A governação em tecnologias de informação

António Ferreira
Solutions Architect da Colt Portugal

1 – Adaptando a governação em TI’s às soluções de tecnologias de informação de hoje
Introdução
Uma gestão eficaz das TI’s desempenha um papel vital que permite  às organizações a maximização do valor obtido por via das TI’s.  A melhoria  do alinhamento entre os serviços das TI’s e as necessidades do negócio asseguram que os riscos relacionados com as tecnologias de informação são visíveis e geridos de forma eficaz.
As soluções de TI’s que sustentam a oferta de serviços empresariais estão em mudança, existe uma  crescente dependência dos fornecedores de serviços externos como complemento das capacidades de TI’s in-house. Esta é uma tendência que tende a manter-se à medida que cresce o interesse nos serviços baseados em cloud computing.
As empresas estão a reconhecer as vantagens deste tipo de serviços e, naturalmente, pretendem aproveitar os benefícios da sua utilização. Porém, esta gestão apresenta um novo desafio que precisa de ser ultrapassado antes que os benefícios possam ser visíveis.
Esta reflexão explora as diferenças entre os serviços in-house e o recurso aos serviços externos numa perspectiva de governação e sugere formas de como as estruturas e actividades de governação das TI’s precisam de ser adaptadas de modo a permanecerem eficazes.

Definição de governação de TI’s
A governação de TI’s pode ser definida como:
– Processo de decisão sobre o que as TI’s deveriam fazer em termos de priorização dos requisitos para novas ou modificadas
— Infra-estruturas de TI’s (inclui infra-estruturas físicas, pessoal e serviços de fornecedores externos)
— Aplicações empresariais

– Mantendo o contexto em que estas decisões são tomadas
— Princípios das TI’s, i.e. segurança da informação e conformidade com as normas e regulamentação
— Arquitectura das TI’s (organização lógica de dados, aplicações e infra-estrutura)

– Alocação de recursos (principalmente dinheiro e tempo do pessoal mas também bens e instalações) para atingir os objectivos definidos.

O papel da governação das TI’s na relação com as outras actividades que precisam de ser desempenhadas para a prestação de serviços de TI’s é exposto no seguinte diagrama de hierarquias:

No nível mais baixo estão as actividades operacionais regulares, como backups e manutenção dos data centers necessários para o fornecimento de serviços de TI’s. No nível acima às operações de TI’s surgem os processos de gestão de serviços como a gestão de incidentes. Estes processos são necessários de modo a manter a qualidade do serviço definido no acordo de nível de serviço e que corresponde às necessidades da empresa. Estes são frequentemente denominados de processos ITIL (IT Infrastructure library) porque um número crescente de organizações faz uso das boas práticas de ITIL para a gestão de serviços de TI’s.
O papel da governação de TI’s na relação aos processos ITSM é tomar decisões que não podem ser tomadas ao nível do processo individual, quer por exigirem recursos adicionais para além dos que estão orçamentados quer por terem efeito em mais do que um processo de gestão de serviço. Algo que nem sempre é reconhecido é que ter processos ITIL é um requisito para uma governação de TI’s eficaz mas o ITIL não fornece, por si só, um quadro de governação. É necessária uma linha de governação que contenha um processo de tomada de decisões, estruturas e de responsabilização que se situe acima da linha ITSM.

2 – Porque precisa de mudar a governação de TI’s?
As decisões de governação de TI’s no que diz respeito a mudanças na infra-estrutura, aplicações empresariais novas ou modificadas e propostas de melhorias nos processos são, na maior parte dos casos, respostas a propostas provenientes de processos ITSM. Por exemplo, o plano de capacidades desenvolvido no processo de gestão de capacidades contém propostas de alterações na infra-estrutura de TI’s a fim de responder a uma necessidade de acréscimo (ou redução) das capacidades ou para melhorar a relação preço/desempenho. Da mesma forma, propostas de aplicações empresariais novas ou modificadas provêm do processo de gestão do portfolio de serviços. Esta dinâmica está patente no seguinte diagrama:

A governação de TI’s também recebe informação sobre o desempenho do processo de gestão do serviço desenvolvido pela função de TI. Os relatórios de KPI’s (indicadores chave de desempenho) podem ser utilizados para mostrar quais os processos que estão a funcionar bem e aqueles que podem precisar de mais recursos para serem mais eficazes. A combinação do processo de informação de desempenho e as propostas de alterações funciona para as actividades que podem ser realizadas in-house pela função de TI’s. Porém, é necessária uma abordagem diferente quando os serviços provêm também de um fornecedor externo. E neste caso, é o fornecedor que desempenha quase todos os processos de gestão do serviço (ITIL).
Os únicos processos ITIL que uma organização precisa de realizar em relação aos serviços externos são a gestão de fornecedores e a gestão do nível de serviço. As propostas de alterações e processos de informação de desempenho são agora abordados no processo de governação do fornecedor do serviço e não da organização que utiliza o serviço. Em alguns aspectos, tal não é importante. Uma das principais razões para a utilização de um serviço externo é remover a necessidade de desenvolver e gerir as actividades envolvidas na sua prestação, mas isto não significa que a organização que adquire o serviço possa abdicar da sua responsabilidade de governação. É necessário assegurar que os serviços prestados oferecem valor acrescentado, estão alinhados com as necessidades do negócio e que os riscos associados à sua utilização são geridos correctamente. A governação de TI’s tem de ser capaz de gerir serviços externos de modo tão eficiente como os disponibilizados in-house. Para se decidir a melhor forma de adaptar a governação de TI’s ao fornecimento de serviços externos é necessário entender primeiro qual a informação necessária sobre esses serviços de modo a permitir às organizações tomarem boas decisões de governação sobre a sua utilização.

3 – Tomar decisões sobre serviços externos

O IT Governance Institute define 5 áreas de foco no processo de governação:

A avaliação do desempenho fornece informação que é utilizada no processo de governação na priorização e tomada de decisões como foi explicado atrás. A gestão de recursos é a actividade que leva em linha de conta as necessidades de recursos para as mudanças propostas e aloca estes recursos quando a decisão é tomada sobre quais deles deverão ter prioridade e aprovação. As restantes três áreas de foco são critérios genéricos de decisões que o processo de governação tem de tomar. Vamos então olhar o que significa isto de forma prática de modo a identificar-se a informação necessária para os serviços externos fornecidos.

3.1. Avaliação de desempenho
– Nível de serviços acordados, documentados nos acordos de nível de serviço, deverá estar disponível para os serviços externos. Relatórios de desempenho real sobre o serviço em funcionamento serão normalmente disponibilizados pelo fornecedor do serviço. Isto disponibiliza informação útil para o processo de governação. Por exemplo, se o nível de serviço acordado é constantemente alvo de falhas e o fornecedor não resolve o problema, a decisão de governação poderá passar pela substituição do fornecedor ou trazer este serviço de volta ao modelo in-house.

3.2. Gestão de recursos – Os recursos exigidos para os serviços externos são habitualmente, por natureza, de carácter financeiro. Porém, poderá haver custos adicionais ao preço do serviço, como por exemplo, a necessidade de formação para dotar os colaboradores de novas competências. Todos os custos deste tipo precisam de ser identificados e estar incluídos no plano de negócio para ser alvo de análise no processo de governação.

3.3. Entrega de valor – Os dois principais critérios mais valiosos são os custos e a qualidade do serviço. Tal como abordámos, estes dois devem estar disponíveis pelo  fornecedor do serviço externo

3.4. Alinhamento estratégico –  De modo geral, o critério mais importante para avaliar o alinhamento dos serviços com a estratégia do negócio é aquele que diz respeito à capacidade de lidar com as mudanças – agilidade (a que velocidade?), escalabilidade (para cima ou para baixo), flexibilidade (mudança para qualquer direcção) e elasticidade (mudanças podem ser facilmente revertidas). Ou seja, é necessário ter informação sobre estas características dos serviços externos. É igualmente fundamental que isto seja alvo de revisão antes da tomada de decisão sobre a utilização de um serviço em particular. Esta análise deverá incluir não apenas a capacidade do fornecedor modificar o serviço em si mesmo mas também a flexibilidade do contrato com o fornecedor. Idealmente, o contrato deverá ser desenhado para permitir diversos tipos de mudanças que possam ser antecipadas e quaisquer custos associados (por exemplo uma mudança de preço devido a uma variação de volume) deverão estar claramente definidos e acordados.

3.5. Gestão de riscos – A gestão de risco é a actividade que é desenvolvida a dois níveis na hierarquia das actividades de TI’s – dentro dos processos de gestão de serviços de TI’s e enquanto parte da governação de TI’s. Ao nível da gestão do serviço, o seu principal foco reside nos custos operacionais, coisas que possam causar degradação ou interrupção dos serviços disponibilizados aos utilizadores finais. Os dois processos de gestão do serviço que respondem a isto são a gestão da disponibilidade e a gestão da continuidade do serviço de TI’s. A gestão de risco ao nível da governação deverá fazer a supervisão da gestão de risco operacional e assegurar que os riscos estão a ser geridos de acordo com o tipo de risco aceite pela organização. Deverá responder também a outras categorias de risco, principalmente o risco tecnológico (assegurando que a nova tecnologia é implementada de forma apropriada, nem muito cedo, nem muito tarde), e o risco de desenvolvimento do serviço (assegurando que existe capacidade para desenvolver serviços novos ou já existentes em resposta às necessidades do negócio). E no caso da gestão dos riscos do fornecimento de serviços externos? Neste caso, vamos olhar para as diferentes categorias de riscos:
– Risco operacional – A gestão do risco operacional do serviço em si mesmo é preocupação do fornecedor. Mas de que forma pode a organização saber que o fornecedor está a cumpri-lo de forma eficaz? É necessária informação da parte do fornecedor que dê garantias de que tal está a ser cumprido. E isto pode significar informação sobre a disponibilidade operacional do serviço no passado e detalhes sobre a resiliência do mesmo.
– Risco tecnológico – Riscos do serviço externo causados por mudanças tecnológicas são principalmente a maior preocupação do fornecedor. A escolha da tecnologia está sob o seu controlo. Porém, a adopção de nova tecnologia pelo fornecedor poderá fornecer uma oportunidade para melhorias no serviço (i.e. melhorias no desempenho no armazenamento). Ou seja a atitude do fornecedor na utilização de nova tecnologia é algo na qual a organização poderá estar interessada. E isto está relacionado com a característica flexibilidade de que se referiu anteriormente.
– Risco de desenvolvimento do serviço – A capacidade para desenvolver um serviço existente ou criar novos serviços em resposta a mudanças nas necessidades do negócio está sob controlo do fornecedor mas isto é uma preocupação válida para a organização. Ou seja, é necessária informação sobre este assunto, por exemplo, informação sobre o que o fornecedor fez no passado e os planos futuros de desenvolvimento do serviço.
Além destas 3 categorias de risco, a utilização de serviços externos introduz outros riscos completamente novos e a que a governação tem de estar atenta. E aqui estamos a referir-nos a:
. Maturidade do serviço
. Estabilidade do fornecedor
. Risco de integração do serviço (facilidade ou dificuldade de integração no ambiente operacional)
. Segurança da informação
É necessária informação sobre estes níveis de riscos antes do processo de governação de TI’s tomar uma decisão sobre a utilização de um serviço em particular. Partindo da discussão anterior, é claro que, em muitos critérios utilizados na tomada de decisões de governação de TI’s, é necessária informação adicional para a externalização de serviços. A próxima questão a que é necessário responder é qual a melhor forma de garantir que esta informação está disponível. O que é necessário é uma forma que garanta que isto é obtido enquanto parte integrante do processo de governação em si mesmo. A Colt propõe que tal possa ser obtido envolvendo directamente os fornecedores externos nas actividades de governação de TI’s da organização.

4 – Como adaptar o modelo de governação de TI’s?
Utilizamos o termo “modelo de governação de TI’s” para nos referirmos ao processo de governação de TI’s, papéis e responsabilidades dos indivíduos e às estruturas organizacionais especializadas necessárias.

Uma estrutura típica de governação de TI’s está patente na figura  abaixo. É preciso ter em conta que nem todas as organizações terão algo que denominados de Enterprise Architecture Committee ou IT Investment Committee. Terão sim formas de tomarem decisões sobre qual deverá ser a arquitectura empresarial (processos de negócio e os sistemas de TI’s e os serviços para os suportarem) e quais os investimentos em TI’s que deverão fazer. Em alguns casos, estas decisões poderão ser tomadas individualmente mas é provável que haja antes o envolvimento de um grupo definido de indivíduos e em algumas organizações isto será formalizado enquanto estrutura. Seja ou não uma estrutura formal, é necessário que as decisões sejam tomadas de forma informada quando falamos de serviços externos.

O Enterprise Architecture Committee (EAC) é responsável por documentar a arquitectura e rever todos os pedidos de alterações e qualquer excepção (mudanças em não conformidade sem alterações à arquitectura em si mesmo). A arquitectura empresarial compreende a arquitectura de TI’s (informação, aplicações e infra-estrutura) e arquitectura de processos do negócio. Este grupo é constituído essencialmente por representantes do negócio e de TI’s. O IT Investment Committee (IC) é responsável pela tomada de decisões na alocação dos recursos. Decisões da EAC para aprovação de excepções ou mudanças de arquitectura seguem normalmente para o IC para análise das implicações ao nível dos recursos antes da aprovação final. Este grupo recebe e analisa também pedidos de alterações de recursos no âmbito de processos de gestão de serviços na forma de planos de capacidade, disponibilidade, etc. Esta estrutura funciona bem em actividades de TI’s desenvolvidas in-house utilizando recursos detidas pela organização.
O diagrama seguinte mostra a adaptação de estrutura proposta e os respectivos papéis para gerir de forma eficaz os serviços externos em complemento ao trabalho in house.

As principais alterações são três:
1 – Pedidos de alterações ou de novos serviços externos passam pelo EAC – Os serviços disponibilizados por um fornecedor externo carecem de governação. Tal como foi observado, é necessário recolher informação adicional de modo a que o efeito dos serviços novos ou modificados no alinhamento estratégico e riscos sejam avaliados para suporte das decisões de governação. Consideramos que o EAC está idealmente posicionado para este tipo de análises. Os seus membros incluem especialistas que entendem a arquitectura de TI’s e a forma como os serviços externos poderiam ou deveriam interagir com eles. O EAC já dá apoio a outros tipos de pedidos passando-os depois ao Investment Committee. Pedidos de alterações e de novos serviços externos seriam tratados da mesma forma.
2 – Fornecedor do serviço – Membros do EAC – indivíduos com profundos conhecimentos sobre serviços externos precisarão de ser envolvidos no processo de avaliação de modo a que ele seja eficaz. É por isso proposto que especialistas técnicos de fornecedores de serviços externos sejam convidados a integrar o EAC. Tal permitiria que os representantes sejam responsabilizados pela disponibilização de toda a informação adicional necessária para a avaliação. Em vez do pessoal técnico estar a despender tempo a recolher a informação, passará a estar imediatamente em condições para, conjuntamente com o especialista do fornecedor, discutirem com os restantes membros todas as implicações.
No caso de uma empresa não ter um Enterprise Architecture Committee ou estrutura similar, a Colt poderá ajudar a empresa na sua implementação, de modo a que possa ter capacidade para avaliar plenamente a interacção entre os serviços Colt e os outros componentes da arquitectura da empresa. Caso uma empresa utilize outros fornecedores, a Colt ficará muito satisfeita em convidá-los igualmente a participarem. O nosso objectivo é ajudar as empresas a obterem o melhor valor dos serviços que disponibilizamos e apenas podemos fazê-lo num fórum que leve em linha de conta toda a arquitectura da empresa.
3 – Fornecedor do serviço – Representantes assistem a reuniões do Investment Committee – Existem certos tipos de serviços externos para os quais seria benéfico ter representantes do fornecedor do serviço nas reuniões do Investment Committee. Nomeadamente quando decisões de governação tomadas pela organização podem ter custos ou impacto nos recursos do fornecedor ou vice-versa. Esta situação existe com os serviços fornecidos por um fornecedor externo que dependam de activos das organizações como por exemplo a infra-estrutura de TI’s. Por exemplo, nova tecnologia poderá ficar disponível e se implementada poderá significar benefícios operacionais para o fornecedor do serviço ao reduzir o tempo necessário da equipa para fornecer o serviço.
Neste caso, há decisões de gestão de recursos interdependentes para serem tomadas pela organização e pelo fornecedor do serviço. Ao ter representantes do fornecedor do serviço a assistir a reuniões do Investment Committee poderá permitir que este tipo de decisões possa ser tomado mais rápido e eficazmente.

Conclusão
Com as soluções de TI’s a serem cada vez mais uma combinação das capacidade in-house e dos serviços disponibilizados por fornecedores externos é necessário explorar formas de garantir que a governação das TI’s continua a ser eficiente. Caso isto não seja assegurado, a utilização de serviços externos poderá ter efeitos inesperados e indesejados como por exemplo, a redução da flexibilidade dos serviços de TI’s disponibilizados aos utilizadores e um acréscimo do risco. Este documento propõe uma abordagem que poderá não implicar maiores custos ou esforços na gestão dos processos de governação das TI’s. Sempre que componentes significativos de soluções de TI’s sejam disponibilizados por fornecedores externos, a eficácia da governação poderá ser assegurada através do envolvimento directo dos fornecedores. Tudo o que é necessário, são ajustamentos simples ao modelo de governação e a vontade dos fornecedores em participarem. De facto, se esta abordagem for seguida, a vontade em participar tornar-se-á num critério de selecção de um fornecedor de serviços externos.

Com o apoio e aconselhamento adequados, as empresas portugueses estarão em condições de migrar para soluções ajustáveis e acessíveis, adaptadas ao ritmo de cada uma e sem perdas do controlo sobre os processos e activos do negócio. As empresas receberão toda a visibilidade necessária para optimizarem as tecnologias de informação, controlarem os custos e gerirem os riscos de forma eficiente. As organizações responderão assim rapidamente a mudanças nas necessidades do negócio, aproveitando as oportunidades de mercado à medida que vão crescendo.




Deixe um comentário

O seu email não será publicado