216919

PROCESSO DE CONTRATAO DE SERVIOS DE TECNOLOGIA DA INFORMAO PARA ORGANIZAES PBLICAS

Presidente da Repblica Dilma Vana Rousseff Ministro da Cincia e Tecnologia Aloizio Mercadante Oliva Secretrio de Poltica de Informtica Virglio Augusto Fernandes Almeida Coordenador Geral de Servios e Programas de Computador Rafael Henrique Rodrigues Moreira

Comit Editorial Danilo Scalet Diva da Silva Marinho Kival Chaves Weber Rafael Prikladnick Sandra Fabbri

PROCESSO DE CONTRATAO DE SERVIOS DE TECNOLOGIA DA INFORMAO PARA ORGANIZAES PBLICAS

Junho/2011

Processo de Contratao de Servios de Tecnologia da Informao para Organizaes Pblicas N. 7 (2011) - Braslia Ministrio da Cincia e Tecnologia Secretaria de Poltica de Informtica, 2011 212 p. ISSN 1679-1878 1. Tecnologia da Informao - Processo de Contratao de Servios de Tecnologia da Informao para Organizaes Pblicas I. Ministrio da Cincia e Tecnologia. Secretaria de Poltica de Informtica Cludio Silva da Cruz Edmia Leonor Pereira de Andrade Rejane Maria da Costa Figueiredo

Processo de Contratao de Servios de Tecnologia da Informao para Organizaes Pblicas

Agradecimentos

A

os amigos do Grupo ENAP-DGTI/SLTI, sempre companheiros no compartilhamento e refinamento dos conhecimentos.

Aos demais pesquisadores fundadores do grupo de pesquisa Governana em TI Dr. Rildo Ribeiro Santos e Dr. Wander Cleber Silva. A todos os amigos conquistados nas instituies de origem dos autores: TCU, Embrapa e FGA/UNB, pelos momentos agradveis e enriquecedores. equipe PBQP/MCT pela disposio e pela ateno sempre dedicadas, em especial Diva da Silva Marinho, ao Kival Chaves Weber e ao Antenor Cesar Vanderlei Corra. Equipe Tcnica do Modelo (ETM) do programa MPS.BR Melhoria de Processo do Software Brasileiro, em especial ao Danilo Scalet. Aos familiares dos autores, que tornam cada dia um dia especial. Tnia, esposa amada, e aos filhos, Carlos, Luciana e Rafael, pela pacincia com que suportaram as incontveis horas gastas na preparao deste livro. Cludio Ao querido Ronaldo e aos filhos maravilhosos Loriza, Priscila e Leandro pela pacincia, incentivo e carinho dedicados durante a elaborao deste livro. Aos meus pais e irmos pelo exemplo de vida. Edmia. Ao Nilsinho e Isabelle, meus amores, pelo desprendimento, incentivo e compreenso, essenciais ao longo deste trabalho. Ao meu pai e irmos, e em especial minha Me, exemplo de dedicao e esperana. Rejane

5

A DEUS por tudo permitir e possibilitar.


Prefcio

O

PBQP Software Programa Brasileiro da Qualidade e Produtividade em Software foi criado em 1993, com apoio da SEPIN/MCT Secretaria de Poltica de Informtica, do Ministrio da Cincia e Tecnologia. Nestes 18 anos, o PBQP Software deu origem a algumas das principais iniciativas do Governo, Indstria e Academia (tripla hlice) nesta rea, tais como: pesquisas peridicas sobre a Qualidade do Setor de Software Brasileiro; projetos anuais que concorrem ao renomado Prmio Dorgival Brando Jnior da Qualidade e Produtividade em Software; EQPS - Encontro da Qualidade e Produtividade em Software, realizado anualmente em pelo menos trs locais do pas; SBQS - Simpsio Brasileiro da Qualidade de Software, da SBC - Sociedade Brasileira da Computao, realizado anualmente; e o Programa MPS.BR - Melhoria de Processo do Software Brasileiro, coordenado pela SOFTEX - Associao para Promoo da Excelncia do Software Brasileiro. Em 2008, foi identificada pelo MCT/SEPIN e Coordenao do PBQP Software a necessidade de estimular publicaes na rea de Engenharia de Software, com foco em temas relacionados Qualidade e Produtividade em Software. Assim, foi criada uma linha de ao denominada Srie de Livros do PBQP Software que compreende a realizao de concursos peridicos para promover a publicao de livros nesta rea. Em 2009, a primeira edio teve como tema a qualidade de produtos de software, com foco em requisitos e avaliao. O livro vencedor, publicado com apoio do MCT/SEPIN, foi Qualidade do Produto de Software, das autoras Ana Cervigni Guerra e Regina Maria Thienne Colombo, do CTI/ MCT - Centro de Tecnologia da Informao Renato Archer. Em 2011, a segunda edio teve como tema a melhoria do processo de aquisio de software e servios correlatos por rgos pblicos. O livro vencedor, ora publicado com apoio do MCT/SEPIN, foi Processo de Contratao de Servios de Tecnologia da Informao para Organizaes Pblicas, dos autores Cludio Silva da Cruz, do TCU -

7

Cludio Silva da Cruz Edmia Leonor Pereira de Andrade Rejane Maria da Costa Figueiredo

Tribunal de Contas da Unio, Edmia Leonor Pereira de Andrade, da EMBRAPA - Empresa Brasileira de Pesquisa Agropecuria, e Rejane Maria da Costa Figueiredo, da UNB - Universidade de Braslia. O objetivo deste livro foi propor um processo de aquisio derivado tanto de normas internacionais e brasileiras quanto das melhores prticas da Engenharia de Software, reconhecido pelo mercado e alinhado legislao brasileira. Este processo destina-se a qualquer organizao pblica nas esferas federal, estadual e municipal brasileiras, j que a legislao de licitaes e contratos de estados e municpios tambm est vinculada Lei n 8.666/1993. Parabns aos autores, que tm uma slida formao e um profundo conhecimento nesta rea. Acreditamos que este livro ser til a todos os interessados na melhoria do processo de aquisio de solues de TI por organizaes pblicas, especialmente aos profissionais das reas de tecnologia da informao, jurdica e de compras responsveis pelo planejamento de TI, planejamento da contratao, seleo do fornecedor e gesto contratual.

Braslia, junho de 2011

Rafael Henrique Rodrigues Moreira Especialista em Polticas Pblicas e Gesto Governamental Coordenador-Geral de Servios e Programas de Computador, do MCT/SEPIN Kival Chaves Weber 8 Coordenador Geral do PBQP Software Diva da Silva Marinho Coordenadora de Projetos e Indicadores do PBQP Software


Sumrio1 Introduo 1.1 1.2 1.3 1.4 1.5 Importncia das contrataes de TI na Administrao Pblica Federal Breve histrico da pesquisa realizada Objetivo Pblico alvo Organizao do livro 15 16 18 19 20 20

2 Processo de contratao no contexto da Governana de TI 2.1 2.2 2.3 2.3.1 2.3.2 2.3.3 Importncia da conformidade legal na Governana de TI Importncia das contrataes de servios de TI no setor pblico federal Modelos, normas e processos de contratao Modelo de Governana de TI Cobit Norma ISO/IEC 12.207

22 23 25 28 30 44

Processo de contratao de acordo com IEEE STD 1062:1998 47 49 55

2.3.4 Modelo eSCM-CL 2.3.5 Programa MPS.BR

3 Legislao aplicvel s contrataes no setor pblico 3.1 3.2 Quadro Referencial Normativo para contrataes de servios de TI no setor pblico (QRN) Instruo Normativa SLTI/MP 4/2010

62 62 65

9

4 O PCSTI 4.1 4.2 Estrutura do PCSTI Propsito do PCSTI

68 69 69


4.3 4.4 4.4.1

Resultados esperados do PCSTI Descrio do PCSTI Fase 1 Planejamento de TI

69 71 74 80 113 128 166

4.4.2 Fase 2 Planejamento da contratao 4.4.3 Fase 3 Seleo do fornecedor 4.4.4 Fase 4 Gesto do contrato 4.5 Indicadores de desempenho do PCSTI

5 A importncia da qualidade de processo de Software em contrataes de servios de software

168

6 Referncias

183

7 Glossrio

192

8 Apndice I Lista de produtos abrangidos pelo processo

195

9 Apndice II Modelo de Oficializao da demanda pelo Requisitante

199

10 Apndice III Modelo de Anlise da Viabilidade da Contratao

202

10

11 Apndice IV Critrios de qualificao tcnica de licitantes: Fbrica de Software

206


Lista de SiglasABNT Associao Brasileira de Normas Tcnicas AI - Adquirir e Implementar BID - Banco Interamericano de Desenvolvimento BSC Balanced Scored Card Catho - Currculos e Empregos da Amrica Latina CMMI - Capability Maturity Model Integration CMMI-ACQ - Capability Maturity Model Integration for Acquisition CMU - Carnegie-Mellon University Cobit - Control Objectives for Information and related Technology COSO - Committe of Sponsoring Organisations of the Treadway Commissions Internal Control Integrated Framework COTS - Commercial-off-the-shelf-software DS - Entrega de servios EGTI - Estratgia Geral de Tecnologia da Informao ENAP - Escola Nacional de Administrao Pblica EPC - Equipe de planejamento da contratao eSCM - eSourcing Capability Model eSCM-CL - eSourcing Capability Model for Clients eSCM-SP - eSourcing Capability Model for Service Providers FD - Fully Developed Software FGV Fundao Getlio Vargas FINEP - Financiadora de Estudos e Projetos GSISP - Gratificao Temporria do Sistema de Administrao dos Recursos de Informao e Informtica IEEE - Institute of Electrical and Electronics Engineers IN Instruo Normativa ISO - International Organization for Standardization ITGI IT Governance Institute ITsqc - Information Technology Services Qualification Center MCT - Ministrio da Cincia e Tecnologia 11


ME - Monitorar e Avaliar MOTS - Modified-off-the-shelf-software MP Ministrio do Planejamento MPS.BR - Melhoria de Processo do Software Brasileiro NMS - Nvel mnimo de servio OLA Organisational Level Agreement PBQP-SW Programa Brasileiro de Qualidade e Produtividade em Software PCN - Plano de Continuidade do Negocio PCSTI Processo de contratao de servios de TI para organizaes pblicas PDTI - Plano Diretor de Tecnologia da Informao PMBoK - Project Management Body of Knowledge PO - Planejar e Organizar PrATIco Processo de Aquisio de Produtos e Servios de Tecnologia da Informao QRN - Quadro Referencial Normativo S&SC Software e servios correlatos SA-CMM - Software Acquisition Capability Maturity Model SEBRAE - Servio Brasileiro de Apoio s Micro e Pequenas Empresas Sefti - Secretaria de Fiscalizao de Tecnologia da Informao do TCU SEI - Software Engineering Institute SIASG Sistema Integrado de Administrao de Servios Gerais SICAF - Cadastro de fornecedores SISP Sistema de Administrao dos Recursos de Informao e Informtica SLA - Service Level Agreement 12 SLTI - Secretaria de Logstica e Tecnologia da Informao SOFTEX - Associao para Promoo da Excelncia do Software Brasileiro SW-CMM - Software Capability Maturity Model TCU Tribunal de Contas da Unio TI - Tecnologia da informao WEB World Wide Web


Lista de FigurasFigura 2-1. Modelo para Governana Corporativa de TI Figura 2-2. Evoluo das deliberaes do TCU acerca de contrataes de servios de TI Figura 2-3. Componentes e referncias do modelo MPS Figura 2-4. MPS.BR-Guia de Aquisio:2009 Figura 3-5. Vinculao do QRN s fontes de dados Figura 3-6. Estrutura da IN 04 22 25 56 61 64 66

Lista de TabelasTabela 2-1. Atividades do domnio Aquisio e Implementao Tabela 2-2. Consolidao do ME3 no Cobit 4.0 e 4.1, comparada ao Cobit 3 edio Tabela 2-3. Atividades e tarefas do processo Tabela 2-4. Caractersticas das classes de produto, segundo a IEEE STD 1062:1998 Tabela 2-5. Fases do processo de aquisio de software, segundo a IEEE STD 1062:1998 Tabela 2-6. Declaraes que caracterizam o MR-MPS Tabela 2-7. Nveis do MR-MPS e seus processos caractersticos Tabela 4-8. Estrutura geral do modelo de processo de contratao proposto Tabela 5-9. Relacionamento do PCSTI com os processos estabelecidos no MR-MPS 33 40 45 47 48 57 58 71 13 168


IntroduoEste um livro sobre como contratar servios de tecnologia da informao (TI) no mbito do setor pblico. Mas, por que consideramos necessrio escrever sobre esse tema? Em nossa experincia como profissionais da rea de TI, inclusive como dirigentes da rea no setor pblico, deparamos com diversas dificuldades relacionadas contratao de servios de TI ou ouvimos nossos colegas reclamando sobre elas, dentre as quais destacamos as seguintes: a) A legislao pblica sobre contrataes parece complexa demais para garantir um processo eficiente de contratao, com amarras que tanto impedem a celeridade, quanto tambm expe o contratante aos licitantes aventureiros; b) Poucos colegas da rea de TI se dispem ao sofrimento de preparar uma licitao, no raro considerando que licitaes no competem rea de TI, mas rea administrativa; c) As conversas com as demais reas envolvidas nas contrataes (rea de licitaes, de contratos, de oramento e contabilidade, jurdica) so difceis e, em geral, a preparao da licitao envolve muitas idas e vindas de ineficiente retrabalho; d) Aps extenuante esforo de alcanar sucesso nas contrataes mediante licitao com todos os cuidados conhecidos, h a frustrao com os resultados de alguns contratos e um verdadeiro pavor de se ter desatendido algum aspecto desse verdadeiro cipoal de leis, normas e jurisprudncias, erro s descoberto pelas instncias de controle (interno ou externo) quando tarde demais. Certamente essa uma experincia comum. Mas acreditamos que a melhor forma de enfrentar essas dificuldades seria compreender melhor a sua natureza, mediante a aplicao de mtodos prprios da academia e localizando solues em modelos de referncia, em prticas adotadas com sucesso por organizaes pblicas e na prpria legislao e jurisprudncia. Por isso, a partir de 2006 formamos um grupo de pesquisa sobre governana de TI com bastante nfase em contrataes, sendo o contedo deste livro um de seus resultados. 15


1.1 Importncia das contrataes de TI na Administrao Pblica FederalA contratao de servios de tecnologia da informao (TI) pode ser considerado um dos principais processos para a consolidao de uma boa governana de TI (BARBOSA et al., 2006, p. 3, 5; WEILL; ROSS, 2006, p. 37, 225, 241). A norma ABNT NBR ISO/IEC 38500:2009 (ABNT, 2009b, p. 6), atualmente a nica norma referencial sobre governana corporativa de TI no Brasil, elenca seis princpios que devem nortear a boa governana de TI, entre os quais est o princpio da aquisio, nos seguintes termos: As aquisies de TI so feitas por razes vlidas, com base em anlise apropriada e contnua, com tomada de deciso clara e transparente. Existe um equilbrio apropriado entre benefcios, oportunidades, custos e riscos, de curto e longo prazo. Um levantamento recente do Tribunal de Contas da Unio (TCU) mostrou que o oramento de gastos em TI da Administrao Pblica Federal (APF) para 2010 era de pelo menos R$ 12,5 bilhes, sendo parte significativa desse oramento dirigido para a contratao de servios relacionados a software. Alm disso, h que se considerar que no mesmo ano era previsto um oramento total da Unio de R$ 1,8 trilho, sendo provvel que a execuo da maior parte dependa, direta ou indiretamente, de TI (BRASIL, 2010e). Isto faz dos servios de TI, contratados ou no, um assunto de suma importncia para a administrao pblica brasileira, a requerer grande ateno das instncias de controle pblico. O TCU j detectou elevada frequncia de irregularidades e impropriedades em contrataes de servios de TI e, diante disso, recomendou a elaborao de um modelo de licitao e contratao de servios de TI com processos mais maduros e a sua implantao nos rgos e entidades sob a coordenao da Secretaria de Logstica e Tecnologia da Informao (SLTI) do Ministrio do Planejamento, Oramento e Gesto (MP) (BRASIL, 2006b, item 67 do Voto do Relator e item 9.4 do Acrdo). Em razo dessa recomendao do TCU e de outras semelhantes1, o Governo Federal Brasileiro, por meio da SLTI/MP, que o rgo1 Outras recomendaes importantes a mencionar so as constantes dos Acrdos 1.603 e 2.471/2008-TCU-Plenrio (BRASIL, 2008c, 2008d).

16


central do Sistema de Administrao dos Recursos de Informao e Informtica (SISP), tem implementado medidas que inauguram uma nova fase na poltica de TI, especialmente no que diz respeito s diretrizes para a contratao de servios de TI pela Administrao Pblica Federal direta, autrquica e fundacional. Algumas medidas tomadas foram: a) Em maio de 2008, a elaborao e publicao da Instruo Normativa SLTI/MP 04/2008 (IN-04/2008) (BRASIL, 2008b). Essa IN define as diretrizes e fases do processo de contratao de servio de TI e foi concebida tomando por base, entre outras fontes, a legislao brasileira, os resultados preliminares da pesquisa de Cruz (2008) que resultaram no Quadro Referencial Normativo para contratao de servios de TI, apresentados em 19/12/2007, e nas experincias dos gestores envolvidos no grupo de trabalho organizado pela SLTI para apoiar a construo dessa IN; b) Em dezembro de 2008, a publicao de um instrumento balizador das diretrizes estratgicas e metas de aprimoramento institucional do SISP, denominado Estratgia Geral de Tecnologia da Informao (EGTI) (BRASIL, 2008a). O objetivo da EGTI foi estabelecer as bases para o cumprimento da IN-04/2008, para que os rgos do SISP elaborassem seus Planos Diretores de Tecnologia da Informao (PDTI), buscando o aprimoramento institucional e a maturidade da governana de TI. A palavra sntese foi transio; c) Em 2009, o governo criou a Gratificao Temporria do Sistema de Administrao dos Recursos de Informao e Informtica (GSISP), atraindo funcionrios pblicos para atuao na rea de governana de TI, e criou o cargo de Analista em TI (ATI) com atribuies voltadas s atividades de planejamento, superviso e controle dos recursos, com o intuito de reforar as unidades de TI; d) A SLTI tambm implantou um programa de desenvolvimento de gestores de TI, por meio da Escola Nacional de Administrao Pblica (ENAP), com quatro mdulos: i) elaborao do plano diretor de TI; ii) planejamento da contratao; iii) seleo de fornecedores; e iv) gesto de

17


contratos. Os cursos i, ii e iv foram elaborados, parcial ou totalmente, por Cruz (2009b; 2009d; e 2009c), validados por gestores experientes e aplicados na formao de multiplicadores; e) Ainda em 2009, a EGTI 2008 foi revisada e considerando o aumento de profissionais de TI, publicou-se a EGTI 2010 (BRASIL, 2010b), cuja palavra sntese foi agregao de valor; f) Em 2010, a IN 04/2008 foi revisada, melhorada e publicada como IN 04/2010 (BRASIL, 2010c). Esse aperfeioamento refletiu os conceitos apresentados por Cruz (2009b; 2009d; e 2009c) nos cursos oferecidos na ENAP; g) Em seguida, foi publicada a EGTI 2011-2012 (BRASIL, 2011b), que tem como misso promover a gesto dos recursos de TI nos rgos integrantes do sistema, visando apoiar o desenvolvimento social do Pas. Um dos objetivos da EGTI 2011-2012 aperfeioar a gesto de processos de TI nos rgos do SISP, e uma das metas adotar um processo de contrataes de solues de TI, conforme as publicaes da IN 04/2010 e do Manual de Contrataes de Solues de TI. A palavra sntese estruturao, incentivar e promover a troca de informaes, experincias, conhecimentos e o desenvolvimento colaborativo entre os rgos que compem o sistema. Portanto, h uma diretriz clara no sentido de que as organizaes pblicas definam e institucionalizem seus processos de contratao de servios de TI.

1.2 Breve histrico da pesquisa realizadaA definio e institucionalizao de processos de contratao de servios de TI, especialmente aqueles relacionados a software, envolvem aes complexas, principalmente no que diz respeito identificao dos requisitos necessrios, a garantia da qualidade dos resultados esperados, os critrios de aceitao, a gesto de mudanas, as transferncias de conhecimentos, a legislao pertinente, entre outros. E envolvem tambm questes de relacionamento entre clientes e fornecedores, o que implica em competncias administrativas e jurdicas. Essas complexidades apresentam riscos para as partes envolvidas e, como consequncia, comum a ocorrncia de srios

18


conflitos. Normas e modelos de referncia podem ser teis para resolver esses conflitos. Embora diversas normas e modelos2 j tenham contribudo significativamente para a melhoria de processos de contratao de servios de TI, especialmente relativos a software, a sua aplicao ao contexto das organizaes pblicas brasileiras encontra um grave obstculo: a necessidade de alinhamento legislao brasileira. Para auxiliar na superao desse obstculo, Cruz (2008) desenvolveu3, entre 2006 e 2008, o Quadro Referencial Normativo4 (QRN) para contrataes de servios de TI no setor pblico, contendo um modelo genrico de processo de contratao e a legislao e a jurisprudncia aplicveis. O TCU publicou o QRN por meio do Acrdo 1.215/2009-TCU-Plenrio (BRASIL, 2009), recomendando a sua divulgao com vistas orientao de gestores e a continuao dos estudos na rea. Em 2009, Cruz, Andrade e Figueiredo (2010a, 2010b) desenvolveram um Processo de contratao de software e servios correlatos para entes governamentais (PCSSC-EG), no escopo do Programa Brasileiro de Qualidade de Software, buscando compatibilizar o processo de aquisio de software e servios correlatos com a legislao pblica brasileira, semelhana das contribuies concludas pelos pesquisadores. Esse projeto foi laureado com o Prmio Dorgival Brando Jnior da Qualidade e Produtividade em Software, ciclo 2009. Em 2010 esse processo foi revisto e ampliado, passando a denominar-se Processo de contratao de servios de tecnologia da informao para organizaes pblicas (PCSTI) e apresentado no escopo deste livro.

1.3 ObjetivoApresentar um Processo para organizaes pblicas, alinhado legislao pblica brasileira para contrataes de servios de tecnologia da informao (TI) e a respectiva jurisprudncia. 19

2 Essas normas e modelos so exemplificados ou detalhados na seo 2.3. 3 Cruz (2008) tomou por base os conceitos desenvolvidos por Hernandes, entre 2001 e 2005, e que resultaram na publicao da Portaria Setec/TCU 1/2005 (BRASIL, 2005). 4 O QRN apresentado em maiores detalhes na seo 3.1.


1.4 Pblico alvoO PCSTI aplicvel a qualquer organizao pblica nas esferas federal, estadual e municipal brasileiras, j que a legislao de licitaes e contratos de estados e municpios tambm est vinculada Lei 8.666/1993 (BRASIL, 1993), base da construo do PCSTI.

1.5 Organizao do livroO presente captulo do livro faz uma breve apresentao do tema contrataes de servios de TI, a razo de sua grande importncia no cenrio atual das organizaes pblicas e a evoluo da pesquisa no tema. O Captulo 2 apresenta em maior detalhe o processo geral de contratao em dois contextos especiais: a) No contexto da Governana de TI, evidenciando a elevada importncia das contrataes na gerao de valor para as organizaes que usam TI para impulsionar o negcio, com nfase para a situao do setor pblico; b) No contexto da evoluo da pesquisa sobre o tema contrataes de TI ou contrataes de software e servios correlatos, evidenciando o grande esforo que j vinha sendo empreendido at o momento para organizar a contratao como um processo formal, definido, mensurvel e passvel de melhoria contnua. O Captulo 3 apresenta um resumo de trabalhos recentes realizados para melhorar a aderncia do processo de contratao de servios de TI s normas aplicveis ao setor pblico. Com isto, torna-se possvel caminhar na direo do aperfeioamento de processos de contratao que sejam simultaneamente eficientes e legais, como requer o caput do art. 37 da Constituio Federal brasileira (BRASIL, 1988). Nesse sentido, os dois marcos histricos principais so: a) O desenvolvimento do estudo sistemtico do Tribunal de Contas da Unio sobre contrataes de servios de TI, determinado no item 9.7 do Acrdo 1.558/2003-TCUPlenrio (BRASIL, 2003) e levado a efeito entre 2006 e 2009 na forma de pesquisa de mestrado, o que resultou na publicao do Quadro Referencial Normativo, por meio do

20


Acrdo 1.215/2009-TCU-Plenrio (BRASIL, 2009); b) A publicao da Instruo Normativa SLTI/MP 4/2008, decorrente de recomendao do TCU, constante do item 9.4 do Acrdo 786/2006-TCU-Plenrio (BRASIL, 2006b), tratando de modelo especfico de contratao de servios de TI para a Administrao Pblica Federal. O Captulo 4 apresenta em detalhes o processo PCSTI, desenvolvido pelos autores com base nas praticas de modelos e frameworks reconhecidos no mercado e na academia e na legislao e na jurisprudncia brasileiras. Aspectos gerenciais tais como propsito, resultados esperados e indicadores de desempenho do processo so ressaltados. Por ltimo, o Captulo 5 estabelece uma conexo detalhada entre o universo da qualidade de processo de software e o das contrataes de servios de software. Com isso, torna-se mais fcil ressaltar a grande dependncia que os mtodos de melhoria de processo de software tm de que as organizaes pblicas contratantes de servios de software efetivamente possuam boa capacidade de planejamento e gesto de contratos, sem o que os esforos de melhoria de processo de software podem ser inefetivos. Para tanto, utiliza-se como exemplo a comparao entre o MPS.BR e o PCSTI. Adicionalmente so fornecidos: um glossrio de termos empregados nesse universo de contrataes pblicas de servios de TI, especialmente em software; uma lista detalhada de produtos de entrada ou sada das tarefas que constituem o processo descrito; um exemplo de termo de referncia para contratao de fbrica de software; e trs modelos de documentos a serem empregados na execuo do processo. Com isso, pretende-se compartilhar com os leitores os resultados j alcanados em pesquisas na rea, contribuindo para o enriquecimento das discusses em torno do tema e para auxiliar os gestores de TI no alcance de agregao de valor para suas organizaes.

21


Processo de contratao no contexto da Governana de TIDe acordo com a norma ABNT NBR ISO/IEC 38500 Governana Corporativa de Tecnologia da Informao (ABNT, 2009b, p. 3), governana corporativa de TI significa avaliar e direcionar o uso da TI para dar suporte organizao e monitorar seu uso para realizar planos. Inclui a estratgia e as polticas de uso da TI dentro da organizao. Portanto, h trs tarefas bsicas que a alta administrao de uma organizao deve realizar para governar adequadamente o uso da TI: a) Avaliar o uso atual e futuro da TI; b) Orientar (Dirigir) a preparao e a implementao de planos e polticas para assegurar que o uso da TI atenda aos objetivos de negcio; e c) Monitorar o cumprimento das polticas e o desempenho em relao aos planos. (ABNT, 2009b, p. 7-8) A Figura 2-1 mostra o ciclo Avaliar-Dirigir-Monitorar, os elementos e os relacionamentos necessrios para a governana de TI. Esse ciclo baseia-se principalmente nas necessidades de negcio, identificadas e monitoradas de forma alinhada aos processos de negcio e aos projetos e operaes de TI.

22

Figura 2-1. Modelo para Governana Corporativa de TIFonte: ABNT, 2009b, p. 7


2.1 Importncia da conformidade legal na Governana de TIA norma ABNT NBR ISO/IEC 38500 prev seis princpios que devem nortear a boa governana de TI (ABNT, 2009b, p. 6): responsabilidade, estratgia, aquisio, desempenho, conformidade e comportamento humano. Ressalta-se aqui o princpio da conformidade, segundo o qual necessrio garantir que a TI cumpre com toda a legislao e regulamentos obrigatrios. As polticas e prticas so claramente definidas, implementadas e fiscalizadas. Essa orientao est em consonncia com a Constituio Federal brasileira, segundo a qual a Administrao Pblica rege-se por vrios princpios, entre eles o princpio da legalidade (BRASIL, 1988, art. 37, caput), segundo o qual as aes do administrador pblico devem ser pautadas pela legislao e jurisprudncia em vigor. O Cobit, um dos modelos de governana de TI mais conhecidos e atualmente em sua verso 4.1 (ITGI, 2007b), abrange a norma ABNT NBR ISO/IEC 38500 (ITGI, 2009), citada acima. Em seu domnio Monitorar e Avaliar, o modelo Cobit destaca a necessidade de que a alta administrao assegure a conformidade dos processos de TI com os requerimentos externos organizao (objetivo de controle ME3) (ITGI, 2007b, p. 163-166), tais como a legislao e a jurisprudncia. Entre os processos de TI, cuja conformidade legal deve ser controlada, a contratao de servios deve ser destacada, pois (ITGI, 2005, p. 7): a) Trata-se de uma opo estratgica da rea de TI; b) Afeta diretamente a qualidade dos servios de TI oferecidos aos clientes; c) A rea de TI continua a ser responsvel pelos resultados dos servios contratados; d) Afeta os custos da rea de TI e, portanto, o valor agregado organizao; e e) Expe a organizao a muitos riscos adicionais (WRIGHT, 2004). 23


Embora a contratao de servios de TI tenha papel importante na estratgia organizacional, h muitos riscos que podem frustrar seus resultados e impactar negativamente a governana de TI (BARBOSA et al., 2006, p. 5; HEFLEY; LOESCHE, 2006a, p. 19). Wright (2004) analisou 23 riscos associados contratao de servios de TI e concluiu que os mais relevantes so: riscos de segurana da informao; riscos de dependncia do fornecedor; e riscos de disputa legal. Outros autores que tambm analisaram riscos relacionados com a contratao de servios em organizaes pblicas mantiveram os riscos dependncia de fornecedor e a segurana das informaes de negcio e acrescentaram novos riscos: descontinuidade tecnolgica; dificuldade com a definio do escopo dos servios; falta de compreenso do negcio pelos contratados; dificuldade em manter a qualidade dos servios; perda do domnio do conhecimento de negcio; perda do controle da informao de negcio; perda de poltica interna de incentivo aos servidores; disputas entre equipes internas e de terceiros; problemas com diferenas de rendimentos; dificuldade em manter os padres internos; risco de desequilbrio financeiro do contrato; perda de controle dos custos do contrato (CARDOSO, 2000, p. 15; CHIAVEGATTO; SILVA JNIOR, 2003, p. 7; OLIVEIRA; SANTOS FILHO, 2006, p. 7). Embora nenhum dos autores tenha explicitado, no caso do setor pblico existem tambm os riscos relacionados ao descumprimento da legislao de licitaes e contratos da Administrao Pblica, que poderiam ser, por exemplo: impugnao de procedimento licitatrio ou suspenso da assinatura do contrato, causando o atraso na contratao (Lei 8.666/1993, art. 41, 1) (BRASIL, 1993); suspenso ou rompimento de contratos considerados ilegais (Lei 8.443/1992, art. 45) (BRASIL, 1992); perdas oramentrias (por consequncia dos itens anteriores); paralisao de projetos importantes calcados em TI (por consequncia dos itens anteriores); ressarcimento, pelos gestores, de prejuzos quantificados (Lei 8.443/1992, arts. 12 e 19) (BRASIL, 1992); processo criminal, nos casos previstos na Lei 8.666/1993, arts. 89 a 99 (BRASIL, 1993). Todos esses riscos de no conformidade legal afetam o valor da TI para o negcio da organizao e podem colocar em risco o

24


prprio negcio. Por isso, TI deve ser tratada como parte do negcio e ser adequadamente dirigida, monitorada e avaliada no modelo de governana de TI adotado na organizao.

2.2 Importncia das contrataes de servios de TI no setor pblico federalPara se aquilatar a importncia das contrataes de servios de TI no setor pblico, importante ressaltar, como j citado na introduo, que o gasto anual da esfera federal em TI gira em torno de R$12,5 bilhes e que pelo menos metade desse valor gasto na contratao de servios de TI. Mais relevante ainda o papel da TI governamental na gesto do oramento de cerca de R$1,8 trilho de reais. Por essas razes, pode-se considerar que as contrataes de servios de TI so crticas e demandam mecanismos de controle especficos. A Figura 2-2 apresenta um levantamento dos acrdos e decises do Tribunal de Contas da Unio (TCU) que so relacionados com contrataes de servios na rea de TI, na esfera federal.

25

Figura 2-2. Evoluo das deliberaes do TCU acerca de contrataes de sevios de TIFonte: Brasil, 2011


O aumento na frequncia de acrdos e decises do TCU relacionados no mbito das contrataes de servios de TI, em especial a partir de 2002, indica maior preocupao do TCU com o tema e sugere a existncia de problemas de gesto de contratao de servios no setor pblico federal. Essa percepo foi destacada no item 38 do voto do relator no Acrdo 1.558/2003-TCU-Plenrio (BRASIL, 2003). Nessa ocasio, o TCU deliberou pela realizao de estudos sobre os parmetros que devem balizar a contratao de servios de TI (item 9.7). As fiscalizaes do TCU sobre licitaes e contratos de TI a partir de 2001 identificaram vrios problemas, tais como os exemplificados por Braga (2009): a) Ausncia de posse/domnio de seus sistemas e bases de dados; b) Completa dependncia tecnolgica; c) Aes paralelas, sem coordenao; d) Sistema contratado, pago, mas inservvel; e) Sistema contratado, pago, desenvolvido, servvel, mas no implantado f) Ausncia de Plano de Continuidade do Negcio (PCN). Em 2006, novas evidncias de que alguns problemas que acometiam essas contrataes eram recorrentes (BRASIL, 2006b, itens 68 e 69 do voto do relator), levaram o TCU a recomendar Secretaria de Logstica e Tecnologia da Informao do Ministrio do Planejamento, Oramento e Gesto a elaborao de norma que regulasse o processo de contratao de servios de TI na Administrao Pblica Federal (BRASIL, 2006b, item 9.4). Problemas semelhantes foram relatados por Barbosa et al. (2006, p. 11-12), na esfera estadual, quando analisaram 46 contratos e 40 entrevistas com gestores oriundos de 11 rgos pblicos de um dos estados brasileiros. Os autores concluram que 82% dos entrevistados no conheciam as etapas crticas do processo de contratao; que 79% dos entrevistados desconheciam os fatores crticos da execuo dos contratos no que tange qualidade e nveis de servios; e que praticamente 100% dos entrevistados no aplicavam multas contratuais na ocorrncia de no-conformidades, por falta de conhecimento sobre como faz-lo.

26


Esses autores tambm identificaram limitaes no processo de contratao: deficincia no planejamento da demanda e na racionalizao da aquisio de servios de tecnologia da informao e da comunicao; inexistncia de procedimento para padronizao de editais de licitao e de contratos; inexistncia de contratos com mtricas claras e indicadores de desempenho; inexistncia de mecanismos para verificao efetiva de resultados; inexistncia de um processo consistente de gesto de contratos; falta de conhecimento e domnio do processo de execuo; falta de procedimento administrativo de aplicao de multas. Essas limitaes e riscos do processo de contratao afetavam especialmente a contratao de produtos e servios de software. Diante desse contexto o TCU, por meio da Secretaria de Fiscalizao de Tecnologia da Informao (Sefti), realizou estudos para facilitar o entendimento dos requisitos legais, as prticas adotadas no mercado de servios de software a regra geral de uso do prego para aquisio de servios padronizados. Esses estudos resultaram nas Notas Tcnicas 2/2008 (BRASIL, 2008e) e 5/2010 (BRASIL, 2010f), que fundamentam juridicamente os seguintes entendimentos, resumidamente: a) obrigatria a adoo de prego para licitaes de TI quando o objeto pode ser descrito segundo padres de qualidade e de desempenho que seguem especificaes usuais no respectivo mercado; b) A exigncia de demonstrao de qualidade de processo de software como requisito tcnico e de habilitao no fere os princpios da Administrao Pblica, mas isto deve ser feito por meio de rigorosos atestados de capacidade tcnica que demonstrem que o licitante realizou servio compatvel (em termos de qualidade, quantidade e prazo) com o objeto da contratao, tomando-se por base os resultados esperados do processo de software, vedada a exigncia de certificados de qualidade de processo de software tais como CMM, CMMI ou MPS.BR. A Nota Tcnica 5 (BRASIL, 2010f) estrutura os entendimentos de acordo com os seguintes princpios: eficincia; julgamento objetivo; pertinncia e relevncia da exigncia editalcia; e isonomia entre licitantes e interessados. Com isso, garante-se o equilbrio entre eficincia e legalidade, como requer a Constituio Federal brasileira.

27


2.3 Modelos, normas e processos de contrataoDiversas normas e modelos tm contribudo para a melhoria de processos de contratao de servios de TI, especialmente relativos a software, tais como: a) Normas e modelos de governana de TI: ISO/IEC 38500, Cobit; b) Normas e modelos de melhoria de processo de software: ISO/IEC 12207, ISO/IEC 15504, CMM, CMMI, MPS.BR; c) Modelos de capacidade em contrataes: eSCM-SP, eSCM-CL; d) Modelos com foco em aquisio de software: IEEE STD 1062, SA-CMM, CMMI-ACQ, Guia de Aquisio-MPS.BR. As normas ABNT NBR ISO/IEC 12207:2009 (Engenharia de sistemas e software Processos de ciclo de vida de software) (ABNT, 2009a) e ABNT NBR ISO/IEC 15504 (Avaliao de processo de software) (ABNT, 2008), tradues das verses europeias, incluem e apresentam um subprocesso contratao. O padro IEEE STD 1062:1998 (IEEE, 1998) estabelece um processo para a contratao de produto de software, independentemente do tamanho, complexidade e tecnologia. O Software Engineering Institute (SEI) da Carnegie Mellon University (CMU) tem grande experincia e reconhecimento da academia e da indstria no desenvolvimento de modelos de processo de software. Umas das contribuies mais conhecidas o SW-CMM (Software-Capability Maturity Model) (PAULK et al., 1993). A experincia adquirida tem sido aplicada no desenvolvimento de outros modelos. O modelo SA-CMM (Software Acquisition Capability Maturity Model) foi um dos primeiros modelos com foco em aquisio, utilizado principalmente pelo governo americano (COOPER; FISHER, 2002), e possibilitou a evoluo do SW-CMM para os modelos CMMI (Capability Maturity Model Integration). O CMMI-DEV (CMMI for Development), Version 1.3, apresenta no nvel 2 a rea de processo Gerenciamento de Acordos com o Fornecedor, cujo propsito gerenciar a aquisio de produtos dos fornecedores (SEI, 2010b). O modelo CMMI for Acquisition (CMMI-ACQ), verso v1.3, prov orientao para a aplicao das melhores prticas CMMI pelo

28


contratante, que so focadas em atividades para iniciar e gerir a aquisio de produtos e servios que atendam s necessidades do cliente (SEI, 2010a). O Information Technology Services Qualification Center (ITsqc) um dos centros de estudos da CMU, que juntamente com o SEI/ CMU, constitui referncia internacional na rea de desenvolvimento de software e de servios apoiados por TI. Em 2000, o ITsqc lanou o modelo eSCM (eSourcing Capability Model), para aperfeioar os processos de outsourcing de servios de TI. Atualmente so 2 modelos: um modelo para o provedor de servios, o eSCM-SP (eSourcing Capability Model for Service Providers) (HYDER; HESTON; PAULK, 2006) e um modelo para o cliente, o eSCM-CL (eSourcing Capability Model for Clients) (HEFLEY; LOESCHE, 2006a). O programa de Melhoria de Processo do Software Brasileiro (MPS.BR) apresenta o modelo MPS (SOFTEX, 2009c), com um processo de Aquisio no nvel F, e apresenta o Guia de Aquisio (SOFTEX, 2009b) que descreve um processo de aquisio de software e servios correlatos baseado na Norma Internacional ISO/IEC 12207: 2008. O escopo deste guia ficou delimitado especificamente como um guia de orientao s organizaes que pretendam conduzir projetos de aquisio, evidenciando que no se trata da preparao dessas organizaes para serem avaliadas quanto a nveis de maturidade do modelo de referncia MR-MPS. Para isso, h o Guia de Implementao: 2009 parte 8: Implementao do MR MPS (nveis G a A) em organizaes que adquirem software. O modelo de governana de TI Control Objectives for Information and related Technology (Cobit) (ITGI, 2007b) e a norma ABNT NBR ISO/ IEC 38500 (ABNT, 2009b) Governana Corporativa da Tecnologia da Informao incluem orientaes quanto ao processo de contratao de TI. Contudo, essas normas e modelos no atendem s necessidades especficas de um processo de contratao de servios de tecnologia da informao para organizaes pblicas brasileiras, pois a sua aplicao ao contexto dessas organizaes encontra um grave obstculo: a necessidade de alinhamento legislao brasileira (BARBOSA et al., 2006; CARDOSO, 2006; CRUZ, 2008; SOUSA et al., 2005). 29


Por essa razo, Cruz (2008) desenvolveu o Quadro Referencial Normativo (QRN) para contrataes de servios de TI no setor pblico, contendo um modelo genrico de processo de contratao, e a legislao e a jurisprudncia aplicveis. O QRN contm 289 entendimentos condensados (corolrios) que sumarizam os requisitos legais extrados de 153 fontes da legislao, jurisprudncia e outras fontes auxiliares. Entretanto, o QRN no um modelo de processo. A seguir so apresentados alguns desses modelos que subsidiaram a elaborao do modelo de contratao de servios de TI para organizaes pblicas.

2.3.1 Modelo de Governana de TI - CobitAs organizaes ao adotar e implementar um modelo para governana e controle de TI tm mais chances de reconhecer como a TI funciona, de entender e gerenciar os riscos e os benefcios associados TI. O Control Objectives for Information and related Technology (Cobit) um modelo de governana de TI que possibilita (ITGI, 2007b, p. 10): melhor alinhamento entre o negcio e a TI; viso clara para os executivos sobre o que a TI faz; clara diviso das responsabilidades baseada na orientao por processos; aceitao geral por terceiros e rgos reguladores; linguagem comum entre as partes interessadas; e o cumprimento dos requisitos do Committe of Sponsoring Organisations of the Treadway Commissions Internal Control Integrated Framework (COSO) para controle do ambiente de TI. O Cobit nasceu como um framework para auditoria de sistemas, mas foi expandido para abranger toda a atividade organizacional relacionada com o uso de TI. A estrutura de processos do Cobit e o seu enfoque de alto nvel orientado aos negcios fornece uma viso geral de TI e das decises a serem tomadas, habilitando o desenvolvimento de polticas claras e boas prticas para controles de TI em toda a organizao. O foco do Cobit est em definir quais processos deveriam ser realizados para que a organizao efetivamente aufira benefcios da utilizao de TI e estabelea objetivos de controle e indicadores que permitam acompanhar a maturidade dos processos de TI e estabelecer metas de melhoria. O Cobit estruturado em domnios, processos e objetivos de controle. Os domnios so ordenados por responsabilidade de

30


planejamento, construo, processamento e monitoramento conforme descrito a seguir ITGI (2007b, p. 28): Planejamento e Organizao PO1 Definir um Plano Estratgico de TI PO2 Definir a Arquitetura da Informao PO3 Determinar as Diretrizes de Tecnologia PO4 Definir os Processos, a Organizao e os Relacionamentos de TI PO5 Gerenciar o Investimento de TI PO6 Comunicar Metas e Diretrizes Gerenciais PO7 Gerenciar os Recursos Humanos de TI PO8 Gerenciar a Qualidade PO9 Avaliar e Gerenciar os Riscos de TI PO10 Gerenciar Projetos Aquisio e Implementao AI 1 Identificar Solues Automatizadas AI2 Adquirir e Manter Software Aplicativo AI3 Adquirir e Manter Infraestrutura de Tecnologia AI4 Habilitar Operao e Uso AI5 Adquirir Recursos de TI AI6 Gerenciar Mudanas AI7 Instalar e Homologar Solues e Mudanas Entrega e Suporte DS1 Definir e Gerenciar Nveis de Servios DS2 Gerenciar Servios Terceirizados DS3 Gerenciar o Desempenho e a Capacidade DS4 Assegurar a Continuidade dos Servios DS5 Garantir a Segurana dos Sistemas DS6 Identificar e Alocar Custos DS7 Educar e Treinar os Usurios DS8 Gerenciar a Central de Servio e os Incidentes DS9 Gerenciar a Configurao 31


Monitoramento e Avaliao ME1 Monitorar e Avaliar o Desempenho de TI ME2 Monitorar e Avaliar os Controles Internos ME3 Assegurar a Conformidade com Requisitos Externos ME4 Prover Governana de TI De acordo com o ITGI (2007b, p. 14), as principais caractersticas dos domnios so: a) Planejar e Organizar (PO) esse domnio abrange a estratgia e as tticas, de como a TI pode melhor contribuir para atingir os objetivos de negcios. O sucesso da viso estratgica precisa ser planejado, comunicado e gerenciado por diferentes perspectivas, e prov direo para entrega de solues (AI) e entrega de servios (DS); b) Adquirir e Implementar (AI) para a execuo da estratgia de TI, as solues de TI precisam ser identificadas, desenvolvidas ou adquiridas, implementas e integradas ao processo de negcios. E as alteraes e manutenes nos sistemas existentes so cobertas por esse domnio para assegurar que as solues continuem a atender aos objetivos de negcios. Prov as solues e as transfere para tornarem-se servios. Esse domnio se caracteriza por tratar questes como: Os novos projetos fornecero solues que atendam s necessidades de negcios? Os novos projetos sero entregues no tempo e oramento previstos? Os novos sistemas ocorrero apropriadamente quando implementados? As alteraes ocorrero sem afetar as operaes de negcios atuais? c) Entregar e Suportar (DS) esse domnio trata da entrega dos servios solicitados, o que inclui entrega de servio, gerenciamento da segurana e continuidade, servios de suporte para os usurios e o gerenciamento de dados e recursos operacionais. d) Monitorar e Avaliar (ME) esse domnio trata da monitoria de todos os processos para garantir que a direo definida seja seguida. Todos os processos de TI precisam ser regularmente avaliados com o passar do tempo para assegurar a qualidade e a aderncia aos requisitos de controle. Esses domnio aborda o gerenciamento do desempenho, o mo-

32


nitoramento do controle interno, a aderncia regulatria e a governana. Esse domnio se caracteriza por tratar questes como: O desempenho de TI mensurado para detectar problemas em tempo hbil? O gerenciamento assegura que os controles internos sejam efetivos e eficientes? O desempenho da TI pode ser associado aos objetivos de negcio? Existem controles adequados para garantir confidencialidade, integridade e disponibilidade das informaes? Dados os quatro domnios, o Cobit definiu 34 processos de TI que podem ser utilizados para verificar a totalidade das atividades e responsabilidades. No entanto, nem todos precisam ser aplicados e podem ser combinados conforme as necessidades de cada empresa.

2.3.1.1 Cobit: aquisio e implementaoNo escopo deste livro, o domnio de Aquisio e Implementao o que fornece maiores subsdios definio de fases, atividades e tarefas de contratao de servios de TI, embora processos de outros domnios tambm sejam referenciados. A Tabela 2-1 apresenta as atividades previstas no Cobit para cada objetivo de controle do domnio Aquisio e Implementao apresentado na seo anterior, e suas respectivas origens, entrada, sada e destino. A origem e o destino apresentam os objetivos de controle de outros domnios que enviam ou recebem as entradas e sadas. (ITGI, 2007b).Tabela 2-1. Atividades do domnio Aquisio e Implementao AI1 Identificar Solues AutomatizadasAtividades Definir requisitos tcnicos e funcionais de negcio Estabelecer processos para integridade/atualizao de requisitos Identificar, documentar e analisar os riscos de processos de negcio Conduzir um estudo de viabilidade/avaliao de impacto para a implementao dos requisitos de negcio propostos Avaliar os benefcios das solues propostas para a operao de TI Avaliar os benefcios das solues propostas para o negcio Desenvolver um processo de aprovao de requisitos Aprovao e liberao das solues propostas

33


OrigemPO1

EntradaPlanejamentos estratgico e ttico de TI Atualizaes peridicas do estado da tecnologia; Padres tecnolgicos Padres para aquisio e desenvolvimento Diretrizes de gerenciamento de projetos e planejamento detalhado de projetos Descrio do processo de mudanas SLAs Planejamento de desempenho e capacidade (requisitos)

SadaEstudo de viabilidade dos requisitos de negcio

DestinoPO2 PO6 PO7 AI2 AI3 AI4 AI5

PO3

P08 PO10

AI6 DS1 DS3

AI2 Adquirir e Manter Software AplicativoAtividades Traduzir os requisitos de negcio em macro especificaes de projeto Preparar projeto detalhado e requisitos tcnicos dos softwares aplicativos Especificar no projeto os controles das aplicaes Customizar e implementar as funcionalidades automatizadas adquiridas Desenvolver metodologias e processos formais para gerenciar o processo de desenvolvimento de aplicaes Criar um plano de garantia da qualidade de software para os projetos Rastrear e gerenciar requisitos das aplicaes

OrigemPO2

EntradaDicionrio de dados; Estrutura de classificao de dados, Plano otimizado de sistemas de negcio Atualizaes peridicas do estado da tecnologia Relatrios de Custo/ Benefcio Padres para aquisio e desenvolvimento

SadaEspecificaes de controles para segurana de aplicaes Conhecimento de aplicaes e pacotes de software Decises de aquisio SLAs planejados inicialmente

DestinoDS5

34PO3

AI4

PO5 PO8

AI5 DS1


PO10

Diretrizes de gerenciamento de projetos e planejamento detalhado de projetos Estudo de viabilidade dos requisitos de negcio Descrio do processo de mudanas

verificaes de disponibilidade, continuidade e recuperao

DS3 DS4

AI1 AI6

AI3 Adquirir e Manter Infraestrutura de TecnologiaAtividades Definir processos/procedimentos de aquisio Negociar aquisio e adquirir a requerida infraestrutura com os fornecedores (aprovados) Definir estratgia e plano de manuteno para a infraestrutura Configurar componentes da infraestrutura

OrigemPO3

EntradaPlano de infraestrutura tecnolgica, padres e oportunidades, atualizaes peridicas do estado da tecnologia Padres para aquisio e desenvolvimento Diretrizes de gerenciamento de projetos e planejamento detalhado de projetos Estudo de viabilidade dos requisitos de negcio Descrio do processo de mudanas Planejamento de desempenho e capacidade (requisitos)

SadaDecises de aquisio

DestinoAI5

PO8

Sistema configurado para ser testado/ instalado Requisitos do ambiente fsico

AI 7

PO10

DS12

AI1 AI6

Atualizaes para padres tecnolgicos Requisitos de monitoramento de sistema Conhecimento da infraestrutura Acordos de nvel operacional planejados inicialmente Requisitos de monitoramento de sistema Conhecimento infraestrutura da AI4

PO3 DS3

DS3

AI4

35DS1

DS3


AI4 Habilitar Operao e UsoAtividades Desenvolver estratgia para operacionalizar a soluo; Desenvolver metodologia de transferncia de conhecimento; Desenvolver manuais de procedimentos para usurios finais; Desenvolver documentao de suporte tcnico para equipes de operao e suporte; Desenvolver e realizar treinamento; Avaliar os resultados dos treinamentos e melhorar a documentao quando necessrio

OrigemPO10

EntradaDiretrizes de gerenciamento de projetos e planejamento detalhado de projetos Estudo de viabilidade dos requisitos de negcio

SadaManuais de usurio, operao, suporte, tcnico e administrao Requisitos de transferncia de conhecimento para implementao de solues Materiais treinamento de

DestinoAI7 DS4 DS8 DS9 DS11 DS13 DS7

AI1

AI2

Conhecimento de aplicaes e pacotes de software Conhecimento da infraestrutura Erros conhecidos e aceitos Atualizaes necessrias de documentaes

DS7

AI3 AI7 DS7

AI5 Adquirir Recursos de TIAtividades Desenvolver polticas e procedimentos de aquisio de TI alinhadas com as polticas de aquisio corporativas

36

Estabelecer/manter uma listagem de fornecedores homologados Avaliar e selecionar fornecedores atravs de processos de requisio de propostas (RFP - Request For Proposal) Desenvolver contratos que protejam os interesses corporativos Adquirir de acordo com os procedimentos estabelecidos


OrigemPO1

EntradaEstratgia de aquisio de TI

SadaRequisitos gerenciamento relacionamento terceiros Itens adquiridos Tratativas contratuais de de com

DestinoDS2

PO8 PO10

Padres para aquisio Diretrizes de gerenciamento de projetos e planejamento detalhado de projetos Estudo de viabilidade dos requisitos de negcio Decises de aquisio Catlogo de fornecedores

AI7 DS2

AI1; AI2-3 DS2

AI6 Gerenciar MudanasAtividades Desenvolver e implementar um processo para registrar, avaliar e priorizar de forma consistente as solicitaes de mudana Avaliar criticamente o impacto e priorizar mudanas baseadas em necessidades do negcio Assegurar que qualquer mudana crtica e emergencial siga o processo aprovado Autorizar mudanas Gerenciar e disseminar informaes relevantes relacionadas a mudanas

OrigemPO1 PO8 PO9 PO10

EntradaPortflio de projetos de TI Aes de melhoria de qualidade Planos de ao para remediao de riscos de TI Diretrizes de gerenciamento de projetos e planejamento detalhado de projetos Mudanas necessrias Mudanas de segurana necessrias Solicitaes de servio/ solicitaes de mudana

SadaDescrio do processo de mudanas Relatrios de status das mudanas Autorizao mudanas de

DestinoAI1, AI2, AI3 ME1 AI7 DS8 DS10

37

DS3 DS5 DS8


DS9-10

Solicitaes de mudana (como e onde aplicar a correo) Registros de problemas

DS10

AI7 Instalar e Homologar Solues e MudanasAtividades Confeccionar e revisar o planejamento de implantao Definir e revisar a estratgia de testes (critrios de entrada e sada) e a metodologia de planejamento de testes operacionais Confeccionar e manter um repositrio de requisitos de negcio e tcnicos e testes realizados em sistemas homologados Realizar os testes de converso e integrao no ambiente de testes Fornecer o ambiente de testes e conduzir os testes finais de aceitao; Recomendar migrao para produo baseado nos critrios de homologao acordados

OrigemPO3 PO4 PO8 PO10

EntradaPadres tecnolgicos Proprietrios formais dos sistemas Padres para desenvolvimento Diretrizes de gerenciamento de projetos e planejamento detalhado de projetos Sistema configurado para ser testado/instalado Manuais de usurio, operao, suporte, tcnico e administrao Itens adquiridos Autorizao de mudanas

SadaItens de configurao liberados Erros conhecidos e aceitos Migrao para produo Liberao de software e planejamento de distribuio Reviso psimplementao Monitoramento de controles internos

DestinoDS8 DS9 AI4 DS13 DS13

AI3 AI4

PO2 PO10 ME2

PO5

AI5

38

AI6

Fonte: ITGI (2007b)

2.3.1.2 Cobit e a Conformidade LegalPara que a governana de TI seja eficiente, importante avaliar as atividades e riscos da TI que precisam ser gerenciados. Cruz (2008) ressalta que o Cobit possui objetivos de controle focados em contratao de servios, em especial os objetivos AI5 (Adquirir


recursos de TI) e DS2 (Gerenciar servios terceirizados), mas tambm possvel relacionar 28 dos 34 processos Cobit 4.1 com o processo de contratao de servios de TI, considerando desde a fase de planejamento institucional, quando so definidas as prioridades de investimento, e finalizando com os ltimos controles dos atos administrativos relacionados finalizao de um contrato. Esses processos so (CRUZ, 2008): Planejamento e Organizao PO1 Definir um Plano Estratgico de TI PO2 Definir a Arquitetura da Informao PO3 Determinar as Diretrizes de Tecnologia PO4 Definir os Processos, a Organizao e os Relacionamentos de TI PO5 Gerenciar o Investimento de TI PO6 Comunicar Metas e Diretrizes Gerenciais PO7 Gerenciar os Recursos Humanos de TI PO8 Gerenciar a Qualidade PO9 Avaliar e Gerenciar os Riscos de TI PO10 Gerenciar Projetos Aquisio e Implementao AI 1 Identificar Solues Automatizadas AI2 Adquirir e Manter Software Aplicativo AI3 Adquirir e Manter Infraestrutura de Tecnologia AI4 Habilitar Operao e Uso AI5 Adquirir Recursos de TI AI6 Gerenciar Mudanas AI7 Instalar e Homologar Solues e Mudanas Entrega e Suporte DS1 Definir e Gerenciar Nveis de Servios DS2 Gerenciar Servios Terceirizados DS3 Gerenciar o Desempenho e a Capacidade DS4 Assegurar a Continuidade dos Servios 39


DS5 Garantir a Segurana dos Sistemas DS6 Identificar e Alocar Custos DS7 Educar e Treinar os Usurios DS8 Gerenciar a Central de Servio e os Incidentes DS9 Gerenciar a Configurao Monitoramento e Avaliao ME1 Monitorar e Avaliar o Desempenho de TI ME2 Monitorar e Avaliar os Controles Internos ME3 Assegurar a Conformidade com Requisitos Externos ME4 Prover Governana de TI Cruz (2008) ressalta ainda que as duas ltimas verses do Cobit foram bastante influenciadas pelas recomendaes de gerenciamento de risco do COSO e das normas de segurana da informao ISO/IEC 27000 (ITGI, 2007b, p. 173, 177), de modo que as questes relativas conformidade legal na governana de TI, antes dispersas, foram consolidadas no objetivo de controle ME3 (Assegurar a conformidade com os requisitos externos), conforme apresentado na Tabela 2-2.Tabela 2-2. Consolidao do ME3 no Cobit 4.0 e 4.1, comparada ao Cobit 3 edio Cobit 4.1 ME3 Assegurar a conformidade com os requisitos externos. 3.1 Identificao dos requisitos de conformidade legal, regulatria e contratual 3.2 Otimizao da resposta aos requisitos externos

Cobit 4.0 ME3 Assegurar a conformidade regulatria. 3.1 Identificao das leis e regulamentos que tm impacto potencial em TI 3.2 Otimizao da resposta aos requisitos regulatrios

Cobit 3 edio

Cobit 3 edio

40

PO8.1, PO8.3, PO8.4, PO8.5, PO8.6

PO8.1, PO8.3, PO8.4, PO8.5, PO8.6, DS12.4

PO8.2

PO8.2


3.3 Avaliao da conformidade com os requisitos regulatrios 3.4 Obteno da certeza de conformidade 3.5 Relatrio integrado sobre a conformidade

Novo

3.3 Avaliao da conformidade com os requisitos externos 3.4 Obteno da certeza de conformidade

Novo

Novo

Novo

Novo

3.5 Relatrio Novo integrado sobre a conformidade

Fonte: adaptado de Cruz (2008, p. 34)

O processo ME3 resulta em dois produtos: o catlogo dos requisitos legais e regulatrios relacionados aos servios de TI e a avaliao do grau de aderncia das atividades de TI a tais requisitos (ITGI, 2007b, p. 165). No Cobit, a maturidade da gesto do processo de assegurao da conformidade com os requisitos externos mensurada em 5 nveis: 0 Inexistente, quando h pouca conscincia sobre requisitos externos que afetam a TI, sem que haja processo de conformidade com os requisitos contratuais, legais e regulatrios. 1 Inicial/Ad hoc, quando h conscincia do impacto dos requisitos legais, regulatrios e contratuais na organizao. Processos informais so adotados para manter a conformidade, porm somente quando surge a necessidade em novos projetos ou em resposta s auditorias ou anlises crticas. 2 Repetvel, porm Intuitivo, quando h entendimento da necessidade de aderir aos requisitos externos e isso comunicado. Onde a conformidade tornou-se um requisito recorrente, como no caso de regulamentaes financeiras ou leis de privacidade, foram desenvolvidos procedimentos especficos de conformidade que so seguidos anualmente. Entretanto, no h uma abordagem padronizada. Existe grande confiana no conhecimento e na responsabilidade das pessoas, e existe a probabilidade de erros. H treinamento informal sobre requisitos externos e aspectos de conformidade.

41


3 Processo Definido, quando polticas, procedimentos e processos foram desenvolvidos, documentados e comunicados para assegurar a conformidade com as obrigaes legais, contratuais e regulatrias, porm nem sempre podem ser cumpridos integralmente e podem estar desatualizados ou ser inviveis. H pouco monitoramento, e existem requisitos de conformidades que no foram tratados. fornecido treinamento sobre os requisitos legais e regulatrios externos que afetam a organizao e os processos de conformidade definidos. Existem contratos pr forma e processos de cunho legal padronizados que visam minimizar os riscos associados s responsabilidades contratuais. 4 Gerenciado e Mensurvel, quando h um completo entendimento das questes e exposies provenientes dos requisitos externos e da necessidade de assegurar a conformidade em todos os nveis. H um esquema de treinamento formal que assegura que toda a equipe esteja consciente de suas obrigaes de conformidade. As responsabilidades so claras e a propriedade dos processos entendida. O processo inclui a reviso do ambiente para identificar requisitos externos e mudanas constantes. H um mecanismo implementado para monitorar a no-conformidade com os requisitos externos, reforar as prticas internas e implementar aes corretivas. Problemas de no-conformidade so analisados em sua causa-raiz de uma forma padronizada, com o objetivo de identificar solues sustentveis. Boas prticas internas e padronizadas so utilizadas para suprir necessidades especficas, como regulamentaes vigentes e contratos de servio recorrentes. 42 5 Otimizado, quando h um processo bem organizado, eficaz e obrigatrio de adeso aos requisitos externos com base em uma funo central nica que fornece orientao e coordenao para a organizao inteira. H vasto conhecimento dos requisitos externos aplicveis, inclusive de tendncias futuras e mudanas previstas, assim como da necessidade de novas solues. A organizao participa


de fruns de discusso externos com grupos ligados ao segmento e sujeitos s respectivas regulamentaes para entender a influncia dos requisitos externos que os afetam. Melhores prticas foram desenvolvidas, assegurando a conformidade eficaz com os requisitos externos, com casos raros de exceo. Existe um sistema de rastreabilidade central e global na organizao, permitindo direo documentar o fluxo de trabalho, avaliar e melhorar a qualidade e a eficcia do processo de monitoramento da conformidade. Um processo de autoavaliao da conformidade com os requisitos externos est implementado e foi refinado no nvel de boas prticas. O estilo de gesto e a cultura de conformidade da organizao so suficientemente fortes, e os processos so suficientemente desenvolvidos para que o treinamento seja limitado a novas equipes e sempre que houver mudanas significativas. (ITGI, 2007b, p. 166) Para alcanar melhor nvel de maturidade no processo ME3, o Cobit recomenda a adoo de cinco processos detalhados que devem ser controlados: ME3.1 Identificao dos Requisitos de Conformidade com Leis, Regulamentaes e Contratos Externos. Continuamente identificar as exigncias de leis, regulamentos e contratos locais e internacionais que precisam ser atendidos para a incluso em polticas, padres, procedimentos e metodologias de TI. ME3.2 Otimizao da Resposta aos Requisitos Externos. Revisar e ajustar polticas, padres, procedimentos e metodologias de TI para assegurar que os requisitos legais, regulatrios e contratuais sejam atendidos e comunicados. ME3.3 Avaliao da Conformidade com Requisitos Externos. Confirmar a conformidade de polticas, padres, procedimentos e metodologias de TI com os requisitos legais e regulatrios. ME3.4 Assegurar a Conformidade. Obter e assegurar a conformidade e adeso a todas as polticas internas derivadas de diretrizes legais internas ou externas e requisitos regulatrios ou contratuais externos, confirmando que 43


aes corretivas foram tomadas oportunamente para resolver quaisquer desvios de conformidade pelos proprietrios do processo. ME3.5 Informes Integrados. Integrar os informes de TI sobre requisitos legais, regulatrios e contratuais aos informes similares de outras funes do negcio. (ITGI, 2007b, p. 164)

2.3.2 Norma ISO/IEC 12.207A norma ABNT NBR ISO/IEC 12207:2009 (ABNT, 2009a) tem por objetivo prover um conjunto definido de processos para aquisio, fornecimento, desenvolvimento, operao e manuteno de produto e servios de software. Esses processos so aplicados pela indstria para facilitar a comunicao entre os gestores, adquirentes, fornecedores, desenvolvedores e usurios interessados na melhoria de processos de software. As atividades a serem realizadas durante o ciclo de vida do software so agrupadas nos seguintes grupos de processos: a) Processos contratuais; b) Processos organizacionais capacitadores de projetos; c) Processos de projetos; d) Processos tcnicos; e) Processos de implementao de software; f) Processo de apoio de software; g) Processos de reuso de software. Dentro desse grupo cada um dos processos descrito por meio de seus propsitos, resultados esperados, atividades e tarefas que precisam ser executadas para alcanar os resultados. 44 Os processos de contratao definem as atividades necessrias para o estabelecimento de um contrato entre duas organizaes. Abrangem a aquisio e o fornecimento. O processo de aquisio tem como propsito obter um produto, e ou servio, que satisfaa as necessidades expressas pelo adquirente, enquanto que o processo de fornecimento tem como propsito prover um produto, ou servio, ao adquirente que satisfaa os requisitos combinados.


O processo de aquisio inicia com a identificao das necessidades do cliente e termina com a aceitao do produto e ou servio. Os resultados esperados desse processo so: a) Necessidades de aquisio, objetivos, produtos e ou servios, critrios de aceitao e estratgia de aquisio esto definidas; b) Um acordo que expressa as expectativas, responsabilidades entre o adquirente e fornecedor claramente estabelecido; c) Um ou mais fornecedores so selecionados; d) Um produto, ou servios, que satisfaa as necessidades do adquirente adquirido; e) A aquisio monitorada conforme as regras, custos, cronograma e qualidade estabelecidas; f) Os produtos entregues pelo fornecedor so aceitos; g) Qualquer pendncia identificada tem uma soluo satisfatria, conforme acordado entre adquirente e fornecedor. Esse processo de aquisio compe-se de sete atividades e vinte e cinco tarefas conforme mostra a Tabela 2-3 (ABNT, 2009a).Tabela 2-3. Atividades e tarefas do processo Atividades Preparao para a aquisio estabelece as necessidades e os objetivos da aquisio e comunica-os aos fornecedores em potencial. a) Tarefas Descrever um conceito ou uma necessidade de informao b) Definir e analisar os requisitos do sistema c) Definir e analisar os requisitos do software d) Aprovar a anlise de requisitos e) Utilizar processos tcnicos para analisar os requisitos do sistema e aprov-los f) Considerar opes de aquisio de acordo com critrios pertinentes g) Certificar se as condies foram atendidas h) Preparar, documentar e executar um plano de aquisio i) Definir e documentar os critrios de aceitao j) Documentar os requisitos de aquisio k) Determinar os processos adequados para a aquisio l) Definir marcos do contrato para monitorar a aquisio m) Entregar os requisitos de aquisio organizao escolhida

45


Anncio da aquisio comunica a solicitao de um servio ou produto para os fornecedores identificados. Seleo do fornecedor seleciona a organizao que ser responsvel pelo atendimento aos requisitos do projeto. Acordo contratual assina um contrato. Monitorao do acordo acompanha e avalia o desempenho do fornecedor em relao aos requisitos acordados. Aceite do adquirente aprova os produtos entregues pelo fornecedor quando todos os critrios de aceitao so satisfeitos.

Comunicar a solicitao de fornecimento de um produto ou servio

a) b)

Estabelecer um procedimento para seleo do fornecedor Selecionar um fornecedor com base nas propostas

a) b) c) a) b)

Envolver outras partes antes da assinatura do contrato Preparar e negociar um contrato com o fornecedor Controlar as alteraes feitas no contrato Monitorar as atividades do fornecedor de acordo com o processo de reviso de software Fornecer as informaes necessrias e resolver as pendncias

a) b) c)

Preparar para a aceitao com base nos critrios definidos Aceitar os produtos e servios de software de acordo com as condies estabelecidas Definir os responsveis pela gesto da configurao aps o aceite do produto ou servio

46

Fechamento paga a remunerao acordada com o fornecedor para o produto entregue ou servio prestado.Fonte: ABNT, 2009a

Fazer o pagamento para o produto entregue ou servio prestado


2.3.3 Processo de contratao de acordo com IEEE STD 1062:1998O padro IEEE STD 1062:1998 (IEEE, 1998) estabelece um processo para a contratao de produto de software, independente do tamanho, complexidade e tecnologia (SOFTEX, 2009c). De acordo com esse padro os produtos de software so classificados em trs funcionalidades: i) Commercial-off-the-shelfsoftware (COTS): ii) Modified-off-the-shelf-software (MOTS); e iii) FullyDeveloped Software (FD). As principais caractersticas desses produtos de software (COTS, MOTS e FD) so apresentadas na Tabela 2-4 (SOFTEX, 2009c).Tabela 2-4. Caractersticas das classes de produto, segundo a IEEE STD 1062:1998 FD (Parcial ou completamente contratado) Totalmente personalizado Sem precedentes

Caractersticas

COTS

MOTS

Escopo Adequao ao uso

Fixo

Parcialmente personalizado Demonstrado em aplicaes similares Controle parcial

Demonstrado

Manuteno

Sem controle

Controle total

Prazo de entrega

Imediato

Pequeno - Grande

Grande

47Custo da aquisio Qualidade (ABNT NBR ISO/ IEC 9126-1) Baixo - Mdio Mdio - Alto Alto

No controlada

Parcialmente controlada

Controlada em sua maior parte

Fonte: SOFTEX (2009c)


O IEEE STD 1062 apresenta um processo de contrataes composto de cinco fases e atividades e nove passos, conforme mostra a Tabela 2-5 (SOFTEX, 2009c).Tabela 2-5. Fases do processo de aquisio de software, segundo a IEEE STD 1062:199 Passo no processo de aquisio de software 1. Planejamento da estratgia organizacional, 2. Implementao do processo organizacional 3. Definio dos requisitos do software 4. Identificao dos potenciais fornecedores 5. Preparao dos requisitos do contrato 6. Avaliao das propostas e seleo do fornecedor 7. Gerncia do desempenho do fornecedor 8. Aceitao do software 9. Utilizao do software

Fase

Incio de fase

Fim de fase

Planejamento

Desenvolvimento da ideia

Chamada para proposta atualizada

Contratao

Atualizao da chamada para proposta

Contrato assinado

Implementao do software Aceitao do software

Assinatura do contrato Recebimento do software Aceitao do software

Recepo do software Aceite do software Aposentadoria do software

48

Acompanhamento

Fonte: SOFTEX (2009c)

O padro IEEE 1062 destaca tambm que a aquisio de um software ou servio correlato de alta qualidade depende da realizao das seguintes aes:


a) Identificao das caractersticas de qualidade necessrias para atingir os objetivos do comprador ou adquirente; b) Incluso de consideraes de qualidade nas atividades de planejamento, avaliao e aceitao do produto; c) Implementao de uma estratgia organizacional para a aquisio de software; d) Implementao de um processo de aquisio de software baseado nas atividades propostas; e) Uso do processo na prtica.

2.3.4 Modelo eSCM-CLO Information Technology Services Qualification Center (ITsqc) da Carnegie Mellon University (CMU) o responsvel pelo desenvolvimento do modelo que apoia os provedores de servios de tecnologia, o eSCM-SP (eSourcing Capability Model for Service Providers), assim como o que apoia as organizaes-clientes que contratam servios de TI de provedores, o eSCM-CL (eSourcing Capability Model for Clients) (HEFLEY; LOESCHE, 2006a). Atualmente, o ITSqc, LLC, spin-off da CMU, responsvel pela promoo desses modelos, estabelecendo, em cooperao com um consrcio, as melhores prticas, mtodos de avaliao, programas de educao profissional e procedimentos de certificao profissionais, contribuindo com a adoo global dos modelos. O eSCM-CL (eSourcing Capability Model for Clients) um modelo abrangente de gesto da contratao de servios habilitados por TI, com um conjunto de melhores prticas que possibilita organizaocliente avaliar e melhorar sua capacidade de melhor desenvolver e gerir relacionamentos de contratao (sourcing), reduzir os riscos e avaliar o valor dos servios. Um dos diferenciais do modelo eSCM-CL a abrangncia do modelo em relao ao ciclo de vida de um servio contratado. O eSCMCL trata atividades e questes crticas associadas anlise, iniciao e encerramento do contrato, enquanto a maioria dos modelos de qualidade foca somente em atividades relacionadas execuo/entrega do servio. Com isso, questes como governana, gesto da TI, gesto de pessoas e de relacionamentos, gesto do conhecimento e transferncia de recursos e conhecimentos so prticas tratadas no modelo. 49


As prticas endeream (HEFLEY; LOESCHE, 2006a): a) O estabelecimento de uma estratgia de contratao e gesto de servios contratados; b) A governana da contratao dos servios de TI e a gesto do desempenho do provedor de servio; c) Identificar, selecionar provedores de servio; e negociar com os diferentes

d) A gesto dos relacionamentos e interaes com os provedores de servios. e) A gesto contnua de risco durante todo o processo de contratao (sourcing) desde a negociao at o encerramento do servio; f) A gesto de transferncia de conhecimentos e recursos envolvidos na contratao dos servios. Hefley e Loesche (2006a) definem o eSCM-CL como um modelo de capacidade e no como um modelo de maturidade. A principal diferena quanto aos resultados esperados. Em um modelo de capacidade, o foco a previsibilidade do processo e seus resultados, ou seja, fornece um meio de se prever os resultados mais provveis a partir do comprometimento. Em um modelo de maturidade, o foco o crescimento na capacidade do processo e o estabelecimento de maior maturidade a partir de um conjunto de processos. Segundo Paulk et al. (1995), um nvel de maturidade uma base evolutiva bem definida para a realizao de um processo maduro. Cada nvel de maturidade fornece uma fundamentao para a melhoria contnua do processo, composta por um conjunto de metas do processo que, quando satisfeitas, estabilizam um importante componente do processo. Ao alcanar cada nvel da estrutura de maturidade estabelece um componente diferente no processo, resultando em um aumento da capacidade de processo da organizao. Como o eSCM-CL um modelo de capacidade, cada Nvel de Capacidade possui um conjunto de Prticas que define a previsibilidade de processos e resultados. Assim, previsvel que uma organizao com Nvel 2 seja capaz de gerenciar as atividades de contratao de servios de TI, que uma organizao com nvel 3 seja capaz de gerenciar o seu desempenho e o de seus fornecedores, e que uma

50


organizao com nvel 4 seja capaz de responder s mudanas ambientais do negcio e de agregar valor. A verso do eSCM-CL v1.1 composta de noventa e cinco prticas de servios que endeream as capacidades crticas necessrias aos clientes e esto distribudas em trs dimenses: Ciclo de Vida da Contratao, reas de Capacidade e Nveis de Capacidade. O Ciclo de Vida de Contratao dividido em Contnuo (ongoing) (contendo prticas que englobam todo o ciclo) e nas fases Anlise, Iniciao, Entrega e Finalizao (prticas que ocorrem em momentos especficos da contratao de servios de TI), descritas a seguir: Contnuo (Ongoing): prticas contnuas representam funes de gerenciamento que precisam ser realizadas durante todo o Ciclo de Vida de Fornecimento e no somente em momentos pontuais, como execuo do contrato. As prticas contnuas englobam: a) Desenvolvimento da estratgia de contratao (sourcing) da organizao; b) Gesto e motivao das equipes para gerenciar efetivamente as atividades de contratao; c) Gesto dos relacionamentos com os provedores de servios e com os envolvidos (stakeholders); d) Medio e reviso do desempenho das contrataes e da tomada de aes para a melhoria do desempenho; e) Definio do estado futuro dos processos e estrutura da organizao (To Be State) f) Gesto das mudanas organizacionais relacionadas s atividades de contratao. g) Gesto dos sistemas de conhecimentos e de informao para que as equipes possuam acesso eficiente s informaes necessrias para efetivamente realizarem seu trabalho; h) Identificao e controle de riscos e ameaas s habilidades da organizao em atingir os objetivos e relacionamentos da contratao; i) Garantir que a arquitetura e a infraestrutura tecnolgica utilizadas para apoiar a entrega do servio so gerenciadas. 51


Anlise (Analysis): essas prticas focam na capacidade de anlise necessria organizao para, a partir de cada uma de suas operaes e funcionalidades, identificar os servios, processos, ou funes potencialmente contratveis e oportunidades, e na capacidade de identificao e desenvolvimento de uma abordagem de contratao para obteno das oportunidades identificadas. As prticas de anlise cobrem: a) Entendimento do estado atual da estrutura e dos processos organizacionais; b) Identificao de critrios relevantes para a seleo de oportunidades de contratao; c) Identificao de oportunidades de contratao alinhadas a critrios e objetivos da contratao; d) Anlise de opes de contratao; e) Desenvolvimento e validao de business-case para cada uma das opes de contratao; f) Identificao da abordagem de contratao e modelo de governana para a ao de contratao proposta. Iniciao (Initiation): essas prticas focam na capacidade necessria organizao de se preparar efetivamente para o gerenciamento de um servio contratado. As prticas focam o estabelecimento das funes de gerenciamento da contratao, preparao da seleo do provedor de servios, avaliao e seleo do provedor de servios, negociao, estabelecimentos de acordos e transferncia de servios, incluindo a transferncia dos recursos necessrios. As prticas de iniciao compreendem: a) Preparao da seleo de servios pelo desenvolvimento da solicitao e critrios para a seleo; b) Solicitao e avaliao de potenciais provedores de servios; 52 c) Preparao para a negociao, a partir de um posicionamento da organizao quanto a qualidade, custo e outros tpicos que devero ser negociados; d) Definio de acordos formais de nveis de servio e medio do desempenho do provedor de servio; e) Reconhecimento da capacidade dos provedores de servios pelo levantamento de informaes sobre os provedores;


f) Estabelecimento de um acordo formal com o provedor de servio que exprima claramente as responsabilidades e compromissos do provedor e do cliente; g) Fornecimento de retorno (feedback) sobre o desenho de servios, a fim de garantir que os servios correspondam aos requisitos do cliente e aos compromissos acordados; h) Gesto efetiva da transferncia de recursos necessrios para a prestao de servios, incluindo pessoal, infraestrutura tecnologia e ambiente de trabalho. Entrega (Delivery): estas prticas focam no monitoramento da capacidade do provedor de entregar o servio, incluindo o monitoramento contnuo (ongoing) do desempenho do provedor de servio para verificar se os compromissos vm sendo atendidos, monitoramento das mudanas, gerenciamento dos custos e acordos associados com o provimento do servio, possibilitando expectativas realsticas e anlises do valor do desempenho. As prticas cobrem: a) Planejamento e acompanhamento gerenciamento do servio; das atividades de

b) Garantia que os servios entregues esto de acordo com os compromissos; c) Gerenciamento dos custos associados entrega do servio; d) Identificao e controle de mudanas nos servios entregues ou nos compromissos associados ao servio; e) Facilitao de resoluo de problemas que impactem a entrega do servio; f) Conciliao de desempenho e expectativas, e garantia que o provimento de servios agrega valor organizao do cliente. Finalizao (Completion): estas prticas focam na capacidade necessria para o encerramento/fechamento de um servio, e possivelmente do relacionamento, no final do Ciclo de Vida da Contratao. As prticas cobrem: a) Planejamento para o encerramento de um servio contratado e o gerenciamento dos acordos durante os procedimentos de encerramento. Inclui o gerenciamento dos acordos durante o encerramento ou durante uma possvel renovao; 53


b) Gerenciamento de uma efetiva transferncia dos recursos para o prximo provedor de servios, seja o prprio cliente ou um novo provedor. Inclui a transferncia de pessoas, infraestrutura, tecnologia e propriedade intelectual (ex. cdigos, fonte ou processos); c) Garantia de continuidade do servio durante a transferncia de conhecimentos para o novo provedor do servio; d) Identificao e transferncia do capital crtico de conhecimento para o novo provedor do servio. Alm das prticas endereadas na dimenso Ciclo de Vida do Fornecimento, outras prticas so endereadas na dimenso reas de Capacidade, com dezessete reas. Dessas, 9 reas esto agrupadas como Contnuas (Ongoing), que so prticas que devem ser desempenhadas ao longo de todo o ciclo de vida da contratao. Dependendo do foco das prticas so sub-agrupadas em governana, competncias e mudanas, e ambiente, apresentadas em seguida (HEFLEY; LOESCHE, 2006a): Foco em Governana a) b) c) d) Gesto Estratgica da Contratao; Gesto da Governana; Gesto de Relacionamentos; Gesto de Valores.

Foco em Competncias e Mudanas a) b) c) 54 Gesto de Mudanas Organizacionais; Gesto de Pessoas; Gesto de Conhecimento.

Foco em Ambiente a) b) Gesto da Tecnologia; Gesto de Riscos.

As 8 outras reas so temporais (prticas que ocorrem em momentos especficos da contratao) e agrupadas em uma das quatro fases do ciclo de vida: Anlise, Iniciao, Entrega e Finalizao.


Anlise a) b) Anlise de Oportunidades de Contratao; Abordagens de Contratao.

Iniciao a) b) c) d) Planejamento da Contratao; Avaliao de Provedor de Servio; Acordos de Contratao; Transferncia do Servio.

Entrega a) Gerenciamento do Servio Contratado.

Finalizao a) Finalizao da Contratao.

A terceira dimenso, Nveis de Capacidade, representa os nveis de capacidade do modelo. Os cinco nveis de capacidade descrevem um caminho progressivo de melhoria que deve ser seguido pelas organizaes-cliente (HEFLEY; LOESCHE, 2006a). O caminho inicia-se do desejo de gerenciamento dos servios contratados habilitados por TI e continua at o nvel mais elevado, demonstrando a habilidade em manter a excelncia nas atividades de contratao. Os nveis de capacidade so: a) realiza a contratao; b) gerencia consistentemente a contratao; c) gerencia organizacionalmente o desempenho da contratao; d) agrega valor proativamente; e) mantm a excelncia.

2.3.5 Programa MPS.BRO MPS.BR um programa coordenado pela Associao para Promoo da Excelncia do Software Brasileiro (SOFTEX), com o apoio do Ministrio da Cincia e Tecnologia (MCT), da Financiadora de Estudos e Projetos (FINEP), do Servio Brasileiro de Apoio s Micro e Pequenas Empresas (SEBRAE) e do Banco Interamericano de Desenvolvimento (BID) (SOFTEX, 2009c). A sigla MPS.BR est

55


associada ao programa MPS.BR Melhoria do Processo de Software Brasileiro e a sigla MPS est associada ao modelo MPS Melhoria do Processo de Software. O objetivo do programa a melhoria do processo de software brasileiro, visando criao e aprimoramento do modelo MPS e disseminao e adoo do modelo MPS tanto em pequenas e mdias quanto em grandes organizaes pblicas e privadas. O modelo composto pelos documentos: a) Guia Geral:2009 (SOFTEX, 2009c); b) Guia de Avaliao:2009 (SOFTEX, 2009a); c) Guia de Aquisio:2009 (SOFTEX, 2009b); e d) Guias de implementao dos processos do nvel G ao A. O foco do modelo MPS avaliao e melhoria da qualidade e produtividade de produtos de software e servios correlatos, a partir de conceitos de maturidade e capacidade de processo, embasado nas normas ISO/IEC 12207:2009, ISO/IEC 15504 e no modelo CMMIDEV. A Figura 2-3 mostra o modelo MPS e seus elementos: Modelo de Referncia (MR-MPS); Mtodo de Avaliao (MA-MPS); e Modelo de Negcio (MN-MPS) e respectivos guias e documentos.

56

Figura 2-3. Componentes e referncias do modelo MPSFonte: SOFTEX (2009c, p.13)


No Guia Geral:2009 (SOFTEX, 2009c) so descritos: o Modelo de Referncia MR-MPS, ou seja, a estrutura do modelo com a descrio dos nveis de maturidade, processos e capacidade, e resultados esperados; e uma viso geral dos guias de implementao dos nveis, do processo de avaliao, e do guia de aquisio. Conforme apresentado em SOFTEX (2009c), cada nvel de maturidade representa uma combinao entre processos e sua capacidade, e caracteriza a evoluo dos processos, por estgios de melhoria, possibilitando prever o desempenho da organizao a partir da implementao de um ou mais processos. O MR-MPS define sete nveis de maturidade: a) A (Em Otimizao); b) B (Gerenciado Quantitativamente); c) C (Definido); d) D (Largamente Definido); e) E (Parcialmente Definido); f) F (Gerenciado); e g) G (Parcialmente Gerenciado). A Tabela 2-6 apresent algumas declaraes que caracterizam o MR-MPS (SOFTEX, 2009c).Tabela 2-6. Declaraes que caracterizam o MR-MP Declaraes MR-MPS 1 2 A escala de maturidade se inicia no nvel G e progride at o nvel A. Para cada nvel de maturidade atribudo um perfil de processos indicando esforo de melhoria. Atinge-se um nvel de maturidade do MR-MPS quando so atendidos os propsitos e todos os resultados esperados dos respectivos processos e os resultados esperados dos atributos de processo estabelecidos para aquele nvel. Os nveis so acumulativos, ou seja, num nvel de maturidade superior, os processos anteriormente implementados devem passar a ser executados no nvel de capacidade exigido neste nvel superior. Para cada processo so declarados o propsito e os resultados esperados de sua execuo, o que possibilita aferir a efetividade da execuo do processo.

3

57

4

5


6 7 8 9

O propsito descreve o objetivo geral a ser atingido durante a execuo do processo. Os resultados esperados do processo estabelecem os resultados a serem obtidos com a efetiva implementao do processo. A capacidade do processo a caracterizao da habilidade do processo para alcanar os objetivos de negcio. A capacidade do processo representada por um conjunto de atributos de processo descrito em termos de resultados esperados. A capacidade do processo expressa o grau de refinamento e institucionalizao com que o processo executado na organizao/ unidade organizacional. Os diferentes nveis de capacidade dos processos so descritos por nove atributos de processo (AP). O alcance de cada atributo de processo avaliado utilizando os respectivos resultados esperados de atributo de processo (RAP).

10

11 12

Fonte: Baseado em SOFTEX (2009c)

Na Tabela 2-7 apresentam-se os nveis e

Documents

216919