Utilizando o CobiT e o Balanced Scorecard como instrumentos para o Gerenciamento de Níveis de Serviço Win Van Grembergen, http://www/isaca.org Tradução de Fátima Pires (
[email protected]) Na economia atual voltada a prestação de serviços, as organizações cada vez mais se apóiam em terceiros para a obtenção de um grande número de serviços na área de Tecnologia da Informação (TI). No entanto, estas organizações não estão normalmente satisfeitas com a qualidade dos serviços recebidos e algumas vezes são dependentes de terceiros cujo futuro é incerto, especialmente neste período caracterizado por economias em declínio. Este artigo mostra como as organizações podem responder a este problema através de acordos de nível de serviço (SLA – Service Level Agreemet) e gestão de níveis de serviço (SLM – Service Level Management), apoiados por mecanismos tais como o modelo CobiT (Control OBjectives for Information and related Technology) e o Balanced Scorecard (BSC). A principal conclusão deste artigo é que um processo adequado de SLM deveria ser instalado nas organizações e então, para evitar problemas de recebimento de serviços não satisfatórios, alguns níveis de serviço deveriam ser expressos em termos do negócio. Implementar um processo de SLM não é uma tarefa fácil e rápida. Uma abordagem utilizando mecanismos tais como o CobiT e o BSC podem ajudar na definição ou aprimoramento do SLAs. Definições De acordo com o Foundations of Service Level Management, SLM é “a metodologia disciplinada e pró-ativa e os procedimentos utilizados para garantir que os usuários de TI recebam serviços com nível adequado de qualidade, de acordo com as prioridades do negócio, a um custo aceitável.” O instrumento principal para o SLM é o acordo de nível de serviço (SLA). “Um acordo de nível de serviço é um contrato escrito entre o fornecedor do serviço e o cliente deste serviço. O objetivo do SLA é estabelecer metas mensuráveis de desempenho a fim de se ter um entendimento comum da natureza e do nível de serviço desejado” de acordo com o International Federation of Accountants. De forma geral, existem três tipos básicos de SLA: doméstico, externo e interno. As diferenças entre estes tipos estão nas partes envolvidas na definição dos acordos: -
doméstico: acordo negociado entre, por exemplo, o departamento de TI e os outros departamentos da mesma empresa.
-
externo: acordo entre um fornecedor externo (terceirizado) e a empresa.
-
interno: acordo utilizado pelo fornecedor para medir o desempenho dos grupos dentro do seu próprio setor.
Independente do tipo de acordo, este deve ser sempre negociado com uma equipe multidisciplinar com representação equilibrada entre o grupo de usuários e o fornecedor do serviço. Muitos entendem que estas negociações devem resultar em acordos “soma-zero”, ou seja, obtenção de serviços com alto nível de qualidade a um custo mínimo (por parte do usuário) e concebidos com um mínimo de esforço e margem de lucro máxima (por parte do fornecedor). Buscar o equilíbrio entre estas duas posições é crucial, mas, ao mesmo tempo, uma tarefa difícil para um SLM e SLAs efetivos. Um SLA é uma necessidade entre o fornecedor de serviço e o seu usuário já que um serviço pode ser considerado “bom” ou “ruim” apenas se este serviço está claramente descrito. Além disso, o acordo formaliza as necessidades e expectativas da empresa e serve como um tipo de garantia
para ambas às partes. Desta forma, prováveis mal-entendidos são minimizados e é possível uma visão mais clara das prioridades do serviço e da sua disponibilidade. Alguns componentes essenciais de um acordo são: participantes do acordo, definições da terminologia utilizada, prazos, escopo, assunto, limitações, objetivos dos níveis do serviço (disponibilidade, desempenho, níveis de carga, segurança, manutenção, qualidade), indicadores de níveis de serviço, impactos do mau desempenho, mecanismos de preço, termos de pagamento, procedimentos de segurança, procedimentos de auditoria, funções e responsabilidades, serviços opcionais, relatórios, administração, revisões/atualizações, propriedade, aspectos legais e homologações. Os indicadores de níveis de serviço especificam as métricas e estatísticas que serão utilizadas para medir os níveis de serviço. Além disso, devemos definir quem exatamente irá executar a atividade de medir e como isto será feito. No registro das métricas, é importante coletar as métricas objetivas (os números) assim como também as métricas subjetivas (tais como a percepção do grupo de usuários finais) que podem ser muito diferentes das estatísticas objetivas. Da mesma forma, as cláusulas de problemas de desempenho definem o que acontece se o fornecedor do serviço não atender os objetivos do SLA como estabelecidos (avisos, ações corretivas, penalidades financeiras). Os procedimentos e processos de revisão e atualização deveriam ser incluídos para permitir a identificação e adequada implementação de qualquer mudança solicitada, como, por exemplo, outros indicadores, novas tecnologias, novos requisitos organizacionais ou de serviço e mudanças na estratégia da organização. Revisões periódicas nos acordos são fatores chaves de sucesso já que as organizações e seus serviços são dinâmicos por natureza. É importante ressaltar que um SLA completo não existe. Sempre existirão certas cláusulas secretas para os fornecedores se apoiarem quando os serviços fornecidos ficarem abaixo dos níveis estipulados. Como conseqüência, muitas organizações se sentem ludibriadas pelo fato de que seus SLA's não os protegem efetivamente contra tudo e então começam a acusar o fornecedor pela qualidade do serviço e SLAs não confiáveis. No entanto, eles esquecem que quanto maior o escopo do SLA, maior o custo da prestação do serviço. Um SLA equilibrado é um compromisso entre as necessidades, expectativas e requisitos da organização (grupo de usuários) e a capacidade de fornecimento do serviço e promessas do fornecedor. Ao mesmo tempo, um SLA precisa proteger o fornecedor limitando suas responsabilidades legais e gerenciando racionalmente as expectativas do usuário. CobiT, SLM e SLAs O CobiT, desenvolvido pelo IT Governance Institute, inclui o framework CobiT que define 34 processos de TI, distribuídos em 4 domínios de TI; (1) Planejamento e Organização (PO), (2) Aquisição e Implementação (AI), (3) Delivery e Suporte (DS) e (4) Monitoramento (M) (http://www.isaca.org). O CobiT define um nível mais alto de objetivos de controle para cada processo e de 3 a 30 objetivos de controle mais detalhados. Os objetivos de controle contém declarações dos resultados desejados ou metas a serem alcançadas na implementação de procedimentos de controle específicos dentro de uma atividade de TI e fornecem uma política clara para o controle de TI na empresa. Um dos processos de TI identificados no framework é o de “Definição e Gerenciamento de Níveis de serviço” do domínio Delivery e Suporte (DS). Segue-se um resumo dos objetivos de controle deste processo de TI: Objetivo de controle de alto nível: Controle sobre os processos de TI, definindo e gerenciando níveis de serviço que satisfaçam os requisitos do negócio para estabelecer um entendimento comum do nível de serviço desejado.
Este objetivo é possível pelo estabelecimento de SLAs que formalizam os critérios de desempenho a partir dos quais a quantidade e qualidade do serviço serão medidos. Devem ser levados em consideração: acordos formais definição de responsabilidades tempos de resposta e volumes garantia de integridade acordos de discrição critérios de satisfação do cliente análise de custo/benefício dos níveis de serviço exigidos monitoramento e notificações Objetivos de controle detalhados (resumo): - Framework de SLA - Aspectos de SLAs - Procedimentos de desempenho - Monitoramento e notificações - Revisão de SLAs e contratos - Itens contábeis - Programas de melhorias de serviço Estes objetivos de controle dão ênfase à importância de um modelo de SLA e a necessidade de acordo nos componentes de um SLA. Procedimentos de desempenho, monitoramento e controle devem ser estabelecidos e os contratos devem ser revisados regularmente. Para atender as necessidades gerenciais de controle e medição de TI, o CobiT fornece para os 34 processos de TI, diretrizes contendo ferramentas de avaliação e medição do ambiente de TI da organização. O Management Guidelines inclui modelos de maturidade (MM), fatores críticos de sucesso (CSFs), indicadores chaves de metas (KGIs) e indicadores chaves de desempenho (KPIs) para cada processo. Um modelo de maturidade é um método de avaliação que permite a uma organização graduar a sua maturidade para um determinado processo, de não-existente (0) até otimizado (5) e assim avaliar-se quanto as melhores práticas e padrões do mercado. Dessa forma, as deficiências podem ser identificadas e ações específicas podem ser definidas para se atingir as posições desejadas. Pode-se mover para um nível mais alto quando todas as condições descritas em um determinado nível de maturidade são cumpridas. O modelo de maturidade para o processo “Definição e Gerenciamento de Níveis de serviço” está resumido abaixo: Nível 0: Não existente A gerência não reconhece a necessidade de um processo para a definição de SLAs Nível 1: Inicial/ad hoc Existe a conscientização da necessidade de se gerenciar SLAs, mas o processo é informal Nível 2: Repetitivo e intuitivo Existem SLAs acordados, mas são informais e não são revisados. O relatório de nível de serviço é incompleto. Nível 3: Processo definido O processo de SLA está instalado com pontos de controle para reavaliação dos níveis de serviço e satisfação do cliente. Nível 4: Gerenciado e medido
Medidas de desempenho refletem cada vez mais as necessidades do usuário final e não somente os objetivos de TI. Nível 5: Otimizado Os níveis de serviço são continuamente reavaliados para garantir alinhamento de TI e os objetivos do negócio. O Management Guidelines também fornece os fatores críticos de sucesso (FCSs), os KGIs (key goal indicators) e os KPIs (key performance indicators) que podem ser úteis quando do esforço para se alcançar um certo nível de maturidade. Os fatores críticos de sucesso são os elementos mais importantes que uma organização deve ter como meta para contribuir com o processo de TI no cumprimento de seus objetivos. KGIs são elementos de negócios indicando “o quê” deve ser cumprido. Eles representam os objetivos do processo de TI. Os KPIs são orientados a processo, focando no “como”, e indicando quão bem os processos de TI permitem que o objetivo seja alcançado. Os FCSs, KPIs e KGIs para o processo “Definição e Gerenciamento de Níveis de serviço” estão resumidos abaixo: Fatores Críticos de Sucesso -
-
-
-
Os níveis de serviço são expressos nos termos de negócio do usuário final, sempre que possível. Análise das causas deve ser executada sempre que o nível de serviço acordado não seja atendido. Habilidades e ferramentas estão disponíveis para fornecer informações sobre o nível de serviço periodicamente A dependência em TI de processos críticos de negócio está definida e coberta pelas SLAs. As responsabilidades de TI estão ligadas aos níveis de serviço. A área de TI pode identificar as fontes de variação de custos. Esclarecimentos detalhados e consistentes sobre as variações de custo estão disponíveis. Um sistema para o acompanhamento de mudanças individuais está disponível.
KGIs -
-
-
Declaração pela unidade estratégica dos negócios que os níveis de serviço estão alinhados com os objetivos de negócio. Concordância do cliente que o nível de serviço atende as expectativas. Níveis de serviço compatíveis com os custos orçados. -
-
Porcentagem de todos os processos críticos de negócios dependentes de TI cobertos pelos SLAs.
-
Porcentagem de SLAs revistas no período acordado.
-
Porcentagem de serviços de TI que atendem SLAs.
KPIs Tempo de tratamento de um pedido de mudança nos níveis de serviço. Freqüência de levantamento da satisfação do cliente. Tempo de tratamento de assuntos relacionados a níveis de serviço. Impacto da quantidade de recursos financeiros adicionais para o atendimento do nível de serviço definido.
Existe um relacionamento de causa-e-efeito importante entre KGIs e KPIs. KGIs, tais como o “Concordância do cliente que o nível de serviço atende as expectativas”, sem KPIs, tais como o “Tempo de tratamento para um pedido de mudança nos níveis de serviço”, não comunica como o resultado será obtido. E KPIs sem KGIs pode levar a investimentos significativos sem uma medida apropriada indicando se a estratégia SLM escolhida é efetiva. Alguns KPIs terão obviamente um grande impacto em KGIs específicos, comparados com outros. É importante identificar os KGIs mais importantes para um determinado ambiente e monitorar de perto os KPIs que mais contribuem com eles. SLM através do BSC Uma maneira de simplificar o processo de SLM é utilizar o BSC. O BSC, desenvolvido por Kaplan e Norton em 1990 é baseado na idéia de que a avaliação de uma organização não deve estar restrita às tradicionais medidas de desempenho financeiro, mas também deveria ser complementada com medidas relativas a satisfação do cliente, processos internos e a habilidade de inovar. Os
resultados conseguidos dentro destas perspectivas adicionais devem garantir resultados financeiros futuros. Kaplan e Norton propõem uma estrutura em 3 camadas para estas perspectivas: missão, objetivos e medidas. Para colocar em ação o BSC, as organizações devem traduzir cada uma das perspectivas nas métricas ou indicadores e medidas correspondentes que avaliem a situação atual. Estas avaliações devem ser repetidas periodicamente e serem confrontadas com as metas estabelecidas anteriormente. O framework genérico do BSC pode ser traduzido em necessidades mais específicas de uma função de TI, seus projetos e processos específicos, tais como “Definição e Gerenciamento de Níveis de serviço”. Reconhecendo que TI é um fornecedor de serviço interno, as perspectivas propostas no BSC genérico devem ser alteradas de acordo com as seguintes perspectivas: distribuição corporativa, orientação ao cliente, excelência operacional e orientação futura. Um BSC de SLM genérico que pode ser utilizado para medir e gerenciar o processo de SLM é mostrado na tabela abaixo. Na construção do BSC deste SLM genérico, foram utilizadas medidas de desempenho definidas em vários trabalhos do autor e no CobiT Management Guidelines. BSC genérico Orientação para o Usuário Como os usuários vêem o processo SLM? Missão Atender aos requisitos do usuário e aumentar a sua satisfação Objetivos Desempenho de acordo com o nível de serviço acordado Satisfação do usuário Medidas/indicadores Porcentagem de aplicações e serviços que atendem os SLAs Nível de satisfação dos usuários nas pesquisas Excelência Operacional O quanto efetivo é o processo SLM?
para um SLM Contribuição para a Organização Como a gerência vê o processo SLM? Missão Obter uma contribuição razoável para os negócios a partir do processo SLM Objetivos Controle de despesas para o SLM Máximo de impacto nos negócios Medidas/indicadores Despesas reais versus as planejadas Porcentagem de processos dependentes de TI cobertos pelos SLAs Orientação para o Futuro A área de TI está preparada para atender os desafios futuros do processo SLM? Missão Missão Processo SLM efetivo Desenvolver oportunidades para responder a futuros desafios Objetivos Objetivos Melhoria no processo SLM Gerenciamento de contas eficiente Treinamento e educação permanentes em SLM para o Notificações eficientes de não cumprimento de prazos pessoal de TI e usuários finais Relatórios eficientes de desempenho Pesquisa em SLM Processo de implementação eficiente Medidas/indicadores Medidas/indicadores Porcentagem do orçamento total de TI para o processo Nível de maturidade do processo SLM educacional em SLM Número de falhas na presença de reuniões Porcentagem do pessoal de TI e usuários finais com Número de falhas no fornecimento de relatórios de não treinamento completo em SLM cumprimento de prazos em “x” horas Porcentagem da conta de TI gasta com pesquisas em SLM Número de falhas no fornecimento de relatórios de desempenho conforme determinado previamente Número de implementações em atraso
A perspectiva de Orientação para o Usuário representa a avaliação do usuário do processo SLM e representa a satisfação do usuário baseada em pesquisas e nos níveis de serviço atendidos para as aplicações e operações. A perspectiva de Excelência Operacional representa os processos SLM empregados para entregar os serviços solicitados incluindo o nível de maturidade do processo SLM como um todo. A perspectiva de Orientação para o Futuro representa os recursos humanos e tecnológicos necessários para que o processo SLM entregue seus serviços de forma contínua. A perspectiva da Contribuição para a Organização representa o valor de negócio agregado a partir do processo SLM com a porcentagem dos processos de negócio cobertos pelas SLAs.
Na construção de um SLM utilizando o BSC específico para a organização, várias etapas precisam ser seguidas. Primeiro, o conceito da técnica SLM-BSC precisa ser apresentada à alta administração, a gerência de TI e aos colaboradores envolvidos no processo SLM e então uma equipe do projeto SLM deve ser criada. Em segundo lugar, durante a fase de coleta de dados, as informações são coletadas nas métricas definidas para o SLM. As métricas identificadas devem ser específicas, mensuráveis, aceitáveis, realistas, realizáveis. Desta forma, a organização evita o desenvolvimento ou a aceitação de métricas para as quais informações completas ou acuradas não podem ser coletadas, ou que levam a ações contrárias aos melhores interesses da organização. Finalmente, baseado nos princípios de Kaplan e Norton e em um modelo genérico, um SLM-BSC específico para a organização, como apresentado aqui, pode ser desenvolvido. Conclusão SLAs e SLM são mecanismos efetivos para que uma organização resolva problemas de não conseguir o serviço desejado. Estabelecer um processo eficiente de SLM é uma tarefa complexa e difícil que requer recursos multidisciplinares e experiência. O modelo CobiT é certamente um mecanismo muito útil para a definição e implementação de um processo SLM maduro pela identificação de objetivos de controle, modelos de maturidade, KGIs, KPIs e fatores críticos de sucesso. O modelo genérico do BSC também é um instrumento útil que, através da tradução em um SLM-BSC, pode simplificar o processo SLM. Tanto o CobiT como o BSC podem permitir que uma organização tenha SLAs mais balanceados e um processo SLM mais maduro com o objetivo final de atingir os objetivos de negócio.