Se você está começando como Gestor de TI, ou pensa em se tornar um, receba dicas para ter sucesso nessa posição (é grátis)!

ISO 9001 e TI – O melhor dos dois mundos

ISO 9001 e TI

ISO 9001 e TI, aproveite o modo de gestão proposto por essa norma, tão comumente encontrada em nossas empresas e esteja pronto para certificações específicas em nossa área.

Nesse artigo mostrarei como poderá seguir alinhado com o escritório de qualidade de sua empresa, estar preparado para uma certificação ISO 20000 ou ISO 27001 e principalmente, lhe apresentarei uma forma como gerenciar melhor sua área de TI.

 

Falando um pouco sobre normas

A série de normas ISO foram criadas pela Organização Internacional de Padronização (ISO), com o objetivo de melhorar a qualidade de produtos e serviços.

Para esse post trataremos mais detidamente das normas ISO 9001, 20000 e 27001:

ISO 9001

Uma questão frequente é qual a diferença entre ISO 9000 ou 9001?

Na verdade, no tocante à gestão da qualidade, a ISO 9000 é o conjunto composto pelas normas ISO 9000, 9001, 9004 e 19011:

  • ISO 9000: é a norma que regulamenta os fundamentos e o vocabulário do Sistema de Gestão da Qualidade, portanto, ela não é capaz de orientar ou certificar o sistema, mas mostrar à organização qual o seu objetivo e os termos que devem ser aplicados, bem como, suas vantagens para a gestão da qualidade.
  • ISO 9001: orienta sobre a qualidade dos produtos, bem como o seu desenvolvimento, produção, instalação e manutenção. É uma das normas mais específicas e mostra como deve ser cada processo da empresa.
  • ISO 9004: estabelece as orientações básicas para a implantação do sistema de gestão da qualidade.
  • ISO 19011: apresenta as diretrizes para auditorias de sistema de gestão.

Portanto a norma que nos interessa para esse post é a ISO 9001.

No momento em que escrevo esse post, a versão vigente é a ABNT NBR ISO 9001:2015.

Como ainda não tive contato algum com essa nova versão, nesse post ainda levarei em consideração a ISO 9001:2008.

Os certificados na versão 2008 possuem validade até Setembro de 2018. Após essa data, os certificados serão expirados automaticamente. Novos certificados na versão 2008 poderão ser emitidos até Dezembro de 2016. A partir de Janeiro de 2017 só serão emitidas novas certificações na versão 2015.

Base para a implementação de um SGQ (Sistema de Gestão da Qualidade) ou QMS (Quality Management System).

ISO 20000

A norma ISO 20000 é um conjunto que define as melhores práticas de gerenciamento de serviços de TI.

A norma é composta por partes:

  • ISO 20000-1: é a especificação formal e define os requisitos para um sistema de gerenciamento de serviços.
  • ISO 20000-2: orienta sobre a aplicação de sistemas de gerenciamento de serviços, incluindo as melhores práticas para os processos de gerenciamento de serviços no escopo da ISO 20000-1.
  • ISO 20000-3: contém orientações sobre a definição do escopo e aplicabilidade da Parte 1.

Seu desenvolvimento foi baseado na BS 15000 (British Standard), com o objetivo de ser compatível com o ITIL (Information Technology Infrastructure Library).

ISO 20000-1:2011 ITIL V3
4 Requisitos gerais para o sistema de gestão de serviços
4.1 Responsabilidade da direção SS – Gerenciamento da Estratégia, Vários processos CSI
4.2 Governança de processos operados por outras partes SD – Gerenciamento de Fornecedor, SD – Gerenciamento do Nível de Serviço
4.3 Gerenciamento de documentação Vários processos SS, SD, ST
4.4 Gerenciamento de recursos SS – Gerenciamento da Estratégia, Vários processos SD, SO, CSI
4.5 Estabelecimento e melhoria do SGS Vários processos SS, SD, CSI
5 Desenho e transição de serviços novos ou modificados
5.1 Geral Vários processos ST
5.2 Planejar serviços novos ou modificados Vários processos SS, SD, ST
5.3 Desenho e desenvolvimento de serviços novos ou modificados Vários processos SD, ST
5.4 Transição de serviços novos ou modificados Vários processos ST
6 Processo de fornecimento de serviço
6.1 Gerenciamento de nível de serviço SD – Gerenciamento do Nível de Serviço
6.2 Relatos de serviço CSI – Relatório de Serviço
6.3 Gerenciamento de continuidade e disponibilidade de serviço SD – Gerenciamento da Continuidade do Serviço de TI, SD – Gerenciamento da Disponibilidade
6.4 Orçamento e contabilização para serviços SS – Gerenciamento Financeiro
6.5 Gerenciamento da capacidade SS – Gerenciamento da Demanda
6.6 Gestão da segurança da informação SD – Gerenciamento de Segurança da Informação
7 Processos de relacionamento
7.1 Gerenciamento de relações de negócio SS – Gerenciamento de Relacionamento com o Negócio
7.2 Gerenciamento de fornecedores SD – Gerenciamento de Fornecedor
8 Processos de resolução
8.1 Gerenciamento de incidentes e requisições de serviço SO – Gerenciamento de Incidente, SO – Cumprimento de Requisição
8.2 Gerenciamento de problemas SO – Gerenciamento de Problema
9 Processos de controle
9.1 Gerenciamento da configuração ST – Gerenciamento da Configuração e de Ativo de Serviço
9.2 Gerenciamento de mudanças ST – Gerenciamento de Mudança
9.3 Gerenciamento de liberação e implantação ST – Gerenciamento de liberação e Implantação
Legendas:
  SS – Service Strategy / Estratégia de Serviço
  SD – Service Design / Desenho de Serviço
  ST – Service Transition / Transição de Serviço
  SO – Service Operation / Operação de Serviço
  CSI – Continuous Service Improvement / Melhoria Continua de Serviço

Sua primeira edição ocorreu em dezembro de 2005.

A versão vigente é a ABNT NBR ISO/IEC 20000-1:2011.

É requisito para implementação de um SGS (Sistema de Gerenciamento de Serviços de TI) ou SMS (Service Management System).

ISO 27001

A norma ISO 27001 corresponde ao padrão e referência internacionais para a gestão da Segurança da informação.

Foi publicada pela primeira vez em Outubro de 2005 e substituiu a norma BS 7799-2 (British Standard).

A versão vigente é a ABNT NBR ISO/IEC 27001:2013

É requisito para implementação de SGSI (Sistema de Gerenciamento de Segurança da Informação) ou ISMS (Information Security Management System).

Relacionamento entre Requisitos das Normas e Processos ITIL

Desenvolvi uma planilha com o relacionamento entre os requisitos das normas ISO 9001, 20000, 27001 e os processos ITIL, para aqueles que pretendem algum dia aproveitar a documentação desenvolvida para atender requisitos de uma norma em outra ou outras normas.

Requisitos Normas x ITIL

 

Padronização

O que o escritório de qualidade de sua empresa espera de você (TI), é que padronize sua área e que atenda ao requisito 6.3 Infra-estrutura da norma.

Para isso você:

  1. Definirá metas a serem atingidas em seus processos/produtos
  2. Definirá procedimentos que garantirão o atingimento dessas metas
  3. Manterá registros que comprovarão a execução de seus procedimentos
  4. Manterá registros de planos de ação para correção de possíveis não-conformidades identificadas em seus processos

Logicamente que você deverá seguir o que o manual de qualidade de sua empresa define para a padronização de sua área, mas você deverá ter em mente, que toda documentação a ser desenvolvida, sempre que possível, deverá ser baseada nas documentações sugeridas pelas normas e frameworks que nos interessam.

Dessa forma você matará dois coelhos como uma única cajadada: mantendo o alinhamento com o escritório da qualidade e se preparando para futuras possíveis certificações nas normas relacionadas a nossa área.

Na padronização de sua área, basicamente você utilizará o ciclo SDCA (Standard, Do, Check and Action), que nada mais é do que o gerenciamento de sua rotina.

PDCA e SDCA

Como uma boa referência para os ciclos PDCA e SDCA, recomendo a leitura do livro do Prof Falconi, Gerenciamento da Rotina do Trabalho do Dia-a-Dia.

Objetivo deste livro é prover um roteiro de fácil entendimento para que cada brasileiro possa melhorar o seu gerenciamento. Para tanto, são aplicadas algumas técnicas modernas de comunicação, como o uso intenso de diagramas, da itemização e das palavras-chaves. O livro, de fácil leitura, é aplicável às mais diferentes áreas da administração, produção, serviços ou manutenção e tem sido, certamente, um fator que impulsiona o Movimento de Qualidade no Brasil.

Em seu livro, o Prof Falconi sugere uma sequência de procedimentos a serem seguidos para o bom gerenciamento da rotina do trabalho do dia a dia de qualquer processo:

  1. Faça a descrição de seu negócio
  2. Defina seus produtos prioritários (o que toma mais tempo, o que dá mais trabalho etc)
  3. Faça o fluxograma de cada processo, começando sempre pelo produto prioritário (ou crítico)
  4. Promova a padronização das tarefas prioritárias
  5. Defina os itens de controle
      – para cada produto do seu negócio (qualidade, custo, entrega e segurança)
      – para as pessoas que trabalham no seu negócio (moral e segurança)
  6. Defina as metas para cada item de controle, consultando seus clientes de cada produto e as necessidades da empresa
  7. Vá estabelecendo seus valores de benchmark
  8. Faça gráficos para os seus itens de controle
  9. Padronize cada processo
  10. Gerencie. Atinja as metas
      – para as metas padrão rode o SDCA
      – para as metas de melhoria rode o PDCA

Esse é o caminho das pedras da gestão de qualquer processo. Com TI não é diferente.

Importante lembrar que o Prof. Falconi, dentre diversas outras atividades, é membro do Conselho de Administração da Ambev desde 1997. A Ambev segue essa cartilha e é o que é em termos de gestão.

 

Traduzindo para a TI

Como mencionei anteriormente, o importante é atender a ISO 9001, utilizando sempre que possível as documentações indicadas pelos frameworks que já utilizamos em nossa área.

Passo 1: Faça a descrição de seu negócio

Esse passo é também conhecido como a descrição da UGB (Unidade Gerencial Básica). Não há nada nos frameworks semelhante a esse documento, mas é um excelente exercício no entendimento de sua área.

Aqui o exemplo do livro:

UGB

1.Negócio: na parte central na caixa “Negócio” escreva o nome do seu departamento. Por exemplo: “Departamento de TI”.

2.Missão: ainda na parte central na caixa “Missão” escreva a missão de seu departamento. Por exemplo: “Oferecer as melhores soluções em tecnologia da informação e comunicação, visando satisfazer integralmente as necessidades de nossos clientes com criatividade, inovação, flexibilidade e agilidade agregando valor e mantendo-os no foco de seus negócios.”.

3.Pessoas: liste apenas as pessoas que estão sob sua autoridade.

4.Equipamentos: liste os equipamentos mais importantes para o fornecimento de seus serviços.

5.Produtos: na coluna “Produtos”, liste os produtos que você provê. Aqui você deve listar ao menos os principais serviços e produtos de seu catálogo de serviços e produtos, ou portfólio de serviços, excluindo logicamente os propostos e obsoletos.

6.Clientes: na coluna “Clientes”, liste seus clientes para cada produto/serviço listado no ítem anterior.

7.Insumos: na coluna “Insumos”, liste os insumos utilizados na prestação de serviços ou geração de produtos de seu negócio, ou seja, os produtos recebidos de seus fornecedores.

8.Fornecedores: na coluna “Fornecedores”, liste os fornecedores de cada insumo.

Passo 2: Defina seus produtos prioritários

A escolha aqui é bastante particular. Você pode ter um serviço “default” que é 100% prioritário para seu negócio e deve ser listado, ou mesmo, ter um serviço com alta prioridade, que por algum motivo, não queira levar em consideração nessa avaliação.

O que você deve ter em mente, é que a partir dessa escolha, serão derivados seus “itens de controle (KPIs)”. Caso você inclua algo sem relevância, você terá trabalho adicional desnecessário.

Uma estratégia adicional é incluir nessa lista, os serviços cuja a qualidade que você está entregando, esteja aquém do desejado.

Passo 3: Faça o fluxograma de cada processo

Comece pelo seu principal produto, ou por aquele que esteja tendo problema na entrega. Aquele que a qualidade esteja inferior à esperada. Descreva o processo desde a solicitação, aprovações, execução, até sua entrega ao cliente.

Verifique com o escritório da qualidade, qual a forma que esse fluxograma deverá ser elaborado.

Mais um exemplo extraído do livro do mestre Falconi.

UGB

O fluxograma é o início da padronização. Utilizamos fluxogramas com dois objetivos principais:

  • Garantir a qualidade
  • Aumentar a produtividade

Passo 4: Promova a padronização das tarefas prioritárias

Essa é a tarefa mais penosa para o profissional de TI: descrever o passo a passo de suas tarefas do dia a dia.

Pra que fazer isso, se eu sei exatamente o que tenho que fazer? Pra que eu preciso descrever o que tenho que fazer, se está tudo nos manuais?

Falei frases como essas no passado e venho ouvindo isso minha vida toda.

Uma das grandes vantagens na documentação das principais tarefas de nosso dia a dia, é a facilidade em transmitir a rotina para novos contratados ou mesmo para terceiros temporários.

Esse documento é conhecido por diversos nomes: procedimento operacional padrão (POP), instrução de trabalho (IT), manual de treinamento (MT) etc.

Tarefas prioritárias são aquelas que:

  • Se houver um pequeno erro, afetam fortemente a qualidade do serviço/produto
  • Já ocorreram acidentes no passado
  • Ocorrem problemas na visão dos responsáveis pela tarefa

Um exemplo de POP extraído do livro do Prof. Falconi.

UGB

Importante lembrar que o trabalho só estará completamente padronizado, quando todos os técnicos envolvidos na operação, tiverem sido treinados na execução da tarefa.

Para o controle dos treinamentos, interessante utilizar uma matriz de responsabilidade. A nossa conhecida matriz RACI, onde:

  • R – Responsável pela execução da tarefa
  • A – Autoridade que responde pelo bom andamento da tarefa (só pode haver uma autoridade por tarefa)
  • C – Consultado em caso de tomada de decisão sobre a execução da tarefa
  • I – Informado quando a tarefa for executada

Um exemplo:

Matriz RACI

Mantenha os registros de treinamento dos envolvidos na operação de cada tarefa. Com a assinatura de cada participante.

Passo 5: Defina os itens de controle

Para cada serviço/produto identificado devemos medir sua qualidade intrínseca. Comece pelos prioritários.

Itens de Controle são nossos conhecidos KPIs (Key Performance Indicators), que são os indicadores da qualidade dos serviços/produtos sobre nossa responsabilidade.

Para que você chegue a um valor de KPI, é necessário que você colete valores em seu processo, que juntos indicarão o nível de qualidade de entrega.

Tais valores são chamados “Itens de Verificação”, ou para nós de TI, “Métricas Operacionais”.

Sugiro a leitura do post “KPIs ITIL simplificados usando COBIT”, onde explico como extrair dos livros COBIT e ITIL os KPIs de forma simplificada.

Para cada “Item de Controle (KPI)” e seus respectivos “Itens de Verificação (Métricas Operacionais)”, você deve manter documentação sobre suas definições.

Definição de KPIs

Passo 6: Defina as metas para cada item de controle

Não sei como são definidas as metas em sua empresa. Em geral as metas são definidas pela alta direção ou mesmo pelo seu próprio gerente ou diretor.

E logicamente para aqueles itens de controle (KPIs) que afetam diretamente o serviço entregue aos seus clientes, as metas virão pelos “ANS – Acordos de Nível de Serviço” ou “SLA – Service Level Agreements”.

Não entrarei em muitos detalhes neste post sobre ANS/SLA, mas recomendo que leiam o excelente post do Renê Chiari do blog ITSM na Prática: 5 passos para definir um bom Acordo de Nível de Serviço (SLA).

Independentes de onde virão, as metas serão os direcionadores de toda padronização e possíveis projetos de melhoria que virão.

Passo 7: Vá estabelecendo seus valores de benchmark

É sempre importante para um gestor, reconhecer que alguém tem valores melhores que os dele, para processos semelhantes em situações semelhantes ou próximas as dele.

Se você encontrar valores melhores que os seus, procure saber como esses resultados foram conseguidos. Faça uma avaliação e veja se vale a pena copiar. Se valer a pena, copie. Depois você tenta superá-lo.

Existem várias fontes onde você pode encontrar dados para utilizar como “benchmark” para seus processos:

  • Literatura técnica
  • Concorrentes
  • Fabricantes, fornecedores ou distribuidores de equipamentos ou softwares
  • Congressos
  • Consultores

Passo 8: Faça gráficos para os seus itens de controle

Você tem o histórico de paradas de um determinado serviço. Você sabe quando parou e quando retornou. Há uma grande variação no tempo de duração de cada parada. Algumas vezes retorna dentro do SLA, algumas vezes não.

Algumas perguntas vem a sua cabeça:

  • Quantas paradas retornaram dentro do SLA e quantas fora?
  • Nas paradas que demoraram mais tempo que o SLA estabelecido, quais foram os motivos da demora?
  • Será que houve algum indicador, ou tendência que indicasse que haveria uma parada fora do SLA, de forma que eu pudesse agir antes dessa parada?
  • O meu processo está controlado?

Existem conceitos que são amplamente utilizados em ambientes industriais, com resultados surpreendentes no tocante a controle de processos, que nós de TI em geral não fomos treinados para utilizar e muitas vezes os rejeitamos, por acharmos que são conceitos de difícil implementação.

Estou falando de CEP – Controle Estatístico de Processo.

Não se assuste. Na verdade o que você terá que entender, é apenas como avaliar gráficos.

O mais básico deles é um gráfico sequencial de linha, com limites superior e inferior, que pode ser facilmente construído utilizando o Excel.

A mágica está na interpretação do gráfico. Esse assunto por si só, já seria assunto para diversos posts, mas aqui vai uma pequena introdução ao conceito:

O básico: processo sob controle estatístico

O processo está sujeito apenas à atuação de causas comuns de variação, por isso é considerado estável e previsível. Nestes casos, dizemos que o processo está sob controle estatístico.

Processo estatisticamente controlado

o processo está sujeito à atuação de causas comuns e especiais de variação, por isso é considerado instável e imprevisível. Nestes casos, dizemos que o processo está fora de controle estatístico.

Processo instável

Interpretação dos gráficos de controle

1) Pontos Fora dos Limites de Controle

Pontos fora dos limites de controle podem ocorrer em consequência de erros de registro de dados, erros de cálculo ou de medição, ação incorreta realizada por algum técnico ou defeitos em equipamentos.

Pontos Fora dos Limites de Controle

2) Periodicidade

A periodicidade está presente, quando a curva traçada no gráfico apresenta repetidamente uma tendência para cima e para baixo, em intervalos de tempo que têm aproximadamente a mesma amplitude.

Periodicidade

Alguns exemplos de causas especiais que podem provocar o surgimento da periodicidade são mudanças sistemáticas nas condições ambientais causando paradas em links de comunicação, cansaço dos técnicos, time de técnicos alocados nos períodos necessitam de reciclagem em seus conhecimentos.

3) Sequência

Uma sequência é uma configuração em que sete ou mais pontos consecutivos do gráfico, aparecem em apenas um dos lados da linha média.

Sequência

Uma sequência indica uma mudança no nível do processo, que pode resultar, por exemplo, da introdução de novos técnicos, padrões operacionais e de mudanças na habilidade, atenção ou motivação dos técnicos.

4) Tendência

Uma tendência é uma configuração em que sete ou mais pontos consecutivos da carta de controle apresentam um movimento contínuo ascendente ou descendente.

Tendência

As tendências são geralmente provocadas pela deterioração gradual de equipamentos, mas também podem ser devidas a fatores humanos, tais como cansaço de técnicos ou presença de supervisores.

Podem ainda indicar rotinas automatizadas que não estão sendo executadas, como arquivamentos de caixas de e-mail. VMs Java que não estão executando corretamente o “garbage collection”.

Como mencionei anteriormente, há muito a ser apresentado em relação a esse assunto.

As avaliações estatísticas são extremamente úteis no CEP, porém o custo de licenciamento de softwares estatísticos é proibitivo.

Existe um poderoso software estatístico open-source, chamado “R”, que para nós de TI se torna fácil seu uso, com algum estudo da ferramenta.

Seguem alguns links de um de meus blogs mais antigos, que podem ajudar aqueles que queiram se aprofundar no assunto: http://adsystemsblog.audits.com.br/category/r-project/

Passo 9: Padronize cada processo

Todo gestor deve estabelecer um padrão gerencial para o processo relativo a cada produto, por exemplo: desenvolvimento de aplicações, atendimento a usuários, telecomunicações etc.

O PGS – Padrão Gerencial do Sistema é a representação do fluxo de informações e tarefas dentro de um determinado processo e as diversas áreas envolvidas, distribuído pelas etapas do ciclo PDCA.

Cada etapa do fluxograma poderá corresponder a um ou mais procedimentos operacionais padrão. O conjunto formado pelo PGS e pelos procedimentos operacionais padrão formam o manual do sistema de gestão do processo em questão.

Mais um exemplo extraído do livro do Prof. Falconi:

PGS

Assim como existe o padrão gerencial do sistema, também há um padrão técnico, chamado PTP – Padrão Técnico do Processo.

O PTP é o documento que contém todos os parâmetros técnicos, necessários para a execução e fornecimento de um serviço ou produto.

Este documento contém as instruções sobre os parâmetros que devem ser ajustados e os valores das características da qualidade que devem ser atingidos em cada processo, de tal forma que os clientes (internos e externos) fiquem satisfeitos.

No nosso mundo TI, esse documento deverá representar basicamente os processos, SLAs contratados, possíveis ajustes a serem feitos e procedimentos a serem seguidos para atingir as metas de qualidade.

PTP

Passo 10: Gerencie. Atinja as metas

Aqui não há muito mais a dizer. Rode o ciclo SDCA no dia a dia e ao identificar possíveis melhorias nos processos, rode o ciclo PDCA.

Se você atingiu sua meta, grande possibilidade que há espaço para uma melhoria. Procure sempre novas metas e novos desafios com foco na melhoria contínua.

 

Gostou do post?

Gostaria muito de saber sua opinião sobre o conteúdo através de um comentário seu logo aqui abaixo.

Caso ele tenha sido útil para você, aproveite para compartilhá-lo com um amigo ou amiga que precise de idéias como essas para ajudar em seu dia a dia.

Se quiser que avise sempre que houver uma atualização, deixe seu email abaixo.

Informe seu email e clique no botão ENVIAR!

Até o próximo post!

2 Comments

Add a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *