O documento discute conceitos e modelos de governança de tecnologia da informação, incluindo ITIL, COBIT, CMMI, ISO 17799 e PMBOK. Apresenta como esses modelos podem ser integrados e aplicados no Tribunal de Contas da União para melhorar a governança e gestão da tecnologia da informação.
1. Tribunal de Contas da União
Secretaria de Tecnologia da Informação
Governança de Tecnologia da Informação:
conceitos, modelos e sua aplicação no TCU
Gledson Pompeu Corrêa da Costa
Missão da SETEC: Melhorar os resultados do TCU por meio da otimização de
seus processos de trabalho e da participação nas ações de Controle Externo,
com aplicação de conhecimentos especializados em Tecnologia da Informação
2. Governança de Tecnologia da Informação:
conceitos, modelos e sua aplicação no TCU
Governança de TI
Conceitos e boas práticas
ITIL
Estrutura, conceitos e processos
COBIT
Estrutura, conceitos e processos
CMMI, ISO 17799, PMBOK e outros modelos
Visão geral
Integração e aplicação dos modelos
Tribunal de Contas da União
Secretaria de Tecnologia da Informação
3.
4. Evolução dos modelos de maturidade
• SW-CMM - Capability Maturity Model for Software
– Software Engineering Institute (SEI)
• SE-CMM - Systems Engineering Capability Maturity Model
– Enterprise Process Improvement Collaboration (EPIC)
• SA-CMM - Software Acquisition Capability Maturity Model
– SEI, Departamento de Defesa (DoD) e outras agências
• SECAM - Systems Engineering Capability Assessment Model
– International Council on Systems Engineering (INCOSE)
• People CMM
– Software Engineering Institute (SEI)
• EIA 731 - Systems Engineering Capability Model
– Government Electronic and Information Technology Association (GEIA)
• IPD-CMM - Integrated Product Development CMM (Draft)
– Enterprise Process Improvement Collaboration (EPIC)
• ISO/IEC 12207 - Software life-cycle Processes
• ISO/IEC 15288 - System life-cycle Processes
• ISO/IEC 15504 - Process Assessment
5. Por quê CMMI
• Embora os modelos fossem úteis para as
organizações, o uso de múltiplos modelos era
problemático
– As diferenças entre modelos específicos, incluindo
arquitetura, conteúdo e abordagem, têm limitado a
habilidade das organizações em focar suas melhorias
com sucesso
– A aplicação de múltiplos modelos não integrados é
custoso em termos de treinamento, avaliações e
atividades de melhoria
• Um modelo integrado, com suporte coerente
para treinamento e avaliação, resolveria esses
problemas
6. Capability Maturity Model Integration
• Objetivo:
– Desenvolver modelos de melhoria de processos mais
coerentes e de aplicação facilitada
– Integrar modelos específicos (os mais adotados):
SW-CMM, EIA/IS 731, IPD-CMM e SA-CMM
– Estabelecer a base para o acréscimo posterior de
outros modelos/disciplinas
• Hoje: SW-CMM descontinuado oficialmente
– Migração progressiva do mercado para CMMI
7. CMMI – Disciplinas
• Engenharia de Software (SW)
– Abordagem sistemática, disciplinada e mensurável
para atividades de desenvolvimento, operação e
manutenção de software
• Engenharia de Sistemas (SE)
– Expansão do foco para o desenvolvimento de
soluções baseadas em TI (não apenas SW)
• Integração de Produto e Processos (IPPD)
– Inclusão, em processos sistemáticos, de todas as
partes envolvidas no ciclo de vida das soluções
• Contratação de terceiros (SS)
– Extensão do processo para fornecedores
8. CMMI – Componentes
• 22 (CMMI-SW/SE) a 25 áreas de processo
– Para cada área de processo, um conjunto de metas e
práticas, específicas e genéricas
• Metas e práticas específicas
– Relacionadas à execução do processo (atividades)
– Aplicam-se a cada área de processo individual
• Metas e práticas genéricas
– Relacionadas à dimensão da capacidade ou
maturidade (institucionalização do processo)
– Aplicam-se a todas as áreas de processo,
indistintamente
9. CMMI – Representações
• Duas formas distintas de estruturar o mesmo
conteúdo: áreas de processo, metas e práticas
– Necessidade de acomodar as características dos
modelos que deram origem ao CMMI
• Por Estágios (adotada pelo SW-CMM)
– Níveis de Maturidade
– Agrupamento de áreas de processo por nível
– Avaliação da organização como um todo
• Contínua (adotada pelo EIA 731)
– Níveis de capacidade
– Agrupamento das áreas de processo por categoria
– Avaliação por área de processo
10. CMMI – Representações
Contínua Por estágios
ML5
5
Capacidade
4
ML4
3
ML3
1 2
ML2
ML 1
0
PA PA PA
. . .para uma única área de processo . . .para as áreas correspondentes a
ou um conjunto de áreas cada nível de maturidade
11. CMMI – Modelo Contínuo
Área de Processo 1 … Área de Processo n
Meta Meta Meta Meta Meta Meta Meta
Específica … Específica Genérica Genérica Genérica Genérica Genérica
1 n 1 2 3 4 5
Prática Prática Práticas Práticas Práticas Práticas Práticas
Específica … Específica Genéricas Genéricas Genéricas Genéricas Genéricas
1 n Nível 1 Nível 2 Nível 3 Nível 4 Nível 5
Nível 0: Nível 1: Nível 2: Nível 3: Nível 4: Nível 5:
Incompleto Executado Gerenciado Definido Gerenciado Otimizando
Quantitativamente
12. Principais benefícios (contínuo)
• Escolha da ordem de melhoria que melhor se
encaixa aos objetivos de negócio da
organização e mitigue as suas áreas de risco
• Comparações intra e inter-organizações em
uma área de processo, com base em área de
processo ou por comparação de resultados por
equivalência
• Fácil migração da EIA 731 para o CMMI
• Fácil comparação de melhoria de processo com
a ISO 15504, uma vez que a organização das
áreas de processo é similar
13. CMMI – Modelo por Estágios
Nível de Maturidade
Área de Processo Área de Processo Área de Processo
Metas Genéricas Metas Específicas
Características
Comuns
Compromisso Habilidade Implementação
Verificação
para Executar para executar direta
Práticas Práticas
Genéricas Específicas
14. Principais benefícios
• Seqüência comprovada de melhorias a partir
das práticas básicas de gestão, por um caminho
comprovado e pré-definido de níveis
sucessivos, cada um servindo de base para o
próximo
• Comparações intra e inter-organizações por
meio de níveis de maturidade
• Fácil migração do SW-CMM para o CMMI
• Classificação única que resume resultados de
avaliações e permite comparações simples
entre organizações
15. Características Comuns
• Compromissos (CO)
– Práticas genéricas relacionadas à criação de políticas e obtenção
de patrocínio
• Habilidades (AB)
– Práticas genéricas que asseguram que o projeto e/ou a
organização tenham os recursos de que necessitam
• Diretrizes de Implementação (DI)
– Práticas genéricas relacionadas ao gerenciamento do desempenho
do processo, gerenciamento da integridade de seus produtos de
trabalho e envolvimento das partes interessadas relevantes
• Verificação da Implementação (VE)
– Práticas genéricas relacionadas à revisão pela gerência de nível
superior e à avaliação objetiva de conformidade com relação à
descrição dos processos, procedimentos e padrões
16. Níveis de maturidade
• Na representação por estágios, os níveis de maturidade
fornecem uma ordem recomendada para a abordagem
de melhoria de processo
– A experiência mostra que as organizações obtêm
melhores resultados quando focam seus esforços de
melhoria em um número gerenciável de áreas de
processos
– Um nível de maturidade é um platô evolutivo definido de
melhoria de processo, pois cada nível estabiliza uma parte
importante dos processos da organização
• O nível de maturidade de uma organização fornece uma
forma de se prever o seu desempenho futuro em uma
dada disciplina ou conjunto de disciplinas
17. Níveis de maturidade
• Nível de Maturidade 1: Inicial
– Processos ad-hoc (improvisados) e caóticos
– O sucesso depende da competência e do heroísmo de
pessoas da organização e não do uso de processos
comprovados
– Organizações caracterizadas pela tendência de não
cumprirem compromissos, abandonarem os processos nos
períodos de crise e não serem capazes de repetir seus
sucessos anteriores
• 0 Áreas de Processo
– Considera-se de nível 1 qualquer organização que não tenha
alcançado as metas de todos os processos do nível 2
18. Níveis de maturidade
• Nível de Maturidade 2: Gerenciado
– Os projetos da organização garantem que os
requisitos são gerenciados e os processos são
planejados, realizados, medidos e controlados
– A disciplina de processo ajuda a garantir que as
práticas existentes são mantidas durante os períodos
de stress
• 7 Áreas de Processo
– Foco no gerenciamento de requisitos e projetos
19. Níveis de maturidade
• Nível de Maturidade 3: Definido
– Os processos são bem caracterizados e compreendidos, sendo
descritos por padrões, procedimentos, ferramentas e métodos
– O conjunto de processos padrão da organização é estabelecido e
melhorado ao longo do tempo. Esses processos são usados para
estabelecer consistência na organização
– Os projetos estabelecem seus processos definidos, adaptando o
conjunto de processos padrão da organização de acordo com guias
de adaptação
• 11 Áreas de Processo + 2 (IPPD) + 1 (SS)
– Foco no desenvolvimento organizacional
– Evolução no escopo de padrões, descrições de processos e
procedimentos: de projetos individuais para processo
organizacional
20. Níveis de maturidade
• Nível de Maturidade 4: Gerenciado
Quantitativamente
– Objetivos quantitativos para qualidade e desempenho de
processo são estabelecidos e usados como critérios na
gestão de processos. Esses objetivos são baseados nas
necessidades dos clientes, dos usuários finais, da
organização e dos implementadores do processo
– A qualidade e o desempenho do processo são
compreendidos em termos estatísticos e gerenciados durante
toda a vida dos processos
• 2 Áreas de Processo
– Evolução na previsibilidade do desempenho dos processos:
de qualitativo para quantitativo
21. Níveis de maturidade
• Nível de Maturidade 5: Em otimização
– Os processos são melhorados continuamente com base na
compreensão quantitativa de suas causas comuns de variação
– Objetivos quantitativos de melhoria de processos são
estabelecidos, continuamente revisados para refletir as mudanças
nos objetivos de negócio e utilizados como critérios na gestão de
processos
– As melhorias são selecionadas com base em um entendimento
quantitativo de suas contribuições esperadas para alcançar os
objetivos de melhoria de processo da organização, comparadas ao
seu custo e seu impacto na organização
• 2 Áreas de Processo
– Evolução na utilização de informações quantitativas: da obtenção
de previsibilidade para a melhoria sistemática de processos
23. CMMI – Áreas de Processo x Níveis de Maturidade x Categorias
Nível 2 Nível 3 Nível 4 Nível 5
Desenvolvimento de requisitos
Engenharia
Solução técnica
Gerenciamento de
Integração do produto
requisitos
Verificação
Validação
Gerenciamento integrado do
Planejamento do projeto
projeto
Controle e monitoramento
Projetos
Gerenciamento integrado de Gerenciamento quantitativo Inovação e implantação
do projeto
fornecedores (SS) do projeto organizacional
Contratação e gestão de
Integração de equipes (IPPD)
fornecedores
Gerenciamento de riscos
Foco no processo
Processos
organizacional
Desempenho do processo
Definição do processo
organizacional
organizacional
Treinamento organizacional
Medição e análise
Garantia de qualidade de Análise de decisão e resolução
Suporte
Análise e resolução de
processo e produto Ambiente organizacional para
causas
Gerenciamento de integração (IPPD)
configuração
25. M os a
odel dicionais
• Modelos aplicáveis à área de TI e com impacto
sobre os processos de gestão e governança
• ISO 9001:2000
– Sistemas de gestão de qualidade
• PMBoK 3ª Edição
– Gerenciamento de projetos
• ISO 17799:2005
– Segurança da Informação
• eSourcing Capability Model
– Contratação de serviços
26. ISO90 1:20 0– Quaida
0 0 l de
• Abordagem de processo para desenvolvimento,
implementação e melhoria de sistemas de gestão da
qualidade, visando:
– Entendimento dos requisitos e seu atendimento
– Visão dos processos em termos de valor agregado
– Resultados de desempenho e eficácia de processos
– Melhoria contínua de processos baseada em medições
• Aplicável nas organizações para:
– demonstrar capacidade de fornecer de forma consistente
produtos que atendam aos requisitos do cliente
– aumentar a satisfação do cliente por meio da efetiva
aplicação do sistema à melhoria de processos
27.
28. PM – Obj iv
BoK et os
• Identificar o subconjunto do Conjunto de
conhecimentos em gerenciamento de
projetos que é amplamente reconhecido
como boa prática.
– “Identificar” significa fornecer uma visão geral, e não uma
descrição completa.
– “Amplamente reconhecido” significa que o conhecimento e as
práticas descritas são aplicáveis à maioria dos projetos na
maior parte do tempo, e que existe um consenso geral em
relação ao seu valor e sua utilidade.
– “Boa prática” significa que existe acordo geral de que a
aplicação correta dessas habilidades, ferramentas e técnicas
podem aumentar as chances de sucesso em uma ampla
série de projetos diferentes.
29. PM -Conceit bá
BoK os sicos
• Um projeto é um esforço temporário
empreendido para criar um produto,
serviço ou resultado exclusivo.
– Temporário significa que todos os projetos
possuem um início e um final definidos.
– Um projeto cria entregas exclusivas, que são
produtos, serviços ou resultados.
• A singularidade é uma característica importante das
entregas do projeto.
• A presença de elementos repetitivos não muda a
singularidade fundamental do trabalho do projeto.
30. PM -Conceit bá
BoK os sicos
• Necessidades conflitantes de projetos envolvem
uma “tripla restrição” – escopo, tempo e custo
– A qualidade do projeto é afetada pelo equilíbrio desses três
fatores
– Projetos de qualidade entregam o produto, serviço ou
resultado esperado dentro do escopo, no prazo e dentro do
orçamento
– O relacionamento entre esses fatores é tal que, se qualquer dos
fatores muda, pelo menos um dos outros será afetado
• O risco de projeto é um evento ou condição incerta que,
se ocorrer, tem um efeito positivo ou negativo sobre pelo
menos um dos objetivos do projeto
31. PM – Cont ú
BoK e do
• Principais conceitos do gerenciamento de projetos
– Áreas de especialização
– Ciclo de vida de projeto x produto
– Influências organizacionais
• Visão bidimensional dos processos de gerenciamento
– 5 Grupos
– 9 Áreas de conhecimento
• Descrição dos processos de gerenciamento
– Principais atividades
– Insumos necessários
– Ferramentas e técnicas aplicáveis
– Produtos gerados
34. ISO 17799:2005 - Segurança
• Diretrizes e princípios gerais para
implementar, manter e melhorar a gestão
de segurança da informação nas
organizações
• 39 categorias de segurança da
informação, divididas em 11 grupos
– Um objetivo de controle por categoria
– Um ou mais controles aplicáveis para o
alcance de cada objetivo
35. Política de
Segurança
Estrutura
Conformidade
Organizacional
Continuidade Gestão de
do Negócio Ativos
Segurança da
Informação
Gestão de Recursos
Incidentes Humanos
Sistemas de Segurança
Informação Física
Controle de Operações e
Acesso Comunicações
36. eSourcing Capability Model
• Processos aplicáveis ao
outsourcing de serviços
baseados em tecnologia
– Atividades e processos de
negócio
– Serviços de TI
• Dois modelos distintos,
com foco diferenciado por
tipo de organização
– Clientes (eSCM-CL)
– Fornecedores (eSCM-SP)
43. Á s especfica
rea í s
• Cada modelo possui foco em um aspecto específico da
governança e gestão de TI
COBIT
BSC-TI Governança de TI
Planejamento
Contratações
Aplicações
Segurança
Qualidade
Serviços
Projetos
ITIL ISO 9000
Gestão de TI
eSCM-CL
CMMI ISO 17799 PMBOK BSC-TI
eSCM-SP
44. Á s comuns
rea
• Há diversas áreas de intersecção entre os
principais modelos de referência, basicamente
relacionadas a:
– Integração de diferentes macroprocessos da área de
TI, atendidos por modelos distintos (ex: ITIL / CMMI)
– Sobreposição de modelos aplicáveis a um mesmo
processo, porém com níveis distintos de detalhe ou
abstração (ex: CMMI / PMBoK)
– Existência de modelos alternativos aplicáveis a um
mesmo processo e no mesmo nível de abstração (ex:
CMMI / ISO 15504; PMBoK / Prince 2)
46. M croprocessos de T
a I
Identific ar nec essidades
Implementar soluç ões q u e
e o p o rtu nid ad e s p ara o
ate nd am às ne c e ssid ad e s
u so d a TI e m su p o rte ao
e o p o rtu nid ad e s id e ntific ad as
ne g óc io d a o rg anizaç ã o
Assegurar o uso
e fu nc io nam e nto
ap ro p riad o d as
so l ç õ e s d e TI
u
47. Av ã int a
is o egr da
COBIT
Monitoramento e Avaliação
Aquisição e Implementação
BSC de TI (Desenv.)
(Implementar Soluções)
Planejamento e Organização
CMMI (+ITIL)
BSC Corporativo BSC de TI (Estrat.)
(Negócio) (Identificar Oportunidades)
CMMI + ITIL BSC de TI (Suporte)
(Assegurar o Uso)
ITIL (+CMMI)
Entrega e Suporte
ISO 9001 ISO 17799 PMBoK eSCM
53. Concorê ou Cooper ç o?
r ncia aã
• O que gerenciar?
– COBIT, ISO 9001 e 17799, eSCM
• Como gerenciar?
– Todos os modelos
• O que executar?
– ITIL, CMMI, ISO 17799, PMBOK, eSCM
• Como executar?
– Métodos e ferramentas específicas
54. Por onde começar?
Como avançar?
“Se v ênã sa paaonde v i, t os ca
oc o be r a odos minhos o
l a al rnenhum”
ev m uga
(Henr Kissinger
y )
55. Poronde começ r
a?
• Estratégia de negócios como direcionador
– Quais resultados devem ser alcançados ou
melhorados?
– Quais problemas devem ser resolvidos ou
minimizados para alcançar tais resultados?
– Quais são as causas desses problemas?
– Quais áreas e processos de TI estão envolvidos?
• Definição do modelo principal a ser adotado,
sem prejuízo da visão integrada
• Definição dos processos a serem priorizados,
considerando as necessidades da organização
e as relações de dependência do modelo
56. Como a a ç r
v n a?
• Implantação e melhoria de processos é também
um processo de mudança cultural
– Consciência de que os benefícios serão obtidos de
forma progressiva, a médio e longo prazo
– É importante adequar os modelos à realidade de
cada organização
• Cada modelo sugere abordagens próprias,
baseadas em modelos de maturidade e
variações do ciclo PDCA
• Pense grande, comece pequeno...
... e não tenha pressa!
57. COBIT– M o de maur de
odel t ida
Nonexistent Initial Repeatable Defined Managed Optimised
0 1 2 3 4 5
Legend for Symbols Used Legend for Rankings Used
Enterprise current status 0 - Management processes are not applied at all.
1 - Processes are ad hoc and disorganised.
International standard guidelines
2 - Processes follow a regular pattern.
Industry best practice 3 - Processes are documented and communicated.
4 - Processes are monitored and measured.
Enterprise strategy 5 - Best practices are followed and automated.
64. Como gerenciar?
Como medir?
“Diga-me como me medes que
eu te direi como me comporto”
(Elyahu Goldratt)
65. COBIT – Métricas
• Três níveis de atuação
– Métricas de negócios
– Métricas de TI
– Métricas de processos
• Duas formas de mensuração
– Medidas de resultado (KGI) – Resultados
– Indicadores de desempenho (KPI) – Métodos
• Relações de causa e efeito (= BSC)
68. ITIL – Métricas
• Critical Success Factors (CSF)
– Detalhes que devem ser ajustados em cada um dos
processos de gerenciamento de serviços de TI
• Key Performance Indicators (KPI)
– Permitem mensurar, para cada processo, se os
fatores críticos de sucesso estão sendo atendidos
• Fatores críticos de sucesso e indicadores de
performance sugeridos de modo a permitir o
cascateamento até o nível individual
69. CMMI – Métricas
• Medição e Análise
– Área de processo específica, associada ao nível 2
– Metas:
• Alinhar as atividades de medição e análise aos objetivos e
necessidades informacionais
• Prover resultados que atendam às necessidades
– Recomendações gerais sobre como definir objetivos
e métricas e como coletar e analisar informações
• Monitorar e controlar o processo
– Sub-prática comum a todas as áreas de processo
– Sugestão de indicadores aplicáveis às práticas de
cada área de processo
70.
71. Tribunal de Contas da União
Secretaria de Tecnologia da Informação
Governança de Tecnologia da Informação:
conceitos, modelos e sua aplicação no TCU
Gledson Pompeu Corrêa da Costa
Missão da SETEC: Melhorar os resultados do TCU por meio da otimização de
seus processos de trabalho e da participação nas ações de Controle Externo,
com aplicação de conhecimentos especializados em Tecnologia da Informação