar, manter, alterar, disponibilizar e aprovar os documentos antes de sua emissão. As partes interessadas devem ser comunicadas sobre documentos novos ou modificados.

Os registros devem ter controles definidos para serem mantidos, identificados, armazenados e protegidos. Da mesma forma, devem ser recuperáveis, retidos e eliminados quando necessário.

Gerenciamento de Recursos

O provedor de serviço deve prover os recursos humanos, técnicos, de informação e financeiros necessários para estabelecer e manter o sistema de gerenciamento de serviço, e melhorar continuamente sua eficácia.

(35)

ações tomadas e assegurar que o seu pessoal esteja consciente de como eles contribuem para a realização dos objetivos do SGS.

Estabelecimento e melhoria do SGS

O provedor de serviço deve definir e incluir no escopo do SGS o plano de gerenciamento de serviços, considerando outros fatores que afetam os serviços, tais como; a localização geográfica do provedor e a do cliente, e a tecnologia utilizada.

Planejar o SGS (Planejar – Plan)

O plano de gerenciamento de serviços é um documento importante criado durante a fase de planejamento da SGS. A ABNT NBR ISO/IEC 20000:2011 tem requisitos específicos para os temas a serem considerados no plano, como por exemplo:

- Objetivos a serem alcançados pelo prestador de serviços;

- Os requisitos do serviço e limitações que possam impactar o SGS; - Políticas, padrões, requisitos, regulamentos e obrigações contratuais; - Papeis e responsabilidades;

- Recursos humanos, técnicos, de informação e financeiros; - Relacionamentos com outras partes interessadas;

- Interfaces entre processos ou outros componentes do SGS; - Gerenciamento de risco e tecnologia utilizada;

- A forma como a eficácia do SGS e dos serviços será mensurada,

auditada, relatada e melhorada.

Implementação e operação do SGS (Fazer – Do)

As atividades mínimas para o provedor de serviço implementar e operar o SGS é a alocação e gerenciamento de fundos e orçamentos, alocação dos papeis e responsabilidades, gerenciar os recursos humanos, técnicos e de informação. Também deve gerenciar os riscos e monitorar o desempenho das atividades de gerenciamento de serviço.

(36)

É de responsabilidade do provedor de serviços monitorar e medir o desempenho do SGS e dos serviços. Executar auditorias internas e análises críticas, a fim de encontrar não conformidades com a primeira parte da norma ABNT NBR ISO/IEC 20000.

As auditorias internas devem acontecer em intervalos planejados para determinar se o SGS e os serviços atendem os requisitos da ABNT NBR ISO/IEC 20000. Ela também deve identificar se os requisitos do SGS e do serviço estão sendo atendidos, implementados e mantidos de forma eficaz. As não conformidades devem ser comunicadas e priorizadas, e as reponsabilidades devem ser definidas para as ações.

A alta direção deve avaliar o desempenho do SGS e os serviços com frequência e decidir se há ou não necessidade de melhorias.

As entradas para análises críticas pela direção devem incluir:

- Pesquisas de satisfação do cliente;

- Desempenho e conformidades dos serviços e processos; - Relatórios de uso de recursos;

- Desempenho pessoal; - Avaliação de risco;

- Os resultados e acompanhamentos das auditorias (internas); - Os resultados e acompanhamentos das ações corretivas; - Mudanças que possam afetar o SGS e os serviços; - Oportunidades de melhorias; e

- Os registros das análises devem ser mantidos.

Manter e melhorar o SGS (Agir – Act)

Deve haver uma política para a melhoria contínua do SGS e dos serviços que inclui critérios de avaliação para as oportunidades de melhorias. As oportunidades de melhoria devem ser documentadas, e a causa das não conformidades identificadas devem ser corrigidas.

(37)

2.2.4. Desenho e transição de serviços novos ou modificados

Para todos os novos serviços ou mudança nos serviços que impactam ou nos serviços, ou nos clientes, o provedor deve utilizar o processo de desenho e transição para serviços novos ou modificados.

As mudanças devem ter uma política de gerenciamento de mudanças para que sejam avaliadas, aprovadas, programadas e analisadas criticamente, a fim de minimizar os impactos na entrega do serviço. As mudanças nos serviços podem afetar os Itens de Configuração (IC) que devem ser controlados pelo gerenciamento de configuração.

A necessidade de um novo serviço ou mudança nos serviços existentes pode ter sua origem no cliente, no provedor de serviço, no grupo interno ou nos fornecedores, de maneira a satisfazer as necessidades de negócio ou para melhorar a eficácia do serviço.

Planejar serviços novos ou modificados

Os requisitos do serviço devem ser identificados pelo provedor a fim de atendê-los conforme acordo com o cliente ou com as partes interessadas. O planejamento de serviços novos ou modificados deve conter papeis e responsabilidades, as atividades a serem executadas, comunicação entre as partes interessadas, recursos humanos, técnicos e financeiros. Também deve conter escala de tempo para as atividades planejadas, gerenciamento de risco, dependências de outros serviços, testes, critérios para aceitação do serviço e resultados esperados.

A remoção de um serviço também deve ser planejada pelo provedor.

Desenho e desenvolvimento de serviços novos ou modificados

Serviços novos ou modificados devem ser desenhados e documentados para incluir os papeis e responsabilidades, atividades a serem executadas, clientes e outras partes interessadas, recursos humanos, financeiros e tecnológicos.

(38)

Transição de serviços novos ou modificados

Os serviços novos ou modificados devem ser testados e verificados quanto aos requisitos do sistema e com base nos critérios de aceitação dos acordos entre o provedor e as partes interessadas. O processo de liberação e implantação deve ser utilizado para a implantação de serviços novos ou modificados.

2.2.5. Processo de fornecimento de serviço

Gerenciamento de nível de serviço

O provedor e o cliente devem acordar os serviços a serem fornecidos por meio de um catálogo de serviços e um acordo de nível de serviço que devem ser revisados periodicamente. As mudanças nos requisitos, no catálogo ou nos ANS dos serviços devem ser controlados pelo processo de gerenciamento de mudança.

O provedor de serviços deve desenvolver e gerenciar um acordo interno quando componentes do serviço forem fornecidos por outra parte, seja um grupo interno, fornecedor ou pelo cliente, a fim de definir as atividades e as interfaces entre as partes.

Relatos de serviço

Os relatos de serviço devem conter no mínimo o desempenho dos serviços em relação às metas estabelecidas, informações sobre eventos significativos, características da carta de trabalho, não conformidades, tendências e medições da satisfação do cliente.

O provedor de serviços deve tomar decisões e ações com base nas conclusões dos relatos de serviços com o objetivo de melhorar a eficácia do SGS.

Gerenciamento da continuidade e disponibilidade

O provedor deve avaliar e documentar os riscos para continuidade e disponibilidade do negócio. Os requisitos acordados devem levar em consideração os planos de negócio aplicáveis, requisitos de serviço, ANS e Riscos.

(39)

O provedor deve criar, implementar e manter um plano de continuidade e disponibilidade de serviço para os casos de interrupção no serviço. O plano deve conter os procedimentos a serem implementados caso haja a interrupção como, as metas de disponibilidade, os requisitos de recuperação, e a abordagem para o retorno às condições normais de trabalho.

A disponibilidade dos serviços deve ser monitorada e os resultados comparados com as metas acordadas. Os planos de continuidade devem ser testados em comparação aos requisitos de serviço, aos requisitos de disponibilidade e testados novamente após mudanças significativas nos ambientes de serviços.

Orçamento e contabilização para serviços

Deve haver uma interface definida entre o orçamento e a contabilidade para o processo de serviços e outros processos de gestão financeira. Também é necessária uma política e procedimentos documentados para orçamento e contabilização para componentes de serviços, divisão dos custos indiretos e alocação de custos diretos dos serviços, para proporcionar um custo global de cada serviço, e controle financeiro eficaz e aprovação.

Os custos devem ser incluídos no orçamento para permitir o controle financeiro eficaz e de tomada de decisão para os serviços prestados.

Gerenciamento da capacidade

O provedor deve criar, implementar e manter um plano de capacidade levando em consideração recursos humanos, técnicos, de informação e financeiros.

O plano de capacidade inclui no mínimo a demanda atual e a prevista por serviço, impactos esperados, prazos identificados, e impacto potencial de mudanças e novas tecnologias.

Gestão da segurança da informação

(40)

O gerenciamento de risco de segurança da informação e os critérios de aceitação devem ser definidos e as avaliações de risco devem ocorrer periodicamente. As auditorias internas devem ser garantidas e os seus resultados analisados criticamente para se identificar as melhorias.

Controles físicos, administrativos e técnicos de segurança são necessários para preservar a confidencialidade, integridade e acessibilidade dos ativos de informação. Eles também ajudam a cumprir os requisitos da política de segurança, atingir os objetivos do processo e gerenciar os riscos.

As solicitações de mudanças devem ser avaliadas para identificar possíveis riscos de segurança da informação e o impacto potencial na política de segurança da informação. Os incidentes de segurança da informação devem ser gerenciados usando os procedimentos do gerenciamento de incidentes.

Incidentes de segurança devem ser analisados quanto ao tipo, volume e impactos, e devem ser reportados e analisados criticamente para identificar oportunidades de melhoria. A norma ABNT NBR ISO/IEC 27001 especifica requisitos e provê orientação para suportar a implementação e operação de um sistema de gestão da segurança da informação.

2.2.6. Processos de relacionamentos

Gerenciamento de relações de negócio

O provedor de serviço deve identificar e documentar todos os clientes e partes interessadas nos serviços, e designar um indivíduo responsável pelo gerenciamento e satisfação de cada cliente. Mecanismos de comunicação entre o provedor e o cliente devem ser estabelecidos, e a satisfação do cliente deve medida em intervalos planejados.

Gerenciamento de fornecedores

Para cada fornecedor o provedor de serviço deve designar um responsável para gerenciamento do relacionamento, contrato e desempenho do fornecedor.

(41)

para gerenciar os desacordos contratuais entre o provedor de serviço e o fornecedor.

2.2.7. Processo de resolução

Gerenciamento de incidentes e requisição de serviço

Todos os incidentes devem ser registrados, priorizados quanto ao impacto e urgência, classificados quanto à gravidade, atualizado, escalado (quando necessário), resolvido e encerrado. Os clientes devem ser mantidos informados sobre os progressos dos seus incidentes, e os incidentes graves devem ser classificados e gerenciados de acordo com um procedimento documentado.

Gerenciamento de problema

Deve haver um procedimento documentado para identificar problemas e minimizar ou evitar o impacto de incidentes e problemas. O provedor deve analisar os dados e as tendências dos incidentes e dos problemas para identificar as causas raiz.

Para os problemas ainda não resolvidos permanentemente, o provedor de serviços deve identificar as ações para reduzir ou eliminar o impacto do problema sobre os serviços. Erros conhecidos devem ser registrados.

2.2.8. Processo de controle

Gerenciamento da configuração

Cada Item de Configuração deve ser definido e registrado com identificador único na Base de Dados de Gerenciamento da Configuração (BDGC). O processo de Gerenciamento de Configuração deve manter e controlar, de forma precisa, as informações dos componentes dos serviços e a infraestrutura de apoio do prestador de serviços registrados na BDGC. Alguns dos atributos dos IC que devem ser registrados são:

- Identificação única, estado, versão e localização; - Relações de um IC com outros ICs; e

(42)

A norma exige que o prestador de serviço realize com frequência auditorias para determinar eventuais deficiências e realizar ações corretivas subsequentes. Além disso, quaisquer alterações no IC precisam ser rastreadas e auditadas para assegurar a integridade dos dados da BDGC.

Gerenciamento de Mudanças

O provedor deve estabelecer uma política de gerenciamento de mudanças para definir os IC que estarão sob seu controle e os critérios para determinar mudanças com potencial impacto nos serviços ou no cliente. Deve haver um procedimento para gerenciar as mudanças e todas elas devem ser registradas e classificadas quanto ao impacto. Para mudanças emergenciais deve-se ter um procedimento documentado e elas devem ser acordadas com o cliente.

O provedor e as partes interessadas devem tomar decisões com respeito à aceitação das requisições de mudança. Um cronograma contendo os detalhes das mudanças aprovadas e as datas propostas para implantação devem ser estabelecidos. As mudanças devem ser desenvolvidas e testadas antes de serem disponibilizadas em produção.

Os registros da BDGC devem ser atualizados após a implantação bem sucedida da mudança. Atividades para reverter ou remediar uma mudança sem sucesso devem ser planejadas e se possível testadas. Nos casos em que não tiver sucesso, a mudança deve ser revertida.

Gerenciamento de liberação e implantação

O provedor de serviços deve planejar com o cliente e as partes interessadas a implantação de serviços ou componentes de serviço novos ou modificados no ambiente de produção por meio de uma política de liberação.

As liberações devem ser coordenadas com o processo de gerenciamento de mudanças. Liberações emergenciais também devem ser gerenciadas de acordo com um procedimento de liberação que possua interface com o procedimento de mudanças emergenciais.

(43)

mantidos. Atividades necessárias para reverter ou remediar uma implantação de liberação sem sucesso devem ser planejadas, e onde possível, testada.

2.3. MODELOS DE AVALIAÇÃO DA MATURIDADE EM GSTI

A responsabilidade pela concepção e utilização da TI de forma eficiente e eficaz é da área de gestão de TI. Assim, um dos principais objetivos do prestador de serviços é a busca da melhoria contínua do seu desempenho no que diz respeito à eficiência econômica (BECKER; KNACKSTEDT; PÖPPELBUΒ, 2009).

Uma metodologia de acompanhamento e controle faz se necessária para que sejam identificadas as lacunas, promovam-se os ajustes e garantam-se os ciclos de melhorias dos processos de GSTI. Esta sistemática garantirá que os serviços do prestador, que suportam os processos de negócios, sejam executados com a qualidade esperada.

Identificar o nível atual de maturidade dos processos de GSTI de um prestador de serviços pode ajudar a reconhecer um conjunto inicial de melhorias. Essa análise tem o intuito de apontar os pontos fracos e fortes da organização. Dessa forma, podem-se concentrar os esforços de melhoria em processos de maior prioridade (BON, 2002).

Para Becker, Knackstedt e Pöppelbuβ (2009), os modelos de maturidade são

artefatos que servem para determinar os problemas e as capacidades de uma organização, gerando assim oportunidades de melhorias.

Becker, Knackstedt e Pöppelbuβ (2009) definem um modelo de maturidade

como uma sequência de níveis de maturidade para uma classe de objetos, representando uma antecipação, caminho ou desejo de evolução em estágios desses objetos. Normalmente, esses objetos são organizações ou processos. O estágio inferior representa um estado inicial, que pode ser, por exemplo, caracterizado por uma organização com poucas capacidades no domínio em apreço. Em contraste, o mais alto estágio representa uma concepção de maturidade total.

(44)

como formas para o alcance de níveis mais altos de maturidade serem priorizados (ITGI, 2003).

2.4. AUTOAVALIAÇÃO

Com uma autoavaliação, o provedor de serviços terá uma visão clara sobre o estado atual da qualidade e desempenho para implementação ou melhoria contínua dos processos de gerenciamento de serviços de TI. O uso dessa ferramenta revela o quão adequado os seus processos estão em relação aos seus objetivos. Com uma autoavaliação é possível identificar as áreas onde os processos estão fracos ou fortes, e priorizar ação e conformidades (LYU, 1996).

(45)

3. METODOLOGIA

O público alvo desta pesquisa é composto por quarenta e seis gestores de TI das unidades da empresa-exemplo.

Desta forma, decidiu-se pela estratégia da realização de entrevista com esses gestores por meio de um questionário, bem como pela utilização dos dados operacionais referentes ao gerenciamento de incidentes de cada unidade.

A metodologia utilizada neste trabalho tem como base a norma ABNT/NBR ISO/IEC 20000:2011.

3.1. DELINEAMENTO DA PESQUISA

De acordo com Menezes e Silva (2005), Moresi (2003) e Gil (1995), a pesquisa recebe classificação de acordo com a finalidade (básica ou aplicada), o local onde é realizada (bibliográfica, de campo e de laboratório), a abordagem do problema (qualitativa ou quantitativa), os objetivos (exploratória, descritiva e explicativa) e os procedimentos técnicos (pesquisa bibliográfica, pesquisa documental, levantamento, estudo de caso, pesquisa-ação, pesquisa participante, pesquisa experimental, pesquisa Ex-Post-Facto)

O presente trabalho caracteriza-se como pesquisa aplicada por ter como objetivo a geração de conhecimento que pode ter uso prático na solução de problemas específicos (LAKATOS; MARCONI, 2008).

Quanto à forma de abordagem do problema, ela é quantitativa, uma vez que traduz em números opiniões e informação para classificá-las e analisá-las. Este tipo de pesquisa necessita do uso de recursos e de técnicas estatísticas (percentagem, mínimo, máximo, média, moda, mediana, desvio-padrão, variância etc.).

Em relação aos fins, ela é do tipo metodológica, pois elabora instrumentos de captação da realidade para verificar qual a correlação entre uma autoavaliação e os dados operacionais do processo de gerenciamento de incidentes de uma organização.

(46)

3.2. COLETA DE DADOS

Pesquisa do tipo levantamento de dados é descrita como a obtenção de dados ou de informações sobre características, ações ou opiniões de determinado grupo de pessoas, indicado como representante de uma população-alvo, por meio de instrumento de pesquisa, normalmente um questionário.

Nessa pesquisa foram utilizadas duas fontes de evidências: um questionário e dados operacionais.

Para a elaboração do questionário foram extraídos critérios do referencial teórico relacionados à norma ABNT NBR ISO/IEC 20000:2011, do ITIL, de modelos de avaliação da maturidade, de autoavaliação e do projeto de implantação do sistema de gerenciamento de serviços de TI da empresa-exemplo.

O questionário criado foi dividido em duas partes:

A primeira consiste em quatros questões elaboradas a partir de critérios extraídos do projeto de implantação do sistema de gerenciamento de serviços de TI da empresa-exemplo. O objetivo dessa parte é obter um panorama do funcionamento da TI em cada unidade.

A segunda parte consiste em uma autoavaliação de conformidade com os requisitos do processo de gerenciamento de incidentes contidos no item 8.2 da norma ABNT NBR ISO/IEC 20000-1. As questões foram criadas a partir da

transformação de cada declaração “deve” da norma em uma pergunta.

As questões têm opções de respostas na forma de escala de Likert, na qual o respondente informa em que medida concorda ou discorda sobre cada afirmativa:

- 1 - Discordo Totalmente; - 2 - Discordo Parcialmente; - 3 - Neutro;

- 4 - Concordo Parcialmente; e - 5 - Concordo Totalmente.

Para cada resposta, é atribuída uma nota de uma escala entre 1 a 5, na qual se obtém a medida da favorabilidade a partir da soma dos valores dos pontos atribuídos a cada questão.

(47)

A extração de dados foi executada a partir do sistema de gerenciamento de incidentes da empresa-exemplo. Foram coletados os dados referente a três indicadores descritos no processo de gerenciamento de incidentes da empresa-exemplo, e disponíveis na ferramenta de gerenciamento de incidentes, são eles: incidentes solucionados fora dos prazos acordados, total de incidentes registrados e tempo médio de solução dos incidentes. O intervalo de coleta foi a atividade diária entre 01/01/2013 a 31/08/2014. O período de coleta considerou como data inicial a época em que todas as unidades já utilizavam o sistema, e data final o estágio de início dessa pesquisa. Uma amostra dos registros coletados consta no Apêndice C.

Com o objetivo de melhorar o questionário para a aplicação final, e a verificação da disponibilidade da extração dos dados operacionais, foi realizado um teste piloto com duas unidades. Os participantes puderam realizar comentários diversos sobre a ferramenta. Com base nos comentários dos participantes foram feitos alguns ajustes ortográficos, assim como no formato de envio do questionário. As respostas obtidas no teste piloto encontram-se no Apêndice D.

Após o teste piloto, foi enviado a todos os gestores a serem entrevistados um e-mail com o questionário a ser aplicado. O conteúdo do e-mail consta no Apêndice A.

O cronograma inicial propunha quinze dias para que os gestores respondessem o questionário. No entanto, findo o prazo, 70% já havia respondido a pesquisa. O prazo então foi estendido por mais sete dias, e desta vez, um total de 82% haviam participado da pesquisa. A fim de alcançar o maior número de participantes, foram realizados lembretes via e-mail e contato telefônico com três participantes. Após o fechamento da pesquisa registrou-se quarenta participantes dos quarenta e seis previstos, um total de 87% de participação.

Os resultados dos questionários foram tabulados e ordenados para serem confrontados com os dados operacionais.

No mesmo período, foram extraídos os dados operacionais da ferramenta de gerenciamento de incidentes da empresa-exemplo. Ao final da coleta, estes dados foram tabulados e ordenados a fim de serem comparados com o ranking da autoavaliação.

(48)
(49)

4. RESULTADOS

A pesquisa foi realizada com quarenta e seis unidades da empresa-exemplo. Quarenta gestores responderam à pesquisa, um percentual de participação de 87%. Quanto às outras, duas alegaram não terem implantado o processo de gerenciamento de incidentes em suas unidades e quatro optaram por não responder à pesquisa.

Em cada unidade, somente o gestor responsável pelo processo de gerenciamento de incidentes foi entrevistado, respondendo às perguntas relacionadas ao processo. As unidades que participaram da pesquisa foram identificadas de 1 a 40, de forma a preservar a confidencialidade das informações.

Os resultados estão apresentados de forma global e, inicialmente, é apresentado a percepção dos gestores de TI em relação ao processo de incidentes sob sua responsabilidade. Em seguida, são apresentados os resultados relacionados aos dados extraídos da ferramenta de gerenciamento de incidentes.

Questionário

Figura 4 – Resultado do questionário

Imagem

Tabela 1  –  Publicações com termos chave em bases internacionais
Tabela 2  –  Publicações em bases internacionais  –  Expressões compostas  Expressões  utilizadas nas  pesquisas  Bases Pesquisadas ACM Science Direct Web of Science IEE
Tabela 4  –  Artigos selecionados
Figura 1  –  Sequência de acreditação e certificação
+7

Referências

Documentos relacionados

Neste caso, somente foram coletadas amostras na superfície (Base da rede de estações de referência), sem medições de vazão. Os cálculos de vazão foram realizados com

Para minimizar incidentes (acidentais ou não) relacionados à quebra da segurança da informação da empresa, a norma ABNT ISO/IEC 17.779: 2005, apresentada na seção 2.8,

Atualmente faz parte da realidade do nosso sistema escolar um único tipo de escola: a regular, que deve acolher todos os alunos , apresentar meios e recursos adequados

Subseqüentemente, pela cultura do organismo provenien- te de lesões cutâneas, Koehler et al (2) demonstraram que tanto a Bartonella henselae como a Bartonella quintana são

DAKTARIN® loção cremosa é indicado para tratamento tópico de infecções de pele (dermatomicoses superficiais) e unhas (onicomicoses) causadas por.. fungos suscetíveis,

A velocidade é outro fator que deve ser levado em conta, não somente no momento em que os dados são copiados, mas também o tempo necessário para recuperá-los caso os mesmos sejam

Art. 6º Deverá ser juntada aos autos Planilha Comparativa de Preços composta de, no mínimo, 03 valores válidos, obedecendo aos parâmetros estabelecidos no art. 4°, observadas as

A proposta de terapêutica para a DMJ, uma doença neurodegenerativa, através do uso de substâncias ortomoleculares não apresenta consistência científica, não sendo