COMPUTERWORLD

Gestão
São Paulo, 17 de maio de 2004

Especial: Um guia de certificações e melhores práticas de TI

Françoise Terzian, especial para o COMPUTERWORLD

Amedrontadas com o poderio industrial do Japão nos anos 80, as empresas norte-americanas
converteram-se a uma religião – a religião da qualidade. Elas se apressaram em aprimorar seus
processos de negócios adotando diversos modelos de qualidade, como ISO 9000 para a
corporação, Six Sigma para a fábrica e CMM (capability maturity model) para engenharia de
software.

Hoje, os gerentes de TI têm um leque oceânico de disciplinas de qualidade à disposição. Algumas,

como Six Sigma e ISO 9000, podem ser impostas ao diretor de TI pelo CEO. Outras, como CobiT
(control objectives for information and related technology), podem ser exigidas por seus auditores.
E disciplinas focadas em TI podem ter origem em suas próprias instalações, como CMM para
desenvolvimento de software e ITIL (information technology infrastructure library) para operações
e serviços de TI.

Embora haja alguma sobreposição entre esses modelos de qualidade, na maior parte dos casos eles
não entram em conflito. Na verdade, a maioria das grandes empresas usa dois ou três deles. A
IBM, por exemplo, utiliza ISO 9000, CMM, ITIL, Six Sigma e vários programas de qualidade criados
internamente. Já outras não usam nenhum deles, preferindo ter os seus próprios. A MasterCard
International adaptou partes de diversos programas ao seu próprio modo de fazer negócio.
Realizou uma avaliação externa de CMM um ano atrás e implementou algumas idéias a partir daí,
mas não implantou o modelo formalmente.

“Temos uma mistura de programas de qualidade”, explica Sheryl Andrasko, vice-presidente de

desenvolvimento de sistemas da MasterCard. Segundo Andrasko, o programa reduziu o tempo de
desenvolvimento de novos releases de software de 18 meses para 12 e também o número de
defeitos em software. Outras empresas, como a Nortel Networks, dizem que a escolha deve ser
baseada nos clientes e nos parceiros. A Nortel usa uma versão do ISO 9000 voltada para
telecomunicações porque é o mesmo modelo de controle de qualidade que seus clientes usam.

Para algumas companhias, um selo de aprovação de um organismo externo, como certificação ISO
9000 ou CMM, pode ser um fator importante. Uma empresa na área de defesa, por exemplo, talvez
não consiga trabalhos se não tiver uma alta avaliação CMM. E um selo ISO 9000 pode ser uma
exigência para fazer negócio, principalmente fora dos Estados Unidos.

Mas uma empresa pode se exceder em qualquer destes programas, observa Matt Light, analista do
Gartner. “Temos uma filosofia chamada ‘apenas o processo suficiente’”, diz ele. “Criar seu próprio
programa e aplicá-lo somente onde faz sentido costuma ser a melhor opção para organizações que
não têm exigências de certificação.”

De qualquer forma, alguma coisa você deve fazer no front da qualidade, recomenda Michael J.
Ashworth, CIO da unidade de banco de investimento da J.P. Morgan Chase & Co. “Todas estas
coisas são apenas maneiras melhores de fazer o que as pessoas estão tentando fazer com um fim
específico”, diz ele. “Não são um ritual sem sentido; são o senso comum codificado".

IT Infrastructure Library (ITIL)

Responsáveis: Escritório de Comércio do governo Reino Unidos, Pink Elephant e outros

O que é: Conjunto de melhores práticas para operações e gerenciamento de serviços de TI (como

gerenciamento de service desk, incidente, mudança, capacidade, nível de serviço e segurança).
Especialmente popular na Europa. O ITIL rastreia problemas em áreas de serviço de TI como help
desk, suporte a aplicações, distribuição de software e suporte a sistemas de contato com o cliente e
se sobrepõe a CMM em determinadas áreas, como gerenciamento de configuração. O ITIL rastreia,
por exemplo, as mudanças feitas em sistemas operacionais, mas a qualidade dessas mudanças —
em termos do número e da gravidade de problemas resultantes delas — é uma métrica de CMM.

Pontos fortes: Bem estabelecido, amadurecido, detalhado e focado em questões de qualidade

operacional e produção de TI. Pode ser combinado a CMMI para cobrir tudo relacionado a TI.

Limitações: Não aborda o desenvolvimento de sistemas de gerenciamento de qualidade. Não é

voltado para processos de desenvolvimento de software. Seu uso depende imensamente de
interpretação.

Da informalidade aos processos estruturados

Construtora Norberto Odebrecht implanta ITIL para melhorar serviços aos usuários

Em 2002, após concluir o processo de consolidação dos servidores responsáveis por todos os
processos de gestão de obras, a área de TI da construtora Norberto Odebrecht percebeu que
vários serviços antes realizados de forma descentralizada nos canteiros de obras poderiam ser
feitos por uma equipe na sede da empresa. A criação de conta de e-mail foi um deles. Mas como
essa mudança implicava na criação de novos processos e fluxos, diretor de TI da construtora,
Mauro Rehm, acabou chegando à conclusão de que sua equipe precisava estar preparada para
prestar um serviço de qualidade, deixando a informalidade de lado.

Após acompanhar o mercado de TI e participar de algumas discussões internas, Rhem percebeu

que estava em busca de algo próximo dos modelos CobiT e ITIL. “Como o CobiT é uma
metodologia mais voltada para a auditoria de processos de TI e o ITIL traduz as melhores práticas,
decidimos diagnosticar com o primeiro e implantar com o segundo”, conta o executivo.

O passo seguinte foi o aculturamento das pessoas da equipe, que passaram a receber informações
sobre ITIL e as mudanças pelas quais iriam passar. “Precisávamos contagiar toda a equipe, pois se
tratava de conduzir um processo de mudança dentro da área de TI. Deixaríamos a informalidade
que funcionava bem, para criar uma formalidade necessária ao atendimento dos serviços
prestados. E precisávamos garantir que iria funcionar melhor do que anteriormente”, recorda
Rhem.

A rotina e os resultados alcançados pela subsidiária brasileira da Ford mudaram radicalmente após
a implantação do Six Sigma, metodologia adotada mundialmente pela montadora no ano 2000.
Buscando satisfazer os clientes externos e internos, o Six Sigma é usado por todas as áreas de Ford
brasileira, segundo Hudson Silvestre, supervisor de sistemas e primeiro black belt (especialista
interno) da área de TI da montadora.
O Six Sigma está tão alinhado à estratégia da empresa que até uma área exclusiva para cuidar do
tema a Ford criou. Além de um diretor de Six Sigma, há também um black belt máster e black belts
espalhados por todos os departamentos da montadora que cuidam da implantação do Six Sigma e
de outras iniciativas de mudança. Os black belts atuam como líderes de projeto e de equipes, além
de treinarem os chamados green belts, funcionários que passam a conhecer a metodologia e a
aplicá-la no dia-a-dia.

Na estrutura organizacional da Ford, cada área tem pelo menos um black belt, que coloca o Six
Sigma em prática, define projetos e metas. Na área de TI, por exemplo, Silvestre conta que a
adoção da metodologia trouxe uma série de benefícios como a redução do retrabalho e um melhor
atendimento ao cliente interno. Um exemplo disso foi um projeto iniciado em 2002 com o objetivo
de melhorar a satisfação dos usuários que ligavam para o help desk. Na época, dois problemas
foram identificados: demora no atendimento e a necessidade de ter que telefonar mais de uma vez
para resolver um problema.

O supervisor de sistemas da Ford recorda que, no início do projeto, apenas 15% dos acordos de
nível de serviço (SLAs) eram cumpridos. A situação que gerava insatisfação aos clientes internos
começou a mudar quando o serviço de help desk terceirizado passou a contar com a ajuda da
metodologia. Um mês depois de implantado o Six Sigma, a porcentagem subiu para 50% e, após
três meses, atingiu o nível de 90%. Graças à metodologia, a montadora conseguiu melhorar o
tempo e o atendimento aos clientes internos.

Outro benefício do Six Sigma foi a redução de 20% com os gastos de telefonia. “Com a
metodologia, nós conseguimos identificar qual é a situação atual e quais são as oportunidades de
melhorias”, explica Silvestre, acrescentando que as tomadas de decisões agora têm resultado em
maior acerto, já que a metodologia prega a fundamentação em dados estatísticos, em vez de no
famoso “achismo”.

De forma geral, a montadora contabiliza que a metodologia trouxe retornos como redução do custo
de manufatura e de retrabalho, melhora de atendimento não só ao cliente interno, mas também
externo, que é avaliado para saber se está satisfeito ou não com a Ford. Para evitar a reinvenção
da roda e estimular a troca de experiências, a montadora conta ainda com uma intranet por meio
da qual qualquer black belt da corporação mundial pode entrar para incluir ou pesquisar
informações sobre projetos realizados em qualquer área e continente.

Preocupada em melhorar os processos internos diariamente, a Ford tem treinado cada vez mais
funcionários como green belts, sejam eles do chão de fábrica ou da área administrativa. Na área de
TI, por exemplo, 100% dos profissionais já passaram pelo treinamento.

A americana LSI Logic utiliza Six Sigma há cerca de três anos e neste ano começará a usar Design
for Six Sigma, uma variante que a empresa considera mais apropriada para ambientes de TI. “Six
Sigma se aplica a algumas áreas de desenvolvimento de software, como teste. Foi desenvolvido no
ambiente de manufatura, onde há um alto volume de produtos”, diz Terry Gowin, diretor de
qualidade para LSI Logic Storage Systems. “Mas o desenvolvimento de software varia a cada
projeto e tem ciclos muito mais longos.”

O Design for Six Sigma é especialmente poderoso no início dos projetos, ressalta Gowin. “Ele se
concentra muito em determinar os requisitos corretos logo no começo. Ajuda a definir realmente as
especificações para evitar surpresas depois.”
Design for Six Sigma e CMM complementam-se muito bem, diz Ron Engelbrecht, gerente geral de
operações da LSI Logic. “CMM é sobretudo um guia de avaliação, enquanto que Design for Six
Sigma é um conjunto de ferramentas projetadas para ajudar você a melhorar suas avaliações.”
No JP Morgan Chase, o Six Sigma não é aplicado diretamente a processos de TI, mas representa
um ponto de partida essencial para a maioria dos projetos de TI, diz J. Ashworth, CIO da unidade
de investimentos do banco. “Examinamos os processos de negócio que desejamos aprimorar e
seguimos as várias etapas em Six Sigma para chegar a um novo modelo de processo de negócio.
Depois que você sabe o que está tentando fazer, o CMM entra em ação.”

Six Sigma, diz o executivo, pode ser aplicado a operações e serviços de TI. O banco está usando
nesta área um modelo de qualidade desenvolvido internamente, mas cogita empregar ITIL. “Assim
como reunimos as convenções de nomeação e os ativos criados em Six Sigma e CMM em uma lista
única que todo mundo é capaz de entender, vamos acrescentar ITIL”, explica Ashworth.

Six Sigma

Responsável: Desenvolvido pela Motorola.

O que é: Um método de aprimoramento de processo estatístico que enfoca a qualidade do ponto

de vista do cliente ou do usuário. Define níveis de serviço e mede variações em relação a estes
níveis. Os projetos percorrem cinco fases: definir, medir, analisar, aprimorar e controlar. A variante
Design for Six Sigma aplica os princípios deste método à criação de produtos ou serviços sem
defeitos, e não ao aprimoramento dos que já existem.

Pontos fortes: Uma abordagem orientada a dados para descobrir a raiz de problemas de negócio e
resolvê-los. Leva em conta o custo de qualidade. Em TI, é melhor aplicado em atividades passíveis
de repetição e relativamente homogêneas, como operações de call center ou help desk. Design for
Six Sigma pode ajudar a desenvolver boas especificações de software.

Limitações: Projetado originalmente para ambientes de manufatura; pode ser difícil aplicá-lo em
processos que ainda não estão bem definidos e mensuráveis. Pode aprimorar o processo, mas não
diz se você tem o processo certo.

CobiT

Há um ano, Jairo Martins saiu da área de negócios da Siemens Mercosul para ocupar a posição o
CIO. Logo de início, desenvolveu um trabalho de ouvidoria com as várias unidades do grupo para
saber quais eram as principais queixas em relação ao departamento de TI. O resultado foi
desastroso: todas as unidades reclamaram que eram surpreendidas com despesas novas de TI, não
viam transparência na apresentação dos custos e nem uma sistemática de tarifação (billing).

A falta de planejamento levou Martins à decisão de adotar o CobiT. O objetivo com a implantação
da metodologia foi dar a sua equipe condições para alinhar a infra-estrutura da área aos negócios
da empresa, de modo que ouvissem as necessidades dos usuários internos e informar todos os
dados que eles julgarem pertinentes. Além disso, a idéia do Cobit é estabelecer parâmetros para
subcontratar serviços e se estruturar para geri-los com qualidade. “O Cobit é a mais ampla
metodologia para se fazer a gestão de TI e a escolhi porque ela vai me ajudar a gerir a área,
ordenar processos internos e obter uma série de benefícios”, acredita Martins.

Em julho de 2003, Martins contratou a Big Five Consulting para treinar seu pessoal e deu início à
criação de um projeto interno de Cobit. Como líder do projeto, Martins conta que, no momento, ele
está adaptando a metodologia para a realidade da Siemens e definindo procedimentos. Com o
Cobit, a Siemens quer obter otimização de custos, uma boa gestão da qualidade dos serviços
prestados e a garantia da disponibilidade das plataformas de TI.
Apesar de o Cobit ainda se encontrar em fase de implantação (60% dele já foi adotado), ele já
trouxe benefícios à empresa. A criação de um comitê de governança de TI, que se reúne a cada
trimestre com representantes de todas as unidades da empresa, é resultado da implantação da
metodologia. “Nós também conseguimos obter transparência dos custos, que agora são repassados
com maior clareza para as áreas, melhora na comunicação com as unidades de negócio, além de
uma melhor estruturação dos processos para gestão de TI.”

Martins acredita que, até o final deste ano, o Cobit atinja a maturidade 3 dentro da Siemens. Hoje
ela está em 2.4. A implantação total do projeto deve se encerrar em meados de 2005.

Control Objectives for Information and Related Technology (CobiT)

Responsável: Information Systems Audit and Control Association e IT Governance Institute

O que é: Um conjunto de diretrizes baseadas em auditoria para processos, práticas e controles de

TI. Voltado para redução de risco, enfoca integridade, confiabilidade e segurança. Aborda quatro
domínios: planejamento e organização, aquisição e implementação, entrega e suporte e
monitoração. Apresenta seis níveis de maturidade, similares aos de CMM.

Pontos fortes: Permite que TI aborde riscos não endereçados explicitamente por outros modelos e
que seja aprovada em auditorias. Funciona bem com outros modelos de qualidade, principalmente
ITIL.

Limitações: Diz o que fazer, mas não como fazer. Não lida diretamente com desenvolvimento de
software ou serviços de TI. Não fornece um “road map” para aprimoramento contínuo de
processos.

Lance Turcato, diretor de supervisão de segurança e infra-estrutura de tecnologia da Charles

Schwab & Co., define CobiT como uma “ferramenta de governança de TI” que ajuda os gerentes
de informática a entender quais controles são necessários e a medir a eficácia destes controles.
“Faz parte uma ferramenta de auditoria para que os auditores possam auditar seguindo estes
mesmos critérios”, acrescenta Turcato.

CobiT demanda um esforço considerável para ser integrado a processos de uma empresa. “As
instruções em CobiT são muito genéricas. Fomos obrigados a transformá-lo em ‘linguagem Schwab’
para que as pessoas pudessem entender”, diz Turcato. “O desafio maior foi fazer todo mundo
aderir. Tivemos que determinar, em todo o grupo de tecnologia, as pessoas apropriadas que
possuem estes controles e educá-las em CobiT.”

A Lockheed Martin tem quatro unidades no Nível 5 de CMMI. A empresa também usa disciplinas Six
Sigma e ISO 9000 em diversas partes de sua organização de TI, mas CobiT é o “modelo de
qualidade guarda-chuva”, define CIO Joseph R. Cleveland, fornecendo checklists úteis em cada um
de seus quatro domínios.

Para algo simples como acrescentar o PDA BlackBerry ao catálogo de dispositivos aprovados da
empresa, por exemplo, CobiT perguntará se existe suporte de help desk para ele, se a segurança
foi abordada, se já existem procedimentos para adquirir e manter o dispositivo e assim por diante.

Cliveland diz que CobiT se integra bem com CMMI - CobiT detecta a necessidade de determinados
controles e CMMI implanta-os. As dúvidas dos auditores sempre podem ser satisfeitas com
aspectos de CMMI, segundo Cliveland.
CMM - Software com selo de maturidade

Certificação CMM confere um planejamento mais confiável , aumentando a probabilidade de os

recursos da aplicação e ganhar um crachá de merecimento para o mundo inteiro ver — O executivo
explica que a certificação foi essencial para que a empresa se firmasse como exportadora de
software

Durante 15 anos, as empresas que quiseram aprimorar significativamente suas práticas de

desenvolvimento de software — e ganhar um crachá de merecimento para o mundo inteiro ver —
percorreram um longo e árduo caminho chamado CMM for software, uma linha de ação capaz de
levá-las de um estado de semicaos (onde a maioria está hoje) a uma condição marcada pela
precisão, capacidade de repetir procedimentos e baixa taxa de erro normalmente associados a uma
linha de montagem de manufatura.

O CMMI, apresentado recentemente pelo Software Engineering Institute, é um modelo de

maturidade de processo mais abrangente que combina CMM for software com disciplinas mais
amplas nas áreas de engenharia de sistemas e desenvolvimento de produtos. Futuramente, o
instituto vai parar de suportar CMM for software em favor do CMMI.

A instalação de TI do JP Morgan Chase usa CMM for software, ao passo que o grupo, no geral,
trabalha sob Six Sigma. “Nossas equipes de desenvolvimento alcançaram o CMM nível 2 e estão a
caminho do nível 3 em alguns casos”, revela Michael Ashworth, CIO da unidade de banco de
investimento da JP Morgan Chase & Co. O CIO diz que a mudança do nível 1 para o nível 2 gerou
um planejamento mais confiável, aumentando a probabilidade dos recursos da aplicação estarem
certos da primeira vez e reduzindo, portanto, a tarefa onerosa de refazer o trabalho.

Passar de um nível de maturidade ao seguinte exige dois ou mais anos de trabalho árduo e, em
alguns casos, não vale o esforço, apontam alguns usuários. A Allstate Insurance, por exemplo, quer
passar do nível 1 ao nível 3 e parar por aí. “Não vemos necessidade de ir para o nível 4 ou 5”, diz
Robin Richmond, vice-presidente assistente para Allstate Protection Technology.

No Brasil, o CMM também vem sendo cada vez mais utilizado pelas empresas. A Stefanini IT
Solutions, uma das maiores consultorias nacionais de TI, sempre se preocupou em manter um bom
nível de qualidade em todos os departamentos, incluindo a fábrica de software. Em 1996 a
empresa obteve o certificado ISO 9001 e em 2002, deu mais um passo à frente ao receber a
certificação CMM nível 2. O diretor-presidente da empresa, Marco Antônio Stefanini, diz que a
homologação foi obtida em apenas 12 meses. O motivo foi o fato de a empresa já ter uma
preocupação anterior com qualidade e respeitar as normas ISO 9001. O processo foi conduzido
pela ISD-Brasil, empresa credenciada pelo Software Engineering Institute.

No momento, a Stefanini se encontra no meio do processo de implantação do CMM nível 3, iniciado

em outubro do ano passado e com previsão de término para setembro. Até agora, os custos estão
em R$ 500 mil. Em 2005, a idéia é passar para o nível 4.

Apesar de considerar a implantação do CMM um processo caro e que consome muita energia,
Stefanini diz que, no caso de sua empresa, a adoção é uma questão de sobrevivência.
Os resultados obtidos com o CMM? O executivo explica que a certificação foi essencial para que a
empresa se firmasse como exportadora de software. Com sete subsidiárias no exterior (Argentina,
Chile, Peru, Colômbia, México, Estados Unidos e Espanha), a Stefanini tem 15% de sua receita com
vendas externas. Deste total, 50% são provenientes dos Estados Unidos. “O CMM é muito bem
visto pelo mercado norte-americano, o que acaba se tornando um requisito básico na hora de
fechar negócios com empresas internacionais”, explica Stefanini.

Entre os principais benefícios já obtidos com o CMM, o executivo destaca a redução de cerca de
60% de retrabalho nos projetos, melhoria nos prazos de atendimento, que subiram de 80% para
96%, queda de 5% a 10% no custo de desenvolvimento, aumento da qualidade do trabalho e
controle de gestão.

Capability Maturity Model Integration (CMMI)

Responsável: Software Engineering Institute, Carnegie Mellon University

O que é: O CMMI estende e combina o capability maturity model for software (SW-CMM), o
systems engineering capability model e o integrated product development capability maturity
model. SW-CMM é uma coleção de melhores práticas para desenvolvimento e manutenção de
software. Permite que as empresas avaliem suas práticas e as comparem com as de outras
empresas. SW-CMM mede a maturidade do processo, que progride em cinco níveis: 1 (inicial), 2
(gerenciado), 3 (definido), 4 (previsível) e 5 (otimização).

Pontos fortes: Muito detalhado. Criado especificamente para organizações de desenvolvimento de

software. Enfoca o aprimoramento contínuo, e não apenas a manutenção de uma certificação. Pode
ser usado para auto-avaliação.

Limitações: Não aborda aspectos de operações de TI como gerenciamento de segurança, mudança

e configuração, planejamento de capacidade, diagnóstico e funções de help desk. Estabelece
metas, mas não diz como atingi-las.

ISO - A excelência da qualidade

A ISO 9000 é um dos sistemas mais amplo, empregado pelas empresas nas áreas de manufatura,
engenharia, marketing, vendas e TI

A americana LSI Logic é certificada em ISO 9000 desde 1992. Também usa Six Sigma e Design for
Six Sigma. “Mas ISO é o sistema de qualidade mais amplo que empregamos”, diz Engelbrecht.
“Aplica-se a manufatura, engenharia, marketing, vendas e TI.” Ele explica que, enquanto o Design
for Six Sigma se concentra em projetos individuais e tenta corrigir os problemas que detecta, a ISO
9000 ajuda a fazer aprimoramentos de qualidade ano a ano. Isso é feito através de auditorias ISO
9000 anuais realizadas por auditores internos e externos.

A Nortel Networks usa a TL 9000, uma versão de ISO 9000 talhada para a indústria de
telecomunicações. “A certificação é aplicada à empresa como um todo, mas iniciativas de qualidade
em TI também suportam a TL 9000”, diz Chris Ashwood, vice-presidente para soluções de
desenvolvimento de produtos. “TL 9000 levou ISO 9000 um passo à frente no sentido de
reconhecer realmente a importância de TI para o desenvolvimento de produtos.”
A instalação de TI da empresa tem um conjunto de prioridades bem definido que é atualizado a
cada seis meses, um scorecard para cada projeto e um processo de gerenciamento rígido para
rastrear responsabilidades. “Isso se alinha muito claramente com a abordagem de ISSO — fazer o
que você diz que vai fazer, rastrear responsabilidades e documentar o processo” , diz Albert
Hitchcock, CEO da Nortel.

ISO 9000

Responsável: International Standards Organization

O que é: Um conjunto de padrões auditáveis de alto nível voltados ao cliente (ISO 9000, 9001 e
9004) para sistemas de gerenciamento de qualidade. Destinado a garantir controle, repetibilidade e
boa documentação de processos (não de produtos).

Pontos fortes: Bem estabelecido, amadurecido. Goza de prestígio global. Pode ser aplicado em toda
a corporação. Cobre desenvolvimento de software e operações e serviços de TI.

Limitações: Requer adaptação considerável quando utilizado em organizações de TI. Enfoca a

repetibilidade e a consistência de processos, e não diretamente a qualidade dos processos. Não é
bom para descobrir a origem de problemas.

Fonte:
http://computerworld.terra.com.br/AdPortalV3/adCmsDocumentoShow.aspx?documento=28051&Ar
ea=1
17MAI2004