FIRST REPORT. 1. Introduction. Summary

Transcrição

1 FIRST REPORT Lilian Gomes Vasco Ramos Guilherme Aranha Eugénio Tchipako Summary Estamos a viver num mundo mais informatizado e competitivo onde a importância de haver uma boa governança a nível dos sistemas de informação (SI) e tecnologias de uma organização é cada vez mais crescente. É essencial haver um alinhamento entre os objetivos estratégicos de uma organização e os seus SIs e a maneira como estes são geridos e implementados de modo a gerar valor para o negócio. De forma a guiar a empresa no processo de implementação e garantir que são respeitadas as boas praticas em relação à governança de TI é importante que a organização se mapeie numa framework. Neste trabalho, a framework utilizada é o Cobit 5 tendo como objetivo avaliar o processo DSS02 Manage Service Requests and Incidents, implementada no Instituto de Informática e Estatística da Segurança Social (IIESS). 1. Introduction Os modelos de gestão empresarial modernos recomendam que as TI não possam ser vistas nem abordadas de forma isolada. Estas devem sim ser consideradas como parte integrante da estratégia das organizações. Governança de TI é, pois, a responsabilidade da alta direção da organização (diretores e executivos) que consiste na liderança, nas estruturas organizacionais e nos processos, garantido que as Tecnologias de Informação suportam e permitem a realização da estratégia dessa mesma organização. Deste modo, neste trabalho consideramos que o Instituto de Informática (IIESS) é uma área de Governança de TI do Governo Português para poder suportar e permitir a concretização da sua estratégia e objetivos, pois na sua Visão o Instituto em referência quer Ser líder da Administração Pública em soluções de Tecnologias de Informação e Comunicação. Control Objectives for Information and Related Technology (COBIT) é uma framework criada pela ISACA para a gestão e governança das Tecnologias de Informação (TI). É um conjunto de ferramentas de suporte que permitem as organizações preencher as lacunas existentes entre controlo de requisitos, questões técnicas e riscos de negócio. Um dos processos desta framework é o chamado COBIT Assessment que é um programa desenhado para providenciar às Organizações uma metodologia confiável e robusta para avaliar as capacidades dos processos das suas TI. O COBIT Assessment fornece uma compreensão clara e objetiva das forças e fraquezas dos processos das TI de uma organização face as suas necessidades de negócio. Isto pode ser determinante para decidir onde e como os recursos devem ser 1

2 usados para a melhoria dos processos e definir as linhas mestras para medir se estas melhorias foram ou não um sucesso. DSS02 Manage Service Requests and Incidents é o processo do COBIT 5 em que se vai basear a nossa avaliação Assessment ao Instituto de Informática, (IIESS). Sendo uma organização orientada a fornecer soluções para varias instituições públicas, privadas e a pessoas singulares, o Instituto de Informática tem defrontado com algumas dificuldades relacionadas com Gestão de Contratação de Serviços e Incidentes e que tem procurado dar solução. Vamos avaliar o processo supracitado no Instituto de Informática, com vista a aprofundar os nossos conhecimentos em COBIT5, mas também para prestarmos um contributo singelo naqueles aspetos que acharmos que esta Instituição, de importância capital para Portugal, pode melhorar. Para tal vamos recorrer ao COBIT Process Assessment Model (PAM), na medida em que é um modelo que permite avaliar de forma confiável as capacidades dos processos de TI e ajuda os dirigentes ao mais alto nível das organizações tomarem medidas de melhorias e mudanças. Como resultado, após este primeiro relatório teremos um contacto direto com a área do Instituto de Informática ligada ao nosso processo, depois da devida avaliação e por fim produziremos um documento sobre a nossa avaliação que antes da sua versão final devera ser analisada pelos responsáveis do Instituto que darão o seu feedback sobre o mesmo. O presente relatório possui uma estrutura sequencial e inter-relacionada que começa por apresentar uma perspetiva do Instituto de Informática, I.P como organismo da administração indireta do Estado Português, bem como o seu contributo na produção de soluções tecnológicas para a Segurança Social. Em seguida apresenta a estrutura orgânica do Instituto e um resumo e análise do processo DSS02 Manage Service Requests and Incidents da Framework COBIT 5, atribuído a este grupo, que se consubstancia em fornecer resposta rápida e eficaz às solicitações dos utilizadores e resolução de todos os tipos de incidentes. Mais adiante uma explicação de como será feita uma avaliação do processo, bem como a justificativa desta avaliação e finalmente as referências bibliográficas consultadas. 2. Industry Government O Instituto de Informática, é um instituto público integrado na administração indireta do Estado, dotado de autonomia administrativa e financeira e património próprio. É um organismo central com intervenção sobre todo o território nacional, tendo a sua sede no Taguspark (Porto Salvo Oeiras). Segundo o Decreto-Lei n.º 167-C/2013, de 31 de dezembro, no seu Artigo 5.º, número 2, a superintendência e tutela relativas ao Instituto de Informática, I. P., são exercidas em conjunto pelos membros responsáveis pelas áreas da solidariedade, emprego e segurança social e das finanças, para efeitos das matérias relacionadas com a coleta de contribuições. (Ver Diário da República, 1.ª série N.º de dezembro de 2013). 2

3 Em 2012, pelo Decreto-Lei nº196/2012, de 23 de agosto, estabelece que o II,I.P., prossegue atribuições do Ministério da Solidariedade e da Segurança Social (MSSS), sob superintendência e tutela do respetivo ministro, exercidas em conjunto pelos membros do Governo responsáveis pelas áreas da solidariedade, segurança social, da economia e do emprego e, em matérias relacionadas com a coleta de contribuições, das finanças. Em 2013, pela Portaria n.º 138/2013, de 2 de abril, são aprovados os estatutos do Instituto de Informática, IP. Social Security A Segurança Social em Portugal teve a sua génese nas Santas Casas da Misericórdia, decorrentes da reforma da assistência de Surgiram depois, no século XVIII, a Casa Pia de Lisboa, e mais tarde os movimentos mutualistas, que no século XIX começaram a proteger os seus beneficiários. No final do século XIX, surgiram as primeiras Caixas de Aposentações. No entanto, o Estado assumia até essa altura um papel claramente insuficiente, que tentou melhorar na Primeira República, através dos primeiros seguros sociais obrigatórios que abrangiam trabalhadores por conta de outrem, em Após o 25 de Abril, a evolução do sistema acelerou e foram tomadas várias medidas. Sob o lema de uma transição para um sistema unificado, a proteção social foi amplificada. Entre outras medidas, salienta-se a primeira experiência de atribuição de subsídios de desemprego, prestações familiares e subsídio de Natal para os pensionistas. Foi também instituída uma pensão social a todas as pessoas com mais de 65 anos que não exercessem uma atividade remunerada e não estivessem abrangidas em esquemas de previdência, o que constituiu um passo enorme para proteger a maioria dos cidadãos em situações desfavorecidas. Várias outras etapas e transformações foram transcorridas na segurança social portuguesa até se chegar ao figurino atual, em que esta atividade é tutelada por um instituto, ao abrigo do Decreto-Lei n.º 83/2012 de 30 de março. Trata-se do Instituto da Segurança Social, I. P. (ISS, I.P.), que é um instituto público de regime especial, nos termos da lei, integrado na administração indireta do Estado, dotado de autonomia administrativa e financeira e património próprio. Foi criado em janeiro de 2001 com o objetivo de instituir um novo modelo de organização administrativa, aumentar a capacidade de gestão estratégica e implementar a coordenação nacional. O ISS, I. P., tem por missão a gestão dos regimes de Segurança Social, incluindo o tratamento, recuperação e reparação de doenças ou incapacidades resultantes de riscos profissionais, o reconhecimento dos direitos e o cumprimento das obrigações decorrentes dos regimes de Segurança Social e demais subsistemas da Segurança Social, incluindo o exercício da ação social, bem como assegurar a aplicação dos acordos internacionais no âmbito do sistema da Segurança Social. Como organismo central, tem jurisdição sobre todo o território nacional, sem prejuízo das atribuições e competências das Regiões Autónomas dos Açores e da Madeira. O ISS, I. P., tem sede em Lisboa e para o desenvolvimento da sua atividade conta com o Centro Nacional de Pensões, dezoito Centros Distritais e uma rede de Serviços de Atendimento. 3

4 3. Organization O Instituto de Informática foi fundado em 1999 com o nome de Instituto de Informática e Estatística da Solidariedade com o propósito de definir e implementar o novo Sistema de Informação da Segurança Social. É um instituto público sediado no Taguspark que visa a fornecer toda a infraestrutura e serviços necessários ao funcionamento da Segurança Social, tornando-se o líder da Administração Pública em soluções de Tecnologias de Informação e Comunicação. Apesar de estar debaixo da alçada do Estado, possui autonomia administrativa e financeira com património próprio. As responsabilidades atribuídas ao instituto foram definidas pelo Decreto-Lei nº196/2012, 23 de Agosto: Elaborar o Plano Estratégico de Sistemas de Informação do MSSS; Definir e controlar o cumprimento de normas e procedimentos relativos à seleção, aquisição e utilização de infraestruturas tecnológicas e sistemas de informação; Assegurar a construção, gestão e operação de sistemas e infraestruturas na área de atuação transversal do MSSS, em articulação com os organismos numa lógica de serviços partilhados; Promover a unificação e a racionalização de métodos, recursos, processos e infraestruturas tecnológicas nos organismos do MSSS; Assegurar a articulação com os organismos com atribuições interministeriais na área das tecnologias de informação e comunicação; Prestar serviços a departamentos do setor do Trabalho e da Solidariedade Social, a outros departamentos da Administração Pública, a empresas públicas ou a entidades privadas, com base em adequados instrumentos contratuais que determinem, designadamente os níveis de prestação e respetivas contrapartidas. Do ponto de vista da gestão do instituto, este é dirigido por um Conselho Directivo composto por um Presidente (Dr. Pedro Alexandre da Rosa Corte Real), um Vice- Presidente (António Manuel dos Passos Rapoula) e um Vogal (Eng. João Paulo Mota da Costa Lopes). Internamente, isto é, excluindo o número de colaboradores em outsourcing, o II totaliza 326 postos de trabalho. 4. Process DSS02 O processo que iremos avaliar DSS02 foca-se na gestão de pedidos e de incidentes, da área de gestão, este processo tem como objetivo aumentar a produtividade através de uma minimização de incidentes e quando estes acontecem, resolvendo-os mais rapidamente. Este está subdividido em 7 práticas: DSS Definir esquemas e modelos para classificação de incidentes e pedido de serviços. DSS Gravar, classificar e priorizar pedidos e incidentes. DSS Verificar, aprovar e satisfazer pedidos. DSS Investigar, diagnosticar e alocar incidentes DSS Resolver e recuperar dos incidentes 4

5 DSS Fechar pedido de serviços e incidentes DSS Monitorizar estado dos pedidos e produzir relatórios. Podemos descrever o Processo DSS02 como um conjunto de boas práticas que nos ajudam a minimizar os incidentes bem como a resolução das mesmas. No DSS02.01 deve se definir modelos de incidentes com possíveis erros conhecidos à priori permitindo assim uma resolução eficaz e eficiente. Na DSS02.02 registar todas os pedidos e incidentes, registando todas as informações relevantes para que possam ser manipuladas de forma eficaz. De acordo com a DSS02.03 devemos utilizar, sempre que possível, menus de autoajuda automáticos e modelos de pedidos pré-definidos para os itens solicitados com frequência. Na DSS02.04 deve sempre registar novos problema caso esta ainda não consta nos nossos registos de incidentes. DSS02.05 temos registar as soluções alternativas utilizados na resolução de incidentes. Uma boa pratica na DSS02.06 é verificar se resolução de incidentes foi satisfatória, ou na resolução do pedido. E por ultimo no DSS02.07 devemos sempre monitorar cada pedido e acompanhar a resolução de cada incidentes e produzir relatórios. Aplicando isto no caso de estudo queremos garantir que o Instituto de Informática tem métricas para classificar os problemas/incidentes que acontecem bem como práticas implementadas que levem á resolução rápida e eficaz desses mesmos problemas. 5. Process Assessment Nesta secção vamos determinar a capacidade do processo identificando os pontos fortes, pontos fracos e riscos do processo selecionado. Como método de avaliação vamos usar o Cobit Process Assessment Model (PAM). Este método visa melhorar o rigor e a fiabilidade fornecendo uma metodologia compreensível, solida para avaliar a capacidade dos processos de IT. O modelo serve como referência de base para a realização de avaliações de capacidade dos atuais processos de IT de uma organização. O modelo de avaliação genérico pode ser mapeados para um modelo de avaliação padrão e válido mundialmente, neste contexto o modelo de maturidade do CobiT pode ser mapeado num modelo de capacidade presentes na ISO/IEC Para a avaliação deste processo vamos usar a escala definida no ISO/IEC O anexo A representa o mapeamento dos níveis de avaliaçao entre Cobit e a ISO/IEC mencionado anteriormente. De acordo com este modelo o processo é classificado em cinco níveis, onde o nível zero é considerado a pior classificação e o nível cinco é a melhor: 0. Incomplete; 1. Performed Process; 2. Managed Process; 3. Established Process; 4. Predictable Process; 5. Optimizing process. No Cobit Process Assessment Model (PAM), a medida de capacidade é baseada em nove atributos de processo (PA). Os PA são usados para determinar o estado do processo a avaliar. Cada nível é composto por atributos de processo (PA), à exceção do nível zero. O anexo B representa o que cada PA mede. É necessário satisfazer estes 5

6 PAs para que seja atingido o nível de capacidade (escala ISSO/IEC 15504) correspondente ao estado do processo avaliado. Esta relação é ilustrada no Anexo C bem como uma descrição de cada nível. PA Process performance; PA Performance management; PA Work product management; PA Process definition; PA Process deployment; PA Process measurement; PA Process control; PA Process innovation; PA Continuous optimization. É possível relacionar um determinado nível de capacidade de acordo com os atributos satisfeitos e uma percentagem, dando assim uma visão mais precisa da avaliação realizada. Esta percentagem consiste numa relação entre os atributos necessários a satisfazer e os atributos satisfeitos num determinado nível. Cada nível poderá ser: not achieved (0%-15%); partially achieved (>15-50%); largely achieved (>50%-85%); fully achieved (>85%-100%). Atingir um determinado nível de capacidade de um processo requer que os atributos para esse nível tenham sido totalmente ou em grande parte atingidos e que todos os atributos dos níveis inferiores tenham sido totalmente atingidos. Por exemplo para atingir o nível 1 de capacidade requer que o atributo PA 1.1 tenha sido largely ou fully achieved. Para atingir o nível 2 é preciso que ambos os atributos PA 2.1 e PA 2.2 tenham sido largely ou fully achieved e que o PA 1.1 tenha sido fully achieved. De forma análoga para os níveis 3, 4 e 5. Tendo toda esta informação, temos todo o material necessário para a avaliação do processo DSS Business Case Customer Profile Jobs Pains Coordenar a Área de Suporte ao Utilizador (10) Diversidade dos problemas apontados a este abrangem outros departamentos(8) Departamento recebe contacto de um grande número de pessoas e outros (7) Comunicação entre departamentos lenta (5) 6

7 Métricas de sucesso não mede necessariamente a gravidade dos problemas mas a quantidade de problemas resolvidos (4) Gains Quantidade muito grande de pessoas para gerir (3) Resolução de maior número bugs e problemas (9) Resolução mais rápida de bugs e problemas (9) Comunicação integrada entre os departamentos (5) Monitorizar e Registar a resolução dos problemas (2) Value Map Products & Services Software do Instituto de Informática (10) Pain Relievers Agrupar problemas em objectivos e trabalhar por objectivos (8) --> Métricas de sucesso não mede necessariamente a gravidade dos problemas mas a quantidade de problemas resolvidos Integração de membros noutros departamentos (7) --> Comunicação entre departamentos lenta Incluir membros de outros departamentos neste (7) --> Diversidade dos problemas apontados a este abrangem outros departamentos Implementar práticas que melhorem a comunicação entre pessoas (3) --> Quantidade muito grande de pessoas para gerir Melhor organização dos bugs apresentados em categorias (0) --> Departamento recebe contacto de um grande número de pessoas e outros Gain Creators Através da fusão de bugs relacionados com grupos de trabalho focados (8) --> Resolução de maior número bugs e problemas Com uma resposta mais rápida aos erros apresentados pelos departamentos e utilizadores (7) --> Resolução mais rápida de bugs e problemas Integração de membros noutros departamentos e vice-versa (7) --> Comunicação integrada entre os departamentos Utilizando ferramentas adequadas e registando o estado de cada situação (3) --> Monitorizar e Registar a resolução dos problemas 7

8 7. References [1] ISACA, COBIT-Self-assessment-Guide-Using-COBIT 5: [2] IT Governance Network, copyright 201. Disponível em [3] E. Barrera, Jorge. Evidence Management for the COBIT 5 Assessment Programme. Volume 3, July Disponível em Center/cobit/Documents/CF-Vol-3-Jul-2013-Barrera-article.pdf [4] Maturity model in CobiT 5: [5] Carvalho, António Maria Aniceto, Setembro Sistemas de Poupança Complementar para a Reforma em Portugal. Disponivel em [6] Diário da República, 1.ª série N.º de dezembro de Disponivel em Legislação Legislação do ano

9 Anexo A Maturity Models in CobiT 4.1 en CobiT 5 (CobiT ) COBIT 4.1 MM Levels Capability Levels Based on ISO/IEC Meaning of the Capability Levels Based on ISO/IEC Optimising 5 - Optimised Continuously improved to meet relevant current and projected enterprise goals 4 - Managed and measurable 4 - Predictable Operates within defined limits to achieve its process outcomes Context Enterprise view/ corporate Knowledge 3 - Defined 3 - Established Implemented using a defined process that is capable of achieving its process outcomes N/A 2 Managed Implemented in a managed fashion (planned, monitored and adjusted) with appropriately established, controlled and maintained work products. N/A 1 Performed Achieves its process purpose. 2 - Repeatable 1 - Ad Hoc 0 Non-existent 0 Incomplete Not implemented or little/no evidence of any systematic achievement of the process purpose. Instance individual knowlege view/ 9

10 Capability Level Process Attribute Measure 1 PA Process performance Which the process purpose is achieved. 2 PA Performance management Which the performance of the process is managed. PA Work product management Which the work products produced by the process are appropriately managed. The work products referred to in this clause are those that result from the achievement of the process outcomes. 3 PA Process definition Which a standard process is maintained to support the deployment of the defined PA Process deployment process. Which the standard process is effectively deployed as a defined process to achieve its process outcomes. 4 PA Process measurement Which measurement results are used to ensure that performance of the process supports the achievement of relevant process performance objectives in support of defined business goals. Measures may be either process measures or product measures or both. PA Process control Which the process is quantitatively managed to produce a process that is stable, capable and predictable within defined limits. 5 PA Process innovation Which changes to the process are identified from analysis of common causes of variation in performance, and from investigations of innovative approaches to the definition and deployment of the process. PA Continuous optimization Anexo B Process Capability Indicators Which changes to the definition, management and performance of the process result in effective impact that achieves the relevant process improvement objectives. 10

11 Anexo C Process Capability Dimentions Process Attribute ID Capability Level Description Level 0: Incomplete process Process not implemented or fails to achieve its purpose. Level 1: Performed process Process achieves its process purpose. PA 1.1 Process performance Level 2: Managed process Process is implemented in a managed fashion (planned, monitored and adjusted) and its WPs are appropriately established, controlled and maintained. PA 2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1 PA 5.2 Performance management Work product management Level 3: Established Process is now implemented using a defined process that is capable of achieving its process process outcomes. Process definition Process deployment Level 4: Predictable process Process operates within defined limits to achieve its process outcomes Process measurement Process control Level 5: Optimizing process Process is continuously improved to meet relevant current and projected business goals. Process innovation Continuous optimization 11