Resumo Executivo

James Ferreira Pelosi; Vitor Melão Cassânego

Resumo elaborado pela ferramenta ResumeAI, solução de inteligência artificial desenvolvida pelo Instituto Pecege voltada à síntese e redação.

O cenário de rápido crescimento de uma organização financeira digital, característico de startups, revelou a ausência de um processo formal de Gerenciamento de Mudanças (GMUD) em seus ambientes críticos. Essa lacuna resultou em uma série de desafios operacionais e de governança, comprometendo a estabilidade e a segurança dos serviços. As mudanças em sistemas e servidores eram realizadas de forma descentralizada, sem documentação adequada ou avaliação formal de riscos, o que gerava falhas recorrentes e impactava diretamente a continuidade das operações. A necessidade de estruturar um GMUD ágil e eficaz, sem comprometer a estabilidade, tornou-se premente para a sustentabilidade do negócio.

No segundo semestre de 2023, um diagnóstico aprofundado evidenciou que as modificações na produção eram executadas sem um fluxo padronizado, com comunicação limitada entre as equipes. Essa abordagem fragmentada levou a incidentes repetidos, retrabalho significativo e longos períodos de indisponibilidade de serviços, além de complicar os processos de auditoria. A falta de controle, rastreabilidade e previsibilidade era um obstáculo para atender aos requisitos de segurança da informação e conformidade regulatória, impactando a reputação e a confiança dos clientes.

Estudos recentes, como os de Kim, Behr & Spafford (2014) e Uptime Institute (2023), indicam que incidentes decorrentes de mudanças mal planejadas são uma das principais causas de interrupções em serviços digitais, com cerca de 40% das interrupções graves em data centers atribuídas a mudanças não controladas. Guo (2023) ressalta que a adoção de inovações tecnológicas em finanças digitais não alcança os resultados esperados sem um GMUD estruturado, governança sólida, treinamento contínuo e comunicação eficaz. A pesquisa do Banco Mundial (2023) também aponta que a subestimação de resistências culturais e a falta de alinhamento processual são fatores críticos para o sucesso na implementação de serviços financeiros digitais.

A análise da situação revelou que a falta de visibilidade sobre as mudanças implementadas por diferentes equipes dificultava a identificação das causas dos problemas, afetando diretamente a Infraestrutura e o Desenvolvimento. A Segurança da Informação enfrentava desafios para auditar e garantir a conformidade das alterações, enquanto a Auditoria Interna identificava falhas na rastreabilidade das ações, especialmente em sistemas regulamentados. Gerentes de Produto e Operações sofriam com a imprevisibilidade nas entregas e a instabilidade das plataformas, e os usuários finais lidavam frequentemente com interrupções nos serviços digitais da empresa.

A ausência de um processo formal de GMUD criava um ambiente operacional pouco confiável, comprometendo a segurança e a reputação da instituição. Esse cenário propiciava falhas, dificultava a responsabilização por ações e aumentava os riscos em ambientes auditados, especialmente aqueles sob marcos regulatórios como Sox e ISO 27001. Entrevistas com stakeholders de diversas áreas e a análise de logs e registros de incidentes do último ano confirmaram o impacto negativo da falta de governança, reforçando a urgência de um processo estruturado para garantir previsibilidade, reduzir incidentes e atender às exigências de auditoria e segurança.

Diante desse panorama, foram avaliadas três alternativas para mitigar os riscos operacionais, aprimorar a previsibilidade e atender às demandas de auditoria e segurança da informação. A primeira opção consistia em manter o modelo informal vigente, onde as solicitações de mudanças eram feitas por e-mail ou Slack, com aprovações majoritariamente orais e pouca documentação. Embora essa abordagem oferecesse uma suposta agilidade e não exigisse investimento em ferramentas ou treinamentos, ela apresentava um risco elevado, com aproximadamente 35% dos incidentes significativos relacionados a alterações e um tempo médio de resolução de cerca de quatro horas por incidente.

Nesse modelo informal, que registrava cerca de 80 modificações mensais, mais de 25 delas geravam impacto operacional. Além disso, estimava-se que mais de 60% das alterações careciam de documentação mínima, como descrição, avaliação de risco e plano de reversão, o que prejudicava severamente a rastreabilidade, a responsabilização e a capacidade de análise das causas. Essa alternativa, portanto, mostrou-se insuficiente para alcançar o nível de maturidade esperado em um ambiente supervisionado e auditado, não oferecendo a robustez necessária para a operação de uma instituição financeira digital em crescimento.

A segunda alternativa considerou a implementação parcial dos controles de GMUD, utilizando planilhas colaborativas, formulários simples para solicitações e um comitê informal para alterações. Essa abordagem demandava um investimento menor em comparação com uma solução completa, especialmente em tempo dedicado à documentação de processos e treinamentos iniciais. Embora pudesse proporcionar melhorias na organização, maior clareza no calendário de modificações e um nível fundamental de rastreabilidade, as limitações eram significativas. Em contextos similares, essa solução reduziu a taxa de incidentes em cerca de 20%, mas as deficiências técnicas persistiam.

As limitações da implementação parcial incluíam o controle manual das planilhas, a complexidade na elaboração de relatórios gerenciais, a falta de integração com outros sistemas de TI e a escalabilidade restrita em um cenário global. Estimou-se que menos de 60% das mudanças seriam registradas integralmente, o que criava lacunas consideráveis para os objetivos de conformidade e governança. Assim, apesar de um custo inicial menor, essa opção não oferecia a abrangência e a eficácia necessárias para um ambiente crítico que exige alta confiabilidade e aderência a rigorosos padrões regulatórios.

A terceira alternativa, e a recomendada, consistiu na implementação de um processo completo e estruturado de GMUD, alinhado às melhores práticas de mercado. Essa solução envolvia a utilização de uma ferramenta de Gestão de Serviços de TI (ITSM), como o Jira, que incluísse um módulo específico para gerenciamento de mudanças. A proposta também previa a definição formal de papéis e responsabilidades, a criação de políticas documentadas e um fluxo padrão para todas as etapas do processo, desde a solicitação até a avaliação pós-implementação, garantindo uma abordagem abrangente e integrada.

Nesta alternativa, foram estabelecidos elementos cruciais para a governança das mudanças, como a criação de um Change Advisory Board (CAB) para avaliar alterações de médio e alto risco. Também se definiu a categorização das mudanças em padrão, normal e emergencial, a aplicação de uma matriz de avaliação de riscos, a determinação de janelas de mudança e a obrigatoriedade de um plano de reversão para alterações de maior impacto. A integração com os processos de incidentes e problemas foi um ponto central para garantir uma visão holística e uma resposta coordenada a qualquer eventualidade.

A experiência em contextos similares e as entrevistas com especialistas indicaram que, após a adoção de um processo organizado de GMUD com o suporte de uma ferramenta adequada, a quantidade de incidentes causados por mudanças foi reduzida para um intervalo de 8% a 10% do total, representando uma diminuição superior a 70% em relação ao cenário anterior. Além disso, observou-se um aumento significativo na capacidade de resposta às auditorias, com mais de 90% de conformidade nos critérios de rastreabilidade, comprovação de autorização e registro de alterações, fortalecendo a governança e a segurança.

A implementação da terceira opção, embora exigisse um investimento inicial em ferramentas, consultoria e treinamento, mostrou-se a mais pertinente para o contexto crítico e global da organização, onde a confiabilidade dos sistemas e a conformidade com os marcos regulatórios são essenciais. Projetou-se que os benefícios obtidos, como a redução de falhas, a otimização do esforço operacional e a mitigação de riscos, compensariam o investimento inicial em um prazo médio, considerando o histórico de ocorrências, o tempo dedicado ao retrabalho e a demanda constante por auditorias internas e externas.

O escopo da solução recomendada abrange a definição de uma política de gerenciamento de mudanças em ambientes críticos, o desenvolvimento detalhado do fluxo de mudanças com critérios de classificação e níveis de aprovação, e a seleção e configuração da ferramenta ITSM (Jira). Inclui também a elaboração de templates padronizados para requisições de mudança, análise de impacto e planos de reversão, a criação de um CAB para avaliar mudanças de médio e alto risco, e a implementação de um programa de comunicação e capacitação para todas as equipes envolvidas, garantindo a adesão e o entendimento do novo processo.

Os resultados mais relevantes esperados com a implementação incluem a aprovação da política de GMUD pela governança, a documentação completa do fluxo do processo, a configuração eficaz da ferramenta ITSM, a aplicação consistente da matriz de risco às mudanças e a criação de relatórios e painéis de controle para acompanhamento. Além disso, prevê-se a formação abrangente das equipes técnicas e de gestão, visando uma redução significativa da taxa de incidentes associados a modificações e um aumento na disponibilidade dos serviços essenciais, melhorando a transparência do pipeline de mudanças e fortalecendo a conformidade com as exigências de auditoria e segurança da informação.

Para monitorar a eficácia da solução, foram estabelecidos indicadores de desempenho baseados em boas práticas de ITIL e COBIT. Entre eles, destacam-se a taxa de incidentes relacionados a mudanças, com meta de redução para 8% a 10% em seis meses pós-go-live, e o percentual de mudanças com documentação completa, visando acima de 90% de conformidade em três meses. A proporção de mudanças emergenciais também será monitorada, com meta de redução para abaixo de 10% após a estabilização do processo, indicando maior planejamento e controle.

Outros indicadores incluem o tempo médio de aprovação de mudanças normais, com o objetivo de manter a governança sem comprometer a agilidade operacional, e o percentual de mudanças realizadas dentro da janela planejada, com meta acima de 90%. O número de reaberturas de incidentes relacionados a mudanças será acompanhado para indicar melhoria na qualidade e eficiência da reversão. Por fim, o nível de conformidade em auditorias internas, com meta acima de 90% em critérios de rastreabilidade, evidência de aprovação e registro de risco e reversão, garantirá a aderência às políticas de GMUD.

A implementação da solução recomendada foi estruturada em sete fases sequenciais, com um cronograma estimado de 36 semanas, ou nove meses. A primeira fase, de Preparação e Planejamento, durou quatro semanas e focou na constituição da equipe, diagnóstico do ambiente e definição do escopo. A segunda fase, de Design e Documentação, estendeu-se por cinco semanas, dedicadas à elaboração da política, desenho dos processos e criação de templates. A terceira fase, de Seleção e Configuração da Ferramenta, com onze semanas, concentrou-se na configuração do ITSM, especificamente o Jira.

A quarta fase, de Estruturação da Governança, durou duas semanas e envolveu a formação do CAB e a definição de papéis e janelas de mudança. A quinta fase, de Capacitação e Comunicação, com cinco semanas, foi dedicada ao treinamento das equipes e à comunicação do novo processo. A sexta fase, de Piloto e Go-Live, com oito semanas, incluiu a execução do piloto, ajustes e o go-live gradual. Por fim, a sétima fase, de Monitoramento e Melhoria Contínua, iniciou-se a partir da semana 36, com o acompanhamento de KPIs, auditorias e melhorias contínuas, assegurando a maturação do processo.

Para garantir clareza na distribuição de responsabilidades, foi elaborada uma matriz RACI, definindo os papéis de cada stakeholder (Responsável, Aprovador, Consultado, Informado) em atividades como aprovação do projeto, gestão, elaboração da política de GMUD, desenho do fluxo, seleção e configuração da ferramenta ITSM, formação do CAB, execução de treinamentos, piloto do processo, solicitação e análise de risco, aprovação e execução de mudanças, e auditoria de conformidade. Essa matriz assegura que cada área compreenda suas funções e como se integrar à implementação do projeto, promovendo uma transição gradual e segura.

A abordagem incremental do plano de implementação, que incluiu um projeto piloto controlado e uma implementação progressiva, foi projetada para reduzir significativamente os riscos operacionais e permitir ajustes constantes ao longo da execução. Essa estratégia gradual permitiu que as equipes técnicas experimentassem as alterações em um ambiente controlado antes da implementação completa, garantindo que estivessem preparadas e em sintonia com o novo processo. O acompanhamento semanal durante o piloto e go-live, e quinzenal/mensal após, com os principais stakeholders, assegurou a aderência ao fluxo e a resolução de gargalos.

Após seis meses do go-live, o sucesso do projeto foi confirmado pelos resultados observados. Houve uma redução significativa de incidentes relacionados a mudanças, atingindo a meta de 70% ou mais. A conformidade da documentação e a rastreabilidade mantiveram-se acima de 90%, e o volume de mudanças emergenciais foi reduzido para menos de 10% do total. As auditorias internas apresentaram uma melhoria clara na capacidade de comprovação e evidências, e o processo foi consistentemente adotado pelas equipes, sem perda relevante de agilidade, demonstrando a eficácia da solução implementada.

A avaliação do projeto considerou o potencial de mitigação das perdas financeiras decorrentes de indisponibilidades nos serviços bancários digitais. Em um banco digital com mais de 100 milhões de clientes, a indisponibilidade de sistemas críticos pode gerar impactos expressivos, incluindo falhas em transações financeiras, degradação de serviços essenciais como Pix e cartão, aumento do volume de contatos nos canais de suporte e acionamento emergencial de equipes. Além disso, há o risco de multas regulatórias e perdas associadas a incidentes operacionais, afetando a confiança dos clientes e a reputação institucional.

Para o cálculo do custo evitado, adotou-se uma abordagem conservadora baseada no conceito de *downtime cost*, considerando o histórico de incidentes, o tempo médio de indisponibilidade, o custo operacional associado ao esforço das equipes durante incidentes, o aumento de custo em atendimento e suporte, e o risco de impactos regulatórios e de auditoria. A redução da taxa de incidentes relacionados a mudanças em mais de 70%, de um cenário aproximado de 35% para 8%-10%, gerou um efeito direto na redução de perdas e na mitigação de risco operacional, justificando o investimento na solução.

Além do impacto na redução de riscos, a GMUD estruturada também diminuiu custos operacionais recorrentes por meio da redução do retrabalho e da melhoria da eficiência nas rotinas de mudança. Em ambientes informais, a falta de documentação e padronização aumentava o tempo de investigação de incidentes e o esforço de reconstrução do histórico, dificultando a identificação da causa raiz. Com a implantação do processo formal, esperava-se a redução do tempo médio de resolução (MTTR) em incidentes, a diminuição do tempo gasto em alinhamentos manuais, o aumento da previsibilidade do calendário de mudanças e a diminuição de mudanças emergenciais.

Em suma, a implementação de um processo formal de Gerenciamento de Mudanças (GMUD) em ambientes críticos de Tecnologia da Informação demonstrou ser uma decisão estratégica para a organização financeira digital. A transição de um modelo descentralizado e informal para um processo estruturado, apoiado por uma ferramenta ITSM e governança clara, permitiu equilibrar agilidade e controle. Os resultados observados, como a redução de incidentes, o aumento da conformidade e a diminuição de mudanças emergenciais, validam a eficácia da solução e sua contribuição para a estabilidade e segurança operacional.

A formalização do processo elevou a governança e a maturidade organizacional, tornando as auditorias mais eficientes e proporcionando evidências sólidas de aprovação, execução e validação das mudanças implementadas. Essa abordagem não apenas mitigou perdas financeiras e operacionais, mas também fortaleceu a confiança dos clientes e a reputação da instituição. A contribuição gerencial reside na capacidade de transformar um ambiente vulnerável em um ecossistema mais estável, confiável e preparado para o crescimento seguro, com princípios aplicáveis a diversos setores com alta dependência tecnológica.

Referências Bibliográficas:

Guo, Y. 2023. Enabling digital transformation in intelligent finance: A case study of Ping An. Humanities and Social Sciences Communications, 10(1): 1–10. https://www.nature.com/articles/s41599-023-01923-4

Kim, G.; Behr, K.; Spafford, G. 2014. The Phoenix Project: A Novel About IT, DevOps, and Helping Your Business Win. Portland: IT Revolution Press.

Uptime Institute. 2023. Annual Outage Analysis 2023. Disponível em: https://uptimeinstitute.com/research/publications/annual-outage-analysis-2023

World Bank. 2023. Changing Change Management: Adapting Internal and External Culture in Times of Digital Transformation. Disponível em: https://documents1.worldbank.org/curated/en/115081548846139465

Resumo executivo oriundo de Trabalho de Conclusão de Curso da Especialização em Executivo em Liderança e Gestão do MBA USP/Esalq

Para saber mais sobre o curso, clique aqui e acesse a plataforma MBX Academy