Como as Boas Práticas de Gestão de Serviços de TI podem ajudar na avaliação de Compliance em Organizações não TI

(1)

9º Encontro do GAIP

Grupo dos Auditores Internos do Paraná

Como as Boas Práticas de Gestão

de Serviços de TI podem ajudar

na avaliação de Compliance em

Organizações não TI

Luciano Johnson, CISM, CRISC

(2)

Agenda

Conformidade / Compliance

A Gestão de Serviços de TI

CSC – Centro de Serviços Compartilhados

Aplicando a visão de Gestão de Serviços

(3)

GAIP

Grupo dos Auditores Internos do Paraná

ISO27000

Grupo de Segurança da Informação

Aviso Importante!!!

A Gestão de Serviços de TI (ITSM) deriva diretamente da

visão administrativa de organização. Durante esta

apresentação é possível, viável e recomendável fazer

uma extrapolação do conceito, então propomos:

ITSM

Todas as oportunidades podem e devem ser

vislumbradas dentro do contexto de toda organização e

não apenas no contexto de TI.

X

(4)

Conformidade / Compliance

• Conformidade

é a condição de alguém ou grupo de

pessoas, de alguma coisa ou um ser, ou de um

conjunto deles, estar conforme com o pretendido ou

(5)

GAIP

ISO27000

Conformidade / Compliance

• Nos Sistemas da Qualidade, a

conformidade

se traduz

pelo atendimento às

especificações do produto ou

processo

, avaliada por meio de

medições, testes ou

auditorias

.

(6)

Conformidade / Compliance

• A conformidade dentro das organizações está baseada

principalmente em 4 pilares

Conformidade

R

eg

ula

tóri

o

Leg

al

Técnic

o

In

terno

Empresa / Organização

(7)

GAIP

Grupo dos Auditores Internos do Paraná ISO27000 Grupo de Segurança da Informação

Conformidade / Compliance

– Requisitos Regulatórios

7

(8)

Conformidade / Compliance

(9)

GAIP

Conformidade / Compliance

– Requisitos Técnicos:

9

(10)

Conformidade / Compliance

– Requisitos Internos:

• Políticas Corporativas

• Normas Internas

• Processos Internos

• Procedimentos Operacionais

(11)

GAIP

ISO27000

Conformidade / Compliance

• Até onde a conformidade faz bem para o negócio da

organização?

– E o time-to-market ...

– E a flexibilidade de negociação ...

– E a burocracia ...

– E a resiliência ...

– E a capacidade de reação ...

– E o custo/benefício ...

11

(12)

Conformidade / Compliance

A conformidade* é o

carcereiro da liberdade e o

inimigo do crescimento!

John F. Kennedy

*conformity = conformismo

(13)

GAIP

ISO27000

A Gestão de Serviços de TI

Por que usar boas práticas de Gestão de Serviços de TI?

• Pesquisas do Gartner indicam que

85%

das operações

de negócio são

dependentes

dos serviços de TI das

organizações.

• Como estas operações seriam sem os Serviços de TI?

(14)

A Gestão de Serviços de TI

O que são boas práticas?

• Busca pela eficiência e

competitividade

• Inovações que se transformam

em melhores práticas

• Compartilhamento destas

práticas: uso comum

• Práticas que se tornam padrões

e normas

Inovações de

Sucesso

Melhores

Práticas

Uso Comum

Padrões/Normas

(15)

GAIP

ISO27000

Operação de Negócio x Serviços de TI

15

Capacidade

da TI

Demanda

do Negócio

Entrega de Valor

Qualidade

Menos Custos

Mais Serviços

Agilidade

Turn Over

Falhas

Tecnologias

Fornecedores

Infraestrutura

A Gestão de Serviços de TI

(16)

A Gestão de Serviços de TI

Como o ITIL pode ajudar no ITSM?

• O Gerenciamento de Serviços é um

conjunto

especializado de habilidades

organizacionais para

fornecer valor para o cliente em forma de serviços.

• Estas habilidades tomam a forma de

um conjunto de

funções e processos

para gerenciar os serviços

durante o seu ciclo de vida.

(17)

GAIP

ISO27000

A implantação do gerenciamento de serviços de TI ajudará

a preparar e planejar o uso eficiente e eficaz dos 4P´s:

17

• Definir papéis nos processos e funções dentro da TI

Pessoas

• Definir e coordenar atividades para entregar o serviço de TI

Processos

• Necessidade de fornecedores externos para entrega de serviços

Parceiros

• Uso de tecnologia alinhada com os requisitos de negócio

Produtos

(18)

• Provedor de Serviço: é uma

organização que fornece serviços

para um ou mais clientes.

• Cliente: alguém que compra bens ou

serviços.

• Negócio: O Provedor de Serviços de

TI fornece serviços para um cliente

que está dentro do Negócio.

Provedor de

Serviços

Serviços de TI

Cliente / Negócio

(19)

GAIP

Grupo dos Auditores Internos do Paraná ISO27000 Grupo de Segurança da Informação 19

Provedor de Serviços

Provedor

Externo

Provedor

Interno

Provedor

Interno

Provedor

Interno

Provedor

Interno

Provedor

Externo

Provedor

Interno

Cliente

Catálogo de Serviços

A Gestão de Serviços de TI

(20)

Onde os processos ITIL podem nos levar!

A Gestão de Serviços de TI

(21)

GAIP

ISO27000

Valor do Serviço

• O valor de um serviço pode ser algo subjetivo.

• O valor é determinado pela

percepção

do cliente, sua

preferência

e

resultados

no negócio.

o

A percepção do cliente é influenciada por:

 experiência anterior

 comparação com concorrentes

 a imagem em si

o Os clientes também tem suas preferências.

o Os resultados no negócio também orientam a perspectiva

de valor.

21

(22)

Características dos Processos

• (para que fazemos isto?)

Resultados específicos

• (para quem fazemos isto?)

Orientado ao cliente

• (como vamos controlar as metas?)

Mensurável

• (o que inicia isto?)

Responde a eventos específicos

(23)

GAIP

Medição e Controle

23

Você não pode gerenciar o que você não

pode controlar!

Você não pode controlar o que você não

pode medir!

Você não pode medir o que você não pode

definir!

(24)

CSC – Centro de Serviços Compartilhados

Serviços Compartilhados (Shared Services)

• Têm orientado a reestruturação de grandes empresas no Brasil e

no mundo na busca de um melhor desempenho da estrutura

organizacional através da criação de estruturas organizacionais

de alto desempenho.

• Como principal característica: Provedor de Serviços Internos.

• Principais áreas participantes do CSC:

– TI, Finanças, Controladoria, Compliance e Auditoria;

– Qualidade, Projetos, Jurídico, Assuntos Estratégicos;

– Infraestrutura e RH.

(25)

GAIP

ISO27000

Tipos de Provedores de Serviços

Tipo I

Provedor de Serviço Interno

PS = Provedor de Serviços

Tipo II

Unidade de Serviço

Compartilhada

Tipo III

Provedor de Serviço Externo

empresa unidade B unidade A unidade C empresa Serviços Compartilhado s unidade A unidade C empresa unidade B unidade A PS PS PS RH TI COMPRAS RH TI COMPRAS

Catálogo

de

Serviços

Fornecedores

CSC – Centro de Serviços Compartilhados

(26)

Aplicando a visão de Gestão de Serviços

• Definindo e/ou seguindo

padrões

estabelecidos;

• Buscando melhorar a maturidade dos

processos

organizacionais;

• Implantando sistemas de

melhoria

baseados no STP

(Sistema Toyota de Produção), entre eles:

– Kaizen

– Lean Six Sigma

– PDCA

– SDCA

Baseados em

Padrões e

Processos

(27)

GAIP

ISO27000

Aplicando a visão de Gestão de Serviços

Operação de

Serviço

Transição

de Serviço

Desenho de

Serviço

Estratégia

de Serviço

Porque precisamos controlar o

ambiente de operação (ongoing)

(28)

Operação de

Serviço

Transição

de Serviço

Desenho de

Serviço

Estratégia

de Serviço

Porque precisamos controlar as

mudanças e a gestão de conhecimento

para suportar o ambiente de operação

Aplicando a visão de Gestão de Serviços

(29)

GAIP

Operação de

Serviço

Transição

de Serviço

Desenho de

Serviço

Estratégia

de Serviço

Porque precisamos definir como será o

futuro ambiente de operação e como

os serviços devem se comportar

Aplicando a visão de Gestão de Serviços

(30)

Operação de

Serviço

Transição

de Serviço

Desenho de

Serviço

Estratégia

de Serviço

Porque precisamos entender como o

negócio é e será suportado pelo

ambiente de operação

(31)

GAIP

ISO27000

Aplicando a visão de Gestão de Serviços

Operação de Serviço

• Gestão de Incidentes

– Service Desk

– Níveis de Atendimento (SLA)

– Critérios de Categorização e Escalonamento.

– Formalização dos Incidentes e Tratamento

(32)

Aplicando a visão de Gestão de Serviços

Operação de Serviço

• Gestão de Eventos

– Processo de Monitoração

– Critérios e Fluxos de Alertas

– Pro-atividade x Reatividade

(33)

GAIP

ISO27000

Aplicando a visão de Gestão de Serviços

Transição de Serviço

• Gestão de Mudanças

– Fluxo de Mudanças

– Critérios de Mudanças Emergenciais

– Limites de Aprovação de Mudanças

– Segregação de Funções

(34)

Aplicando a visão de Gestão de Serviços

Transição de Serviço

• Gestão da Configuração e Ativos

– Elaboração da Linha Base de Controle

– Alteração da Linha Base mediante Gestão de Mudanças

– Definição de propriedade de ativos

– Controle dos Ativos (idade, legado, manutenção)

– Suporte direto a operação (Gestão de Incidentes)

(35)

GAIP

ISO27000

Aplicando a visão de Gestão de Serviços

Transição de Serviço

• Gestão de Conhecimento

– Instruções de trabalho

– Procedimentos

– Processos desenhados e medidos

– Visão clara e atualizada de como funciona a operação

Sabedoria

Conhecimento

Informação

Dados

(36)

Aplicando a visão de Gestão de Serviços

Desenho de Serviço

• Gestão do Nível de Serviço

– Definição do Acordo formal de Nível de Serviço (SLA+)

– Critérios de Monitoração e Medição

(37)

GAIP

ISO27000

Aplicando a visão de Gestão de Serviços

Desenho de Serviço

• Gestão da Capacidade

– Assegurar que existe capacidade para entrega de serviço

– Critérios de priorização dos serviços

– Entendimento do PAN (Padrão de Atividade do Negócio)

– Critérios de Monitoração e Medição

(38)

Aplicando a visão de Gestão de Serviços

Desenho de Serviço

• Gestão da Continuidade de Serviço

– Definir os serviços da organização (Catálogo de Serviço)

– Entender como são fornecidos estes serviços (Configuração)

– Identificação de riscos na oferta de Serviços?

(39)

GAIP

ISO27000

Aplicando a visão de Gestão de Serviços

Desenho de Serviço

• Gestão de Fornecedor

– Definição clara dos serviços contratados

– Procedimentos e critérios de medição de desempenho

– Relatórios e Análises de desempenho

– Banco de dados de fornecedores

(40)

Aplicando a visão de Gestão de Serviços

Estratégia de Serviço

• Gestão de Demanda

– Processo de identificação e gestão

– PAN (Padrão de Atividade de Negócio)

– Alinhamento com a Capacidade

(41)

GAIP

ISO27000

Aplicando a visão de Gestão de Serviços

Estratégia de Serviço

• Gestão Financeira

– Entendimento claro do custo do serviços

– Planos de otimização do custo

– Critérios de Monitoração e Medição

(42)

1º Exemplo / Caso

Transporte Coletivo

• Serviços: linhas de ônibus

• Gestão Financeira

• Gestão de Capacidade e Demanda (usuários x ônibus)

• Gestão de Fornecedores (ônibus, combustível)

• Gestão do Nível de Serviço

• Gestão de Mudanças (motoristas, ônibus)

• Gestão de Eventos (gps, previsão de chegada)

Provedor de Serviços Provedor Interno Provedor Interno Provedor Interno Provedor Interno Provedor Externo Provedor Interno Cliente Catálogo de Serviços