9º Encontro do GAIP
Grupo dos Auditores Internos do Paraná
Como as Boas Práticas de Gestão
de Serviços de TI podem ajudar
na avaliação de Compliance em
Organizações não TI
Luciano Johnson, CISM, CRISC
Agenda
Conformidade / Compliance
A Gestão de Serviços de TI
CSC – Centro de Serviços Compartilhados
Aplicando a visão de Gestão de Serviços
GAIP
Grupo dos Auditores Internos do Paraná
ISO27000
Grupo de Segurança da Informação
Aviso Importante!!!
A Gestão de Serviços de TI (ITSM) deriva diretamente da
visão administrativa de organização. Durante esta
apresentação é possível, viável e recomendável fazer
uma extrapolação do conceito, então propomos:
ITSM
Todas as oportunidades podem e devem ser
vislumbradas dentro do contexto de toda organização e
não apenas no contexto de TI.
X
Conformidade / Compliance
• Conformidade
é a condição de alguém ou grupo de
pessoas, de alguma coisa ou um ser, ou de um
conjunto deles, estar conforme com o pretendido ou
GAIP
Grupo dos Auditores Internos do Paraná
ISO27000
Grupo de Segurança da Informação
Conformidade / Compliance
• Nos Sistemas da Qualidade, a
conformidade
se traduz
pelo atendimento às
especificações do produto ou
processo
, avaliada por meio de
medições, testes ou
auditorias
.
Conformidade / Compliance
• A conformidade dentro das organizações está baseada
principalmente em 4 pilares
Conformidade
R
eg
ula
tóri
o
Leg
al
Técnic
o
In
terno
Empresa / Organização
GAIP
Grupo dos Auditores Internos do Paraná ISO27000 Grupo de Segurança da Informação
Conformidade / Compliance
– Requisitos Regulatórios
7Conformidade / Compliance
GAIP
Grupo dos Auditores Internos do Paraná ISO27000 Grupo de Segurança da Informação
Conformidade / Compliance
– Requisitos Técnicos:
9Conformidade / Compliance
– Requisitos Internos:
• Políticas Corporativas
• Normas Internas
• Processos Internos
• Procedimentos Operacionais
GAIP
Grupo dos Auditores Internos do Paraná
ISO27000
Grupo de Segurança da Informação
Conformidade / Compliance
• Até onde a conformidade faz bem para o negócio da
organização?
– E o time-to-market ...
– E a flexibilidade de negociação ...
– E a burocracia ...
– E a resiliência ...
– E a capacidade de reação ...
– E o custo/benefício ...
11Conformidade / Compliance
A conformidade* é o
carcereiro da liberdade e o
inimigo do crescimento!
John F. Kennedy
*conformity = conformismo
GAIP
Grupo dos Auditores Internos do Paraná
ISO27000
Grupo de Segurança da Informação
A Gestão de Serviços de TI
Por que usar boas práticas de Gestão de Serviços de TI?
• Pesquisas do Gartner indicam que
85%
das operações
de negócio são
dependentes
dos serviços de TI das
organizações.
• Como estas operações seriam sem os Serviços de TI?
A Gestão de Serviços de TI
O que são boas práticas?
• Busca pela eficiência e
competitividade
• Inovações que se transformam
em melhores práticas
• Compartilhamento destas
práticas: uso comum
• Práticas que se tornam padrões
e normas
Inovações de
Sucesso
Melhores
Práticas
Uso Comum
Padrões/Normas
GAIP
Grupo dos Auditores Internos do Paraná
ISO27000
Grupo de Segurança da Informação
Operação de Negócio x Serviços de TI
15
Capacidade
da TI
Demanda
do Negócio
Entrega de Valor
Qualidade
Menos Custos
Mais Serviços
Agilidade
Turn Over
Falhas
Tecnologias
Fornecedores
Infraestrutura
A Gestão de Serviços de TI
A Gestão de Serviços de TI
Como o ITIL pode ajudar no ITSM?
• O Gerenciamento de Serviços é um
conjunto
especializado de habilidades
organizacionais para
fornecer valor para o cliente em forma de serviços.
• Estas habilidades tomam a forma de
um conjunto de
funções e processos
para gerenciar os serviços
durante o seu ciclo de vida.
GAIP
Grupo dos Auditores Internos do Paraná
ISO27000
Grupo de Segurança da Informação
A implantação do gerenciamento de serviços de TI ajudará
a preparar e planejar o uso eficiente e eficaz dos 4P´s:
17
• Definir papéis nos processos e funções dentro da TI
Pessoas
• Definir e coordenar atividades para entregar o serviço de TI
Processos
• Necessidade de fornecedores externos para entrega de serviços
Parceiros
• Uso de tecnologia alinhada com os requisitos de negócio
Produtos
• Provedor de Serviço: é uma
organização que fornece serviços
para um ou mais clientes.
• Cliente: alguém que compra bens ou
serviços.
• Negócio: O Provedor de Serviços de
TI fornece serviços para um cliente
que está dentro do Negócio.
Provedor de
Serviços
Serviços de TI
Cliente / Negócio
GAIP
Grupo dos Auditores Internos do Paraná ISO27000 Grupo de Segurança da Informação 19
Provedor de Serviços
Provedor
Externo
Provedor
Interno
Provedor
Interno
Provedor
Interno
Provedor
Interno
Provedor
Externo
Provedor
Interno
Cliente
Catálogo de ServiçosA Gestão de Serviços de TI
Onde os processos ITIL podem nos levar!
A Gestão de Serviços de TI
GAIP
Grupo dos Auditores Internos do Paraná
ISO27000
Grupo de Segurança da Informação
Valor do Serviço
• O valor de um serviço pode ser algo subjetivo.
• O valor é determinado pela
percepção
do cliente, sua
preferência
e
resultados
no negócio.
o
A percepção do cliente é influenciada por:
experiência anterior
comparação com concorrentes
a imagem em si
o Os clientes também tem suas preferências.
o Os resultados no negócio também orientam a perspectiva
de valor.
21
Características dos Processos
• (para que fazemos isto?)
Resultados específicos
• (para quem fazemos isto?)
Orientado ao cliente
• (como vamos controlar as metas?)
Mensurável
• (o que inicia isto?)
Responde a eventos específicos
GAIP
Grupo dos Auditores Internos do Paraná ISO27000 Grupo de Segurança da Informação
Medição e Controle
23Você não pode gerenciar o que você não
pode controlar!
Você não pode controlar o que você não
pode medir!
Você não pode medir o que você não pode
definir!
CSC – Centro de Serviços Compartilhados
Serviços Compartilhados (Shared Services)
• Têm orientado a reestruturação de grandes empresas no Brasil e
no mundo na busca de um melhor desempenho da estrutura
organizacional através da criação de estruturas organizacionais
de alto desempenho.
• Como principal característica: Provedor de Serviços Internos.
• Principais áreas participantes do CSC:
– TI, Finanças, Controladoria, Compliance e Auditoria;
– Qualidade, Projetos, Jurídico, Assuntos Estratégicos;
– Infraestrutura e RH.
GAIP
Grupo dos Auditores Internos do Paraná
ISO27000
Grupo de Segurança da Informação
Tipos de Provedores de Serviços
Tipo I
Provedor de Serviço Interno
PS = Provedor de Serviços
Tipo II
Unidade de Serviço
Compartilhada
Tipo III
Provedor de Serviço Externo
empresa unidade B unidade A unidade C empresa Serviços Compartilhado s unidade A unidade C empresa unidade B unidade A PS PS PS RH TI COMPRAS RH TI COMPRAS
Catálogo
de
Serviços
FornecedoresCSC – Centro de Serviços Compartilhados
Aplicando a visão de Gestão de Serviços
• Definindo e/ou seguindo
padrões
estabelecidos;
• Buscando melhorar a maturidade dos
processos
organizacionais;
• Implantando sistemas de
melhoria
baseados no STP
(Sistema Toyota de Produção), entre eles:
– Kaizen
– Lean Six Sigma
– PDCA
– SDCA
Baseados em
Padrões e
Processos
GAIP
Grupo dos Auditores Internos do Paraná
ISO27000
Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Operação de
Serviço
Transição
de Serviço
Desenho de
Serviço
Estratégia
de Serviço
Porque precisamos controlar o
ambiente de operação (ongoing)
Operação de
Serviço
Transição
de Serviço
Desenho de
Serviço
Estratégia
de Serviço
Porque precisamos controlar as
mudanças e a gestão de conhecimento
para suportar o ambiente de operação
Aplicando a visão de Gestão de Serviços
GAIP
Grupo dos Auditores Internos do Paraná ISO27000 Grupo de Segurança da Informação
Operação de
Serviço
Transição
de Serviço
Desenho de
Serviço
Estratégia
de Serviço
Porque precisamos definir como será o
futuro ambiente de operação e como
os serviços devem se comportar
Aplicando a visão de Gestão de Serviços
Operação de
Serviço
Transição
de Serviço
Desenho de
Serviço
Estratégia
de Serviço
Porque precisamos entender como o
negócio é e será suportado pelo
ambiente de operação
GAIP
Grupo dos Auditores Internos do Paraná
ISO27000
Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Operação de Serviço
• Gestão de Incidentes
– Service Desk
– Níveis de Atendimento (SLA)
– Critérios de Categorização e Escalonamento.
– Formalização dos Incidentes e Tratamento
Aplicando a visão de Gestão de Serviços
Operação de Serviço
• Gestão de Eventos
– Processo de Monitoração
– Critérios e Fluxos de Alertas
– Pro-atividade x Reatividade
GAIP
Grupo dos Auditores Internos do Paraná
ISO27000
Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Transição de Serviço
• Gestão de Mudanças
– Fluxo de Mudanças
– Critérios de Mudanças Emergenciais
– Limites de Aprovação de Mudanças
– Segregação de Funções
Aplicando a visão de Gestão de Serviços
Transição de Serviço
• Gestão da Configuração e Ativos
– Elaboração da Linha Base de Controle
– Alteração da Linha Base mediante Gestão de Mudanças
– Definição de propriedade de ativos
– Controle dos Ativos (idade, legado, manutenção)
– Suporte direto a operação (Gestão de Incidentes)
GAIP
Grupo dos Auditores Internos do Paraná
ISO27000
Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Transição de Serviço
• Gestão de Conhecimento
– Instruções de trabalho
– Procedimentos
– Processos desenhados e medidos
– Visão clara e atualizada de como funciona a operação
Sabedoria
Conhecimento
Informação
Dados
Aplicando a visão de Gestão de Serviços
Desenho de Serviço
• Gestão do Nível de Serviço
– Definição do Acordo formal de Nível de Serviço (SLA+)
– Critérios de Monitoração e Medição
GAIP
Grupo dos Auditores Internos do Paraná
ISO27000
Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Desenho de Serviço
• Gestão da Capacidade
– Assegurar que existe capacidade para entrega de serviço
– Critérios de priorização dos serviços
– Entendimento do PAN (Padrão de Atividade do Negócio)
– Critérios de Monitoração e Medição
Aplicando a visão de Gestão de Serviços
Desenho de Serviço
• Gestão da Continuidade de Serviço
– Definir os serviços da organização (Catálogo de Serviço)
– Entender como são fornecidos estes serviços (Configuração)
– Identificação de riscos na oferta de Serviços?
GAIP
Grupo dos Auditores Internos do Paraná
ISO27000
Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Desenho de Serviço
• Gestão de Fornecedor
– Definição clara dos serviços contratados
– Procedimentos e critérios de medição de desempenho
– Relatórios e Análises de desempenho
– Banco de dados de fornecedores
Aplicando a visão de Gestão de Serviços
Estratégia de Serviço
• Gestão de Demanda
– Processo de identificação e gestão
– PAN (Padrão de Atividade de Negócio)
– Alinhamento com a Capacidade
GAIP
Grupo dos Auditores Internos do Paraná
ISO27000
Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Estratégia de Serviço
• Gestão Financeira
– Entendimento claro do custo do serviços
– Planos de otimização do custo
– Critérios de Monitoração e Medição
1º Exemplo / Caso
Transporte Coletivo
• Serviços: linhas de ônibus
• Gestão Financeira
• Gestão de Capacidade e Demanda (usuários x ônibus)
• Gestão de Fornecedores (ônibus, combustível)
• Gestão do Nível de Serviço
• Gestão de Mudanças (motoristas, ônibus)
• Gestão de Eventos (gps, previsão de chegada)
Provedor de Serviços Provedor Interno Provedor Interno Provedor Interno Provedor Interno Provedor Externo Provedor Interno Cliente Catálogo de ServiçosGAIP
Grupo dos Auditores Internos do Paraná ISO27000 Grupo de Segurança da Informação
2º Exemplo / Caso
Provedor de Serviços Provedor Interno Provedor Interno Provedor Interno Provedor Interno Provedor Externo Provedor Interno Cliente Catálogo de ServiçosRecursos Humanos
• Serviços: R&S, Treinamento,
• Gestão Financeira
• Gestão de Capacidade e Demanda
• Gestão de Fornecedores (empresas de consultoria)
• Gestão do Nível de Serviço (metas, turn-over)
• Gestão de Eventos (desempenho, frequência)
3º Exemplo / Caso
Provedor de Serviços Provedor Interno Provedor Interno Provedor Interno Provedor Interno Provedor Externo Provedor Interno Cliente Catálogo de ServiçosOperador Logístico
• Serviços: Armazenagem, Transporte
• Gestão Financeira
• Gestão de Capacidade e Demanda
• Gestão de Fornecedores (empresas de transporte)
• Gestão do Nível de Serviço (acuracidade, just-in-time)
• Gestão de Eventos (gps, WMS)
GAIP
Grupo dos Auditores Internos do Paraná
ISO27000
Grupo de Segurança da