UNIVERSIDADE DO SUL DE SANTA CATARINA ROSANGELA FERRARI PANDIM BARBOSA MACHADO

Transcrição

1 UNIVERSIDADE DO SUL DE SANTA CATARINA ROSANGELA FERRARI PANDIM BARBOSA MACHADO GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO APLICAÇÕES A INSTITUIÇÕES BANCÁRIAS Palhoça-SC 2010

2 ROSANGELA FERRARI PANDIM BARBOSA MACHADO GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO APLICAÇÕES A INSTITUIÇÕES BANCÁRIAS Trabalho de Conclusão de Curso apresentado ao Curso de Especialização em Gerência de Projetos de Tecnologia da Informação da Universidade do Sul de Santa Catarina, como requisito parcial à obtenção do título de Especialista. Orientador: Prof. Carlos André de Sousa Rocha - MSc Palhoça-SC 2010

3 ROSANGELA FERRARI PANDIM BARBOSA MACHADO GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO APLICAÇÕES A INSTITUIÇÕES BANCÁRIAS Esta Monografia foi julgada adequada à obtenção do título de Especialista em Gerência de Projetos de Tecnologia da Informação e aprovada em sua forma final pelo Curso de Especialização em da Universidade do Sul de Santa Catarina. Palhoça, 13 de setembro de Prof. Carlos André de Sousa Rocha - MSc Universidade do Sul de Santa Catarina Prof. Vera Rejane Neidersberg Schuhmacher - MSc Universidade do Sul de Santa Catarina

4 Dedico este trabalho aos meus queridos familiares que muito me incentivaram e apoiaram na realização deste curso.

5 AGRADECIMENTOS Ao meu querido esposo Ricardo. Aos meus diletos filhos Henrique e Thiago. À minha inestimável mãe Guilhermina. À minha estimada nora Anna Paula. Ao atencioso orientador desta monografia, professor Carlos André de Sousa Rocha.

6 Embora ninguém possa voltar atrás e fazer um novo começo, qualquer um pode começar agora e fazer um novo fim. (Francisco Cândido Xavier)

7 RESUMO Este trabalho busca aplicar o conceito de Governança de Tecnologia da Informação (TI) em ambientes corporativos e apresentar práticas que visam garantir a melhor qualidade no serviço prestado, através de levantamentos sobre estruturas de processos para gerência de serviços (ITIL) e sobre o controle de governança (CobiT), Para tanto, será realizado um alinhamento entre o CobiT e ITIL. Palavras-chave: Governança Corporativa. CobiT. ITIL.

8 ABSTRACT This monograph seeks to aplly the concept of Information Technology Governance (IT) as well as presenting practices that intend to ensure the provided service s best quality, based on processes estructures for services management (ITIL) and governance control (CobiT) surveys. In order to do that, an alignment between CobiT an ITIL will be done. Key words: Corporation Governance. CobiT. ITIL.

9 LISTA DE FIGURAS Figura 1 Modelo Conceitual do ITIL Figura 2 Domínios do CobiT Figura 3 Áreas de atuação do ITIL e CobiT Figura 4 Relacionamento entre ITIL e CobiT Figura 5 Alinhamento no domínio de Aquisição e Implementação... 54

10 LISTA DE TABELAS Tabela 1 Processos do domínio de Entrega e Suporte Tabela 2 Processos do domínio de Monitorar e Evoluir... 39

11 SIGLAS E ABREVIATURAS CobiT GC GDM GDP ITGI ITIL RMD TCO TI Control Objective for Information and related Technology Gerenciamento De Configuração Gerenciamento De Mudança Gerenciamento De Problema Information Technology Governance Institute Infrastructure Technology Information Library Requisição De Mudança Total Cost of Ownership Tecnologia da Informação

12 SUMÁRIO 1 INTRODUÇÃO FORMULAÇÃO DO PROBLEMA JUSTIFICATIVA OBJETIVOS OBJETIVO GERAL OBJETIVOS ESPECÍFICOS FUNDAMENTAÇÃO TEÓRICA ITIL PROCESSOS DO ITIL Suporte a serviços (Service Support) Gerenciamento de configuração (Configuration Management) Gerenciamento de incidentes (Incident Management) Gerenciamento de Problemas (Problem Management) Gerenciamento de Mudança (Change Management) Entrega de Serviços (Service Delivery) Gerenciamento de Nível de Serviços (Service Level Management) Gerenciamento de Disponibilidade (Availability Management) Gerenciamento de Capacidade (Capacity Management) Gerenciamento de Continuidade de Serviços (IT Service Continuity Management) COBIT Domínios Planejamento e Organização (Plan and Organise) Aquisição e Implementação Entrega e Suporte (Deliver and Support) Monitorar e Evoluir (Monitor and Evaluate) METODOLOGIA CASO DE ESTUDO INSTITUIÇÕES FINANCEIRAS BANCO BRADESCO O PROBLEMA PROPOSTO BENEFÍCIOS Benefícios Gerais Benefícios específicos do ITIL RESULTADOS... 48

13 8 ALINHAMENTO ITIL/COBIT DESCRIÇÕES DO ALINHAMENTO BENEFÍCIOS CONSIDERAÇÕES FINAIS...57 REFERÊNCIAS BIBLIOGRÁFICAS...59

14 14 1 INTRODUÇÃO Este trabalho busca aplicar o conceito de Governança de Tecnologia da Informação (TI) em ambientes corporativos. A partir de levantamentos sobre estruturas de processos para gerência de serviços (ITIL) e sobre o controle de governança (CobiT), serão apresentadas práticas que visam a garantir a melhor qualidade no serviço prestado. Para tanto, será realizado um alinhamento entre o CobiT e ITIL. A necessidade por serviços contínuos e com qualidade é algo indispensável para a atividade corporativa, pois que informações imprecisas e indisponibilidade dos serviços podem causar prejuízos financeiros e desgastes com usuários e clientes. O desafio deste trabalho é minimizar os efeitos causados por falhas neste serviço.

15 15 2 FORMULAÇÃO DO PROBLEMA Na primeira metade dos anos 1990, surgiu a governança corporativa como forma de superar problemas decorrentes da separação da propriedade e da gestão empresarial. Desde então, o termo governança cresceu no ambiente corporativo. Com o sucesso das novas regras aplicadas à gestão, cada vez mais as empresas estão investindo em formas para extrair o máximo de proveito de seus ativos. A governança apóia as corporações a determinar melhores estratégias, identificando melhores decisões e melhores formas de execução das decisões. Este apoio se dá através de uma gestão que aborda a corporação como um todo, utilizando de processos estruturais para tornar isso possível. Está ocorrendo, no cenário atual, a modernização e a estruturação das corporações; com isso surgiu uma dependência da tecnologia como forma de apoio às organizações. Esta importância dentro da corporação fez com que a TI se tornasse parte do negócio. O alinhamento das estratégias com a prestação de serviço de TI tornou-se fundamental para atingir os objetivos, sendo assim, viu-se a necessidade de uma governança especifica para a TI. Algumas parcelas dos serviços são fundamentais para que uma corporação consiga atingir seus objetivos, sendo que o impacto causado à organização em caso de falha desses serviços pode trazer prejuízos financeiros e à imagem da instituição. Se um cliente ficar impossibilitado de realizar uma transferência em horário comercial, a ele será causado um transtorno, pelo qual se responsabilizará a instituição, prejudicando assim a sua imagem com o cliente. Da mesma forma que esse exemplo, pode-se listar centenas de casos que tragam prejuízos incalculáveis a instituições. Outra grande dificuldade é demonstrar para a alta gerência as vantagens do investimento na TI. Apesar de o sucesso em diversas corporações demonstrar os

16 16 benefícios provindos das práticas e dos padrões aplicados, a governança não é tão simples, sendo ainda comum o pensamento segundo o qual os serviços não deveriam conter falhas, mesmo que seja sabido que isso, por ora, é inerente à utilização de tecnologia. Assim, a governança de TI precisa comprovar a sua eficácia para a alta gerência da corporação e melhorar a qualidade, bem como a disponibilidade dos serviços. Diante de tudo isso, é um desafio, não só minimizar problemas decorrentes de falhas nos serviços, mas também auxiliar as corporações a alinhar a tecnologia ao negócio e comprovar como isso pode trazer benefícios a ela. Este trabalho baseia-se neste problema para justificar a importância da governança de tecnologia em ambientes corporativos.

17 17 3 JUSTIFICATIVA Governança de TI é um conjunto de práticas, padrões e relacionamentos estruturados, assumidos por executivos, gestores, técnicos e usuários de TI de uma organização, com a finalidade de garantir controles efetivos, ampliar os processos de segurança, minimizar os riscos, ampliar o desempenho, aperfeiçoar a aplicação de recursos, reduzir os custos, suportar as melhores decisões e consequentemente alinhar TI aos negócios. Estudo realizado pelo ITGI (Information Technology Governance Institute, 2010) demonstra a crescente utilização de práticas de governança e uma alta aceitação dos valores agregados. Com isso, é necessário que problemas comuns de conceito sobre governança sejam esclarecidos. A governança de TI vai além das práticas conhecidas e do departamento de tecnologia; para de fato se ter uma governa eficaz é necessário que toda a organização esteja envolvida no processo. A aplicação de práticas conhecidas como ITIL pode trazer processos padronizados, consistentes e eficientes, redução de custos a longo prazo, diminuição do impacto decorrente de falhas nos serviços e auxílio na elaboração do custo total de propriedade (Total Cost of Ownership TCO). O TCO (Gartner Group, 1987) é utilizado por empresas de diversos países para auxiliar as corporações a conhecer o custo da unidade de tecnologia. O TCO é o balanço de todo o valor gasto pela corporação para manter a unidade de tecnologia. Esses dados podem dar uma visão da situação atual da TI dentro da corporação, o que, por sua, vez fornece base para definição de estratégias melhor elaboradas e mais próximas da realidade. Outro grande desafio para as organizações é gerenciar a TI como um todo. Utilizando práticas descritas no CobiT, conseguir-se-á um controle do ambiente de TI, a redução dos riscos ao ambiente, o auxílio nas tomadas de decisões e as formas de alinhar a TI com negócio.

18 18 4 OBJETIVOS 4.1 OBJETIVO GERAL Avaliar em que medida a governança de TI traz benefícios para a execução de tarefas e para a gerência dos ativos da corporação. Demonstrar como o ITIL e CobiT podem auxiliar o departamento de Tecnologia da Informação a se alinhar aos negócios de uma corporação financeira do setor privado como o Banco Bradesco, provendo serviços com as disponibilidade e qualidade esperadas. 4.2 OBJETIVOS ESPECÍFICOS Para atingir o objetivo deste trabalho acontecerá uma série de atividades, que são: Demonstração das práticas descritas pela ITIL Descrição dos processos de governança do CobiT Apresentação do processo de estudo utilizado para aplicar as práticas citadas acima Aplicação das práticas citadas ao estudo de caso Avaliação dos possíveis resultados decorrentes da utilização das práticas utilizadas no estudo de caso Realização do alinhamento entre o ITIL e CobiT

19 19 5 FUNDAMENTAÇÃO TEÓRICA 5.1 ITIL No final dos anos 80, o governo britânico catalogou as melhores práticas aplicadas para suporte e gerenciamento de serviços de tecnologia. Levantamento junto a indústrias e corporações que já utilizavam estes serviços apontou diversas práticas comuns para tratamento dos serviços de tecnologia. Diversos autores descreveram o que é um serviço, dentre essas definições algumas podem ser aplicadas aos serviços do fornecidos pela TI, destacando-se: Uma atividade colocada à venda que gera benefícios e satisfações, sem levar a uma mudança física na forma de um bem (STANTON, 1974). Serviço ao cliente significa todos os aspectos, atitudes e informações que ampliem a capacidade do cliente de compreender o valor potencial de um bem ou serviço essencial. (DAVIDOW ;UTTAL;, 1991). Com estas definições é possível compreender que serviços de TI são todos os recursos, atividades e conhecimentos fornecidos aos usuários ou clientes que utilizam de tecnologia como base de realização. O conjunto de melhores práticas (ITIL) foi descrito em livros e, no início dos anos 1990, tornou-se efetivamente um padrão, conhecido com ITIL (Information Technology Infrastructure Library). Hoje é mundialmente usado por organizações de todos os seguimentos como forma de suporte e gerenciamento de serviços de TI. O ITIL descreve os processos-base que podem ser utilizados para organizar a gestão de serviços, bem como mostra atividades gerais, objetivos e

20 20 resultados atingidos decorrentes da utilização dos processos propostos. O ITIL não descreve como devem ser os processos de negocio de uma organização, ao invés disso, ele utiliza práticas para apoiar os processos. Os resultados da utilização destes processos e práticas podem levar a organização a atingir os resultados esperados de seus serviços. Para auxiliar a comunidade na compreensão e consolidação das práticas descritas, surgiu um fórum destinado aos profissionais de tecnologia conhecido como itsmf(it Service Management Forum). 5.2 PROCESSOS DO ITIL O ITIL descreve 10 (dez) processos que podem auxiliar o suporte e gerenciamento dos serviços, estando eles estão divididos em processos de suporte a serviços e processo de entrega de serviços. Os processos de suporte a serviço são destinados a tratar não conformidades nos serviços da corporação, e em execuções de tarefas diárias (Magalhães e Pinheiro ); cada um deles trabalha para apoiar um ou mais processo. São eles: Gerenciamento de Incidente, Gerenciamento de Problema, Gerenciamento de Configuração, Gerenciamento de Mudança e Gerenciamento de Entrega. Os processos de entrega de serviço têm por objetivo fornecer à corporação controles gerenciais dos serviços, provendo informações sobre tendências e riscos ao funcionamento dos mesmos, são baseados em visões em longo prazo para os serviços (Magalhães e Pinheiro ). São eles: Gerenciamento de Nível de Serviço, Gerenciamento Financeiro de TI, Gerenciamento de Disponibilidade, Gerenciamento de Capacidade e Gerenciamento de Continuidade.

21 21 Conceitualmente os autores dividem o ITIL de forma a apoiar o negócio que tem como base a tecnologia (MAGALHÃES e PINHEIRO ). A Figura 1 demonstra como o suporte a serviços e a entrega de serviços realiza este apoio. Figura 1 Modelo Conceitual do ITIL Fonte: MAGALHÃES E PINHEIRO (2007, P.64) Suporte a serviços (Service Support) Gerenciamento de configuração (Configuration Management) Para ser eficiente e efetiva a organização precisa controlar a infraestrutura e serviços de TI, o Gerenciamento de Configuração prove um modelo lógico de infraestrutura ou serviços identificando, controlando, mantendo e verificando versões dos Itens de configuração (IC) existentes. (ITIL Service Support, 2002, p.121). O processo de Gerenciamento de Configuração é o responsável pela criação da base de dados de gerenciamento de configuração (Configuration Management Database CMDB), a qual é constituída pelos detalhes dos itens de

22 22 configuração (Configuration Items CIs) empregados para o aprovisionamento e o gerenciamento dos serviços de TI (Magalhães e Pinheiro, 2007). Este é parte integrante de todos os outros processos descritos pelo ITIL. Ele provê informações precisas sobre a infraestrutura e os serviços da organização. É comum ver descrições do Gerenciamento de configuração como uma função e não um processo, isso se dá devido às características de apoio aos processos. Itens de configuração são todos os ativos de TI, sendo eles componentes físicos ou lógicos (Magalhães e Pinheiro, 2007). Cabe ao Gerenciamento de Configuração determinar quais ativos de TI devem ser descritos, a forma em que se devem identificar cada um dos ICs e quais serão os relacionamentos descritos entre cada um. É importante uma análise para identificar o que realmente é necessário descrever, pois, somente após serem descritas, é que devem ser mantidas as informações. O Objetivo do Gerenciamento de Configuração é prover informações precisas sobre configuração e documentação de suporte de todos os serviços provenientes da TI, para todos os processos de Gerenciamento de Serviços (Incidente, Problema, Mudança e Liberação). Essas informações devem ser mantidas de acordo com a realidade. O Gerenciamento de Configuração fornece uma base sólida para os processos de Gerenciamento de Serviço, pois os sucessos desses processos estão diretamente ligados aos dados concebidos pelo Banco de Dados de Gerenciamento de Configuração (BGDC) (Magalhães e Pinheiro ), no qual são mantidas as informações dos ativos de TI. Este banco é de responsabilidade do GC e deve ser mantido para que as informações sempre estejam de acordo com a realidade Gerenciamento de incidentes (Incident Management) Um incidente é qualquer evento que não faça parte do funcionamentopadrão de um serviço de TI e que causa, ou que possa causar uma

23 23 interrupção no seu nível de desempenho. (ITIL Service Support, 2002, p.71). Um incidente traz diversas formas de prejuízos a uma organização, eles podem, por exemplo, parar serviços fundamentais para o negócio da empresa acarretando assim prejuízos financeiros ou prejuízos à imagem da organização diante daqueles que utilizam os serviços de TI. Dentre as melhores práticas para o gerenciamento da TI, foi observado que diversas corporações utilizavam métodos para diminuir os efeitos desses incidentes nos serviços. Sendo assim, foi elaborado o Gerenciamento de Incidentes. O processo de Gerenciamento de Incidente tem por objetivo assegurar que, depois da ocorrência de um incidente, o serviço de TI afetado tenha restaurada sua condição original de funcionamento (Magalhães e Pinheiro ). Dentre os objetivos do gerenciamento de incidentes destacam-se: resolver o problema de modo mais rápido possível, ou dentro do prazo estabelecido pelo ANS (Acordo de Nível de Serviço); minimizar adversidade do impacto causado; manter a comunicação entre a TI e os usuários; determinar se é possível que o incidente volte a ocorrer. Um ponto relevante a se mencionar é a prática de soluções de contorno, que é um método para restabelecer um serviço ao usuário de forma temporária (Magalhães e Pinheiro ).. A solução de contorno deve ser previamente definida, para que possa retornar o serviço a um nível mínimo de funcionamento. Quando não há uma solução de contorno para um incidente, devem-se buscar possibilidades de retornar o serviço ao nível mínimo de funcionamento. Essas informações devem ser armazenadas e disponibilizadas para que sejam utilizadas quando necessário. Como exemplos de incidentes, destacam-se aqui os que ocorrem em Aplicações, em Hardware e em Requisição de Serviços. Em Aplicações: aplicações

24 24 não disponíveis, erro na aplicação que impeça o cliente de trabalhar, limite de capacidade atingido; em hardware: sistema indisponível, alertas automáticos, impressora não imprimindo, configurações inacessíveis; em Requisição de Serviço: requisição de informação ou documentação, perda de senha; dentre outros. Para que aconteça o Gerenciamento de Serviço necessário se faz que alguns dados sejam coletados, dentre eles destacam-se: detalhamento do incidente, rede ou computador; dados que são provenientes da central de serviço; informações sobre a configuração provenientes do Banco de Dados de Gerenciamento de Configuração (BDGC); resposta da busca por possíveis problemas ou erros conhecidos do incidente; detalhamento da possível solução; resposta da possível Requisição de Mudança (RDM) para a solução do incidente (Magalhães e Pinheiro ).. O processo de Gerenciamento de Incidentes gera uma série de resultados e dentre eles destacam-se: RDM para Solução do incidente, atualizada com registro do incidente (incluindo solução e/ou solução de contorno); incidentes solucionados; clientes comunicados, informações gerenciais. As atividades do processo de Gerenciamento de Incidente são: detecção e registro de incidente; classificação e suporte inicial; investigação e diagnóstico; resolução e recuperação do nível de serviço; finalização do incidente; e monitoramento, rastreamento e comunicação do incidente. Para medir a efetividade e eficácia do processo de Gerenciamento de Incidentes é proposta uma série de Indicadores Chave de Progresso, que são: número total de incidentes; tempo útil para encontrar a solução do incidente ou restauração do nível de serviço ocasionado por um impacto; percentual de incidentes tratados com tempo acordado no Acordo de nível de serviço; custo médio por incidente; percentual de incidentes fechados pela central de serviço sem a necessidade de escalonamento para outros níveis de serviço; incidentes processados por cada integrante da Central de serviço; número e percentual de incidentes solucionados remotamente, sem a necessidade de uma visita.

25 Gerenciamento de Problemas (Problem Management) O Gerenciamento de Problema requer um registro preciso e abrangente dos incidentes a fim de identificar efetiva e eficientemente a causa dos incidentes e tendências. Gerenciamento de Problema também precisa trabalhar próximo ao Gerenciamento de Disponibilidade para identificar tendências e propor ações de prevenção O Gerenciamento de Problemas tem dois aspectos, o reativo e o proativo. O aspecto reativo é focado em resolver Problemas em resposta a incidentes. O proativo trabalha de forma a resolver ou propor possíveis soluções antes que os incidentes ocorram. (ITIL Service Support, 2002, p.95) O Objetivo do Gerenciamento de Problema é minimizar os impactos adversos de Incidentes e Problemas ao negócio, causados por erros na infraestrutura de TI e prevenir que voltem a ocorrer incidentes relacionados a esses erros. Para atingir esse objetivo, o Gerenciamento de Problema procura encontrar a causa raiz dos incidentes e realizar ações para melhorar ou solucionar a situação. Controle de problemas, controle de erros e gerenciamento proativo fazem parte do escopo do processo de Gerenciamento de Problema (Magalhães e Pinheiro ). Controle de problemas e controle de erros se diferem essencialmente no que se diz respeito aos alvos de cada controle. Problema é um incidente que não tem a causa raiz identificada, e erros são incidentes que já tiveram a causa raiz registrada e descrita pelo processo de Gerenciamento de Problemas. Para que o processo de Gerenciamento de Problema seja implementado em uma organização é necessário que ele receba algumas informações Os insumos do processo de Gerenciamento de Problemas são: detalhes do incidente; informações do Gerenciamento de Configuração;e definições de soluções de contorno Com essas informações é possível a realização das atividades do processo. Os possíveis resultados do processo são: erros conhecidos; requisições

26 26 de mudança; novas informações sobre o problema; soluções de contorno para incidentes com as mesmas características; registro de finalização do problema, caso ele tenha sido solucionado; informações gerenciais. É importante destacar indicadores chave para demonstrar a efetividade do processo de Gerenciamento de Problema, esses indicadores serão baseados em resultados do processo. Os indicadores chave de desempenho são: 1. Numero de problemas - Quantidade de problemas registrados. Eles devem ser divididos em categorias; 2. Tempo de solução - Tempo médio para resolução de problemas de uma mesma categoria; 3. Numero de incidentes por problema - Quantidade média de incidentes resultantes de um mesmo problema; 4. Tempo de identificação da causa raiz - Tempo médio para identificar a causa raiz do problema. Este tempo é calculado pelo tempo existente entre o relato do primeiro incidente até a causa raiz ser encontrada; 5. Esforço para resolução de problema - média do Tempo X Custo para realizar todo o escopo do Gerenciamento de problemas (Magalhães e Pinheiro ). Os indicadores são fundamentais para conhecer a realidade do processo, pois somente com essas informações podem-se identificar pontos críticos nele presentes. Essas informações podem dar à organização confiança e conhecimento para traçar novas estratégias e oferecer novos serviços. Sendo assim, o Gerenciamento de TI começa a caminhar para a direção do negócio da organização, comprovando a efetividade dos serviços oferecidos Gerenciamento de Mudança (Change Management) Mudanças são necessidades da TI para disponibilizar o serviço com a qualidade esperada pela organização. Muitos destes problemas são provenientes de ações de busca por possíveis benefícios à organização, como redução de custo ou melhoria nos serviços já existentes. O Gerenciamento de Mudança deve garantir, através de métodos e processos, a redução do impacto decorrente de mudanças.

27 27 O processo de Gerenciamento de Problema é o responsável pela resolução definitiva e prevenção das falhas por trás dos incidentes que afetam o funcionamento normal dos serviços de TI. Isto inclui assegurar que as falhas serão corrigidas, prevenir a reincidência das mesmas e realizar uma manutenção preventiva que reduza a possibilidade de que venham a ocorrer (Magalhães e Pinheiro ). O Gerenciamento de Mudança é responsável por controlar as mudanças nos seguintes ativos de TI: hardware; equipamento de comunicação e Software; sistemas de software; documentos e procedimentos (Magalhães e Pinheiro ). O Gerenciamento de Mudança acontece quando é necessária a alteração da infraestrutura ou de um serviço, para que este possa voltar ao nível de serviço esperado ou para garantir melhorias futuras ao negócio da organização. A comunicação entre o Gerenciamento de Problema e o Gerenciamento de mudança acontece através de Requisições de mudança (RDM), que são artefatos gerados com o intuito de solicitar mudanças nos serviços ou configurações da TI. É necessário que essas requisições sejam aprovadas por todos os responsáveis envolvidos em cada uma das mudanças, para se ter um percentual menor de problemas decorrentes as mudanças. Tais requisições são descritas pelo processo de controle de erros. Faz se necessário a elaboração de um grupo que abranja diversas áreas da corporação para aprovar mudanças no ambiente de tecnologia, essas mudanças podem necessitar recursos financeiros ou humanos para serem realizadas, sendo assim, o envolvimento da corporação é fundamental para aprovar essas mudanças. Para realizar o processo de mudança, alguns artefatos são requeridos, dentre eles os principais são as RDM. O BDGC também é altamente necessário, pois poderão ser levantados todos os impactos gerados por mudanças nos ICs.

28 28 Dentre as atividades realizadas pelo processo de mudança destacam-se: filtro de mudanças a serem realizadas, controle das mudanças realizadas, revisão das mudanças, fechamento das RDMs (Magalhães e Pinheiro ). É importante destacar que existem situações onde as mudanças precisam ser realizadas com uma maior agilidade, para esses casos deve ser definida uma equipe menor de controle de mudanças, para determinar a possibilidade de realizálas. Essas mudanças são conhecidas como mudanças emergenciais e acontecem quando um serviço fundamental ao negócio deixa de atender às necessidades do negócio, e que deve ser reparado o quanto antes Entrega de Serviços (Service Delivery) A Entrega de Serviço é composta por cinco processos, os quais são voltados ao gerenciamento dos serviços de forma ampla, trabalhando com informações coletadas e analisando possibilidades futuras. São justamente estes os que podem garantir o alinhamento a futuras possibilidades de negócio à corporação. Os processos de entrega de serviços são serão tratados abaixo, Gerenciamento de Nível de Serviços (Service Level Management) Gerenciamento de Nível de Serviço é essencial para todas as organizações que precisam determinar qual é o nível de apoio que precisam de cada um dos seus serviços. Através do GNS é possível determinar, monitorar e verificar se os níveis de serviços estão sendo alcançados. (ITIL Service Delivery, 2002, p.48). O Gerenciamento de Nível de Serviço deve, além de manter, buscar melhorar constantemente a qualidade do serviço de TI através de um ciclo de

29 29 melhorias, monitorando e reportando os objetivos atingidos pela TI, criando, assim, um melhor relacionamento entre o departamento de tecnologia e o cliente. Para tornar possível a melhoria contínua da qualidade dos serviços, o Gerenciamento de Nível de Serviço deve estabelecer para cada um dos serviços de TI um Acordo de Nível de Serviço (ANS) (Magalhães e Pinheiro ). O ANS descreve qual é nível deve ser atendido, qual a prioridade e qual o esforço deve ser desprendido para que esse nível seja mantido. As Informações resultantes deste processo demonstram a que ponto os serviços de TI estão conseguindo apoiar o negócio. Caso não esteja atingindo os objetivos, demonstra quais são as falhas e quais pontos precisam de melhorias. Alguns indicadores-chave de desempenho podem ser utilizados para demonstrar o sucesso do Gerenciamento de nível de serviço, dentre eles destacamse: número ou percentual de serviços cobertos por SLA; eficácia do suporte aos serviços; número e percentual de incidentes atendidos no tempo determinado Gerenciamento de Disponibilidade (Availability Management) As melhorias e as mudanças das tecnologias utilizadas pelo departamento de TI auxiliaram a melhorar a disponibilidade dos serviços de TI, e nesse ponto é onde o Gerenciamento de Disponibilidade trabalha, possibilitando, através das melhorias de software e de hardware, que o serviço esteja com a disponibilidade requerida pelo negócio da corporação. O Gerenciamento da Disponibilidade é o processo da ITIL que visa determinar os níveis de disponibilidade dos diversos serviços de TI a partir dos requerimentos do negócio (Magalhães e Pinheiro ). O Gerenciamento de disponibilidade é fundamental ao negócio, pois é ele que fornece ao negócio a garantia dos serviços de TI pelo tempo necessário. Muitas organizações

30 30 precisam dos serviços 24 (vinte e quatro) horas por dia, durante os 7 (sete) dias da semana, e sem um plano de continuidade é impossível de garantir isso. O Plano de continuidade é onde se descreve cada um dos serviços com a disponibilidade esperada para cada um, devendo abranger os serviços, de modo a fornecer planos de contingência para caso de falhas ou queda no nível de serviço. Os objetivos do Gerenciamento de serviço são: garantir que os serviços estão prontos a servirem a disponibilidade que o negócio necessita; prover relatórios demonstrando que a disponibilidade está sendo realizada; melhorar a disponibilidade da infraestrutura; reduzir a freqüência e duração dos incidentes que impactam na disponibilidade do serviço Gerenciamento de Capacidade (Capacity Management) Gerenciamento de capacidade é responsável por garantir que a capacidade de funcionamento da TI atenda às necessidades e às demandas do negócio da corporação, garantindo o melhor custo beneficio (ITIL Service Delivery, 2002, p.147 ). São funções do processo: monitorar o desempenho dos serviços e o suporte da infraestrutura a esses serviços; realizar atividades de melhoria para obter um funcionamento mais eficiente dos recursos; garantir que as futuras necessidades do negócio serão atendidas pelos serviços de TI; produzir um plano de capacidade para demonstrar a possibilidade da adequação dos serviços de TI ao SLA. O Gerenciamento de Capacidade (GDC) precisa compreender quais são as necessidades do negócio e qual deve ser a infraestrutura para apoiá-lo. É responsabilidade do GDC garantir este apoio, mantendo um custo efetivo da infraestrutura. Diversos processos do ITIL precisam de informações do Gerenciamento de Capacidade para executar suas atividades. O Processo de Gerenciamento de

31 31 mudança precisa de informações para executar mudanças que devem ser apoiadas pela capacidade da infraestrutura da corporação. O plano de negócio deve ser apoiado pela capacidade dos serviços de TI, isto é, se o aumento da demanda decorrente de uma nova estratégia não for apoiado pela capacidade de atendimento dos serviços, os prejuízos podem acarretar problemas à corporação. Algumas atividades do GDC são reativas, enquanto outras são atividades proativas. Devem-se diagnosticar futuras necessidades a fim de preparar a infraestrutura Gerenciamento de Continuidade de Serviços (IT Service Continuity Management) As organizações se tornam mais dependentes da tecnologia sempre que um novo componente é inserido ao processo do negócio, sendo assim, a continuidade dos serviços é um fator determinante de sucesso. Atualmente os ambientes de negócios orientados a serviços são julgados pela habilidade de continuar operando e provendo serviço todo o tempo. O Gerenciamento de Continuidade de Serviço foi concebido para prover formas de gerenciar a continuidade dos serviços. A continuidade se dá através da redução dos riscos, sistemas resistentes a falhas e opções para restaurar os serviços. Os serviços devem ser preparados para suportar diversas formas de interferência na infraestrutura, somente assim torna-se possível a continuidade necessária.

32 32 O Gerenciamento de continuidade é responsável por fornecer ao negócio a continuidade dos serviços necessários ao negócio, descrevendo formas de retornar os serviços o mais rápido possível em caso de falha. Um Plano de Continuidade é elaborado, listando possíveis riscos aos serviços de TI. Este Plano deve conter: lista de serviços, possíveis riscos a cada serviço e plano de contingência para cada risco listado Com o gerenciamento de continuidade é possível garantir que a continuidade esperada pelo serviço será executada. E em caso de falha acontecerá a recuperação do serviço de forma consciente e em tempo estimado. 5.3 COBIT O CobiT (Control Objectives for Information and Related Technology) é um conjunto de padrões internacional de boas práticas para gerenciar o departamento de tecnologia. É largamente utilizado por gerentes para identificar riscos e promover auditorias de tecnologia. Criada pelo (ISACA - Information Systems Audit and Control Association, 2010), a metodologia proposta pelo CobiT trabalha como uma entidade para estabelecer e padronizar métodos a fim de auxiliar o departamento de tecnologia e define padrões que auxiliam a governança de TI com a finalidade de garantir controles efetivos, ampliar os processos de segurança, minimizar os riscos, ampliar o desempenho, otimizar a aplicação de recursos, reduzir os custos, suportar as melhores decisões e conseqüentemente alinhar TI aos negócios. Com a governança buscando trabalhar o departamento de TI como mais que um suporte ao negócio da empresa, o CobiT fornece metodologias para tornar isso possível.

33 Domínios A missão do CobiT é Pesquisar, desenvolver, publicar e promover uma oficial, atualizado e internacionalmente aceito controle de governança de TI para adoção em empresas e usado por gerentes de negócios, profissionais de TI e profissionais de qualidade. (ITGI - Information Technology Governance Institute, 2007, p.16). Para isso, o CobiT se utiliza de domínios e processos a serem implementados a fim de promover a Governança de TI. A Figura 2 demonstra os domínios do CobiT e como eles se relacionam. Figura 2 Domínios do CobiT Fonte: TRAINNING (2009)

34 Planejamento e Organização (Plan and Organise) Este domínio abrange estratégias e táticas, e fornece a identificação da melhor maneira para a TI contribuir com obtenção dos objetivos do negócio. A realização da visão estratégica precisa ser planejada, comunicada e gerenciada de diferentes perspectivas. (ITGI - Information Technology Governance Institute, 2007, p.12). É composto por 10 processos, são eles: Definir Plano estratégico de TI (Define a Strategic IT Plan): O planejamento estratégico é necessário para gerenciar e direcionar todos os recursos de TI alinhados a estratégia do negócio e suas prioridades. (ITGI - Information Technology Governance Institute, 2007, p.29). Definir Arquitetura de informação (Define the Information Architecture): O sistema de informação cria e atualiza o modelo de informação do negócio definindo sistemas apropriados para melhor o uso dessas informações. Isto abrange o desenvolvimento de um dicionário de dados corporativos da organização, regras de sintaxe de dados, esquema de classificação de dados e níveis de segurança. (ITGI - Information Technology Governance Institute, 2007, p.33). Determinar direção tecnológica (Determine Technological Direction): O serviço de informação determina a direção tecnológica para apoiar o negócio. Isto requer a criação de um plano de infraestrutura tecnológica e uma tabela de arquitetura que determina e gerencia expectativas claras do que a tecnologia pode oferecer. (ITGI - Information Technology Governance Institute, 2007, p.37). Definir Processos de TI, Organização e Relacionamentos (Define the IT Processes, Organization and Relationships): Uma organização de TI é definida considerando os requerimentos por equipe, habilidades, funções, responsabilidades, autoridades e regras. A organização é incorporada a um novo processo de TI que garante transparência e controle envolvendo a alta direção e gestão de negócio. (ITGI -Information Technology Governance Institute, 2007, p.41). Gerenciar investimentos em TI (Manage the IT Investment): Estabelece e mantém gerenciamento que possibilita programas de investimentos que englobam custos, benefícios e priorização, um processo de orçamentos. Stakeholders são consultados para identificar e controlar o custo total e benefícios dentro de um contexto, iniciando correções preventivas quando necessário. O processo fomenta parcerias entre a TI e

35 35 os Stakeholders do negócio, possibilitando efetividade e eficiência do uso dos recursos de TI, provendo transparência e responsabilidades dentro do custo total de propriedade (Total Cost of Ownership, TCO), a realização dos benefícios ao negócio e o ROI (Return Of Investment) da TI. (ITGI - Information Technology Governance Institute, 2007, p.47). Aims and Direction): Comunicar objetivos gerenciais e Direção (Communicate Management Gestão de corporações de TI desenvolve um framework de controle e define as políticas de comunicação. Um programa de comunicação é proposto para articular a missão, os objetivos de serviço, políticas, procedimentos e etc., aprovado e apoiado pela gerencia. A comunicação apóia a realização dos objetivos de TI e garante o conhecimento e a compreensão dos negócios e Riscos de TI, os objetivos e direção. (ITGI - Information Technology Governance Institute, 2007, p.51). Gerenciar recursos humanos de TI (Manage IT Human Resources): Uma força de trabalho competente é adquirido e mantido para a criação e entrega de serviços de TI para o negócio. Isto é obtido seguindo práticas definidas de recrutamento, formação, desempenho avaliação, promoção e terminação. Este processo é fundamental, pois as pessoas são recursos importantes, e a governança e do ambiente de controle interno são fortemente dependentes sobre a motivação e competência dos recursos humanos. (ITGI - Information Technology Governance Institute, 2007, p.55). Gerenciar Qualidade (Manage Quality): Um MQS (Management Quality System) é desenvolvido e mantido que inclui processos de desenvolvimento e aquisição e padrões. Isto é iniciado por planejamento, implementação e manutenção do MQS, fornecendo os requisitos de qualidade, procedimentos e políticas. Qualidade de requisitos são definidos e comunicados em indicadores quantitativos e de sucesso. A melhoria contínua é alcançada monitorando e analisando desvios. (ITGI - Information Technology Governance Institute, 2007, p.59). Gerenciar riscos de TI (Assess and Manage IT Risks) Um gerenciamento de riscos é criado e mantido. Documentos padrões são criados e acordados sobre os riscos de TI e estratégias de mitigação. Qualquer potencial impacto sobre os objetivos da organização causado por um evento não planejado é identificado, analisado e avaliado. Estratégias de mitigação de risco são adotadas para minimizar o risco residual a um nível aceitável. (ITGI - Information Technology Governance Institute, 2007, p.63). Gerenciar projetos (Manage Projects) Estabelece um programa de gerenciamento para todos os projetos de TI A estrutura garante a priorização correta e coordenação de todos os projetos. Incluindo um plano-mestre, a atribuição de recursos, definição de análise resultados de aprovação, por parte dos usuários, uma abordagem gradual para a entrega, QA, um plano de teste formal, e os

36 36 testes de pós-implementação após a instalação para garantir uma gestão de risco do projeto e entrega de valor para o negócio. Esta abordagem reduz o risco de imprevistos, despesas e cancelamentos de projetos, melhora a comunicação e participação das corporações e usuários finais, garante o valor e qualidade dos produtos do projeto, e maximiza a sua contribuição para programas de investimento. (ITGI - Information Technology Governance Institute, 2007, p.67) Aquisição e Implementação Define processos de implementação da TI, seguindo estratégia e projeto pré-definidos pelo Plano estratégico. Possui 7 processos que visam apoiar o Plano estratégico, identificando formas de Adquirir e Manter soluções para as necessidades da corporação. Os processos são: Identificar Soluções automatizadas (Identify Automated Solutions): A necessidade de uma nova aplicação requer uma análise antes da aquisição ou a criação para assegurar que os requisitos de negócio são satisfeito em uma abordagem eficaz e eficiente. (ITGI CobiT 4.1, 2007, p.73). Adquirir e manter aplicações (Acquire and Maintain Application Software): Os aplicativos são disponibilizados, em conformidade com os requisitos do negócio. Este processo abrange o design das aplicações, o inclusão de controles de aplicação e requisitos de segurança adequados, o desenvolvimento e a configuração de acordo com as normas. (ITGI - Information Technology Governance Institute, 2007, p.77). Infrastructure): Adquirir e manter infraestrutura (Acquire and Maintain Technology As organizações têm processos de aquisição, implementação e atualização da infraestrutura de tecnologia. Isso requer um abordagem planejada para aquisição, manutenção e proteção da infra-estrutura de acordo com a tecnologia e da prestação de desenvolvimento e ambientes de teste. (ITGI - Information Technology Governance Institute, 2007, p.81). Habilitar Operação e Uso (Enable Operation and Use): Este processo requer a produção de documentação e manuais para usuários de TI e fornece

37 37 treinamento para assegurar a correta utilização e operação de aplicações e infraestrutura. (ITGI - Information Technology Governance Institute, 2007 p.85). Adquirir recursos de TI (Procure IT Resources): Recursos de TI, incluindo as pessoas, hardware, software e serviços, devem ser adquiridos. Isso exige a definição e a execução dos processos de aquisição, a seleção de fornecedores, formação de contratos, bem como a aquisição propriamente dita. Se o fizer, garante que a organização tem todos os recursos de TI necessários de forma oportuna e com melhor custo beneficio. (ITGI - Information Technology Governance Institute, 2007, p.89). Gerenciar mudanças (Manage Changes): Todas as mudanças, incluindo a manutenção de emergência e atualizações, relativos à infraestrutura e aplicações em ambiente de produção são formalmente geridas de uma forma controlada. Mudanças (incluindo as de procedimentos, processos do sistema e serviços parâmetros) são registradas, avaliadas e autorizadas antes da sua execução e revisão de encontro aos resultados previstos a seguir implementação. Isto assegura a mitigação dos riscos que podem causar impactos negativamente a estabilidade e a integridade do ambiente de produção. (ITGI - Information Technology Governance Institute, 2007, p.93). and Changes): Instalar e Credenciar Soluções e Alterações (Install and Accredit Solutions Os novos sistemas devem ser implantados quando o desenvolvimento é finalizado. Isso requer um teste adequado em um ambiente dedicado com dados pertinentes, a definição de implantação e as instruções de migração, planejamento de liberação e promoção efetiva da produção e uma revisão pós-implementação. Isto assegura que os sistemas operacionais estão em conformidade com a expectativa e resultados acordados. (ITGI - Information Technology Governance Institute, 2007, p.97) Entrega e Suporte (Deliver and Support) O domínio de Entrega e Suporte descreve processos operacionais para atingir um serviço de qualidade para atendimento e entrega de serviços de tecnologia. Este domínio passa a operar para um determinado serviço, software ou componente de infraestrutura assim que o mesmo começa a operar dentro do ambiente corporativo.

38 38 Os processos nele descritos utilizam da definição de Acordo de Nível de Serviço (SLA, Service Level Agreement) para determinar o nível de sucesso. Os processos descritos neste domínio são: Tabela 1 Processos do domínio de Entrega e Suporte Definir e Gerenciar níveis de serviço Gerenciar serviços terceirizados Gerenciar performance e capacidade Garantir continuidade nos serviços Garantir segurança dos serviços Identificar e alocar custos Treinar usuários Gerenciar central de serviços e incidentes Gerenciar configuração Gerenciar problemas Gerenciar informações Gerenciar ambiente físico Gerenciar operações Fonte: Do autor. Determina acordos que demonstram quais os níveis básicos que os serviços devem manter para atender ao negócio da corporação. Gerencia serviços prestados à corporação por outras entidades. Monitora e garante performance e capacidade dos serviços em atender às necessidades atuais e futuras do negócio. Assegura a disponibilidade contínua dos serviços a fim de apoiar as estratégias da corporação. Assegura acesso restrito a serviços e a informações da corporação, mantendo sigilo sobre dados e estratégias de negócio da corporação Informa custo da utilização de serviços, auxiliando a corporação a definir a possibilidade da utilização de acordo com o custo beneficio. Auxilia usuários a extrair melhores resultados dos serviços oferecido, através de cursos e treinamentos sobre os serviços disponíveis. Propõe ponto de contato entre o departamento de tecnologia e os usuários, buscando solucionar possíveis incidentes. Registra e relaciona todos os ativos de tecnologia dentro da organização. Organiza formas de identificar e tratar problemas que diminuam os níveis de operação dos serviços. Determina requerimentos para informações, biblioteca para armazená-las, bem como seus backups, e formas de recuperar informações. Processo de controle da infraestrutura e ambiente em que os equipamentos estão alocados. Gerenciar e determinar prioridades de operações a serem realizadas.

39 Monitorar e Evoluir (Monitor and Evaluate) Define processos para auditoria e acompanhamento dos serviços de TI, valida a eficiência os demais domínios e a evolução da qualidade dos mesmos. Ainda, audita os demais domínios criando uma série de relatórios que demonstram a capacidade dos serviços em atender às necessidades do negócio da corporação. Seus processos são: Tabela 2 Processos do domínio de Monitorar e Evoluir Monitora e evolui a Gerencia o desempenho e a evolução da TI como performance da TI um todo dentro da corporação. Utiliza de indicadores para elaborar relatórios de desempenho. Monitora e evolui o Estabelece controle efetivo do desempenho controle interno interno, bem como os serviços terceirizados pela organização. Assegura a conformidade com requisitos externos Prove a governança de TI Fonte: Do autor. Garante a conformidade dos serviços com leis, contratos e regulamentos que a corporação deve seguir. Define estruturas organizacionais, lideranças, regras e responsabilidades a serem seguidas para garantir o alinhamento da TI com os negócios da corporação.

40 40 6 METODOLOGIA Para elaboração deste trabalho foi realizada uma pesquisa aplicada com intuito de levantar formas de possibilitar a realização dos objetivos específicos. Essa pesquisa demonstrou que a aplicação de conceitos reconhecidos é uma forma de realizar os objetivos. É conhecida uma enorme gama de possíveis práticas a serem utilizadas (ITIL, CobiT, PMI, SOX, CMM, etc.), dentre elas foi selecionado o ITIL e o CobiT. A necessidade de um cenário para aplicação desses conceitos demonstrou que a utilização de corporações não tem a TI como principal foco de negócios, porém dela dependem como forma de apoiá-los. Este é um cenário ideal para demonstrar todos os problemas citados acima e suas possibilidades de soluções. Dentre todas as possíveis corporações foi selecionado o ramo bancário, por atender a todos os requisitos de dependência e possuir diversos casos de chances de aplicações dos conceitos apresentados. Será apresentada uma pesquisa que visa a obter um cenário ideal para aplicação dos conceitos apresentados por este trabalho. Este cenário possibilitará a descrição de como os processos propostos no ITIL podem auxiliar a garantir a qualidade dos serviços, assim como possibilitará também demonstrar como as propostas do CobiT podem auxiliar a governança e a mitigação de riscos. Para demonstrar as possibilidades de práticas e de padrões a serem aplicados ao caso de estudo, serão descritos separadamente cada um dos conceitos do ITIL e CobiT, selecionando, assim, os que melhor podem atender às necessidades do cenário proposto.

41 41 Será realizado, no final, o alinhamento entre o ITIL e CobiT, demonstrando a possibilidade e os benefícios em se trabalhar com esses dois frameworks, e os benefícios decorrentes do alinhamento entre eles.

42 42 7 CASO DE ESTUDO 7.1 INSTITUIÇÕES FINANCEIRAS Instituições financeiras são organizações estruturadas, com objetivos de gerir capitais financeiros, sejam estes próprios ou de terceiros (OLIVEIRA, 2000). Diversos serviços são necessários a fim de gerir este capital, tais como comunicação entre instituições, disponibilização do capital, consulta ao histórico. Suprir as necessidades dos serviços das instituições sempre foi um desafio ao departamento de tecnologia. A tecnologia, desde o princípio, buscou formas de auxiliá-las a atingir seus objetivos, provendo formas de apoiar as suas estratégias. Através de técnicas de comunicação e recursos tecnológicos, a TI vem apoiando as corporações, promovendo inovações e suportando a crescente demanda. Para que isso seja possível, diversos investimentos já foram realizados e tantos outros continuam sendo feitos no departamento de tecnologia. 7.2 BANCO BRADESCO Atualmente investimentos são cada vez maiores para disponibilizar serviços 100% (cem por cento) do tempo aos clientes. Como condição preliminar para seu crescimento contínuo, o Bradesco investiu, no exercício, R$ 3,457 bilhões em infraestrutura e Tecnologia da Informação, com o intuito de sempre revigorar seu ambiente de TI, com as melhores práticas e tecnologias existentes, preparando-o para as próximas décadas. (BRADESCO, 2009) Investimentos expressivos exigem de todo o departamento de tecnologia respostas concretas e serviços eficazes. Para gerir estes serviços e tornar estes