iso2000 - implantando a governança de ti

292 Implantando a Governana de TI 3 edio

7.2 iso/iec 20000

7.2.1 histrico do modelo

Publicada inicialmente em 2000, pela BSI47, a norma BS 15000 (British Standards Institution Standard for IT Service Management) foi o primei-ro padro mundial especificamente direcionado para o Gerenciamento de Servios de TI. Esta norma, que j estava alinhada com as diretrizes da ITIL, tinha foco acentuado nas disciplinas de suporte e entrega de servios de TI.

A partir de recomendaes de seus primeiros usurios, a BS 15000 foi re-escrita e publicada novamente em 2002, estruturada em duas partes: especifi-cao (contendo os requisitos bsicos da norma) e cdigo de prtica (conten-do diretrizes de suporte detalhadas para a especificao). Como publicaes complementares, havia um caderno de autoavaliao para as organizaes, em relao satisfao dos requisitos e um guia gerencial para o Gerenciamento de Servios de TI.

Entretanto, o fato de ser uma norma britnica dificultava bastante a sua difuso em mbito mundial. Para ilustrar esta situao, at o final de 2005, havia apenas cerca de 50 empresas certificadas na BS 15000 em todo o mun-do (a maioria delas nos continentes europeu e asitico). Neste cenrio, a In-ternational Organization for Standardization (ISO), em conjunto com o Inter-national Eletrotechnical Comission (IEC), evoluiu a BS 15000 para o padro internacional ISO/IEC 20000 em dezembro de 2005.

A evoluo desta norma para um padro internacional aumentou a rele-vncia da norma para organizaes de TI situadas em outros mercados, tais como os Estados Unidos e a Amrica Latina. Alm disso, como padro inter-nacional, ela fornece um entendimento comum acerca do gerenciamento de servios de TI em todo o mundo, uma vez que cobre os aspectos responsveis por 80% dos gastos totais em TI da maioria das organizaes.

Em novembro de 2010, foi publicada a segunda edio da Parte 1 da norma, incluindo melhorias tais como refinamento de algumas definies, alinhamento mais prximo com a ISO 9001, a ISO/IEC 27001 e a ITIL V3, a introduo do conceito de Sistema de Gesto de Servios (SGS) e a

47 British Standards Institution

Modelos para Gerenciamento de Servios de TI 293

juno de algumas clusulas visando maior clareza e coeso conceitual (por exemplo, reunio de todos os requisitos do SGS em uma nica clusula e anexao do processo de Gerenciamento de Liberaes aos processos de controle).

As partes 1 e 2 da norma ISO/IEC 20000 foram localizadas pela ABNT (Associao Brasileira de Normas Tcnicas), em 2008, para o mercado brasi-leiro. Hoje existem edies em lngua portuguesa de todas as cinco partes da norma. A segunda edio da Parte 1 (ISO/IEC 20000-1:2010) j possui uma edio brasileira (ABNT NBR ISO/IEC 20000-1:2011), publicada em 2011.

7.2.2 objetivos do modelo

Regulamentar um padro para o Gerenciamento de Servios de TI atravs da uniformizao dos conceitos e da viso dos processos que o implementam, permitindo assim que os provedores de servios de TI compreendam os meios atravs dos quais podero planejar, executar, verificar e melhorar continua-mente a qualidade dos servios entregues, em conformidade com os requisitos estabelecidos junto ao negcio e a seus clientes.

Esta norma pode ser utilizada em conjunto com outras normas, tais como a ISO 9001:2000 e a ISO/IEC 27001, com um foco especfico no Gerencia-mento de Servios de TI.

7.2.3 estruturA do modelo

7.2.3.1 Diviso dos documentos

A ISO/IEC 20000 est estruturada em cinco partes:

Parte 1 Requisitos do Sistema de Gesto de Servios: consiste na especificao formal da norma e define os requisitos para o gerencia-mento de servios, dentro de um nvel aceitvel de qualidade e em conformidade com os requisitos do negcio. Esta parte descreve o que deve ser levado em considerao na implementao do gerencia-mento de servios de TI, visando certificao dos processos relacio-nados em relao aos requisitos da norma.


Parte 2 Cdigo de Prtica: guia prtico que contm um conjunto de diretrizes baseadas na experincia do mercado, para orientar as empresas de servios a planejarem melhorias em seus servios ou a se prepararem para serem auditadas e certificadas na norma, em relao a cada um dos requisitos presentes na Parte 1 da norma.

Parte 3 Diretrizes de Escopo: contm orientaes para definio do escopo e da aplicabilidade da norma aos diversos tipos de organiza-es de servios de TI.

Parte 4 Modelo de Referncia de Processos: bastante til para a definio dos processos de Gerenciamento de Servios de TI, em alinhamento com a ISO/IEC 15504-2 Auditoria de processos de TI.

Parte 5 Exemplo de Plano de Implementao: apoio preparao para a implementao de um Sistema de Gerenciamento de Servios de TI.

Neste livro, daremos foco s duas primeiras partes, que foram as primeiras a serem publicadas e que contm o ncleo da Norma.

7.2.3.2 O Sistema de Gesto de Servios

A ISO/IEC 20000 tem como espinha dorsal um Sistema de Gesto de Ser-vios (SGS) que dirige e controla as atividades de gerenciamento de servios do provedor de servios. O SGS inclui todas as polticas, os objetivos, os planos, os processos, os documentos e os recursos de gerenciamento de servios requeridos para o desenho, a transio, a entrega e a melhoria dos servios e para atender os requisitos preconizados pela norma. A Figura 7.10 mostra a viso do SGS na perspectiva da norma:


Figura 7.10: Sistema de Gesto de Servios, na viso da ISO/IEC 20000 Adaptado de ISO (2010)

7.2.3.3 Contedo

A Parte 1 da norma ISO/IEC 20000 est estruturada em nove sees, con-forme descrito a seguir:

Escopo: nesta seo, so enumerados os propsitos e cenrios para os quais a norma recomendada e o Sistema de Gesto de Servios apresentado.

Referncias Normativas: nesta seo, referenciada a Parte 2 da nor-ma (Diretrizes para aplicao dos sistemas de gesto de servios)48.

Termos e Definies: estabelecido um glossrio contendo a termi-nologia e as definies aplicveis aos propsitos da norma. Vrios dos termos contidos nesta seo fazem parte do contexto da ITIL.

Requisitos gerais para um sistema de gesto de servios: esta seo especializa requisitos que tambm so encontrados em outras normas ISO para o foco do Sistema de Gesto de Servios:

48 A segunda edio da Parte 2 da norma est em vias de ser publicada.


Responsabilidade da Direo: estabelece a importncia do com-prometimento da Alta Administrao com as atividades de desen-volvimento, implementao e melhoria do Sistema de Gesto de Servios da organizao, do estabelecimento de uma poltica de gerenciamento de servios, da definio de autoridades e respon-sabilidades, alm da designao de um representante da direo para o sistema.

Governana de processos operados por outras partes: estabele-ce a necessidade de que o provedor demonstre governana sobre processos que estejam sendo operados por outras partes (grupos internos, clientes, fornecedores etc.), o que deve ocorrer por meio de processos como o Gerenciamento do Nvel de Servio e o Ge-renciamento de Fornecedores.

Gerenciamento da documentao: estabelece a necessidade de criar, manter e controlar documentos e registros que garantam a efetividade do planejamento, da operao e do controle do geren-ciamento de servio, tais como polticas, planos, acordos de nvel de servio, procedimentos, etc.

Gerenciamento de recursos: estabelece a necessidade do provi-mento de recursos humanos, tcnicos, financeiros e de informa-o para o SGS. No caso dos recursos humanos, refora a impor-tncia da definio das competncias necessrias para a operao do SGS, enfatizando a importncia de aes de desenvolvimento profissional e de conscientizao acerca dos papis e responsabili-dades junto aos colaboradores.

Estabelecimento e melhoria do SGS: define o escopo do SGS e aborda a aplicao do ciclo de melhoria contnua (Plan-Do-Che-ck-Act) sobre uma abordagem integrada dos processos de geren-ciamento de servios, conforme mostra a Figura 7.11.


Plan(Planejar oSistema deGesto deServios)

Check(Monitorar, medir

e revisar)

Act(Melhoriacontnua)

Do(Implementar oSistema deGesto deServios)

Sistema de Gesto deServios

Processos deGerenciamento de

Servios

Servios

Figura 7.11: Metodologia Plan-Do-Check-Act, na viso da ISO/IEC 20000 Adaptado de ISO (2010)

Desenho e transio de servios novos ou modificados: esta clusula visa assegurar que servios novos e/ou mudanas em servios possam ser planejados, desenhados, desenvolvidos, entregues e gerenciados, considerando aspectos tais como escopo, oramento, alocao de re-cursos, nveis de servio e processos j existentes, etc. Neste ponto, percebe-se um total alinhamento com as prticas de desenho de ser-vios e transio de servios da ITIL V3.

Processos de entrega de servio: esta seo descreve a abordagem da norma para os processos relacionados entrega de servios:

Gerenciamento do nvel de servio: visa definir, acordar, regis-trar e gerenciar nveis de servio, abordando elementos importan-tes como o catlogo de servios e os acordos de nvel de servio.

Relatos de servio: visa a gerao de relatrios contendo infor-maes claras, confiveis e concisas sobre o gerenciamento de


servio, de forma a subsidiar, no tempo adequado, a tomada de decises e a comunicao entre todos os envolvidos.

Gerenciamento da continuidade e disponibilidade do servio: visa garantir que os compromissos assumidos junto aos clientes em relao continuidade e disponibilidade do servio possam ser cumpridos em todas as circunstncias, abordando a importn-cia de aes de monitorao, planejamento e testes.

Oramento e contabilizao para servios49: abrange polticas e processos para oramento e contabilizao dos componentes envolvidos no gerenciamento de servios de TI (ativos, recursos compartilhados, servios externos, pessoal, licenas etc.), alocao de custos diretos e indiretos aos servios e controles e autorizaes financeiras.

Gerenciamento da capacidade: visa garantir que o provedor de servio tenha sempre capacidade suficiente para atender as de-mandas atuais e futuras, em conformidade com as necessidades de negcio do cliente.

Gerenciamento da segurana da informao: com total ali-nhamento norma ISO/IEC 17799, este processo visa gerenciar efetivamente a segurana da informao em todas as atividades do servio, abordando a avaliao de riscos para os ativos confor-me sua criticidade, o estabelecimento de controles para garantir a segurana e a disponibilidade da informao e o tratamento de mudanas e incidentes de segurana, em conformidade com os requisitos de segurana exigidos pelo negcio.

Processos de relacionamento: descrevem os aspectos do relaciona-mento do provedor de servios dentro da cadeia de valor que engloba a prestao do servio, ou seja, com os clientes que recebem o servio e com seus demais fornecedores de produtos, recursos e outros ser-vios:

Gerenciamento de relaes de negcio: visa o estabelecimen-to e a manuteno de um bom relacionamento com os clientes, baseado no entendimento das diretrizes de negcio, abordando aes como revises regulares do servio, processo de tratamento de reclamaes e medio da satisfao do cliente.

49 Por ser considerada uma atividade opcional, a cobrana (integrante do processo de Gerenciamento Financeiro para Servios de TI, da ITIL) no coberta pela norma ISO/IEC 20000.


Gerenciamento de fornecedores50: visa garantir a proviso de servios aos clientes com qualidade e transparncia, atravs do gerenciamento da cadeia completa de fornecedores (diretos e sub-contratados), abordando o gerenciamento dos contratos desde o incio ate a resciso, dos nveis de servio estabelecidos e dos even-tuais conflitos de interesses.

Processos de resoluo: englobam os processos de gerenciamento de incidentes, requisies de servio e de problemas, assim como a sua priorizao e o estabelecimento e manuteno de solues de contorno.

Gerenciamento de incidentes e requisies de servio: visa restaurar o nvel de servio acordado o mais rpido possvel, ou responder a requisies de servio, enfatizando o tratamento dife-renciado que deve ser dado aos incidentes mais crticos.

Gerenciamento de problemas: visa minimizar a interrupo do negcio atravs da identificao proativa (preveno) e do geren-ciamento dos problemas durante todo o seu ciclo de vida, englo-bando registro, classificao, identificao da causa raiz, resolu-o, comunicao, acompanhamento e encerramento.

Processos de controle: englobam os processos que tratam os compo-nentes dos servios e das mudanas pelas quais estes passam ao longo do tempo.

Gerenciamento da configurao: visa definir e controlar os com-ponentes do servio e da infraestrutura relacionada, mantendo atu-alizadas as informaes de sua configurao, englobando atividades de planejamento, identificao dos itens de configurao, controle das alteraes e da situao de cada item no seu ciclo de vida (desde a aquisio at o descarte) e auditoria das informaes de configurao.

Gerenciamento de mudanas: visa garantir que todas as mudan-as sejam avaliadas adequadamente, aprovadas pelas instncias necessrias, implementadas conforme o seu planejamento e re-visadas em relao ao atingimento dos objetivos, satisfao dos clientes e existncia de efeitos colaterais aps a sua implantao.

Gerenciamento de liberao e implantao: abrange o estabele-cimento de uma poltica para liberao de mudanas, assim como o planejamento integrado, a criao das unidades de liberao, os testes de aceitao, a documentao, a distribuio, a instalao e a avaliao ps-liberao, incluindo tambm aes de reverso ou correo em caso de falha.

50 A seleo e contratao de fornecedores no coberta pela norma ISO/IEC 20000.


7.2.4 APlicAbilidAde do modelo

Devido ao alto grau de aderncia, a norma ISO/IEC 20000 pode ser vista como um instrumento para certificar uma organizao de TI quanto efeti-vidade do seu processo de implementao do gerenciamento de um (ou mais) servio(s) de TI, sob a tica das prticas da ITIL.

O escopo para esta adoo deve ser estabelecido conforme a estratgia da organizao, podendo abranger desde um servio especfico dentro de uma das operaes at a totalidade dos servios prestados. Analogamente ITIL, recomenda-se que a certificao seja feita de forma gradual, partindo de um escopo reduzido de operaes como piloto e, posteriormente, estendendo a certificao para as demais operaes.

A norma ISO/IEC 20000 aplicvel a organizaes cuja misso envolve o fornecimento de servios de TI para seus clientes, sejam estes externos (como no caso das empresas especializadas em servios de TI) ou internos (reas ou departamentos de TI dentro de empresas). Operaes baseadas em cadeias de fornecimento de servios (com fornecedores principais, subcontratados, etc.) e que requerem processos consistentes e padronizados em todos os seus elos, tambm podero ser focadas por esta norma, uma vez que ela abrange o gerenciamento dos contratos e dos nveis de servio em consonncia com os requisitos do negcio.

Em suma, organizaes que visam prover o mercado de servios de TI de for-ma consistente, segura, padronizada e continuamente monitorada e melhorada so potenciais aspirantes certificao em relao norma. Por ser um padro internacional, a ISO/IEC 20000 pode servir como base para comparao com as melhores prticas do mercado e para avaliaes independentes das operaes.

A norma ISO/IEC 20000 pode ser adotada em conjunto com a ISO 9001, especializando os requisitos relativos realizao do produto (item 7) dentro do contexto do gerenciamento de servios de TI. Isto significa que organi-zaes que j possuem um sistema de gesto da qualidade bem estruturado podero avaliar as possibilidades de reaproveitamento de alguns de seus ativos de processos e de informao j existentes para os esforos de preparao para a adoo da ISO/IEC 20000.

Cabe tambm ressaltar que, no mercado brasileiro, vrias empresas esto incluindo, em suas RFPs (Requests for Proposals) para contratao de servios,


requisitos relacionados padronizao e utilizao das melhores prticas de mercado para gerenciamento de servios de TI. Operaes que souberem de-monstrar consistentemente a sua habilidade para prover servios que atendam os requisitos de negcio dos clientes e para gerenci-los, buscando sempre a sua melhoria contnua, podero ter na certificao ISO/IEC 20000 um fator qualificador adicional para a sua pontuao.

7.2.5 benefcios do modelo

Para uma organizao de TI, a opo pela certificao dos processos de gerenciamento de servios na norma ISO/IEC 20000 poder trazer, alm da-queles relacionados adoo da ITIL (j enumerados neste livro), benefcios tais como:

Demonstrao clara de confiabilidade e consistncia nos servios de TI, atributos cruciais para a sobrevivncia do negcio e para o seu potencial crescimento.

Melhoria na comunicao interna, devido maior proximidade e si-nergia entre a Alta Administrao e as equipes que atuam no geren-ciamento dos servios de TI.

Maior comprometimento por parte de todas as reas e profissionais envolvidos, devido ao estabelecimento claro de responsabilidades pe-los processos.

Aumento da produtividade das equipes, devido ao estabelecimento de polticas e processos que precisam ser conhecidos por todos os envolvidos.

Melhor aproveitamento das habilidades dos profissionais envolvidos nos processos, em sintonia com as competncias requeridas para a sua execuo.

Estabelecimento de uma cultura formal de melhoria contnua dos servios de TI, sempre alinhada s necessidades do negcio e dos clientes.

Reduo do time-to-market de novos servios e de modificaes nos servios existentes.

Maior previsibilidade para os resultados dos servios, dada a nfase que a norma atribui s atividades de planejamento e oramento.


Maior acurcia dos relatrios de servios, subsidiando com maior preciso a tomada de decises relacionadas ao negcio.

Entrega dos servios de TI para o cliente com maior transparncia e uniformidade, atravs de mecanismos de integrao da cadeia de fornecimento, englobando tanto fornecedores diretos como sub-contratados.

Maior efetividade no controle dos riscos relacionados operao dos servios.

Melhoria da imagem da organizao de TI e da qualidade percebida dos seus servios por parte de seus clientes e fornecedores.

Possibilidade de estabelecimento de um sistema integrado de gesto, atravs da operao conjunta com outras normas, tais como a ISO 9001:2000 e a ISO/IEC 17799.

Estabelecimento de um mecanismo para educao e aumento da conscientizao das equipes atravs das auditorias regulares de certificao.

A certificao obtida atravs de auditores qualificados e independen-tes pode ser considerada uma referncia no mercado, em relao utilizao das melhores prticas de gerenciamento de servios de TI.

Analogamente aos demais modelos de qualidade, a adoo da ISO/IEC 20000 no garante que os servios de TI prestados por uma organizao certi-ficada sejam isentos de problemas ou que proporcionem o retorno financeiro desejado, mas estabelece um alicerce consistente para que os servios de TI cada vez mais possam estar alinhados aos requisitos de negcio.

7.2.6 certificAes relAcionAdAs

7.2.6.1 Foco organizacional

A certificao de uma organizao de TI nos requisitos da norma ISO/IEC 20000 deve ser obtida atravs de uma auditoria independente, a ser conduzida por um organismo independente credenciado pelo itSMF para esta finalidade, denominado RCB (Registered Certification Body). Alm do certificado oficial de conformidade, a organizao certificada ganha o di-


reito de utilizao do logo oficial da norma em suas peas de marketing e de ter seu nome includo em um web site exclusivo (www.isoiec20000cer-tification.com).

O processo de preparao para a certificao deve ser conduzido como um projeto formal, que deve ter como premissa o patrocnio e o comprome-timento da Alta Administrao da organizao com o seu sucesso. Entre as atividades e tarefas recomendadas para este projeto, destacam-se:

Definio clara do escopo da certificao, ou seja, qual(is) servio(s) e/ou operao(es) da organizao estaro sujeitas verificao de aderncia aos requisitos da norma.

Estabelecimento de uma equipe para conduzir o projeto, com um co-ordenador formal e devidamente treinada na interpretao da norma e nos princpios de gerenciamento de servios de TI.

Realizao de uma anlise prvia dos processos atuais (gap analy-sis) para identificar o grau de aderncia aos requisitos da norma, como subsdio para o planejamento das aes de melhoria dentro do projeto.

Execuo de aes corretivas e preventivas sobre os processos relacio-nados ao gerenciamento de servios de TI, visando corrigir as defici-ncias e mitigar os riscos potenciais existentes.

Capacitao dos colaboradores envolvidos com os servios e as ope-raes integrantes do escopo de certificao, acerca dos processos de gerenciamento de servios de TI.

Realizao de auditorias internas para avaliao do progresso do projeto.

Estabelecimento e reforo permanente da cultura de melhoria cont-nua, utilizando as no conformidades encontradas e as aes corretivas correspondentes como alavancadores motivacionais dos colaboradores.

O projeto termina com as atividades formais de pr-auditoria e de audito-ria de certificao, realizadas pelo organismo certificador selecionado.

Ainda no existem mtricas oficiais para estimativa de prazo e custo de um projeto de certificao, pois esta depende de fatores intangveis, tais como o nvel de conformidade atual, a qualidade e o detalhamento da


documentao existente, e o tamanho e a complexidade da operao esco-lhida como escopo.

No Brasil, atualmente, j existem algumas empresas certificadas na ISO/IEC 20000 e vrias outras organizaes que esto com seus projetos de prepa-rao para certificao em andamento. Em geral, os organismos certificadores so os mesmos que realizam auditorias em relao s demais normas ISO.

7.2.6.2 Foco individual

Existem atualmente trs esquemas direcionados s certificaes individuais relacionadas norma ISO/IEC 20000:

EXIN. itSMF International. APMG Group.

O EXIN tem utilizado a ISO/IEC 20000 como direcionador para as suas certificaes em Gerenciamento de Servios de TI. Seu esquema de certificao possui uma estrutura sustentada por um exame de fundamen-tos e fortalecida por uma camada intermediria de certificaes: cinco delas no nvel profissional (das quais trs delas devem ser obtidas) e, opcional-mente, uma no nvel associado). A partir deste ponto, o profissional pode seguir duas carreiras distintas: a de consultor/gerente (com duas certifica-es) e/ou a de auditor interno (uma certificao). Existe ainda uma certi-ficao ponte de fundamentos para aqueles que possuem a certificao de Fundamentos ITIL V2 ou V3.


A figura 7.12 ilustra o esquema de certificao do EXIN.

Figura 7.12: Esquema de Certificao do EXIN Fonte: Site do EXIN (www.exin-itsm.com)

J o esquema de certificao do itSMF International possui dois certifica-dos relevantes:

ISO/IEC 20000 Consultant: prov conhecimento acerca dos bene-fcios da implementao de um Sistema de Gesto de Servios de TI e do impacto que a conformidade com a ISO/IEC 20000 tem nas operaes dirias de uma organizao.

ISO/IEC 20000 Auditor: apresenta os requisitos da norma ISO/IEC 20000 e aplica os fundamentos de auditoria para a norma, em conformidade com a norma ISO 19011, formando auditores inter-nos no Sistema de Gesto de TI.


Por sua vez, o esquema de certificao do APMG Group possui trs certificaes:

ISO/IEC 20000 Foundation: avalia o conhecimento dos candida-tos sobre o contedo e os requisitos da norma.

ISO/IEC 20000 Practitioner: testa a habilidade dos candidatos em aplicar o contedo da norma em organizaes certificadas ou que esto buscando a certificao.

ISO/IEC 20000 Auditor: Avalia o entendimento dos candidatos acerca dos princpios do Gerenciamento de Servios de TI, do conte-do e dos requisitos da norma.

Para todos os esquemas de certificao descritos, h empresas no Brasil credenciadas para aplicar treinamentos e exames.

7.3 cmmi for services

O CMMI-SVC tem o propsito de ser um guia para a implantao das melhores prticas do CMMI para organizaes provedoras de servios, sendo que essas melhores prticas esto focadas nas atividades para fornecer servios com qualidade para os clientes e usurios finais.

Este modelo, em sua verso 1.3, de 2010, exibe a mesma estrutura do CMMI for Development e adota o mesmo esquema de certificao, de ma-turidade e capacidade. Foi desenvolvido levando em considerao o prprio CMMI e outros modelos como ITIL, CobiT, ISO/IEC 20000 e o Informa-tion Technology Services Capability Model ITSCMM.

O CMMI-SVC composto por 24 reas de processos especficas e um conjunto de prticas genricas alocadas conforme os nveis de maturidade da representao por estgios e compartilha algumas reas de processo do CMMI for Development.

As Tabelas 7.3, 7.4, 7.5 e 7.6 apresentam uma breve descrio de cada uma das reas de processo, conforme os nveis de maturidade.

iso2000 - implantando a governança de ti

Documents