Auditoria de Processos Voltados para Tecnologia da
Informação
Daniel David Martins, Sônia Aparecida Santana
Instituto de Informática – Centro Universitário do Triângulo (UNITRI) Caixa Postal 309 – 38.411-106 – Uberlândia – MG – Brasil
danieldavid1981@yahoo.com.br, sonia.ap.santana@gmail.com
Resumo. A Tecnologia da Informação (TI) é vital dentro das organizações, deixando de ser vista como um centro de gastos, tornando-se um ativo estratégico alinhado aos objetivos do negócio. A prática de auditorias tem o objetivo de nortear a alta gestão enquanto a melhoria contínua dos ativos organizacionais. Este artigo tem como finalidade exemplificar uma auditoria em processos da Gestão e Serviços de TI de uma grande organização, no intuito de encontrar melhores caminhos alinhados a norma ISO 20.000. Os resultados obtidos mostram as etapas de identificação das deficiências nos processos de TI, sugerindo ações de melhorias, além de apontar o nível de satisfação das áreas de negócios com a área de TI da organização estudada. Palavras Chave. Auditoria, Governança de TI, ITIL, Processos de TI.
1. Introdução
Para contribuir com o sucesso de uma organização, é importante que ela identifique e defina os papéis e responsabilidades dos setores que a compões, além de entender os relacionamentos entre eles. Setores como Marketing, Comercial, Tecnologia da Informação (TI), Recursos Humanos, Financeiro, etc., precisam estar aderentes a estratégia organizacional.
Neste artigo, o propósito foi realizar uma análise no setor de Tecnologia da Informação, o qual é essencial para suportar o negócio e o percentual de investimento neta área vem crescendo a cada dia. Uma avaliação dos Serviços de TI, é crucial, pois, o controle, desempenho e a capacidade dos processos de TI apoiam no cumprimento dos objetivos estratégicos da organização.
Para apoiar esta avaliação foi realizada uma auditoria de processos de TI, onde o objetivo é orientar a organização enquanto a adequação dos mesmos conforme a norma internacional ISO 20.000. A observação correta e cumprimento dos planos de ações é determinante para o alcance deste objetivo, de forma que os fatores críticos para o seu sucesso são: Apoio da alta gestão; Definição dos responsáveis por cada ação; Comprometimento dos responsáveis pela execução das ações contidas no Plano; Recursos humanos e financeiros adequados;
As organizações que tem auditoria como prática, estão preparadas no que diz respeito a padronização, criando bases tecnológicas para a implantação com melhor eficiência e eficácia das suas políticas. É fator decisivo para a organização o sucesso da gestão de recursos, processos e tecnologias, ativos de TI.
É importante observar que, para o sucesso mercadológico de uma organização, existem também fatores externos, situações que não dependem da estratégia do negócio, como o comércio, concorrentes, política, etc. (WEILL,2005).
2. Governança de TI
A Governança de TI, nasceu do termo Governança Corporativa e tem como objetivo o direcionamento e monitoramento da gestão dos Serviços de TI de uma organização, tendo como impulsionador e beneficiário a alta gestão da organização.
A Governança de TI é um conjunto de estruturas e processos que visam garantir que a TI suporte e maximize adequadamente os objetivos e estratégias de negócio da organização, adicionando valor aos serviços entregues, balanceando os riscos e obtendo melhor retorno sobre os investimentos em TI (ISACA, 2006).
A premissa mais importante da Governança de TI é o alinhamento entre as diretrizes e objetivos estratégicos da organização, o ITSMF Brasil define da seguinte maneira: “A Governança de TI é de responsabilidade da alta administração e consiste na liderança, nas estruturas e processos organizacionais que garantem que a TI da empresa sustente e estenda as estratégias e objetivos da organização”. (ITSMF, 2007)
3. ITIL
Information Technology Infrastructure Library (ITIL) é uma abordagem criada no fim da década de 80 órgão inglês United Kingdom’s Office Of Government Commerce (OGC), contendo um conjunto de melhores práticas para a gerir os serviços de TI, tendo como base setores públicos e privados a nível internacional. Esta leitura defende que os serviços de TI estejam alinhados as necessidades do negócio. (OGC, 2007)
Uma série de livros foram publicados, onde os principais são: Itil Service Strategy (Estratégia de Serviço) / Itil Service Design (Desenho de Serviço) / Itil Service Transition (Transição de Serviço) / Itil Service Operation (Operação de Serviço) e Itil Continual Service Improvement (Melhoria de Serviço Continuada). (DOROW, 2010)
As versões mais conhecidas são a versão 2 e a versão 3, o que as difere, é que na v2 o objetivo era dar foco na eficiência e eficácia dos serviços de TI em operação, não havia conexões entre seus livros, o que na v3, houve modificações, visando a organização dos processos em uma estrutura de ciclo de vida de serviço.
4. Ciclo - Desenho de Serviço (OFFICE, CABINET, 2012)
O ciclo Desenho de Serviço é responsável por planejar o serviço para a implantação e gerenciamento, tanto para os novos quanto para o que estão sofrendo modificações, considera-se todos os tipos de serviços de TI, como infraestrutura, processos e soluções tecnológicas. Em resumo este ciclo tem objetivo de transformar os direcionadores estratégicos em serviços garantidos.
Segue alguns processos deste ciclo que serão analisados neste trabalho:
Gerenciamento do Catálogo de Serviços: Processo de responsabilidade do
Gerenciamento do Nível de Serviço, visa assegurar que o todos os serviços estejam catalogados e atualizados periodicamente, contendo informações sobre todos os serviços que estão em operação e os que estão em preparação.
Gerenciamento do Nível de Serviço: Deve garantir que um nível de serviço de
Operacional (ANO), isso para todos os demais serviços de TI do catálogo e que para os futuros acordar os prazos conforme as metas medidas alcançáveis.
Gerenciamento da Capacidade: Responsável pela medição dos ativos de TI
enquanto sua capacidade de demanda, de forma garantir um custo sem desperdícios e mitigar os riscos de transbordo, além de assegurar que exista uma análise de capacidade de TI em todas as áreas, sempre com intuito de atender as necessidades atuais e futuras da organização.
Gerenciamento de Fornecedores: Deve gerenciar todos os fornecedores de
serviços de TI, monitorando os prazos de entrega e a qualidade, apoiando também na decisão de contratação destes parceiros, garantindo valor para o negócio.
5. Ciclo - Transição de Serviço (OFFICE, CABINET, 2012)
Após o serviço passar pelo desenho, é preciso colocá-lo em produção, para isto é necessário um acompanhamento e validação que está no ciclo Transição de Serviço, onde é testado e faz a liberação controlada de todos os serviços para a operação. Uma das atividades mais importantes é acompanhar o processo de gestão de mudanças, explicado em sequência, visando garantir eficiência e eficácia tendo conhecimento da infra atual e necessária para suportar tais mudanças no negócio.
Segue o processo deste ciclo que será analisado neste trabalho:
Gestão de Mudanças: É o processo responsável por garantir o sucesso das
implementações na área de TI, participa do planejamento, faz o Controle e fornece suporte aos ativos de TI, de documentos oficiais até uma migração física de equipamentos de TI. Seu objetivo é mitigar os riscos e impactos que possam atingir as funcionalidades dos serviços e a infraestrutura da organização.
Todas as mudanças devem ser: Registradas / Avaliadas / Autorizadas / Priorizadas / Planejadas / Testadas / Implantadas / Documentadas / Revisadas.
As mudanças podem ser categorizadas como: Padrão / Normal / Emergencial. Padrão: Alterações no ambiente previamente aprovadas, pois já possuem procedimentos estabelecidos. Ex.: Mudança da posição de desktops.
Normal: Qualquer tipo de alteração que não seja pré-aprovada, onde existe um fluxo de aprovação a ser seguido. Ex.: Atualizar versão de um software.
Emergencial: Mudanças que necessitam agilidade para a retomar os serviços de TI ou reduzir riscos de indisponibilidade do ambiente. Ex.: Intermitência da Rede.
6. Auditoria (MILLS, 1994)
Uma auditoria é uma avaliação oficial solicitada pela organização que possui interesse, onde visa garantir que todas as funcionalidades de um determinado serviço, bem como os papeis e responsabilidades sejam cumpridos. Existe diversos tipos de auditorias como a fiscal, a de segurança, a de qualidade, etc., onde todas têm um propósito específico.
As auditorias de qualidade têm como foco conferir a conformidade em comparação ao que foi desenhado e solicitado pela organização. Esta auditoria pode ser
externa ou interna, onde a primeira é de responsabilidade de uma entidade externa à organização e a outra é realizada pela própria internamente pelos colaboradores.
Com a rotina de uma auditoria, pode-se evitar descumprimento das normas que foram propostas, identificando desvios capazes de impactar a organização. De forma análoga, é como se fosse um exame periódico que a organização deve fazer, com intuído de detectar tudo o que estava planejado está conforme e alinhado aos objetivos iniciais.
7. Norma ISO/IEC (ISO, 2015)
A norma ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), são um sistema especializado para padronização de normas a nível mundial. Os órgãos nacionais, membros da ISO ou IEC contribuem no desenvolvimento destas normas, através de comitês técnicos estabelecidos por estas entidades para lidar com campos específicos de atividade técnica.
O objetivo deste comitê técnico é preparar normas internacionais e circula-las para votação, onde é necessário que 75% dos órgãos nacionais que tem direito a voto, aprovem para que seja publicada.
A norma ISO/IEC 20.000 é específica para a Tecnologia da Informação, definindo requisitos para um melhor gerenciamento dos Serviços de TI. Ela é composta pelas seguintes partes: 1- Serviço de requisitos de sistema de gestão; 2- Orientações sobre a aplicação do sistema; 3- Orientações sobre a definição do escopo e aplicabilidade da norma (relatório técnico); 4- Modelo de referência de processo (relatório técnico); 5- Exemplar de um plano de implementação para a ISO/IEC 20.0000 (relatório técnico)
A ISO/IEC 20.000, adere a um conjunto de processos de gerenciamento de TI que estão alinhados com os descritos nos livros ITIL.
8. Estudo de Caso e Resultados Obtidos
Neste artigo, foi realizado uma auditoria em uma grande organização multinacional no segmento de Serviços de TI, onde foram analisados processos ligados diretamente à Governança interna de TI, uma vez que esta amostragem é suficiente e relevante para a compreensão deste trabalho.
O escopo teve as seguintes finalidades:
Mapear os processos dentro da gestão de serviços em TI;
Segregar os mais comuns em comparação a outras empresas e os mais relevantes à organização analisada;
Identificar as oportunidades de melhorias destes processos;
Elaborar planos, resultantes do assessment realizado, contendo as metas e ações de melhorias necessárias para adequação aos objetivos estratégicos.
8.1 Metodologia
A avaliação dos processos foi executada com base nos procedimentos para a certificação ISO 20.000/IEC, que tem como modelo as boas práticas do ITIL v3, que também foi utilizado para orientar o desenho do modelo futuro desejável. As recomendações de melhoria foram priorizadas seguindo os critérios de menor esforço e máximo ganho de maturidade.
O trabalho foi realizado em cinco fases, conforme a figura 1, tendo na sequência seus detalhamentos:
Figura 1. Fases da Metodologia aplicada.
Planejar a execução das etapas: Para atender ao objetivo é necessário
identificar os principais stakeholders do projeto e do processo em análise; Preparar um cronograma detalhado; Realizar Kick-Off.
Preparação do diagnóstico: Coletar documentos; Alinhar expectativas sobre a
Auditoria; Realizar os levantamentos com as áreas de negócio, proprietários dos processos e seus usuários; Eleger os processos de TI piloto.
Diagnóstico da Situação atual da TI: Analisar a maturidade dos processos e o
modelo operacional; Elencar os processos com menor maturidade; Identificar os Pontos de Atenção e preparar cenários de evolução.
Desenho da Solução Futura: Desenhar uma proposta para os Processos;
Plano de Ação das Melhorias e dos Processos: Detalhar o planejamento dos
projetos; Impacto da implantação, os riscos e o plano de comunicação. 8.2 Resultados e Discussões
Nas seções seguintes, cada uma das fases da metodologia abordada é detalhada. 8.2.1 Fase de Planejamento
Nesta fase foi realizada um levantamento com o Gerente da Área de TI, onde foram apontados os principais stakehouders e realizado a comunicação interna, informando do projeto e por fim uma reunião com os gerentes dos processos de serviços de TI.
Após este apontamento e oficialização, foram definidas agendas para a realização das entrevistas, formando o cronograma inicial, conforme a tabela 1:
Tabela 1. Cronograma Inicial
Atividades 1ª Sem 2ª SemSetembro/153ª Sem 4ª Sem 1ª Sem 2ª SemOutubro/153ª Sem 4ª Sem
Fase 1 – Planejamento
Kick-Off.
Fase 2 – Preparação Fase 3 – Diagnóstico Fase 4 – Desenho da Solução Fase 5 – Plano de Ação
8.2.2 Fase de Preparação
Na fase de preparação foram identificadas através de levantamentos, as percepções das áreas de negócios enquanto a TI. Também realizado um mapeamento e seleção dos processos, elencando os prioritários, além de uma análise do cenário atual dos processos através de seus proprietários e materiais comprobatórios.
Em seguida um detalhamento das entregas de cada uma das atividades:
Percepção das Áreas de Negócios:
Através de um levantamento de informações originadas na pesquisa de clima organizacional e nas questões norteadores a seguir, foi possível sustentar a percepção negativa das áreas de negócios enquanto a área de TI.
Questões norteadoras:
1- O quanto os colaboradores (usuários) percebem a TI como um importante recurso de valor estratégico para organização?
2- O quanto a utilização dos recursos de TI, confirma a sustentabilidade da estratégia da sua área de negócio?
O resultado da pesquisa de clima organizacional com mais de quatro mil colaboradores respondentes, apontou que 81,9% deles estavam insatisfeitos com a qualidade e os prazos acordados nas entregas da área de TI.
E com base nas questões norteadoras, onde tiveram 19 entrevistados (supervisores e gerentes), notou-se também uma percepção negativa, onde na primeira questão 73,7%, indicaram uma falta de visibilidade da TI como centro de lucros e na segunda questão, outros 52,6% afirmaram ser perceptível uma subutilização dos recursos de TI, impactando diretamente a sua área de negócio.
Assim ficou evidente a necessidade da TI construir relacionamentos mais próximos com as áreas de negócios da organização e realizar um gerenciamento efetivo de suas demandas, projetos e expectativas.
Segue um resumo dos comentários realizados pelas Áreas de Negócios:
Operações: Baixa qualidade de entregas nos projetos; Falta de competências
adequadas para suportar os negócios do cliente; Não há entrega dos serviços dentro dos prazos acordados.
Financeiro: A TI interna não vista como um processo; Não há governança
financeira sobre os projetos; A TI é vista como um centro de custos e não de lucros.
Recursos Humanos: Dificuldade de definição dos papeis, ou seja, saber quem é
a pessoa certa, para colocar no lugar certo e no momento certo.
Comercial: Ausência de softwares de controle, não pode afirmar que tudo o que
foi vendido está sendo faturado, além de levar mais de 15 dias para identificar erros de pagamentos de comissão e faturamento.
Marketing: Elaboração de protótipo para o cliente da TI interna demora na
entrega ou não retorna status sobre a evolução; Na fase de implantação dos projetos, o cliente já percebe que não é confiável o prazo acordado.
Foi realizado o mapeamento na área de Governança de TI e identificados todos os processos efetivos em operação. Dois critérios foram aplicados para eleger os processos, o primeiro, segregando os processos comuns entre as empresas do mesmo seguimento de mercado, e o segundo selecionando os mais relevantes para a organização, com base nas reuniões com os gestores de processos e o gerente de TI.
Conforme a figura 2, cinco processos foram elencados para fazer parte da execução deste estudo, distribuídos abaixo conforme sua posição no ciclo de vida ITIL.
Figura 2. Ciclo de Vida do Serviço – ITIL v3 (OFFICE, CABINET, 2012)
Percepção dos Proprietários dos Processos e seus Usuários.
Com base na coleta de matérias comprobatórios foi relacionado um resumo das percepções sobre o cenário atual e o desejado dos processos da TI, onde este processo de auto avaliação foi feito em duas etapas:
1- Levantamentos com os proprietários dos processos e os clientes (usuários) ligados diretamente aos serviços. Para isso a base foi um instrumento de pesquisa utilizado pela organização para se adequar a certificação do selo ISO/IEC 20.000.
2- Diagnóstico por meio de observação e reunião de evidência que comprovem as respostas obtidas na etapa anterior, como atas de reuniões, medição de indicadores, fluxogramas e procedimentos documentados.
Em sequência a figura 3, resume a percepção dos processos de TI no que refere ao cenário atual e onde se deseja chegar conforme direcionamentos da gestão de TI, apontados em reunião.
Figura 3. Percepção sobre os processos de TI
8.2.3 Fase do Diagnóstico
TRANSIÇÃO DE SERVIÇO
Gerenciamento de Mudanças
DESENHO DE SERVIÇO
Gerenciamento do Catálogo de Serviços Gerenciamento de Nível de Serviço Gerenciamento de Fornecedores Gerenciamento da Capacidade
Cenário Atual Cenário Desejado
Baixa automatização dos processos; Pouca governança sobre os dados;
Pouca flexibilidade na execução demandas; Alto custo de manutenção;
Falta clareza nos Papéis/Responsabilidades; Baixa maturidade dos processos de TI.
Foco em Serviços e Produtos; Plataforma Tecnológica integrada e
Flexível;
Padronização de Processos e Tecnologias; Governança de Dados;
Na etapa de diagnóstico, avaliou-se o cenário atual de cada processo do escopo, para isto foi utilizado o instrumento de pesquisa utilizado pela organização para se adequar a certificação do selo ISO/IEC 20.000, que contem perguntas relevantes e baseadas no ITIL, onde cada questão tem um peso diferente conforme o impacto no processo e por fim gerando uma pontuação. Este levantamento foi obtido através dos proprietários e usuários dos processos.
Com a somatória destes pontos, possibilitou a categorização dos processos de acordo com os níveis de maturidade baseados no método de auditoria Capability Maturity Model (CMM) que estabelece os seguintes níveis:
Tabela 2. Níveis de Maturidade (CMMI, 2006)
Nível Detalhes
5- Otimizado Resultados altamente previsíveis. (Melhores práticas seguidas e automatizadas)
4- Controlado Aprimorado, automatizado, orientado. (Processos monitorados e medidos)
3- Definido Bem documentado, estabelecido. (Processos são documentados e comunicados)
2- Repetido Básico, definido com alguma documentação. (Processos tem um padrão regular)
1- Inicial Reativo, ad hoc. (Processos desorganizados)
A partir deste instrumento de pesquisa, foi possível categorizar os processos de TI conforme seu nível de maturidade, conforme ilustra a tabela 3:
Tabela 3. Níveis de Maturidade dos Processos de TI Analisados
Desenho de Serviço Transição de Serviço
Nível de Maturidade Coo rd en aç ão d a C on ce pç ão G es tã o C at ál og o de S er vi ço s G es tã o N ív ei s de S er vi ço G es tã o de D is po ni bi li da de G es tã o de C ap ac id ad e C on tin ui da de d os S er vi ço s Se gu ra nç a da I nf or m aç ão G es tã o de F or ne ce do re s Pl an ej . e S up or te d e T ra ns iç ão A va lia çã o de M ud an ça s G es tã o de M ud an ça s G es tã o de R el ea se e I m pl an t. T es te s e V al id aç ão d e Se rv iç os G es tã o de C on he ci m en to C on fi gu ra çã o e A tiv os
5 - Otimizado Meta desejada
4 - Controlado pelo setor de mercado.
3 - Definido (Controlado)
2 - Repetido 1 - Inicial
Observa-se que a meta em vermelho se encontra no nível 4, definido como “Controlado”. É neste quadrante que as empresas com o mesmo segmento de negócio, Serviços de TI, buscam estar posicionadas, de acordo com um benchmark realizado em uma pesquisa da empresa de consultoria Gartner.
Em seguida os mesmos dados da tabela, porém agora ilustrados graficamente, com intuito de evidenciar melhor a posição dos processos de TI.
Figura 4. Nível de Maturidade dos Processos de TI Analisados
Em seguida os Pontos de Atenção observados nos processos de TI, detalhando as deficiências encontradas:
Gestão do Catálogo de Serviço
1- O catálogo existente na ferramenta Information Technology Service Management (ITSM) está desatualizado, há necessidade de adequação do Service Level Agreement (SLA) e retirada dos serviços obsoletos (em desuso).
2- Não há estruturado um Catálogo com visão estratégica.
Gestão de Níveis de Serviço
1- Os SLAs estabelecidos e acordados necessitam revisão; 2- Existe carência de análises de relatórios de resultados;
3- Inexistência de indicadores em tempo real que possibilitem o acompanhamento dos serviços de TI.
Gestão de Capacidade
1- Controlam apenas servidores e balanceamento de energia;
2- A desativação de máquinas fica a cargo dos responsáveis pelo sistema.
Gestão de Fornecedores
1- Não participa da contratação de fornecedores;
2- Fragilidade no controle de licenças, a ferramenta responsável não é atualizada corretamente pelo financeiro;
3- Não existe controle da qualidade de entrega do fornecedor, impactando na falta de históricos para uma nova contratação.
Gestão de Mudanças
1- O planejamento da mudança fica a critério do analista de negócio, que realiza a abertura e é o responsável pelo preenchimento da classificação e cadastro do plano de implementação;
2- Não há participação de Gestores de áreas da TI nas reuniões de mudança, o que torna frágil as decisões;
3- Existe uma falha autorizando a mudança “acelerada”, quando o cliente tem urgência e não pode esperar a próxima reunião;
4- Não existe um gerente ou processo que garanta que a execução da mudança aprovada, tenha sido realizada, não é validado pós-implantação.
Resumo do Diagnóstico da Situação Atual:
Em resumo pode-se considerar os processos da gestão da TI formalizados, porém imaturos na execução. A TI não opera como Prestadora de Serviços para o Negócio e não há coparticipação formal das áreas de negócios nos processos decisórios. A deficiência na execução e controle da Gestão de Capacidade é grande e por fim os processos decisórios de mudanças não são seguidos corretamente.
8.2.4 Fase do Desenho da Solução
Após o estudo anterior dos processos de TI, foi possível sugerir recomendações com base nas melhores práticas ITIL v3, no intuito de elevar os processos ao 3º nível de maturidade, chamado de Definido, onde os processos são bem documentados e comunicados.
Em paralelo às observações de cada processo, faz necessário realizar também uma Revisão Geral dos Processos de TI, visando garantir que os papéis e responsabilidades estejam bem definidos, assegurando aderência com as políticas de TI.
Segue as recomendações resumidas de cada um dos processos:
Revisar o Catálogo de Serviços e o Nível de Serviço : Segmentá-los de maneira estratégica para suportar os negócios da empresa como prestadora de serviços;
Implantar a Gestão de Capacidade : Controlar e dimensionar os recursos existentes, possibilitando uma análise estatística de crescimento da Infra;
Aprimorar o processo de Gestão de Mudanças : Incluir maiores controles na implantação de projetos e demandas, reduzindo os riscos e custos associados;
Reestruturar o processo de Gestão de Fornecedores : Melhorar os controles, para manter uma gestão de riscos sobre os serviços prestados, bem como o gerenciamento da qualidade sobre as entregas.
Na tabela 4, estão relacionadas as principais recomendações de melhoria identificadas nos processos de TI, juntamente com os resultados esperados:
Tabela 4 – Recomendações X Resultados
Ciclo Processo Principais Recomendações Principais Resultados
Desenho de Serviço
Catálogo de serviços
* Realizar o catálogo atual do ponto de vista das áreas usuárias;
* Mapear serviços que ainda não estão presentes no catálogo (novos) e excluir os obsoletos.
* Alinhamento de expectativas no procedimento de execução com as áreas requisitantes.
Níveis de Serviço
* Revisar prazos do Acordo do Nível Operacional (OLA) e do Acordo do Nível de Serviço (SLA), fluxos e donos de processos, conforme necessidade de negócio, para incrementar a eficiência dos serviços.
* Assertividade de atendimento dos chamados, com o correto direcionamento e tempo de resolução acordado.
Gestão de Capacidade
* Desenvolver processo de previsão de capacidade, considerando as demandas e o crescimento vegetativo.
* Garantia de continuidade do negócio da empresa em situações de desastre localizado.
Gestão de Fornecedores
* Revisão da estratégia e política de contratação de novos fornecedores, incluindo o processo com papel decisório.
* Maior reaproveitamento de contratos e recursos já disponíveis para a organização.
Serviço Mudanças
mudanças, atribuindo
corresponsabilidade aos times de segurança e de implantação;
* Fortalecer o patrocínio às reuniões semanais, incluindo a participação dos gerentes de TI;
* Eliminar brechas de segurança no processo, como a execução de mudanças aceleradas;
* Introduzir restrições à execução de Mudanças Emergenciais.
mudanças;
* Maior ciência e participação da TI sobre as mudanças a serem implementadas;
* Redução de esforço dedicado às implantações de mudanças aceleradas.
8.2.5 Fase dos Planos de ação
Foi elaborado projetos detalhando as ações necessárias para melhorias nos pontos priorizados neste artigo, evidenciados nas tabelas, 5, 6, 7, 8 e 9:
Tabela 5 – Plano de Ação: Revisão Geral dos Processos de TI
Iniciativa 1: Revisão Geral dos Processos de TI
Objetivo: Revisar os papéis e as responsabilidades dos processos, prover e coordenar um framework e assegurar consistência com as políticas de TI.
Priorização: Alta Impactos: TI interna
Benefícios Qualitativos:
* Definir clara e formalmente papéis e responsabilidades para os processos. * Definir clara e formalmente procedimentos formais para as áreas estratégicas à gestão da área de TI. * Criar um processo racional de avaliação de procedimentos-chave na área de TI, permitindo a criação de um ciclo de avaliação.
Permitir a implementação de medidas de performance que ajudem na gestão do processo.
Atividades: * Revisar os processos de TI.
* Definir a missão de cada um destes processos. * Definir as políticas dos processos.
* Definir pontos de controle. * Definir indicadores. * Desenhar os artefatos.
* Definir os Papéis e Responsabilidades.
* Elaborar o Plano de implantação e gestão da mudança.
Benefícios Quantitativos:
* N/A
Tabela 6 – Plano de Ação: Catálogo e Nível de Serviço
Iniciativa 2: Revisar o Catálogo de Serviços e os Níveis de Serviços
Objetivo: Elaboração do Catálogo de Serviços com os principais grandes grupos de serviços oferecidos pela TI. Priorização: Média Impactos: TI interna; Back Office e Front Office
Benefícios Qualitativos:
* Maior controle e visualização dos serviços prestados pela TI.
* Melhoria na qualidade dos serviços prestados com a simplificação de abertura de um novo chamado com o uso de categorias bem definidas. * Aumento da assertividade de atendimento dos chamados, com direcionamento para a equipe correta e no prazo estabelecido para a sua resolução.
* Alinhamento de expectativas no procedimento de execução com as áreas requisitantes.
Atividades: * Mapear o catálogo de serviços existentes e avaliar se contém todos os serviços prestados pela TI. * Mapear serviços que ainda não estão presentes no catálogo (novos) e excluir serviços desnecessários (Obsoletos).
* Separar os serviços de TI de forma estratégica, classificando-os em 4 grandes grupos, (Demandas; Projetos; Gestão de Mudanças; Gestão da Configuração).
* Inserir controles necessários para a gestão do catálogo se serviços (inclusão e exclusão de serviços).
* Realizar revisões no catálogo de serviços periodicamente.
* Analisar base histórica de chamados e revisar categorias e suas classificações.
* Revisar prazos de OLA e SLA para incrementar a eficiência dos serviços.
* Revisar indicadores e suas metas de desempenho. * Medir periodicamente o nível de serviço da TI e realizar ajustes caso necessário.
Benefícios
Quantitativos: * Possibilidade de redução e/ouotimização de esforço de atendimento a chamados após reestruturação do catálogo.
Tabela 7 – Plano de Ação: Gerenciamento da Capacidade
Iniciativa 3: Implantar o processo de Gestão da Capacidade
Objetivo: Implantar o processo efetivo de gestão da capacidade com a introdução de procedimentos e controles para futura implantação de ferramentas e automatização do processo.
Prazo previsto: 3 meses FTE: 2
Priorização: Média Impactos: TI interna, Back Office e Front Office Benefícios
Qualitativos: * Aumento de eficiência e redução decustos na utilização de recursos da TI. * Disponibilização imediata de recursos para projetos que tiveram sua capacidade planejada previamente.
Atividades: * Mapear recursos da organização a serem monitorados pela Gestão de Capacidade.
* Definir thresholds de monitoração de capacidade. * Rever processo de previsão de capacidade, baseado no crescimento vegetativo.
* Revisar procedimentos de ativação, desativação e reaproveitamento de recursos.
Benefícios Quantitativos:
* Possibilidade da redução de custos nos recursos de infra utilizados para venda com o aumento à visibilidade de recursos disponíveis.
Tabela 8 – Plano de Ação: Gerenciamento de Mudanças
Iniciativa 4: Aprimorar a Gestão de Mudanças
Objetivo: Revisão dos processos de planejamento, avaliação, julgamento e validações das mudanças. Priorização: Alta Impactos: TI interna; Back Office e Front Office
Benefícios Qualitativos:
* Aumento do cumprimento dos prazos e determinações da TI para execução de uma demanda.
* Redução de erros de execução das mudanças.
* Maior ciência e participação da TI sobre as mudanças a serem implementadas.
Atividades: * Revisar histórico de mudanças para mapeamento de gaps e erros recorrentes.
* Revisar processo de planejamento de mudanças, introduzindo controles que auxiliem na eficácia. * Revisar processo de avaliação de mudanças, atribuindo corresponsabilidade aos times de segurança e implantação.
* Implementar comitê operacional pré-reunião destinado à revisão do plano de implantação das mudanças.
* Fortalecer a importância da reunião semanal, incluindo a participação os gerentes de TI.
* Introduzir restrições a execução de mudanças emergenciais.
Benefícios
Quantitativos: * Redução de esforço dedicado àsimplantações de mudanças aceleradas.
Tabela 9 – Plano de Ação: Gerenciamento de Fornecedores
Iniciativa 5: Reestruturar a Gestão de Fornecedores
Objetivo: Reestruturação das políticas e dos procedimentos da gestão de fornecedores.
Priorização: Média Impactos: TI interna, Back Office e Front Office Benefícios
Qualitativos:
* Melhoria na qualidade dos serviços prestados por fornecedores.
* Maior reaproveitamento de contratos e recursos atuais já disponíveis para a organização.
Atividades: * Mapear e categorizar o atual quadro de fornecedores.
* Revisar a estratégia e a política de contratação de novos fornecedores.
* Revisar os métodos de avaliação de desempenho dos serviços prestados por fornecedores.
* Incluir a Governança com papel decisório na contratação de novos fornecedores.
* Selecionar indicadores de desempenho para realizar a avaliação dos fornecedores.
* Acompanhar periodicamente os indicadores de desempenho de fornecedores.
Benefícios Quantitativos:
* Possibilidade de aumento na margem de lucro de novos contratos, usando como base de negociação o histórico de serviços, o desempenho dos fornecedores e a otimização de contratos.
Riscos Identificados
Os riscos associados aos projetos sugeridos devem ser mapeados e seus respectivos controles identificados para adequado acompanhamento e análise de impacto ao longo da execução do Portfólio de Projetos.
Com o intuito de apoiar na gestão de riscos apresentado neste artigo, foram relacionados alguns riscos identificados na fase de Diagnóstico, ilustrados na figura 5:
Catálogo e Nível de Serviço Gestão de Capacidade Gestão de Mudanças Gestão de Fornecedores
Não há visibilidade sobre os serviços firmados em contrato com clientes (baixa qualidade dos serviços prestados);
Baixo nível de maturidade dos processos; Complexidade na gestão do ambiente de TI;
Risco de perda financeira e impacto na imagem da Empresa; Baixa confiabilidade nos dados.
Figura 5 – Riscos Identificados
Nesse cenário, foi recomendado que indicadores sejam estruturados para representar os riscos previstos, novos riscos, bem como aqueles que já foram mitigados ou realizados na fase inicial deste projeto.
Plano de Comunicação
Com objetivo de definir a periodicidade de reuniões e apresentações durante a execução do plano, mantendo a equipe executora e os stakeholders alinhados sobre as evoluções e o acompanhamento dos entregáveis, foi recomendada a estruturação de reuniões e entregas com os elementos distribuídos na tabela 10:
Tabela 10 – Plano de Comunicação
Status Report: Comitê Executivo:
Apresentar semanalmente a evolução das atividades de cada frente/projeto com suas pendências e reprogramações.
Posicionar quinzenalmente a alta gestão da organização quanto à evolução dos projetos e dos riscos envolvidos.
Atividade Detalhamento Atividade Detalhamento Levantamento
das informações
Por telefone, e-mail, reunião e/ou presencial.
Público envolvido: Gerentes, supervisores e analistas de TI.
Levantamento das informações
Por telefone, e-mail, reunião e/ou presencial.
Público envolvido: Gerentes, supervisores e analistas de TI. Divulgação e
Validação do material
Por telefone, e-mail, reunião e/ou presencial.
Público envolvido: Time do Projeto e Gerencia de TI.
Apresentação do material
Reunião Presencial.
Público envolvido: Presidente, diretores e Gerentes de TI
Divulgação status report final
Divulgação do material: Após reunião de status report.
Público envolvido: Time do projeto e Gerência de TI.
Divulgação do material
Por e-mail.
Público envolvido: Presidente, diretores e Gerentes de TI.
9. CONCLUSÃO
Um dos fatores motivacionais deste artigo, foi a possibilidade de apresentar um método de auditoria com propósito de adequar os processos de TI a um nível de maturidade maior e alinhar melhor as expectativas das áreas de negócios com a área de TI.
Este método apresentou um estudo de caso, dentro de uma grande organização, onde houveram levantamentos e análises, que possibilitaram encontrar o nível de maturidade dos processos de TI, além de trazer uma percepção das áreas de negócio, onde foi apontado à alta gestão, métodos e ações para implementar as prioridades.
Com estas análises, foram obtidos resultados que puderam mostrar uma percepção evidente da importância de realizar auditorias nos processos de TI e foram apontados um rico conjunto de ações, reflexões e revisões que resultará no amadurecimento da TI e da própria organização. Significativas oportunidades de melhorias foram sugeridas, destacando riscos associados à continuidade dos negócios e ao não atendimento às expectativas da organização diante suas necessidades.
Em comparação as melhores práticas do ITIL v3, foi possível concluir a avaliação de cada um dos processos de TI abordados neste artigo, apontando o cenário atual e desejado, os ofensores e os planos de ações para adequação, com suas respectivas atividades e benefícios. Além disso, foi possível notar uma percepção negativa que as áreas de negócios da organização têm em relação a área de TI,
insatisfeitos principalmente pela falta de procedimentos e com as entregas sem qualidade e fora do prazo.
Recomenda-se a organização utilize este material como ponto de partida para evolução dos níveis de maturidade dos serviços de TI, concluindo todas as ações sugeridas, no intuito de minimizar os impactos para o negócio.
Outro ponto, é que a TI tenha uma integração maior com as áreas de negócio dentro da organização, com objetivo de entender as necessidades de cada uma delas e buscar obter maior eficiência operacional e redução de custo de manutenção e operação dos processos, pois, ficou clara a incerteza quanto à capacidade da TI na gestão e na entrega dos serviços.
É importante observar que a execução destas ações depende da sua aderência e comprometimento pela alta gestão, dos gestores de TI e de seus analistas, pois, esta aplicabilidade pode impactar vários itens que vão desde modificações dos procedimentos, controles e acompanhamento dos processos de TI, até um possível abalo na estrutura e na cultura organizacional da empresa.
Por fim, observa-se que estas ações devem ser continuamente atualizadas e monitoradas durante sua execução e que depois de simplificado os conceitos e métodos, neste artigo este assunto requer análise cautelosa antes de qualquer prática.
10. REFERÊNCIAS
CMMI, 2006 – “Capability Maturity Model Integration”. Version 1.2. Carnegie Mellon: Software Engineering Institute.
DOROW, Emerson; - www.governançadeti.com – Publicado: Outubro de 2010 Disponível em < http://www.governancadeti.com/2010/10/itil-o-que-muda-entre-a-versao-2-e-3/>. Acesso em 07/11/2015 às 18:00hs.
_________IBGC - “Instituto Brasileiro de Governança Corporativa”. Disponível em: <http://www.ibgc.org.br/inter.php?id=18161>.
Acesso em 08/11/2015 às 22:00hs
_________ISACA, 2006 - Board Briefing on IT Governance - 2ª Edição IT
Governance Institute. Disponível em:
<https://www.isaca.org/restricted/Documents/26904_Board_Briefing_final.pdf>. Acesso em 08/11/2015 às 23:00hs.
_________ISO, 2015 – www.iso.org – Publicado 2011 – Disponível em: <https://www.iso.org/obp/ui/#iso:std:iso-iec:20000:-1:ed-2:v1:en>. Acesso em 15/11/2015 às 16:00hs.
_________ITSMF BRASIL, 2007. Disponível em: <http://www.itsmf.com.br/portal/>. Acesso em: 29/10/2015 às 19:00hs.
MILLS, A. C A auditoria da qualidade: uma ferramenta para avaliação constante e sistemática da manutenção da qualidade.
OFFICE, CABINET; Itil Service Design.
Editora: TSO, 2012 – Coleção: ITIL Lifecycle Suite OFFICE, CABINET; Itil Service Transition.
Editora: TSO, 2012 – Coleção: ITIL Lifecycle Suite OGC, TSO 2007; - www.itil-officialsite.com,
Disponível em: <http://posi.ist.utl.pt/cepei/ITIL%20-%20OSA.htm>. Acesso em: 05/11/2015 às 20:00hs
WEILL, Peter; ROSS, Jeanne. Governança de Tecnologia da Informação. Editora Makron Books, 2005.
