Baixe o app para aproveitar ainda mais
Prévia do material em texto
Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 250 Proposta de um Modelo de Governança de TI Enxuta Framework Proposal of Lean IT Governance Mauro Gonçalves Pinheiro (mauro@newsoft.com.br, NEWSOFT, SC, Brasil) • Rua Albano Schmidt, 3333, 89206001, Joinville, SC Mehran Misaghi (mehran@sociec.org.br, UNISOCIESC, SC, Brasil) Resumo: Tecnologias e Informações são vitais para o sucesso das empresas. Para potencializar os sucessos em projetos de TI, as empresas têm à sua disposição, referências mundialmente aceitas, como boas práticas (COBIT, ITIL, PMBOK, ISO, TOGAF, etc.). Apesar disso, ainda é grande a magnitude dos gastos em projetos de TI mal concebidos ou erroneamente implementados. O presente artigo apresenta uma breve descrição de modelos e padrões relacionados à TI, conceitua o Pensamento Enxuto, o Gerenciamento de Processos e o Sistema de Trabalho e destaca o propósito deles, evidencia as características que os distingue nos casos de sobreposição e sugere um Modelo de Governança de TI Enxuto demonstrando como os modelos e padrões apresentados podem trabalhar em conjunto, pois defende que o Pensamento Enxuto, o Gerenciamento de Processos e o Sistema de Trabalho complementam os modelos e padrões de TI com uma abordagem não referenciada nos modelos e padrões de TI. Palavras-chave: Governança de TI, TI Enxuta, Sistema de Informação. Abstract: Technology and information are vital for the success of companies. To enhance the success in IT projects, worldwide-recognized references are available to the companies (COBIT, ITIL, PMBOK, ISO, TOGAF, etc.). In spite of this, the magnitude of expenses on IT projects poorly designed or improperly implemented is still high. This article presents a brief description of models and standards related to IT, defines and highlights the purpose of Lean Thinking, Process Management, and Work System. Besides, the characteristics that distinguish them in cases of overlap is pointed out, suggesting a Model of Lean IT Governance by demonstrating how the models and patterns presented can work together. This model states that the Lean Thinking, Process Management and the Work System complement the models and standards of IT with an approach that is not referenced in current IT models and standards. Keywords: IT Governance, Lean IT, Information System. 1. Introdução Apesar do amadurecimento no uso de padrões e metodologias, conforme Bell e Orzen (2011), ainda é grande o número de projetos de Tecnologia de Informação (TI) que resultam em altos investimentos e resultados abaixo do esperado, como: sistemas instáveis e inflexíveis, morosidade na operacionalização dos serviços, custos elevados com pessoas e recursos, desalinhamento entre TI e o negócio, falta de visibilidade entre outros. Além disso, as áreas de TI, de modo geral, seguem a mesma estrutura organizacional Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 251 adotada pela empresa. Como a maioria das empresas possuem estruturas funcionais, Paim, et al. (2009), as áreas de TI tendem a estarem organizadas da mesma forma. Porém, os modelos de referências reconhecidos pelo mercado como boas práticas nas áreas de Governança e Gerenciamento Empresarial de TI são organizados por processos, como por exemplo o ITIL (2012), COBIT (2012) e o PMBOK (2013). A implementação de boas práticas orientadas à processos em estrutura organizacionais funcionais é uma barreira adicional aos projetos dessa natureza. A Gestão de Processos, Pain (2009), BPM CBOK (2013), e o Pensamento Enxuto, Greef, Freitas e Barreto (2012), Tapping e Shuker (2010), Dennis (2008), Bell e Orzen (2011), são conhecimentos que vêm sendo utilizados em um número cada vez maior de empresas para se tornarem ou se manterem competitivas. O Sistema de Trabalho (ALTER, 2008; ALTER, 2013), apresenta um modelo que evidencia com clareza a relação entre Cliente, Ofertas (Produtos e Serviços), Processos, Participantes (Pessoas), Informações e Tecnologias. São apresentadas definições sobre o Pensamento Enxuto, TI Enxuta, padrões para Governança de TI, padrões para Gerenciamento de Serviços de TI, Gerenciamento de Projetos, Gerenciamento de Processos e Sistemas de Trabalho. É mostrado que o COBIT funciona com um modelo que cobre os principais modelos e padrões relacionados a TI. Esse trabalho defende a hipótese que os princípios de TI Enxuta, o Gerenciamento de Processos e o Sistema de Trabalho complementam os modelos e padrões de Governança e Gerenciamento de TI, com uma abordagem não existente nos modelos e padrões de TI, e com isso sugere o modelo de Governança de TI Enxuta. Através do modelo de Governança de TI Enxuta, se pretende obter melhorias em programas e projetos de Governança e Gerenciamento de Serviços de TI. Essas melhorias estão relacionadas com a potencialização da conquista dos resultados esperados para o negócio da empresa através de TI, com a melhoria no desempenho e redução de desperdícios nos processos para entrega dos serviços de TI e com um melhor entendimento, comportamento e engajamento das pessoas durante todo o programa e projetos para a implantação da Governança e implementações dos Serviços de Gerenciamento de TI. Futuramente, após refinamentos, o modelo proposto será aplicado numa empresa da região norte catarinense. Os resultados da aplicação do modelo proposto serão analisados, discutidos e apresentados Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 252 2. Referencial Teórico 2.1 Pensamento Enxuto e TI Enxuta O termo “Lean”, LIB (2014), em português “Enxuto”, foi adotado no final da década de 80, pelo Massachsetts Institute of Technology (MIT), em um projeto de pesquisa sobre a indústria automobilística mundial. A pesquisa revelou que a Toyota havia desenvolvido um novo e superior paradigma de gestão nas principais dimensões dos negócios (manufatura, desenvolvimento de produtos e relacionamento como os clientes e fornecedores). O Pensamento Enxuto é uma filosofia e estratégia de negócio para aumentar a satisfação dos clientes através da melhor utilização dos recursos. A gestão enxuta procura fornecer, de uma forma consistente, valor aos clientes com os custos mais baixos, identificando e sustentando melhorias nos fluxos de valor primários e secundários (Processos), por meio do envolvimento das pessoas qualificadas, motivadas e com iniciativa. De uma forma resumida, o pensamento Enxuto sugere cinco passos para melhorar um ambiente produtivo (COSTA e JARDIN, 2010): 1. identificar o que é valor para o Cliente; 2. mapear o fluxo de operação e identificar os desperdícios; 3. implantar um fluxo contínuo; 4. deixar o cliente puxar a operação, e; 5. buscar a perfeição. Segundo Bell e Orzen (2011), estabelecer, manter e fazer crescer uma empresa está cada vez mais difícil. A concorrência aumenta todos os dias, com concorrentes nacionais e internacionais, a pressão por novos produtos e serviços, personalizados, com melhor qualidade e menores preços é maior, a complexidade dos negócios e as exigências legais e de conformidades com padrões mundiais aumentaram, as novas tecnologias estão transformando os modelos de negócios (a Internet para encontrar conteúdos relevantes, as redes sociais como facebook, LinkedIn, Twitter, etc., a computação nas nuvens, os Smartphones, Tablets, e muito mais), reduzir os intermediários, o time-to-marketing, com produtos e serviçode qualidade a preços justos não é mais um diferencial é uma questão de sobrevivência. A área de TI dentro deste contexto, também possui seus desafios: Entregar Valor para o Negócio através de Serviços de TI de qualidade com níveis de investimentos, custos, Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 253 segurança e riscos, adequados ao negócio. A área de TI precisa ser um agente provocador de mudanças, de melhoria contínua, inovação e agilidade, não só para TI como para toda a organização, demonstrar transparência nos resultados obtidos para o Negócio e no desempenho operacional e financeiro de TI. Como conseguir atender a esses desafios, que competem entre si, com limitações de recursos? Na manufatura, muitas empresas encontraram no pensamento Enxuto as respostas que precisavam para serem competitivas. Da mesma forma a área de TI, com o Lean IT, que é a aplicação do pensamento Enxuto na área de TI, Bell e Orzen (2011). O que é TI Enxuta (Lean IT)? Existem questionamentos se a melhoria dos processos de negócio é parte da TI Enxuta, se desenvolvimento ágil de software é uma prática de TI Enxuta, se a excelência operacional de TI e os modelos de gerenciamento de serviços do ITIL são também considerados pela TI Enxuta? E sobre os painéis de gerenciamento de desempenho e indicadores, as técnicas para gerenciamento de projetos e a computação em nuvens são relevantes para TI enxuta? Segundo Bell e Orzen (2011), a respostas para todas estas questões é sim, mas a TI Enxuta é mais do que um conjunto de ferramentas e práticas, é uma profunda transformação comportamental e cultural que encoraja as pessoas e a organização a pensar diferente sobre o papel da qualidade da informação na criação e entrega de valor para os clientes. O pensamento Enxuto, além de buscar o alinhamento para a integração, que é fundamental, cultiva uma inseparável e colaborativa parceria com o negócio. A TI Enxuta aborda como o poder do pensamento enxuto impacta na funções críticas de TI, explorando todos os aspectos de TI Enxuta dentro de duas dimensões primárias: TI Enxuta voltado para fora: Engajar informação, sistema de informação e a organização de TI em parceria com o negócio para continuamente melhorar e inovar os processos de negócio e os sistemas de gerenciamento. TI Enxuta voltado para dentro: Auxiliar a organização de TI a obter excelência operacional, aplicando os princípios e ferramentas para a melhoria contínua da operação, serviços, desenvolvimento de software e projetos de TI. Estas duas dimensões não são separadas e sim complementares. Elas dão suporte ao principal objetivo da transformação de TI Enxuta que é criar valor para a empresas e seus Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 254 clientes. A Jornada para TI Enxuta é conduzida por Pessoas Figura 1 – Balanceando Pessoas, Processos e Tecnologia Fonte: Bell e Orzen (2011) A jornada “Enxuta” deve começar nas pessoas. A Figura 1 ilustra os três elementos essenciais – Pessoas, Processos e Tecnologia – que devem ser mantidos balanceados. Nenhum desses elementos deve ser dominante ou fraco, porém são as pessoas que devem conduzir a transformação. O sucesso da implementação de TI Enxuta e a suas sustentabilidades recaem nas pessoas, processos e tecnologias, nessa ordem (BEEL, 2011). Os Processos dos 8 passos para Conduzir Mudanças De acordo com pesquisa realizada por Kotter (1996), 70% dos principais esforços para mudança nas empresas falhavam e Bell e Orzen (2011) afirma que ainda são grandes os investimentos realizados na área de TI que não produzem resultados ou produzem resultados abaixo dos esperados. Segundo Kotter, isso acontece porque as organizações não utilizam uma abordagem holística que permita compreender a mudança como um todo. Em sua pesquisa, Kotter sugere os Processos de 8 passos para conduzir mudanças que irão auxiliar as organizações a realizarem mudanças bem sucedidas em qualquer área de interesse, são eles: Passo 1: Estabelecer um senso de urgência. Ajudar aos envolvidos a enxergarem a necessidade da mudança de modo a ficarem convencidos da importância de agirem imediatamente. Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 255 Passo 2: Criar um Time de Coalizão. Montar um grupo com poder suficiente para conduzir os esforços de mudança e encorajar o grupo a trabalhar como um time. Passo 3: Desenvolver a Visão da Mudança. Criar uma visão que ajude a dirigir o esforço de mudança e a desenvolver estratégias para atingir a visão. Passo 4: Comunicar a Visão para Conquistar Adesão. Assegurar que todos os envolvidos entendam e aceitem a visão e as estratégias. Passo 5: Dar poder para as Pessoas Agirem. Remover os obstáculos para a mudança, mudar os sistemas ou estruturas que comprometam a conquista da visão, encorajar a correrem riscos controlados e estimular ideias, atividades e ações não convencionais. Passo 6: Gerar Ganhos de Curto-Prazo. Planejar ações que resultem em conquistas de curto prazo, torne as conquistas visíveis, reconheça e premie os esforços das pessoas envolvidas. Passo 7: Consolidar Ganhos e Produzir mais Mudanças. Usar a credibilidade para mudar sistemas, estruturas e políticas que não atendam a visão. Contratar, promover e desenvolver o pessoal responsável por implementar a visão. Revigorar o processo com novos projetos, temas e agentes de mudanças. Passo 8: Incorporar as Mudanças na Cultura. Articular a conexão entre o novo comportamento e o sucesso organizacional e desenvolver os meios para assegurar o desenvolvimento de lideranças e a sucessão. Roteiro para a Transformação de TI Enxuta O Roteiro para Transformação de TI Enxuta é uma abordagem para auxiliar os profissionais na transformação de uma organização em uma empresa enxuta, habilitada pela TI Enxuta. O roteiro não fala tudo que precisa ser feito, ele sugere uma direção geral para ser seguida e pontos que devem ser observados ao longo do caminho. O time deve ser capaz de entender facilmente a intensão do roteiro, fazer ajustes rapidamente em resposta a novos fatos e circunstâncias. Os três estágios de transformação: Estratégia, Planejamento e Execução não são totalmente sequenciais, mas são cíclicos, continuamente realimentando cada um dos outros como num ciclo PDCA (Planejar, Executar, Controlar e Agir), promovendo correções a cada novo experimento e ciclo de aprendizagem. Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 256 Figura 2 – Roteiro de Implementação de TI Enxuto Fonte: Bell e Orzen (2011) O roteiro para a transformação de TI enxuta não pode ser separado do plano que dá suporte a transformação enxuta na empresa como um todo. O negócio e TI devem fazer essa viagem juntos e um roteiro efetivo deve refletir isso. A Figura 2 ilustra um roteiro recomendado por Bell e Orzen (2011). 2.2 COBIT 5: Governança Empresarial de TI O principal objetivo da Governança de TI é alinhar a Tecnologia e a Informação aos requisites do negócio, levando em consideração soluções que agreguem valor, com garantia de continuidade dos serviços, minimizando as ameaças, potencializando as oportunidades que TI pode proporcionar ao negócio,assegurando a otimização dos recursos (FERNANDES, ABREU, 2014) e COBIT (2012). O objetivo principal da Governança de TI pode ser desdobrado nos seguintes objetivos específicos (FERNANDES, ABREU, 2014): • promover o posicionamento mais claro e consistente da TI em relação às demais áreas da empresa; • promover o alinhamento e a priorização das iniciativas de TI com a estratégica do negócio; • promover o alinhamento da arquitetura de TI, sua infraestrutura e aplicações às Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 257 necessidades do negócio, em termos de presente e futuro; • promover a implantação e melhoria dos processos operacionais e de gestão necessários para atender aos serviços de TI, conforme padrões que atendam às necessidades do negócio; • prover a TI da estrutura de processos que possibilite a gestão do seu risco e conformidades (compliance) para a continuidade operacional da empresa; • promover o emprego de regras claras para as responsabilidades sobre decisões e ações relativas à TI no âmbito da empresa. COBIT (Control Objectives for Information and related Technology), é um guia de boas práticas apresentado como framework, dirigido para a gestão de tecnologia de informação (TI), (COBIT, 2012). Mantido pelo ISACA (Information Systems Audit and Control Association), possui uma série de recursos que podem servir como um modelo de referência para gestão da TI. Especialistas em gestão e institutos independentes recomendam o uso do COBIT como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento (ROI) percebido, fornecendo métricas para avaliação dos resultados (Key Performance Indicators KPI, Key Goal Indicators KGI e Critical Success Factors CSF). O COBIT ajuda as empresas a criarem valores a partir de TI através da manutenção e do equilíbrio entre realizar os benefícios e otimizar os níveis de riscos e uso dos recursos. COBIT permite que a informação e a tecnologia sejam governadas e geridas de uma maneira holística, completa, de ponta a ponta do negócio, considerando os interesses relacionados com TI dos envolvidos internamente e externamente. Os princípios e habilitadores do COBIT são genéricos e úteis para empresas de todos os tamanhos e de qualquer setor, público ou privado. COBIT está baseado em cinco princípios chaves e sete habilitadores. Os princípios chaves são: P1) atender as Necessidades das Partes Interessadas; P2) cobrir a Empresa de Ponta a Ponta; P3) aplicar um Framework Único, Integrado; P4) capacitar uma Abordagem Holística, e; P5) separar a Governança do Gerenciamento. Os habilitadores do COBIT são: H1) princípios, políticas e modelos – São os instrumentos para traduzir os comportamentos desejados em um guia prático para o gerenciamento no dia a dia; Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 258 H2) processos – Descreve um conjunto organizado de práticas e atividades para atingir determinados objetivos e produzir um conjunto de saídas de apoio para atingir metas globais relacionadas com as TI; H3) estruturas organizacionais – São importantes entidade chaves que tomam decisões dentro de uma organização; H4) cultura, ética e comportamento – dos indivíduos e da organização; muitas vezes, são subestimadas, como um fator de sucesso em matéria de governança e de gestão; H5) informação – é difundida em toda a organização, ou seja, lida com todas as informações produzidas e utilizadas pela empresa. Informações que são necessárias para manter a organização funcionando e bem governada, mas a nível operacional, a informação é muitas vezes a chave do produto da própria empresa; H6) serviços, infraestrutura e aplicações – Incluem a infraestrutura, a tecnologia e os aplicativos que fornecem a empresa com tecnologia da informação e transformação dos serviços; H7) pessoas, habilidades e competências – Estão ligadas as pessoas e são necessárias para a conclusão bem-sucedida de todas as atividades e para tomar decisões corretas e a executar as ações corretivas. COBIT 5 e seus Processos - O COBIT 5 apresenta 37 processos distribuídos em 5 grupos de processos, conforme Tabela 1. Tabela 1 – Modelo de Referência dos Processos COBIT 5 COBIT 5 - Processos para a Governança de TI Empresarial Avaliar, dirigir e monitorar EDM01 – Garantir a definição e manutenção do Modelo de Governança EDM02 – Garantir a Realização de Benefícios EDM03 – Garantir a Otimização do Risco EDM04 – Garantir a Otimização dos Recursos EDM05 – Garantir transparência para as partes interessadas COBIT 5 - Processos para o Gerenciamento de TI Empresarial Alinhar, planejar e organizar APO01 – Gerenciar a Plataforma de Gestão de TI APO02 – Gerenciar a Estratégia APO03 – Gerenciar a Arquitetura Corporativa APO04 – Gerenciar a Inovação APO05 – Gerenciar o portfólio APO06 – Gerenciar Orçamento e Custos APO07 – Gerenciar Recursos Humanos APO08 – Gerenciar as Relações APO09 – Gerenciar os acordos de serviços APO10 – Gerenciar os Fornecedores APO11 – Gerenciar a Qualidade APO12 – Gerenciar os Riscos APO13 – Gerenciar a segurança Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 259 Construir, adquirir e implementar BAI01 – Gerenciar Programas e Projetos BAI02 – Gerenciar Definição de Requisitos BAI03 – Gerenciar Identificação e Desenvolvimento de Soluções BAI04 – Gerenciar Disponibilidade e Capacidade BAI05 – Gerenciar Capacidade de Mudança Organizacional BAI06 – Gerenciar Mudanças BAI07 – Gerenciar Aceitação e Transição da Mudança BAI08 – Gerenciar Conhecimento BAI09 – Gerenciar Ativos BAI10 – Gerenciar Configuração Entregar, servir e suportar DSS01 – Gerenciar Operações DSS02 – Gerenciar Solicitações e Incidentes de Serviços DSS03 – Gerenciar Problemas DSS04 – Gerenciar Continuidade DSS05 – Gerenciar Serviços de Segurança DSS06 – Gerenciar Controles do Processo de Negócio Monitorar, avaliar e analisar MEA01 – Monitorar, Avaliar e Analisar Desempenho e Conformidade MEA02 – Monitorar, avaliar e analisar o Sistema de Controle Interno MEA03 – Monitorar, avaliar e analisar o Sistema de Controle Externo Fonte: COBIT 5 (2012) O COBIT também é caracterizado por ser um modelo que cobre vários outros modelos e padrões relacionados com a Governança e com o Gerenciamento de Serviços de TI como mostra a Figura 3. Figura 3 – Cobertura do COBIT de outros padrões e modelos Fonte: COBIT 5 (2012) Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 260 2.3 ITIL – Information Technology Infrastructure Li brary O ITIL (2012), é o mais reconhecido modelo de Gerenciamento de Serviços de TI (ITSM – Information Technology Service Management) no mundo. Nasceu de uma iniciativa do governo do Reino Unido na busca de um padrão para contratação de serviços de TI que resultassem numa maior eficiência, então documentou como as melhores e mais bem- sucedidas organizações abordavam o gerenciamento de serviços de TI. Entre o final dos anos 1980s e início dos anos 1990s foi produzido uma série de livros documentando uma abordagem para o gerenciamento de serviços de TI necessários para suportar os usuários de negócio. Essa biblioteca foiintitulada biblioteca de infraestrutura de TI. Figura 4 – Processos e Funções do ITIL Estratégia de Serviços Projeto de Serviços Transição de Serviços Operação de Serviços Melhoria Con nua de Serviços Gerenciamento da Estratégia Projeto de Coordenação Plano de Transição e Suporte Gerenciamento de Eventos Sete Passos de Melhoria Con nua Gerenciamento de Por ólio Gerenciamento Financeiro Gerenciamento da Demanda Gerenciamento do Relacionamento Empresarial Gerenciamento do Catálogo de Serviços Gerenciamento do Nível de Serviços Gerenciamento da Disponibilidade Gerenciamento da Capacidade Gerenciamento da Con nuidade Gerenciamento da Segurança Informação Gerenciamento de Fornecedores Gestão de Mudanças Gerenciamento de A vos e Configuração Gerenciamento de Liberação e Implantação Validações e Testes de Serviços Avaliação de Mudanças Gerenciamento do Conhecimento Gerenciamento de Incidentes Gerenciamento de Requisições Gerenciamento de Problemas Gerenciamento de Acesso Central de Serviços Gerenciamento Técnico Gerenciamento de Operações de TI Gerenciamento de aplicações Funções Fonte: ITIL (2012) As práticas de gerenciamento de serviços do ITIL estão incluídas num conjunto produtos e serviços. Os guias principais do ITIL consistem de seis publicações: • introdução às Práticas de Gerenciamento de Serviços ITIL; • estratégia de Serviços (Service Strategy); Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 261 • projeto de Serviços (Service Design); • transição de Serviços (Service Transition); • operação de Serviços (Service Operation); • melhoria de Serviços Contínua (Continual Service Improvement). O ITIL também é orientado à Processos. A força do ciclo de vida do ITIL reside no constante retorno que é fornecido em cada estágio do ciclo de vida. Este retorno assegura que a otimização dos serviços será gerenciado na perspectiva do negócio e a medida, em termos de valor para o negócio, deriva dos serviços em qualquer ponto e a qualquer tempo dentro do ciclo de vida dos serviços. Os principais Processos e Funções relacionadas com os macroprocessos do ITIL estão apresentadas na Figura 4, ao todo são 26 Processos e 4 Funções. 2.4 Gerenciamento de Processos Há diversas definições sobre Processos, uma das melhores definições no modo de ver de Paim, et al. (2009) é a apresentada por Zarifian, citado por Salerno (1999), que pode ser assim adaptada: uma cooperação de atividades e recursos voltados à realização de um objetivo global, orientado para o cliente final. Os processos são disparados pelos mais variados tipos de eventos e apresentam resultados que podem conduzir ao término do processo e/ou transferir o controle para outro processo. Eles se repetem de maneira recorrente dentro das empresas e seus desempenhos podem, e devem ser medidos e estão relacionados com o atingimento de seus objetivos globais em termos de qualidade, prazo de entrega, custos entre outros. Paim ainda distingue os processos em finalísticos, gerenciais e de suporte, como: • processos Finalísticos: Os resultados gerados são produtos e serviços para os clientes externos da organização; • processos Gerenciais: Este tipo de processos promovem o funcionamento da organização de seus processos; • processos de Suporte: São aqueles processos que prestam apoio aos demais processos da organização, ou seja, para os clientes internos. Os processos possuem responsáveis por seu desempenho global e responsáveis locais que monitoram e promovem ajustes em busca do melhor desempenho de suas partes constituintes. Os processos estão relacionados com os fluxos de objetos na organização, sejam Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 262 eles materiais, informações, conhecimento, ideias, capital, ou qualquer outro objeto que demande a coordenação do seu fluxo. Nas empresas com estrutura funcional por processo, aos processos cabe a execução dos fluxos de objetos enquanto às funções, ou unidades organizacionais, cabe a concentração do conhecimento por semelhança. Os Processos são objetos de controle e melhoria, eles são a organização em movimento e também uma estruturação para a ação, para a geração e entrega de valor. Para Paim, et al. (2009) Gestão de Processos é um conjunto articulado de tarefas permanentes para projetar e promover o funcionamento e o aprendizado sobre os processos. Estas tarefas podem ser agrupadas em: • desenhar processos com o objetivo de definir como os processos devem ser projetados para serem melhorados e implantados; • gerir os processos no dia-a-dia com o objetivo de assegurar a efetiva implementação dos processos e a realização de alocação de recursos para sua execução, bem como a realização de mudanças e adaptações de curto prazo; • promover a evolução dos processos e o constante aprendizado com o objetivo de registrar o conhecimento gerado sobre os processos e construir uma base para que seja criado conhecimento para sustentar a evolução dos processos. 2.5 Gerenciamento de Projetos Projeto, PMBOK (2013), é um conjunto de atividades temporárias, realizadas em grupo, destinadas a produzir um produto, serviço ou resultado únicos e Gerenciamento de Projetos é a aplicação de conhecimentos, habilidades e técnicas para a execução de projetos de forma efetiva. O PMI (Project Management Institute) é uma instituição internacional, sem fins lucrativos, de profissionais de Gerenciamento de Projetos com mais 2,9 milhões de membros ao redor do mundo. O PMBOK é um guia do conjunto de conhecimentos em Gerenciamento de Projetos do PMI, ele está na quinta edição. Ele contém as práticas fundamentais que todos os gerentes de projetos precisam para obter sucesso nos seus empreendimentos. Resumidamente o guia PMBOK apresenta 5 grupos de processos de gerenciamento de projetos que são: Iniciação; Planejamento; Execução Monitoramento e Controle e Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 263 Encerramento. O conhecimento em gerenciamento de projetos é composto de dez áreas: Gerenciamento da Integração; Gerenciamento de Escopo; Gerenciamento de Custos; Gerenciamento de Tempo; Gerenciamento de Qualidade; Gerenciamento de Recursos Humanos; Gerenciamento de Comunicações; Gerenciamento de Riscos; Gerenciamento de Aquisições; e Gerenciamento dos Envolvidos. 2.6 Sistema de Trabalho e Sistema de Informação Conforme definido por (Alter, 2008; Alter 2013), um Sistema de Trabalho, Figura 5, é um sistema no qual os Participantes humanos e/ou as máquinas executam trabalho (Processos e Atividades) usando Informações, Tecnologias e outros recursos para produzir Produtos e/ou Serviços para Clientes internos ou externos. Figura 5 – O Modelo de Sistema de Trabalho Fonte: Alter (2008); Alter (2013) O trapezoide que abrange o Trabalho (Processos e Atividades), Participantes, Informações e Tecnologias na Figura 6 indica que esses quatro elementos constituem o sistema que executa o trabalho. Soma-se a esses elementos internos, outros cinco elementos requeridos para o entendimento de um sistema de trabalho. O trabalho executado dentro do sistema pode ser resumido em termos de um ou mais Processos e Atividades. As Pessoas que executam algum Trabalho são os Participantes do Sistema de Trabalho. As Informaçõessão usadas e criadas pelos Participantes durante a Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 264 execução do Trabalho. Tecnologias incluem ferramentas (celulares, projetores, planilhas, etc.) e outras tecnologias que os Participantes utilizam durante a execução dos seus trabalhos. Os Clientes são as pessoas que recebem benefícios diretos dos Produtos e Serviços produzidos pelo Sistema de Trabalho, incluindo clientes externos e internos. Os Produtos e Serviços são a combinação de coisas físicas, informações e serviços que o Sistema de Trabalho produz. O Ambiente inclui os ambientes organizacional, cultural, competitivo, técnico e regulatório dentro do qual o Sistema de Trabalho opera. A Infraestrutura inclui os recursos humanos, informacional, material e técnico, que o Sistema de Trabalho precisa. Esses recursos devem existir, e são gerenciados fora do Sistema de Trabalho e compartilhados com outros Sistemas de Trabalho. A Estratégia utilizada pela empresa e a Estratégia utilizada pelo Sistema de Trabalho devem convergir e ajudar a justificar porque o Sistema de Trabalho opera do jeito que ele foi definido. A Enciclopédia Britânica (2013) define Sistema de Informação como sendo um conjunto de componentes integrados para coletar, armazenar e processar dados para entregar informação, conhecimento e produtos digitais. Os principais componentes de um Sistema de Informação são hardware, software, telecomunicação, banco de dados, data warehouses, recursos humanos e procedimentos. O hardware, software e telecomunicações constituem a Tecnologia de Informação (TI). Alter (2008) analisou diversas definições de Sistema de Informação (SI) e concluiu que ele constitui um caso especial de um Sistema de Trabalho. Sendo assim definiu que SI é um sistema no qual os Participantes humanos e/ou as máquinas executam trabalho (Processos e Atividades) usando Informações, Tecnologias e outros recursos para produzir Produtos e/ou Serviços de Informação para Clientes internos ou externos. 2.7 Outros Modelos e Padrões Relacionados ISO/IEC 38500:2008 – Governança Corporativa de Tecnologia de Informação O objetivo da ISO/IEC 38500 (2008), é fornecer uma estrutura de princípios para diretores (incluindo os proprietários, os membros do conselho de administração, diretores, parceiros e executivos seniores) para utilizar na avaliação, orientação e acompanhamento do uso de TI em suas organizações. Esta norma fornece uma estrutura de governança eficaz da TI para ajudar aqueles que estão no mais alto nível de organizações a compreender e cumprir as suas disposições Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 265 legislativas, regulamentares e obrigações éticas em relação ao uso de TI em suas organizações. O escopo da norma fornece para os diretores um guia de princípios para o uso eficaz, eficiente e aceitável de TI dentro de suas organizações. É aplicável a todas as organizações, desde as menores até as maiores, independentemente da finalidade, projeto ou estrutura de propriedade. ISO 31000 – Gestão de Riscos A norma ISO 31000 (2009) fornece os princípios e diretrizes genéricas para a gestão de riscos, ela pode ser utilizada por qualquer empresa pública, privada ou comunitária, associação, grupo ou individuo. Portanto, não é especifica para qualquer indústria ou setor. A norma ISO 31000 pode ser aplicada ao longo da vida de uma organização e a uma ampla gama de atividades, incluindo estratégias, decisões, operações, processos, funções, projetos, produtos, serviços e ativos, ela pode ser aplicada a qualquer tipo de risco, independentemente de sua natureza, quer tenha consequências positivas ou negativas. Esta norma fornece diretrizes genéricas, mas ela não pretende promover a uniformidade da gestão de riscos entre organizações. A concepção e a implementação de planos e estruturas para gestão de riscos precisarão levar em consideração as necessidades variadas de uma organização especifica, seus objetivos, o seu contexto, a sua estrutura, suas operações, seus processos, suas funções, seus projetos, seus produtos, seus serviços ou ativos e suas práticas especificas empregadas. Esta norma não substitui outras normas específicas, pretende-se que ela seja utilizada para harmonizar os processos de gestão de riscos tanto em normas atuais como em futuras normas. A norma ISO 31000 fornece uma abordagem comum para apoiar outras normas que tratem de riscos. TOGAF – The Open Group Architecture Framework O TOGAF (2009) é um modelo de arquitetura que fornece os métodos e ferramentas para ajudar na aceitação, produção, utilização e manutenção de uma arquitetura empresarial. Ele é baseado em um modelo de processo iterativo baseado nas melhores práticas e na reutilização do conjunto de arquitetura existente. A norma ISO/IEC 42010 (2011) define arquitetura como “A organização fundamental de um sistema, materializado em seus componentes, suas relações com os outros e com o ambiente, e os princípios que regem a sua concepção e evolução”. Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 266 O TOGAF abraça, mas não respeita rigorosamente, a terminologia da norma ISO/IEC 42010 (2011). Para o TOGAF, "arquitetura" tem dois significados dependendo do contexto: 1) Uma descrição formal de um sistema, ou um plano detalhado do sistema ao nível dos componentes para orientar sua aplicação; 2) A estrutura dos componentes, suas inter-relações, e o princípios e diretrizes que regem a sua concepção e evolução ao longo do tempo. Existem 4 (quatro) domínios de arquitetura que são aceitos como subconjuntos de uma arquitetura empresarial: • a Arquitetura de Negócios define a estratégia da empresa, governança, organização e os processos chaves dos negócios; • a Arquitetura de Dados descreve a estrutura lógica e física dos dados de uma organização e recursos para gerenciamento dos dados; • a Arquitetura de Aplicações fornece um modelo para os sistemas de aplicação individuais serem implantados, suas interações e seus relacionamentos com os principais processos de negócio da organização; • a Arquitetura Tecnológica descreve a capacidade dos softwares e hardwares que são necessários para apoiar a implantação de negócios, dados e serviços de aplicações. Isso inclui a infraestrutura de TI, software de apoio, redes, comunicações, processamento, normas, etc. PRINCE2 – Projects IN Controlled Environments PRINCE2, de acordo com PRINCE2 (2009) e MURRAY (2011), é um método universal para gerenciar um projeto independente da escala, complexidade, cultura, nível de inovação ou geografia do projeto. Trata-se de um método universal porque ele baseia-se em sete princípios que, se aplicadas, irão maximizar a capacidade do projeto ser bem sucedido. Os princípios são muitas vezes considerados como "guia de obrigações" de boa conduta ou prática. O PRINCE2 é baseado em um conjunto de princípios (derivado de lições aprendidas de projetos bons e ruins) que fornecem um quadro de boas práticas para as pessoas envolvidas com o projeto. Os sete princípios do PRINCE2 são aqueles que um projeto deve: • ter justificativa contínua do negócio (princípio de justificação de negócio); • aprender com experiências anteriores: as lições são procuradas, registrados e colocadas Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163/ v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 267 em ação durante toda a vida do projeto (princípio da aprendizagem a partir da experiência); • ter as funções e responsabilidades definidas e acordadas dentro de uma estrutura de organização que envolva os interesses da empresa, usuários e fornecedores (princípio das funções e responsabilidades definidas); • ser planejada, monitorada e controlada em todas as fase do projeto (princípio do gerenciamento por estágios); • ter definido as tolerâncias para cada objetivo do projeto para estabelecer os limites de delegação de autoridade (princípio de gerenciamento por exceção); • focar na definição e entrega de produtos, em especial as suas exigências de qualidade (princípio do foco em produtos); • ser adaptado para se adequar o projeto ao meio ambiente, tamanho, complexidade, importância, capacidade e risco (princípio da adaptabilidade). Uma base de boa governança em projeto é obtida usando o PRINCE2 em conformidade com seus 7 (sete) princípios ISO/IEC 27000 – Sistema de Gestão da Segurança da Informação A família ISMS (Information Security Management Systems – Sistemas de Gerenciamento da Segurança da Informação – de acordo com ISO/IEC 27000 (2014) tem a intensão de orientar as organizações de todos os tipos e tamanhos na implementação e operação de um Sistema de Gerenciamento de Segurança da Informação. A família de normas ISO/IEC 27000 consiste de várias normas internacionais, sob o título geral “Tecnologia de Informação – Técnicas de Segurança”. A Figura 6 apresenta o relacionamento entre as normas da família ISMS. Um ISMS fornece um modelo para o estabelecimento, implementação, operação, monitoramento, revisão, manutenção e melhoria da proteção dos ativos de informação para alcançar os objetivos do negócio com base em uma avaliação de risco e a aceitação dos níveis de riscos projetados da organização para tratar efetivamente e gerenciar os riscos. Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 268 Figura 6 – Relacionamento entre as normas da família ISMS Fonte: Disterer (2013) Analisar os requisitos para a proteção dos ativos de informação e aplicar controles apropriados para assegurar a proteção dos ativos de informação, conforme necessário, contribui para o sucesso da implementação de um SGSI. Os seguintes princípios fundamentais também contribuem para o sucesso da implementação de um SGSI: a) consciência da necessidade de segurança da informação; b) a atribuição de responsabilidade para a segurança da informação; c) incorporar comprometimento da gerência e dos interesses das partes interessadas; d) reforçar os valores sociais; e) as avaliações de risco determinar os controles apropriados para atingir níveis aceitáveis de risco; Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 269 f) a segurança incorporada, como um elemento essencial das redes e dos sistemas de informação; g) prevenção ativa e detecção de incidentes relacionados à segurança das informações; h) assegurar uma abordagem abrangente para a gestão da segurança da informação; e i) uma constante reavaliação da segurança da informação e fazer as alterações conforme o caso. Segurança da Informação inclui três dimensões principais: confidencialidade, disponibilidade e integridade. Com o objetivo de garantir sucesso nos negócios de forma sustentada, garantindo a continuidade e minimizando os impactos, a segurança da informação envolve a aplicação e gestão de medidas de segurança adequadas que envolve apreciação de uma ampla gama de ameaças. CMMI – Capability Maturity Model Integration Existem três modelos CMMI, Phillips e Shrum (2011). Parte de cada modelo compartilha práticas muito parecidas com as práticas dos outros dois porque essas práticas são aplicáveis a qualquer negócio. Porém, cada modelo possui práticas únicas por terem focos diferentes. O modelo CMMI para Aquisição é projetado para empresas que trabalham com fornecedores para montar produtos ou fornecer serviços. Este modelo se concentra na criação efetiva de solicitações, contratos de fornecimento, em efetivamente reunir e comunicar os requisitos para fornecedores, no monitoramento das atividades e dos artefatos dos fornecedores, e em garantir que os resultados dos fornecedores atendam as necessidades dos usuários finais. O modelo CMMI para Desenvolvimento é projetado para empresas que têm como foco o desenvolvimento de produtos e serviços. Este modelo se concentra em detalhes sobre a conversão das necessidades dos clientes em requisitos para serem utilizados pelos desenvolvedores, em efetivamente integrar os componentes do produto no produto ou serviço final, em realizar a análise técnica e o desenvolvimento dos trabalhos para projetar o produto ou serviço, e assegurar que o trabalho desenvolvido atenda as necessidades dos usuários finais e as especificações elaboradas durante o projeto. O modelo CMMI para Serviços é projetado para empresas que têm como foco a criação, gestão e prestação de serviços. Este modelo se concentra em detalhes sobre o Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 270 planejamento, gestão de capacidade e disponibilidade de serviços, no tratamento das reclamações e problemas, no planejamento para interrupções de serviços, em decidir quais os serviços prestar, e assegurar que tudo está no lugar para oferecer um serviço, incluindo pessoas, processos, materiais e equipamentos. ISO/IEC 20000:2005 – Sistema de Gerenciamento de Serviços de Tecnologia da Informação Segundo APMG-International (2012), A família ISO/IEC 20000, publicado pela primeira vez em 2005, é o padrão internacional para o gerenciamento de serviços de TI. Ela é publicada pela ISO (International Organization for Standardization), com sede em Genebra, e tem sido utilizada mundialmente. Ela descreve um conjunto integrado de processos de gerenciamento para a prestação eficaz de serviços de TI para empresas e clientes. A norma é baseada, e substitui, o BS 15000 - um padrão desenvolvido pela British Standards Organization. Ele se baseia nas melhores práticas contidas no framework do ITIL e é compatível com outras abordagens de gerenciamento de serviços de TI, incluindo os componentes do COBIT. Tudo isto está contido dentro de um sistema de gestão da qualidade que se alinha com outras normas pertinentes, tais como a ISO 9001 (2008) e ISO/IEC 27000 (2014), etc. O padrão é composto por várias partes. A Parte 1, ISO/IEC 20000-1 (2011), é a especificação formal e detalha os requisitos para um sistema de gerenciamento de serviços que permita que o prestador de serviços cumpra os requisitos do serviço e forneça valor tanto para o cliente quanto para o provedor de serviços. A Parte 2, ISO/IEC 20000-2 (2012), fornece orientação sobre a aplicação do sistema de gerenciamento de serviços. Ele descreve as melhores práticas para o gerenciamento de serviços dentro do escopo da norma e fornece mais detalhes sobre os processos que as organizações devem seguir para alcançar os requisitos estabelecidos na Parte 1. A Parte 3, ISO/IEC 20000-3 (2012), dá orientações sobre definição de escopo e aplicabilidade da norma. Isso é necessário para ajudar a compreender as, muitas vezes complexas, cadeias de suprimento envolvidasno gerenciamento de serviços de TI, em especial onde há muitas áreas de processos e funções terceirizadas. Várias outras partes completam essas três com orientações e informações sobre aspectos específicos e uso do padrão. Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 271 3. Modelo de Governança de TI Enxuta Proposto O modelo de Governança de TI Enxuta proposto (Figura 7), é suportado inicialmente pelos conhecimentos e boas práticas de Gerenciamento de Processos, Pain (2009), BPM CBOK (2013), Alter (2008), Alter (2013), organizados em três blocos: 1) Promover a Governança dos Processos, 2) Promover o Planejamento, Evolução e Transição dos Processos e 3) Promover a Operação e a Gestão do Dia a Dia dos Processos. Os processos nos três níveis são norteados pelos Princípios, Ferramentas e Roteiro de Implementação do Pensamento Enxuto, em especial TI Enxuta (BELL E ORZEN, 2011). Figura 7 – Modelo de Governança de TI Enxuta Fonte: Os Autores (2014) As boas práticas de Gerenciamento de Processos não são exclusividades da área de TI, muito pelo contrário, devem estar disseminadas por toda a organização, e a área de TI tem a obrigação de aderir a essas boas práticas uma vez que elas sejam definidas como uma diretriz da organização. O primeiro bloco da Figura 7, Promover a Governança dos Processos, visa o alinhamento dos processos de TI com o direcionamento estratégico do negócio. A revisão dos processos de TI deverá estar alinhado com o macro processo empresarial e atender as políticas, aos padrões, a metodologia e as ferramentas definidas nesse nível. Contudo, há diretrizes de TI que devem ser consideradas e também devem ser obedecidas por toda a organização, e nesse sentido, as boas práticas de Governança Empresarial de TI do COBIT e Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 272 do ISO/IEC 38500 (2008) e parte relacionada á governança da Gestão de Riscos do ISO 31000 (2009), devem ser levadas em conta, como evidenciado no primeiro bloco da Figura 7. Este bloco é o que está mais ligado à “Governança Empresarial” e com a TI Enxuta voltada para fora, ou seja, é onde fica claro como TI irá agregar valor ao Negócio, balanceando os riscos e a utilização dos recursos, monitorando e demonstrando os resultados de forma transparente. O segundo bloco da Figura 7, Promover o Planejamento, Evolução e Transição dos Processos, asseguram que os processos de TI adotarão os padrões e metodologias definidas para serem aplicadas durante as mudanças dos processos. Ao mesmo tempo é necessário adotar boas práticas ligadas à excelência operacional de TI, e por essa razão nesse segundo bloco é destacado as boas práticas dos processos: Planejar, Construir e Monitorar Gerenciamento Empresarial de TI do COBIT, dos processos: Estratégia, Projeto e Transição de Serviços de TI do ITIL e ISO/IEC 20000-2 (2012), os processos de Gerenciamento de Projetos do PMBOK e PRINCE2, a Gestão da Arquitetura Empresarial do TOGAF, a Segurança da Informação do ISO 27000 (ISO, 2009), o Desenvolvimento de Produtos e Serviços do CMMI e a Gestão de Riscos do ISO 31000 (2009), entre outros modelos e padrões. O terceiro bloco da Figura 7, Promover a Operação e a Gestão do Dia a Dia dos Processos, garantem que os processos assim que implementados serão gerenciados no dia a dia e que serão continuamente melhorados. Esta prática é válida para todos os processos da empresa, inclusive os processos de TI. E para TI também existem boas práticas referenciadas nos processos: Executar e Monitorar o Gerenciamento Empresarial de TI do COBIT, a Operação e a Melhoria Contínua de Serviços de TI do ITIL. A Gestão do Dia a Dia gera informações e evidências que devem ser refletidas em indicadores de controle. Essa base histórica e indicadores são insumos que irão auxiliar nas correções de problemas e nas melhorias dos processos. A utilização do Pensamento Enxuto em todos os níveis privilegia os aspectos comportamentais, culturais, as pessoas, os clientes, através da aplicação dos princípios do pensamento enxuto e de suas ferramentas na prática. O pensamento enxuto se faz presente desde o nível estratégico, alinhando com a organização como a área de TI agregará valor para a empresa e seus clientes, qual o nível de prestação de serviços de TI é necessário para atender aos requisitos do negócio. Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 273 O pensamento enxuto aplicado à TI passa pela excelência operacional de TI onde os processos que agregam valor serão desdobrados em suas respectivas cadeias de valor para identificar e eliminar desperdícios, mesmo quando esses processos sejam baseados em boas práticas aceitas pelo mercado como o COBIT, ITIL e PMBOK, entre outras, pois essas boas práticas não são manuais de uso e sim referências que servem de base, mas precisam ser adequadas ao uso de cada organização. 4. Considerações Finais Quando se fala de governança, e isso inclui a governança empresarial de TI, é mandatório a sua ligação com o nível estratégico, pois essa é a natureza da governança. A governança, entre outras coisas, busca o alinhamento estratégico entre todos os processos, de todas as áreas, em todos os níveis. Isso significa na prática que as políticas, padrões, normas, conformidades de governança empresarial de TI norteiam as ações de TI, mas também norteiam as ações de todas as áreas funcionais da organização. Por outro lado, a área de TI, seus processos e serviços também são norteados pela governança financeira, pela governança de recursos humanos, ou seja, por todos os aspectos relacionadas à governança empresarial. O artigo apresentou no seu referencial teórico várias disciplinas, algumas delas são válidas para todas as áreas funcionais da empresa e que também devem ser aplicadas à TI para ganhar sinergia entre as áreas. Entre essas disciplinas citamos o gerenciamento de processos, o pensamento enxuto, o sistema de trabalho, o gerenciamento de projetos, o gerenciamento da segurança de informação e o gerenciamento de riscos. Também foram apresentadas disciplinas ligadas a TI, como são os casos da governança empresarial de TI, gerenciamento de serviços de TI, gestão da arquitetura empresarial e gestão de desenvolvimento de produtos e serviços de TI. Algumas das disciplinas apresentadas tratam do mesmo assunto, como são os casos de governança de TI com o COBIT 5 (2012), ISO 38500 (2008) e ISO 31000 (2009), o gerenciamento de serviços de TI com o ITIL (2012), COBIT (2012) e a ISO 20000-1 (2011), e o gerenciamento de projetos com o PMBOK e PRINCE 2. Também foram apresentadas disciplinas que são superficialmente tratadas no COBIT e no ITIL, mas são exploradas mais profundamente em material específicos como o TOGAF para arquitetura empresarial, CMMI para desenvolvimento de produtos e serviços, ISO 27000 (ISO, 2009) para segurança de informação e o PMBOK e PRINCE2 para gerenciamento de Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 274 projetos. Os padrões e metodologias estão amadurecidos, mas como mencionado por Bell e Orzen (2011), muitos projetos de TI ainda estão relacionados com altos valores de investimentos e baixos resultados para o negócio. O Modelode Governança de TI Enxuto reforça a importância que deve ser dada as Pessoas, aos aspectos comportamentais, e os princípios do pensamento enxuto dão suporte para isso. O Sistema de Trabalho, (ALTER, 2008; ALTER, 2013), enfatiza o Cliente no topo da pirâmide, que demanda produtos e serviços. Produtos e serviços que são entregues através de Processos. Processos que entendam as reais necessidades e desejos dos clientes e entreguem aquilo que os clientes enxergam valor. O modelo de Governança de TI Enxuta proposto inicia com uma visão geral dos processos, organizados em três blocos. O primeiro bloco para alinhar TI com o negócio através dos processos ligados a governança, o segundo bloco para promover as mudanças nos processos de forma efetiva e o terceiro bloco para garantir e melhoria contínua dos processos. Em paralelo aos processos estão os princípios, ferramentas e roteiro de implantação do pensamento enxuto. Pois é através dos Processos que os produtos e serviços serão entregues, mas é através das Pessoas que os Processos serão executados e que a transformação enxuta será concretizada. As tecnologias e metodologias complementam o modelo, aplicando as boas práticas relacionadas com os modelos e padrões de referência apresentados, promovendo os ajustes necessários para adequar essas práticas as necessidades e perfil de cada organização. O modelo de Governança de TI Enxuta está sendo aplicado em uma indústria mecânica da região norte catarinense, em breve novas descobertas serão divulgadas sobre a aplicação e sobre o amadurecimento do modelo proposto. Referências ALTER, S., Work System Theory: Overview of Core Concepts, Extensions, and Challenges for the Future. Journal of the Association for Information Systems Vol. 14, Issue 2, pp. 72-121, February 2013. ALTER, S., Defining Information Systems as Work Systems: Implications for the IS Field, Published in European Journal of Information Systems, 17(5), pp. 448- 469. Oct. 2008. APMG-International, ISO/IEC 20000 White Paper, Buckinghamshire, UK, APMG International, 2012. BELL, S. C.; ORZEN, M. A. Lean IT: Enableing and Sustaining Your Lean Transformation, 1st. Edition, New York: Productivity Press, 2011. 349p. BPM CBOK. Guia para o Gerenciamento de Processos de Negócios: Corpo Comum de Conhecimento, Versão 3.0 – 1ª Edição. ABPMP: Association of Business Process Management Professionals, 2013. COBIT 5. A Business Framework for the Governance and Management of Enterprise IT, ISACA, 2012. Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 275 COSTA R. S. e JARDIM E. G. M. Os cinco passos do Pensamento Enxuto, Rio de Janeiro, 2010. 10p. Disponível em: <http://www.trilhaprojetos.com.br/home/node/114>. Acessado em: 06 jun. 2014. DENNIS, P. Produção Lean Simplificada: um guia para entender o sistema de produção mais poderoso do mundo, 2a edição, Porto Alegre, RS, Bookman, 2008. 190p. DISTERER, Georg, ISO/IEC 27000, 27001 and 27002 for Information Security Management, Scientific Research, Journal of Information Security, 2013, 4, 92-100. ENCICLOPÉDIA BRITÂNICA On-line, Disponível em: <http://www.britannica.com/>. Acesso em: 15 set. 2013. FERNANDES, A. A., ABREU, V. F. de. Implantando a Governança de TI: da estratégia à gestão dos processos e serviços, 4a edição, Rio de Janeiro, Brasport, 2014, 630p. GREEF, A. C., FREITAS, M. do C. D., BARRETO, F. Lean Office: Operação, Gerenciamento e Tecnologias, São Paulo, SP, Atlas, 2012, 224 p. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION – ISO. ISO/IEC 20000-1. Information technology -- Service management -- Part 1: Service management system requirements, Second Edition, Switzerland, ISO/IEC, 2011. _____. ISO/IEC 20000-2. Information technology -- Service management -- Part 2: Guidance on the application of service management systems, Second Edition, Switzerland, ISO/IEC, 2012. _____. ISO/IEC 20000-3. Information technology -- Service management -- Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1, First Edition, Switzerland, ISO/IEC, 2012. _____. ISO/IEC 27000. Information technology — Security techniques — Information security management systems — Overview and vocabulary, First Edition, Switzerland, ISO/IEC, 2014. _____. ISO 31000. Risk management -- Principles and guidelines, First Edition, Switzerland, ISO, 2009. _____. ISO/IEC 38500, Corporate governance of Information Technology, First Edition, Switzerland, ISO/IEC, 2008. _____. ISO/IEC 42010. Systems and Software Engineering – Architecture Description, First Edition, Switzerland, ISO/IEC, 2011. _____. ISO 9001. Quality management system - Requirements, Fourth Edition, Switzerland, ISO/IEC, 2008. ITIL. An Introductory Overview of ITIL 2011. Published by TSO (The Stationery Office), 2012. KOTTER, J. P., Leading Change, Boston, Massachusetts, Harvard Business School Press, 1996, 187p. LIB – Lean Institute Brasil. Disponível em: <http://www.lean.org.br/o_que_e.aspx>. Acesso em 12, fevereiro, 2014. MURRAY, Andy, PRINCE2 and Governance, Best Management Practice, White Paper November 2001, The Stationery Office, 2011. PAIM, R., CARDOSO, V., CAULLIRAUX, H., CLEMENTE, R. Gestão de Processos: Pensar, Agir e Aprender. Porto Alegre: Bookman Editora, 2009. PRINCE2, Managing Successful Projects with PRINCE2, Published by TSO (The Stationery Office) with permission of the OGC (Office of Government Commerce), UK, 2009. PHILLIPS, M., SHRUM S. Which CMMI Model Is for You? Pittsbourgh, PA, Software Engineering Institute, Carnegie Mellon University, 2011. Centro Universitário SOCIESC - UNISOCIESC Joinville, Santa Catarina, Brasil ISSN 2237-5163 / v. 05, n. 02: p. 250-276, ano 2015 DOI 10.14521/P2237-5163.2015.0008.0003 Recebido 14/05/2015; Aceito 18/09/2015 276 PMBOK. A Guide to the Project Management Body of Knowledge (PMBOK Guide) – Fifth Edition, 2013. PMI – Project Management Institute, Inc. SALERNO, M. Projeto de organizações integradas e flexíveis: processos, grupos e gestão democrática via espaços de comunicação-negociação. São Paulo: Atlas, 1999. TAPPING, D., SHUKER, T. Lean Office: Gerenciamento do fluxo de valor para áreas administrativas,1a Edição, São Paulo, SP, Leopardo Editora, 2010, 186 p. TOGAF. The Open Group Arquitecture Framework, Version 9, The Open Group, 2009.
Compartilhar