Especial: um guia de certificações e melhores práticas de
TI
Françoise Terzian, especial para o COMPUTERWORLD
Amedrontadas com o poderio industrial do Japão nos anos 80, as empresas norteamericanas converteram-se a uma religião – a religião da qualidade. Elas se apressaram em
aprimorar seus processos de negócios adotando diversos modelos de qualidade, como ISO
9000 para a corporação, Six Sigma para a fábrica e CMM (capability maturity model) para
engenharia de software.
Hoje, os gerentes de TI têm um leque oceânico de disciplinas de qualidade à disposição.
Algumas, como Six Sigma e ISO 9000, podem ser impostas ao diretor de TI pelo CEO.
Outras, como CobiT (control objectives for information and related technology), podem ser
exigidas por seus auditores. E disciplinas focadas em TI podem ter origem em suas próprias
instalações, como CMM para desenvolvimento de software e ITIL (information technology
infrastructure library) para operações e serviços de TI.
Embora haja alguma sobreposição entre esses modelos de qualidade, na maior parte dos
casos eles não entram em conflito. Na verdade, a maioria das grandes empresas usa dois ou
três deles. A IBM, por exemplo, utiliza ISO 9000, CMM, ITIL, Six Sigma e vários
programas de qualidade criados internamente. Já outras não usam nenhum deles, preferindo
ter os seus próprios. A MasterCard International adaptou partes de diversos programas ao
seu próprio modo de fazer negócio. Realizou uma avaliação externa de CMM um ano atrás
e implementou algumas idéias a partir daí, mas não implantou o modelo formalmente.
“Temos uma mistura de programas de qualidade”, explica Sheryl Andrasko, vice-presidente
de desenvolvimento de sistemas da MasterCard. Segundo Andrasko, o programa reduziu o
tempo de desenvolvimento de novos releases de software de 18 meses para 12 e também o
número de defeitos em software. Outras empresas, como a Nortel Networks, dizem que a
escolha deve ser baseada nos clientes e nos parceiros. A Nortel usa uma versão do ISO
9000 voltada para telecomunicações porque é o mesmo modelo de controle de qualidade
que seus clientes usam.
Para algumas companhias, um selo de aprovação de um organismo externo, como
certificação ISO 9000 ou CMM, pode ser um fator importante. Uma empresa na área de
defesa, por exemplo, talvez não consiga trabalhos se não tiver uma alta avaliação CMM. E
um selo ISO 9000 pode ser uma exigência para fazer negócio, principalmente fora dos
Estados Unidos.
Mas uma empresa pode se exceder em qualquer destes programas, observa Matt Light,
analista do Gartner. “Temos uma filosofia chamada ‘apenas o processo suficiente’”, diz ele.
“Criar seu próprio programa e aplicá-lo somente onde faz sentido costuma ser a melhor
opção para organizações que não têm exigências de certificação.”
De qualquer forma, alguma coisa você deve fazer no front da qualidade, recomenda
Michael J. Ashworth, CIO da unidade de banco de investimento da J.P. Morgan Chase &
Co. “Todas estas coisas são apenas maneiras melhores de fazer o que as pessoas estão
tentando fazer com um fim específico”, diz ele. “Não são um ritual sem sentido; são o
senso comum codificado.”
IT Infrastructure Library (ITIL)
Responsáveis: Escritório de Comércio do governo Reino Unidos, Pink Elephant e outros.
O que é: Conjunto de melhores práticas para operações e gerenciamento de serviços de TI
(como gerenciamento de service desk, incidente, mudança, capacidade, nível de serviço e
segurança). Especialmente popular na Europa. O ITIL rastreia problemas em áreas de
serviço de TI como help desk, suporte a aplicações, distribuição de software e suporte a
sistemas de contato com o cliente e se sobrepõe a CMM em determinadas áreas, como
gerenciamento de configuração. O ITIL rastreia, por exemplo, as mudanças feitas em
sistemas operacionais, mas a qualidade dessas mudanças — em termos do número e da
gravidade de problemas resultantes delas — é uma métrica de CMM.
Pontos fortes: Bem estabelecido, amadurecido, detalhado e focado em questões de
qualidade operacional e produção de TI. Pode ser combinado a CMMI para cobrir tudo
relacionado a TI.
Limitações: Não aborda o desenvolvimento de sistemas de gerenciamento de qualidade.
Não é voltado para processos de desenvolvimento de software. Seu uso depende
imensamente de interpretação.
Da informalidade aos processos estruturados
Construtora Norberto Odebrecht implanta ITIL para melhorar serviços aos usuários
Em 2002, após concluir o processo de consolidação dos servidores responsáveis por todos
os processos de gestão de obras, a área de TI da construtora Norberto Odebrecht percebeu
que vários serviços antes realizados de forma descentralizada nos canteiros de obras
poderiam ser feitos por uma equipe na sede da empresa. A criação de conta de e-mail foi
um deles. Mas como essa mudança implicava na criação de novos processos e fluxos,
diretor de TI da construtora, Mauro Rehm, acabou chegando à conclusão de que sua equipe
precisava estar preparada para prestar um serviço de qualidade, deixando a informalidade
de lado.
Após acompanhar o mercado de TI e participar de algumas discussões internas, Rhem
percebeu que estava em busca de algo próximo dos modelos CobiT e ITIL. “Como o CobiT
é uma metodologia mais voltada para a auditoria de processos de TI e o ITIL traduz as
melhores práticas, decidimos diagnosticar com o primeiro e implantar com o segundo”,
conta o executivo.
O passo seguinte foi o aculturamento das pessoas da equipe, que passaram a receber
informações sobre ITIL e as mudanças pelas quais iriam passar. “Precisávamos contagiar
toda a equipe, pois se tratava de conduzir um processo de mudança dentro da área de TI.
Deixaríamos a informalidade que funcionava bem, para criar uma formalidade necessária
ao atendimento dos serviços prestados. E precisávamos garantir que iria funcionar melhor
do que anteriormente”, recorda Rhem.
A rotina e os resultados alcançados pela subsidiária brasileira da Ford mudaram
radicalmente após a implantação do Six Sigma, metodologia adotada mundialmente pela
montadora no ano 2000. Buscando satisfazer os clientes externos e internos, o Six Sigma é
usado por todas as áreas de Ford brasileira, segundo Hudson Silvestre, supervisor de
sistemas e primeiro black belt (especialista interno) da área de TI da montadora.
O Six Sigma está tão alinhado à estratégia da empresa que até uma área exclusiva para
cuidar do tema a Ford criou. Além de um diretor de Six Sigma, há também um black belt
máster e black belts espalhados por todos os departamentos da montadora que cuidam da
implantação do Six Sigma e de outras iniciativas de mudança. Os black belts atuam como
líderes de projeto e de equipes, além de treinarem os chamados green belts, funcionários
que passam a conhecer a metodologia e a aplicá-la no dia-a-dia.
Na estrutura organizacional da Ford, cada área tem pelo menos um black belt, que coloca o
Six Sigma em prática, define projetos e metas. Na área de TI, por exemplo, Silvestre conta
que a adoção da metodologia trouxe uma série de benefícios como a redução do retrabalho
e um melhor atendimento ao cliente interno. Um exemplo disso foi um projeto iniciado em
2002 com o objetivo de melhorar a satisfação dos usuários que ligavam para o help desk.
Na época, dois problemas foram identificados: demora no atendimento e a necessidade de
ter que telefonar mais de uma vez para resolver um problema.
O supervisor de sistemas da Ford recorda que, no início do projeto, apenas 15% dos
acordos de nível de serviço (SLAs) eram cumpridos. A situação que gerava insatisfação aos
clientes internos começou a mudar quando o serviço de help desk terceirizado passou a
contar com a ajuda da metodologia. Um mês depois de implantado o Six Sigma, a
porcentagem subiu para 50% e, após três meses, atingiu o nível de 90%. Graças à
metodologia, a montadora conseguiu melhorar o tempo e o atendimento aos clientes
internos.
Outro benefício do Six Sigma foi a redução de 20% com os gastos de telefonia. “Com a
metodologia, nós conseguimos identificar qual é a situação atual e quais são as
oportunidades de melhorias”, explica Silvestre, acrescentando que as tomadas de decisões
agora têm resultado em maior acerto, já que a metodologia prega a fundamentação em
dados estatísticos, em vez de no famoso “achismo”.
De forma geral, a montadora contabiliza que a metodologia trouxe retornos como redução
do custo de manufatura e de retrabalho, melhora de atendimento não só ao cliente interno,
mas também externo, que é avaliado para saber se está satisfeito ou não com a Ford. Para
evitar a reinvenção da roda e estimular a troca de experiências, a montadora conta ainda
com uma intranet por meio da qual qualquer black belt da corporação mundial pode entrar
para incluir ou pesquisar informações sobre projetos realizados em qualquer área e
continente.
Preocupada em melhorar os processos internos diariamente, a Ford tem treinado cada vez
mais funcionários como green belts, sejam eles do chão de fábrica ou da área
administrativa. Na área de TI, por exemplo, 100% dos profissionais já passaram pelo
treinamento.
A americana LSI Logic utiliza Six Sigma há cerca de três anos e neste ano começará a usar
Design for Six Sigma, uma variante que a empresa considera mais apropriada para
ambientes de TI. “Six Sigma se aplica a algumas áreas de desenvolvimento de software,
como teste. Foi desenvolvido no ambiente de manufatura, onde há um alto volume de
produtos”, diz Terry Gowin, diretor de qualidade para LSI Logic Storage Systems. “Mas o
desenvolvimento de software varia a cada projeto e tem ciclos muito mais longos.”
O Design for Six Sigma é especialmente poderoso no início dos projetos, ressalta Gowin.
“Ele se concentra muito em determinar os requisitos corretos logo no começo. Ajuda a
definir realmente as especificações para evitar surpresas depois.”
Design for Six Sigma e CMM complementam-se muito bem, diz Ron Engelbrecht, gerente
geral de operações da LSI Logic. “CMM é sobretudo um guia de avaliação, enquanto que
Design for Six Sigma é um conjunto de ferramentas projetadas para ajudar você a melhorar
suas avaliações.”
No JP Morgan Chase, o Six Sigma não é aplicado diretamente a processos de TI, mas
representa um ponto de partida essencial para a maioria dos projetos de TI, diz J. Ashworth,
CIO da unidade de investimentos do banco. “Examinamos os processos de negócio que
desejamos aprimorar e seguimos as várias etapas em Six Sigma para chegar a um novo
modelo de processo de negócio. Depois que você sabe o que está tentando fazer, o CMM
entra em ação.”
Six Sigma, diz o executivo, pode ser aplicado a operações e serviços de TI. O banco está
usando nesta área um modelo de qualidade desenvolvido internamente, mas cogita
empregar ITIL. “Assim como reunimos as convenções de nomeação e os ativos criados em
Six Sigma e CMM em uma lista única que todo mundo é capaz de entender, vamos
acrescentar ITIL”, explica Ashworth.
Six Sigma
Responsável: Desenvolvido pela Motorola.
O que é: Um método de aprimoramento de processo estatístico que enfoca a qualidade do
ponto de vista do cliente ou do usuário. Define níveis de serviço e mede variações em
relação a estes níveis. Os projetos percorrem cinco fases: definir, medir, analisar, aprimorar
e controlar. A variante Design for Six Sigma aplica os princípios deste método à criação de
produtos ou serviços sem defeitos, e não ao aprimoramento dos que já existem.
Pontos fortes: Uma abordagem orientada a dados para descobrir a raiz de problemas de
negócio e resolvê-los. Leva em conta o custo de qualidade. Em TI, é melhor aplicado em
atividades passíveis de repetição e relativamente homogêneas, como operações de call
center ou help desk. Design for Six Sigma pode ajudar a desenvolver boas especificações
de software.
Limitações: Projetado originalmente para ambientes de manufatura; pode ser difícil aplicálo em processos que ainda não estão bem definidos e mensuráveis. Pode aprimorar o
processo, mas não diz se você tem o processo certo.
CobiT
Há um ano, Jairo Martins saiu da área de negócios da Siemens Mercosul para ocupar a
posição o CIO. Logo de início, desenvolveu um trabalho de ouvidoria com as várias
unidades do grupo para saber quais eram as principais queixas em relação ao departamento
de TI. O resultado foi desastroso: todas as unidades reclamaram que eram surpreendidas
com despesas novas de TI, não viam transparência na apresentação dos custos e nem uma
sistemática de tarifação (billing).
A falta de planejamento levou Martins à decisão de adotar o CobiT. O objetivo com a
implantação da metodologia foi dar a sua equipe condições para alinhar a infra-estrutura da
área aos negócios da empresa, de modo que ouvissem as necessidades dos usuários internos
e informar todos os dados que eles julgarem pertinentes. Além disso, a idéia do Cobit é
estabelecer parâmetros para subcontratar serviços e se estruturar para geri-los com
qualidade. “O Cobit é a mais ampla metodologia para se fazer a gestão de TI e a escolhi
porque ela vai me ajudar a gerir a área, ordenar processos internos e obter uma série de
benefícios”, acredita Martins.
Em julho de 2003, Martins contratou a Big Five Consulting para treinar seu pessoal e deu
início à criação de um projeto interno de Cobit. Como líder do projeto, Martins conta que,
no momento, ele está adaptando a metodologia para a realidade da Siemens e definindo
procedimentos. Com o Cobit, a Siemens quer obter otimização de custos, uma boa gestão
da qualidade dos serviços prestados e a garantia da disponibilidade das plataformas de TI.
Apesar de o Cobit ainda se encontrar em fase de implantação (60% dele já foi adotado), ele
já trouxe benefícios à empresa. A criação de um comitê de governança de TI, que se reúne
a cada trimestre com representantes de todas as unidades da empresa, é resultado da
implantação da metodologia. “Nós também conseguimos obter transparência dos custos,
que agora são repassados com maior clareza para as áreas, melhora na comunicação com as
unidades de negócio, além de uma melhor estruturação dos processos para gestão de TI.”
Martins acredita que, até o final deste ano, o Cobit atinja a maturidade 3 dentro da Siemens.
Hoje ela está em 2.4. A implantação total do projeto deve se encerrar em meados de 2005.
Control Objectives for Information and Related Technology (CobiT)
Responsável: Information Systems Audit and Control Association e IT Governance
Institute
O que é: Um conjunto de diretrizes baseadas em auditoria para processos, práticas e
controles de TI. Voltado para redução de risco, enfoca integridade, confiabilidade e
segurança. Aborda quatro domínios: planejamento e organização, aquisição e
implementação, entrega e suporte e monitoração. Apresenta seis níveis de maturidade,
similares aos de CMM.
Pontos fortes: Permite que TI aborde riscos não endereçados explicitamente por outros
modelos e que seja aprovada em auditorias. Funciona bem com outros modelos de
qualidade, principalmente ITIL.
Limitações: Diz o que fazer, mas não como fazer. Não lida diretamente com
desenvolvimento de software ou serviços de TI. Não fornece um “road map” para
aprimoramento contínuo de processos.
Lance Turcato, diretor de supervisão de segurança e infra-estrutura de tecnologia da
Charles Schwab & Co., define CobiT como uma “ferramenta de governança de TI” que
ajuda os gerentes de informática a entender quais controles são necessários e a medir a
eficácia destes controles. “Faz parte uma ferramenta de auditoria para que os auditores
possam auditar seguindo estes mesmos critérios”, acrescenta Turcato.
CobiT demanda um esforço considerável para ser integrado a processos de uma empresa.
“As instruções em CobiT são muito genéricas. Fomos obrigados a transformá-lo em
‘linguagem Schwab’ para que as pessoas pudessem entender”, diz Turcato. “O desafio
maior foi fazer todo mundo aderir. Tivemos que determinar, em todo o grupo de tecnologia,
as pessoas apropriadas que possuem estes controles e educá-las em CobiT.”
A Lockheed Martin tem quatro unidades no Nível 5 de CMMI. A empresa também usa
disciplinas Six Sigma e ISO 9000 em diversas partes de sua organização de TI, mas CobiT
é o “modelo de qualidade guarda-chuva”, define CIO Joseph R. Cleveland, fornecendo
checklists úteis em cada um de seus quatro domínios.
Para algo simples como acrescentar o PDA BlackBerry ao catálogo de dispositivos
aprovados da empresa, por exemplo, CobiT perguntará se existe suporte de help desk para
ele, se a segurança foi abordada, se já existem procedimentos para adquirir e manter o
dispositivo e assim por diante.
Cliveland diz que CobiT se integra bem com CMMI - CobiT detecta a necessidade de
determinados controles e CMMI implanta-os. As dúvidas dos auditores sempre podem ser
satisfeitas com aspectos de CMMI, segundo Cliveland.
CMM - Software com selo de maturidade
Certificação CMM confere um planejamento mais confiável , aumentando a probabilidade
de os recursos da aplicação e ganhar um crachá de merecimento para o mundo inteiro ver
— O executivo explica que a certificação foi essencial para que a empresa se firmasse
como exportadora de software
Durante 15 anos, as empresas que quiseram aprimorar significativamente suas práticas de
desenvolvimento de software — e ganhar um crachá de merecimento para o mundo inteiro
ver — percorreram um longo e árduo caminho chamado CMM for software, uma linha de
ação capaz de levá-las de um estado de semicaos (onde a maioria está hoje) a uma condição
marcada pela precisão, capacidade de repetir procedimentos e baixa taxa de erro
normalmente associados a uma linha de montagem de manufatura.
O CMMI, apresentado recentemente pelo Software Engineering Institute, é um modelo de
maturidade de processo mais abrangente que combina CMM for software com disciplinas
mais amplas nas áreas de engenharia de sistemas e desenvolvimento de produtos.
Futuramente, o instituto vai parar de suportar CMM for software em favor do CMMI.
A instalação de TI do JP Morgan Chase usa CMM for software, ao passo que o grupo, no
geral, trabalha sob Six Sigma. “Nossas equipes de desenvolvimento alcançaram o CMM
nível 2 e estão a caminho do nível 3 em alguns casos”, revela Michael Ashworth, CIO da
unidade de banco de investimento da JP Morgan Chase & Co. O CIO diz que a mudança do
nível 1 para o nível 2 gerou um planejamento mais confiável, aumentando a probabilidade
dos recursos da aplicação estarem certos da primeira vez e reduzindo, portanto, a tarefa
onerosa de refazer o trabalho.
Passar de um nível de maturidade ao seguinte exige dois ou mais anos de trabalho árduo e,
em alguns casos, não vale o esforço, apontam alguns usuários. A Allstate Insurance, por
exemplo, quer passar do nível 1 ao nível 3 e parar por aí. “Não vemos necessidade de ir
para o nível 4 ou 5”, diz Robin Richmond, vice-presidente assistente para Allstate
Protection Technology.
No Brasil, o CMM também vem sendo cada vez mais utilizado pelas empresas. A Stefanini
IT Solutions, uma das maiores consultorias nacionais de TI, sempre se preocupou em
manter um bom nível de qualidade em todos os departamentos, incluindo a fábrica de
software. Em 1996 a empresa obteve o certificado ISO 9001 e em 2002, deu mais um passo
à frente ao receber a certificação CMM nível 2. O diretor-presidente da empresa, Marco
Antônio Stefanini, diz que a homologação foi obtida em apenas 12 meses. O motivo foi o
fato de a empresa já ter uma preocupação anterior com qualidade e respeitar as normas ISO
9001. O processo foi conduzido pela ISD-Brasil, empresa credenciada pelo Software
Engineering Institute.
No momento, a Stefanini se encontra no meio do processo de implantação do CMM nível
3, iniciado em outubro do ano passado e com previsão de término para setembro. Até agora,
os custos estão em R$ 500 mil. Em 2005, a idéia é passar para o nível 4. Apesar de
considerar a implantação do CMM um processo caro e que consome muita energia,
Stefanini diz que, no caso de sua empresa, a adoção é uma questão de sobrevivência.
Os resultados obtidos com o CMM? O executivo explica que a certificação foi essencial
para que a empresa se firmasse como exportadora de software. Com sete subsidiárias no
exterior (Argentina, Chile, Peru, Colômbia, México, Estados Unidos e Espanha), a
Stefanini tem 15% de sua receita com vendas externas. Deste total, 50% são provenientes
dos Estados Unidos. “O CMM é muito bem visto pelo mercado norte-americano, o que
acaba se tornando um requisito básico na hora de fechar negócios com empresas
internacionais”, explica Stefanini.
Entre os principais benefícios já obtidos com o CMM, o executivo destaca a redução de
cerca de 60% de retrabalho nos projetos, melhoria nos prazos de atendimento, que subiram
de 80% para 96%, queda de 5% a 10% no custo de desenvolvimento, aumento da qualidade
do trabalho e controle de gestão.
Capability Maturity Model Integration (CMMI)
Responsável: Software Engineering Institute, Carnegie Mellon University
O que é: O CMMI estende e combina o capability maturity model for software (SWCMM), o systems engineering capability model e o integrated product development
capability maturity model. SW-CMM é uma coleção de melhores práticas para
desenvolvimento e manutenção de software. Permite que as empresas avaliem suas práticas
e as comparem com as de outras empresas. SW-CMM mede a maturidade do processo, que
progride em cinco níveis: 1 (inicial), 2 (gerenciado), 3 (definido), 4 (previsível) e 5
(otimização).
Pontos fortes: Muito detalhado. Criado especificamente para organizações de
desenvolvimento de software. Enfoca o aprimoramento contínuo, e não apenas a
manutenção de uma certificação. Pode ser usado para auto-avaliação.
Limitações: Não aborda aspectos de operações de TI como gerenciamento de segurança,
mudança e configuração, planejamento de capacidade, diagnóstico e funções de help desk.
Estabelece metas, mas não diz como atingi-las.
ISO - A excelência da qualidade
A ISO 9000 é um dos sistemas mais amplo, empregado pelas empresas nas áreas de
manufatura, engenharia, marketing, vendas e TI
A americana LSI Logic é certificada em ISO 9000 desde 1992. Também usa Six Sigma e
Design for Six Sigma. “Mas ISO é o sistema de qualidade mais amplo que empregamos”,
diz Engelbrecht. “Aplica-se a manufatura, engenharia, marketing, vendas e TI.” Ele explica
que, enquanto o Design for Six Sigma se concentra em projetos individuais e tenta corrigir
os problemas que detecta, a ISO 9000 ajuda a fazer aprimoramentos de qualidade ano a
ano. Isso é feito através de auditorias ISO 9000 anuais realizadas por auditores internos e
externos.
A Nortel Networks usa a TL 9000, uma versão de ISO 9000 talhada para a indústria de
telecomunicações. “A certificação é aplicada à empresa como um todo, mas iniciativas de
qualidade em TI também suportam a TL 9000”, diz Chris Ashwood, vice-presidente para
soluções de desenvolvimento de produtos. “TL 9000 levou ISO 9000 um passo à frente no
sentido de reconhecer realmente a importância de TI para o desenvolvimento de produtos.”
A instalação de TI da empresa tem um conjunto de prioridades bem definido que é
atualizado a cada seis meses, um scorecard para cada projeto e um processo de
gerenciamento rígido para rastrear responsabilidades. “Isso se alinha muito claramente com
a abordagem de ISSO — fazer o que você diz que vai fazer, rastrear responsabilidades e
documentar o processo” , diz Albert Hitchcock, CEO da Nortel.
ISO 9000
Responsável: International Standards Organization
O que é: Um conjunto de padrões auditáveis de alto nível voltados ao cliente (ISO 9000,
9001 e 9004) para sistemas de gerenciamento de qualidade. Destinado a garantir controle,
repetibilidade e boa documentação de processos (não de produtos).
Pontos fortes: Bem estabelecido, amadurecido. Goza de prestígio global. Pode ser aplicado
em toda a corporação. Cobre desenvolvimento de software e operações e serviços de TI.
Limitações: Requer adaptação considerável quando utilizado em organizações de TI.
Enfoca a repetibilidade e a consistência de processos, e não diretamente a qualidade dos
processos. Não é bom para descobrir a origem de problemas.
17/05/2004