Tribunal de Contas da Unio Secretaria de Tecnologia
Tribunal de Contas da União Secretaria de Tecnologia da Informação Governança de Tecnologia da Informação: conceitos, modelos e sua aplicação no TCU Gledson Pompeu Corrêa da Costa Missão da SETEC: Melhorar os resultados do TCU por meio da otimização de seus processos de trabalho e da participação nas ações de Controle Externo, com aplicação de conhecimentos especializados em Tecnologia da Informação
Governança de Tecnologia da Informação: conceitos, modelos e sua aplicação no TCU n Governança de TI n n ITIL n n Estrutura, conceitos e processos CMMI, ISO 17799, PMBOK e outros modelos n n Estrutura, conceitos e processos COBIT n n Conceitos e boas práticas Visão geral Integração e aplicação dos modelos Tribunal de Contas da União Secretaria de Tecnologia da Informação
Evolução dos modelos de maturidade • SW-CMM - Capability Maturity Model for Software – Software Engineering Institute (SEI) • SE-CMM - Systems Engineering Capability Maturity Model – Enterprise Process Improvement Collaboration (EPIC) • SA-CMM - Software Acquisition Capability Maturity Model – SEI, Departamento de Defesa (Do. D) e outras agências • SECAM - Systems Engineering Capability Assessment Model – International Council on Systems Engineering (INCOSE) • People CMM – Software Engineering Institute (SEI) • EIA 731 - Systems Engineering Capability Model – Government Electronic and Information Technology Association (GEIA) • IPD-CMM - Integrated Product Development CMM (Draft) – Enterprise Process Improvement Collaboration (EPIC) • • • ISO/IEC 12207 - Software life-cycle Processes ISO/IEC 15288 - System life-cycle Processes ISO/IEC 15504 - Process Assessment
Por quê CMMI • Embora os modelos fossem úteis para as organizações, o uso de múltiplos modelos era problemático – As diferenças entre modelos específicos, incluindo arquitetura, conteúdo e abordagem, têm limitado a habilidade das organizações em focar suas melhorias com sucesso – A aplicação de múltiplos modelos não integrados é custoso em termos de treinamento, avaliações e atividades de melhoria • Um modelo integrado, com suporte coerente para treinamento e avaliação, resolveria esses problemas
Capability Maturity Model Integration • Objetivo: – Desenvolver modelos de melhoria de processos mais coerentes e de aplicação facilitada – Integrar modelos específicos (os mais adotados): SWCMM, EIA/IS 731, IPD-CMM e SA-CMM – Estabelecer a base para o acréscimo posterior de outros modelos/disciplinas • Hoje: SW-CMM descontinuado oficialmente – Migração progressiva do mercado para CMMI
CMMI – Disciplinas • Engenharia de Software (SW) – Abordagem sistemática, disciplinada e mensurável para atividades de desenvolvimento, operação e manutenção de software • Engenharia de Sistemas (SE) – Expansão do foco para o desenvolvimento de soluções baseadas em TI (não apenas SW) • Integração de Produto e Processos (IPPD) – Inclusão, em processos sistemáticos, de todas as partes envolvidas no ciclo de vida das soluções • Contratação de terceiros (SS) – Extensão do processo para fornecedores
CMMI – Componentes • 22 (CMMI-SW/SE) a 25 áreas de processo – Para cada área de processo, um conjunto de metas e práticas, específicas e genéricas • Metas e práticas específicas – Relacionadas à execução do processo (atividades) – Aplicam-se a cada área de processo individual • Metas e práticas genéricas – Relacionadas à dimensão da capacidade ou maturidade (institucionalização do processo) – Aplicam-se a todas as áreas de processo, indistintamente
CMMI – Representações • Duas formas distintas de estruturar o mesmo conteúdo: áreas de processo, metas e práticas – Necessidade de acomodar as características dos modelos que deram origem ao CMMI • Por Estágios (adotada pelo SW-CMM) – Níveis de Maturidade – Agrupamento de áreas de processo por nível – Avaliação da organização como um todo • Contínua (adotada pelo EIA 731) – Níveis de capacidade – Agrupamento das áreas de processo por categoria – Avaliação por área de processo
CMMI – Representações Por estágios Contínua 3 4 ML 4 1 2 ML 3 ML 2 ML 1 0 Capacidade 5 ML 5 PA PA PA . . . para uma única área de processo ou um conjunto de áreas . . . para as áreas correspondentes a cada nível de maturidade
CMMI – Modelo Contínuo … Área de Processo 1 Meta Específica 1 Prática Específica 1 Meta Específica n … … Prática Específica n Nível 0: Incompleto Área de Processo n Meta Genérica 1 Meta Genérica 2 Práticas Genéricas Nível 1 Práticas Genéricas Nível 2 Nível 1: Executado Nível 2: Gerenciado Meta Genérica 3 Meta Genérica 4 Meta Genérica 5 Práticas Genéricas Nível 3 Práticas Genéricas Nível 4 Práticas Genéricas Nível 5 Nível 3: Definido Nível 4: Gerenciado Quantitativamente Nível 5: Otimizando
Principais benefícios (contínuo) • Escolha da ordem de melhoria que melhor se encaixa aos objetivos de negócio da organização e mitigue as suas áreas de risco • Comparações intra e inter-organizações em uma área de processo, com base em área de processo ou por comparação de resultados por equivalência • Fácil migração da EIA 731 para o CMMI • Fácil comparação de melhoria de processo com a ISO 15504, uma vez que a organização das áreas de processo é similar
CMMI – Modelo por Estágios Nível de Maturidade Área de Processo Metas Genéricas Metas Específicas Características Comuns Compromisso para Executar Habilidade para executar Implementação direta Práticas Genéricas Verificação Práticas Específicas
Principais benefícios • Seqüência comprovada de melhorias a partir das práticas básicas de gestão, por um caminho comprovado e pré-definido de níveis sucessivos, cada um servindo de base para o próximo • Comparações intra e inter-organizações por meio de níveis de maturidade • Fácil migração do SW-CMM para o CMMI • Classificação única que resume resultados de avaliações e permite comparações simples entre organizações
Características Comuns • Compromissos (CO) – Práticas genéricas relacionadas à criação de políticas e obtenção de patrocínio • Habilidades (AB) – Práticas genéricas que asseguram que o projeto e/ou a organização tenham os recursos de que necessitam • Diretrizes de Implementação (DI) – Práticas genéricas relacionadas ao gerenciamento do desempenho do processo, gerenciamento da integridade de seus produtos de trabalho e envolvimento das partes interessadas relevantes • Verificação da Implementação (VE) – Práticas genéricas relacionadas à revisão pela gerência de nível superior e à avaliação objetiva de conformidade com relação à descrição dos processos, procedimentos e padrões
Níveis de maturidade • Na representação por estágios, os níveis de maturidade fornecem uma ordem recomendada para a abordagem de melhoria de processo – A experiência mostra que as organizações obtêm melhores resultados quando focam seus esforços de melhoria em um número gerenciável de áreas de processos – Um nível de maturidade é um platô evolutivo definido de melhoria de processo, pois cada nível estabiliza uma parte importante dos processos da organização • O nível de maturidade de uma organização fornece uma forma de se prever o seu desempenho futuro em uma dada disciplina ou conjunto de disciplinas
Níveis de maturidade • Nível de Maturidade 1: Inicial – Processos ad-hoc (improvisados) e caóticos – O sucesso depende da competência e do heroísmo de pessoas da organização e não do uso de processos comprovados – Organizações caracterizadas pela tendência de não cumprirem compromissos, abandonarem os processos nos períodos de crise e não serem capazes de repetir seus sucessos anteriores • 0 Áreas de Processo – Considera-se de nível 1 qualquer organização que não tenha alcançado as metas de todos os processos do nível 2
Níveis de maturidade • Nível de Maturidade 2: Gerenciado – Os projetos da organização garantem que os requisitos são gerenciados e os processos são planejados, realizados, medidos e controlados – A disciplina de processo ajuda a garantir que as práticas existentes são mantidas durante os períodos de stress • 7 Áreas de Processo – Foco no gerenciamento de requisitos e projetos
Níveis de maturidade • Nível de Maturidade 3: Definido – Os processos são bem caracterizados e compreendidos, sendo descritos por padrões, procedimentos, ferramentas e métodos – O conjunto de processos padrão da organização é estabelecido e melhorado ao longo do tempo. Esses processos são usados para estabelecer consistência na organização – Os projetos estabelecem seus processos definidos, adaptando o conjunto de processos padrão da organização de acordo com guias de adaptação • 11 Áreas de Processo + 2 (IPPD) + 1 (SS) – Foco no desenvolvimento organizacional – Evolução no escopo de padrões, descrições de processos e procedimentos: de projetos individuais para processo organizacional
Níveis de maturidade • Nível de Maturidade 4: Gerenciado Quantitativamente – Objetivos quantitativos para qualidade e desempenho de processo são estabelecidos e usados como critérios na gestão de processos. Esses objetivos são baseados nas necessidades dos clientes, dos usuários finais, da organização e dos implementadores do processo – A qualidade e o desempenho do processo são compreendidos em termos estatísticos e gerenciados durante toda a vida dos processos • 2 Áreas de Processo – Evolução na previsibilidade do desempenho dos processos: de qualitativo para quantitativo
Níveis de maturidade • Nível de Maturidade 5: Em otimização – Os processos são melhorados continuamente com base na compreensão quantitativa de suas causas comuns de variação – Objetivos quantitativos de melhoria de processos são estabelecidos, continuamente revisados para refletir as mudanças nos objetivos de negócio e utilizados como critérios na gestão de processos – As melhorias são selecionadas com base em um entendimento quantitativo de suas contribuições esperadas para alcançar os objetivos de melhoria de processo da organização, comparadas ao seu custo e seu impacto na organização • 2 Áreas de Processo – Evolução na utilização de informações quantitativas: da obtenção de previsibilidade para a melhoria sistemática de processos
Níveis de maturidade
CMMI – Áreas de Processo x Níveis de Maturidade x Categorias Nível 2 Nível 3 Nível 4 Projetos Planejamento do projeto Controle e monitoramento do projeto Contratação e gestão de fornecedores Gerenciamento integrado do projeto Gerenciamento integrado de fornecedores (SS) Integração de equipes (IPPD) Gerenciamento de riscos Gerenciamento quantitativo do projeto Foco no processo organizacional Definição do processo organizacional Treinamento organizacional Desempenho do processo organizacional Processos Engenharia Gerenciamento de requisitos Desenvolvimento de requisitos Solução técnica Integração do produto Verificação Validação Suporte Medição e análise Garantia de qualidade de processo e produto Gerenciamento de configuração Análise de decisão e resolução Ambiente organizacional para integração (IPPD) Nível 5 Inovação e implantação organizacional Análise e resolução de causas
Qual é nosso nível de maturidade?
Modelos adicionais • Modelos aplicáveis à área de TI e com impacto sobre os processos de gestão e governança • ISO 9001: 2000 – Sistemas de gestão de qualidade • PMBo. K 3ª Edição – Gerenciamento de projetos • ISO 17799: 2005 – Segurança da Informação • e. Sourcing Capability Model – Contratação de serviços
ISO 9001: 2000 – Qualidade • Abordagem de processo para desenvolvimento, implementação e melhoria de sistemas de gestão da qualidade, visando: – – Entendimento dos requisitos e seu atendimento Visão dos processos em termos de valor agregado Resultados de desempenho e eficácia de processos Melhoria contínua de processos baseada em medições • Aplicável nas organizações para: – demonstrar capacidade de fornecer de forma consistente produtos que atendam aos requisitos do cliente – aumentar a satisfação do cliente por meio da efetiva aplicação do sistema à melhoria de processos
PMBo. K – Objetivos • Identificar o subconjunto do Conjunto de conhecimentos em gerenciamento de projetos que é amplamente reconhecido como boa prática. – “Identificar” significa fornecer uma visão geral, e não uma descrição completa. – “Amplamente reconhecido” significa que o conhecimento e as práticas descritas são aplicáveis à maioria dos projetos na maior parte do tempo, e que existe um consenso geral em relação ao seu valor e sua utilidade. – “Boa prática” significa que existe acordo geral de que a aplicação correta dessas habilidades, ferramentas e técnicas podem aumentar as chances de sucesso em uma ampla série de projetos diferentes.
PMBo. K - Conceitos básicos • Um projeto é um esforço temporário empreendido para criar um produto, serviço ou resultado exclusivo. – Temporário significa que todos os projetos possuem um início e um final definidos. – Um projeto cria entregas exclusivas, que são produtos, serviços ou resultados. • A singularidade é uma característica importante das entregas do projeto. • A presença de elementos repetitivos não muda a singularidade fundamental do trabalho do projeto.
PMBo. K - Conceitos básicos • Necessidades conflitantes de projetos envolvem uma “tripla restrição” – escopo, tempo e custo – A qualidade do projeto é afetada pelo equilíbrio desses três fatores – Projetos de qualidade entregam o produto, serviço ou resultado esperado dentro do escopo, no prazo e dentro do orçamento – O relacionamento entre esses fatores é tal que, se qualquer dos fatores muda, pelo menos um dos outros será afetado • O risco de projeto é um evento ou condição incerta que, se ocorrer, tem um efeito positivo ou negativo sobre pelo menos um dos objetivos do projeto
PMBo. K – Conteúdo • Principais conceitos do gerenciamento de projetos – Áreas de especialização – Ciclo de vida de projeto x produto – Influências organizacionais • Visão bidimensional dos processos de gerenciamento – 5 Grupos – 9 Áreas de conhecimento • Descrição dos processos de gerenciamento – – Principais atividades Insumos necessários Ferramentas e técnicas aplicáveis Produtos gerados
Grupos de processos
ISO 17799: 2005 - Segurança • Diretrizes e princípios gerais para implementar, manter e melhorar a gestão de segurança da informação nas organizações • 39 categorias de segurança da informação, divididas em 11 grupos – Um objetivo de controle por categoria – Um ou mais controles aplicáveis para o alcance de cada objetivo
Política de Segurança Conformidade Estrutura Organizacional Continuidade do Negócio Gestão de Incidentes Gestão de Ativos Segurança da Informação Sistemas de Informação Recursos Humanos Segurança Física Controle de Acesso Operações e Comunicações
e. Sourcing Capability Model • Processos aplicáveis ao outsourcing de serviços baseados em tecnologia – Atividades e processos de negócio – Serviços de TI • Dois modelos distintos, com foco diferenciado por tipo de organização – Clientes (e. SCM-CL) – Fornecedores (e. SCM-SP)
e. SCM-CL e. SCM-SP
e. SCM-CL – Níveis de capacidade
e. SCM-SP – Níveis de capacidade
Como integrar os modelos?
Áreas específicas • Cada modelo possui foco em um aspecto específico da governança e gestão de TI COBIT BSC-TI Qualidade Planejamento Contratações Projetos Segurança Aplicações Serviços ITIL Governança de TI ISO 9000 Gestão de TI CMMI ISO 17799 PMBOK e. SCM-CL e. SCM-SP BSC-TI
Áreas comuns • Há diversas áreas de intersecção entre os principais modelos de referência, basicamente relacionadas a: – Integração de diferentes macroprocessos da área de TI, atendidos por modelos distintos (ex: ITIL / CMMI) – Sobreposição de modelos aplicáveis a um mesmo processo, porém com níveis distintos de detalhe ou abstração (ex: CMMI / PMBo. K) – Existência de modelos alternativos aplicáveis a um mesmo processo e no mesmo nível de abstração (ex: CMMI / ISO 15504; PMBo. K / Prince 2)
Abstração e Detalhe
Macroprocessos de TI
A visão integrada COBIT Monitoramento e Avaliação Aquisição e Implementação BSC de TI (Desenv. ) (Implementar Soluções) Planejamento e Organização BSC Corporativo BSC de TI (Estrat. ) (Negócio) (Identificar Oportunidades) CMMI + ITIL CMMI (+ITIL) BSC de TI (Suporte) (Assegurar o Uso) ITIL (+CMMI) Entrega e Suporte ISO 9001 ISO 17799 PMBo. K e. SCM
CMMI x ITIL (Application Mgmt)
COBIT x ITIL (Service Mgmt)
COBIT x CMMI
COBIT x Outros modelos
Concorrência ou Cooperação?
Concorrência ou Cooperação? • O que gerenciar? – COBIT, ISO 9001 e 17799, e. SCM • Como gerenciar? – Todos os modelos • O que executar? – ITIL, CMMI, ISO 17799, PMBOK, e. SCM • Como executar? – Métodos e ferramentas específicas
Por onde começar? Como avançar? “Se você não sabe para onde vai, todos os caminhos o levam a lugar nenhum” (Henry Kissinger)
Por onde começar? • Estratégia de negócios como direcionador – Quais resultados devem ser alcançados ou melhorados? – Quais problemas devem ser resolvidos ou minimizados para alcançar tais resultados? – Quais são as causas desses problemas? – Quais áreas e processos de TI estão envolvidos? • Definição do modelo principal a ser adotado, sem prejuízo da visão integrada • Definição dos processos a serem priorizados, considerando as necessidades da organização e as relações de dependência do modelo
Como avançar? • Implantação e melhoria de processos é também um processo de mudança cultural – Consciência de que os benefícios serão obtidos de forma progressiva, a médio e longo prazo – É importante adequar os modelos à realidade de cada organização • Cada modelo sugere abordagens próprias, baseadas em modelos de maturidade e variações do ciclo PDCA • Pense grande, comece pequeno. . . e não tenha pressa!
COBIT – Modelo de maturidade Nonexistent Initial Repeatable Defined Managed Optimised 0 1 2 3 4 5 Legend for Symbols Used Enterprise current status Legend for Rankings Used 0 - Management processes are not applied at all. 1 - Processes are ad hoc and disorganised. International standard guidelines 2 - Processes follow a regular pattern. 3 - Processes are documented and communicate Industry best practice 4 - Processes are monitored and measured. Enterprise strategy 5 - Best practices are followed and automated.
ITIL – Melhoria contínua
ITIL - Modelo de Maturidade
ITIL - Evolução da cultura organizacional
CMMI – Modelo IDEAL
CMMI – Níveis de Maturidade
CMMI – Níveis de Capacidade
Como gerenciar? Como medir? “Diga-me como me medes que eu te direi como me comporto” (Elyahu Goldratt)
COBIT – Métricas • Três níveis de atuação – Métricas de negócios – Métricas de TI – Métricas de processos • Duas formas de mensuração – Medidas de resultado (KGI) – Resultados – Indicadores de desempenho (KPI) – Métodos • Relações de causa e efeito (= BSC)
COBIT – Métricas (IT Governance Institute, 2007)
COBIT – Métricas (IT Governance Institute, 2007)
ITIL – Métricas • Critical Success Factors (CSF) – Detalhes que devem ser ajustados em cada um dos processos de gerenciamento de serviços de TI • Key Performance Indicators (KPI) – Permitem mensurar, para cada processo, se os fatores críticos de sucesso estão sendo atendidos • Fatores críticos de sucesso e indicadores de performance sugeridos de modo a permitir o cascateamento até o nível individual
CMMI – Métricas • Medição e Análise – Área de processo específica, associada ao nível 2 – Metas: • Alinhar as atividades de medição e análise aos objetivos e necessidades informacionais • Prover resultados que atendam às necessidades – Recomendações gerais sobre como definir objetivos e métricas e como coletar e analisar informações • Monitorar e controlar o processo – Sub-prática comum a todas as áreas de processo – Sugestão de indicadores aplicáveis às práticas de cada área de processo
Tribunal de Contas da União Secretaria de Tecnologia da Informação Governança de Tecnologia da Informação: conceitos, modelos e sua aplicação no TCU Gledson Pompeu Corrêa da Costa Missão da SETEC: Melhorar os resultados do TCU por meio da otimização de seus processos de trabalho e da participação nas ações de Controle Externo, com aplicação de conhecimentos especializados em Tecnologia da Informação
- Slides: 71