Primeiro Relatório 62473 Pedro Vasconcelos 63563 Francisco Ferreira 73440 Filipe Correia 74211 Carolina Ferreirinha 82665 Nkusu Quivuna Sumário Este documento é o primeiro relatório de um projeto de análise à implementação do processo Gestão de Entregas no Instituto de Informática, I.P.. Pretende se, com a informação aqui presente, explicar o âmbito do projecto, incluindo uma visão geral da organização em causa e da indústria onde está inserida. Serve também para tornar explícita a forma como o projeto vai ser abordado, da perspetiva funcional e da perspetiva técnica. 1. Introdução A maior preocupação que as empresas têm é garantir o alinhamento da estratégia de IT com a estratégia de negócio, focando sempre no alcance das suas estratégias, metas e o seu desempenho. Com isto surge a área de IT Governance que garante que os interesses de todos os stakeholders são tidos em conta e que os processos fornecem resultados mensuráveis. Como resposta a estas necessidades surge o COBIT, uma framework abrangente para o alinhamento estratégico, garantindo a ligação entre os planos de negócio e os de IT e mantendo e validando a proposta de valor através do alinhamento das operações de IT e as operações da organização. IT governance Este projeto está enquadrado na área de Governança de IT, uma área relacionada com o desenvolvimento de um conjunto estruturado de competências e habilidades estratégicas para profissionais de IT responsáveis pelo planeamento, implementação, controle e monitorarização de programas e projetos. Torna se um requisito fundamental para as organizações, garantindo uma estrutura baseada no alinhamento estratégico das organizações com a estratégia de negócios, que é uma necessidade para organizações de qualquer tamanho, mas especialmente de um tamanho maior. 1
A estrutura de governança de IT, permite a implementação de boas práticas de governança possibilitando uma gestão mais profissionalizada e transparente, diminuindo a assimetria informacional e permitindo que a empresa tenha suas estratégias e objetivos em mente, medindo seu desempenho de forma a garantir que os interesses dos stakeholders são tidos em conta. Ajuda a assegurar todo o controlo que uma empresa precisa, a fim de atender às diretrizes do núcleo dos regulamentos a que pode ser sujeita. Na maioria dos casos uma organização está sujeita às leis nacionais e internacionais, especialmente se é uma organização pública. O foco do nosso caso de estudo, o Instituto de Informática, I.P. (II, I.P.), é uma organização pública na qual existem algumas estruturas para a governança em IT, tendo o II, I.P. já implementado o COBIT 4. Análise COBIT O objectivo deste projeto é fazer uma análise ao processo de Gestão de Entregas implementado no II, I.P.. Chegámos à conclusão que, este processo, mapeando com o Cobit 5, está contido no processo BAI07 Manage Changes Acceptance and Transitioning ou seja, podemos ter que considerar na nossa análise, o processo de Gestão de Alterações, para além do processo de Gestão de Entregas. Com o decorrer da avaliação ao processo de Gestão de Entregas, veremos se será necessário ver como está implementado o processo de Gestão de Alterações, para aferirmos o nível de maturidade do BAI07 no Instituto. Processo de Gestão de Entregas Os objetivos do Processo de Gestão de Entregas, implementado no II, I.P. são Considerando uma perspetiva holística (pessoas, processos e tecnologias), implementar com sucesso as alterações aos serviços dos sistemas de informação, considerando as atividades de planeamento, desenho, construção, testes, formação e deployment. Assegurar a gestão de entregas de acordo com os requisitos do cliente. O foco do processo BAI07 é aceitar formalmente e tornar operacionais novas soluções, incluindo planeamento de implementação, transição de sistemas e dados, testes de aceitação, comunicação, preparação de entregas, fazer partir para produção processos de negócio/serviços de IT novos/alterados, dar suporte a produção e revisão pós implementação. Nestas descrições gerais, podemos ver aqui pontos onde os dois processos se tocam: planeamento de implementação, preparação de entregas (desenho, construção e testes), testes de 2
aceitação (formação), deployment (colocação em produção, suporte a produção) e revisão pós implementação. Estes são os pontos onde iremos focar a nossa análise. Vamos começar por marcar uma reunião com o process owner com vista a esclarecer o fluxo do processo e dos subprocessos e as atividades que os constituem. Pretendemos aferir a implementação do processo, identificando os aspectos chaves entre objetivos e artefatos, que nos permita avaliar o grau de maturidade do mesmo, possibilitando a comparação com o processo COBIT. Estrutura do relatório O presente trabalho está subdividido em seis capítulos em que cada capítulo aborda um assunto específico e, de acordo com a distribuição dos mesmos, temos no Capítulo 2 uma pequena caracterização da indústria em que o Instituto de Informática está inserido e no Capítulo 3 apresentamos a organização da instituição. No capítulo 4 fazemos sumariamente uma descrição do processo BAI07 e no Capítulo 5 uma avaliação do processo de como será aplicado na Instituição. Por fim, no Capítulo 6 apresentamos um Business Case que justifica a avaliação referida no capítulo anterior. Introdução 1 Indústria 3 Organização 5 Processo BAI07 7 Avaliação do processo 8 Caso de negócio 10 Referências 11 2. Indústria O Instituto de Informática, I.P., é parte integrante do Ministério da Solidariedade, Emprego e Segurança Social, e da administração indirecta do Estado. Todas as entidades deste Ministério são stakeholders importantes para o II, I.P. Entre eles destaca se a Direcção Geral da Segurança Social, como o orgão com uma função coordenadora e de administração directa do estado, e o Instituto da Segurança Social, I.P., com uma função de gestão do negócio da Segurança Social, sendo o elo de ligação principal entre o II, I.P., os técnicos da Segurança Social e o cliente final, o cidadão. 3
Um dos principais papeis da DGSS, com influência directa a nível aplicacional no II, I.P., é a coordenação da aplicação de legislação ao sistema da Segurança Social, bem como o estudo e negociação técnica da mesma legislação. É também dever da DGSS a preparação de medidas para modernização e reforço de eficácia da Segurança Social, assegurar a protecção e a coordenação de medidas para o cidadão mais vulnerável, proceder ao estudo e análise de legislação internacional no âmbito dos deveres do sistema de Segurança Social e dos direitos do cidadão e representar o Estado português em matérias de Segurança Social. O Instituto da Segurança Social, I.P., é o responsável pela aplicação no negócio dos requisitos do sistema da Segurança Social. È quem gere as prestações do sistema e de todos os seus subsistemas. Para além de ter funções técnicas de aplicação correcta do negócio da Segurança Social, funções de tesouraria, funções de fiscalização e funções de desenvolvimento de acordos de cooperação com várias instituições particulares de segurança social, o ISS, I.P. assegura também, nos termos da lei, o cumprimento dos requisitos do Sistema Informático da Segurança Social (SISS), como um dos serviços mais importantes á disposição do cidadão e do Sistema da Segurança Social. Sendo o II, I.P., como orgão transversal ao Ministério da Solidariedade, Emprego e Segurança Social na gestão de sistemas e infraestruturas informáticas, o responsável pela gestão e implementação do SISS, a cooperação entre o ISS, I.P. (a representar o negócio da segurançã social) e o II, I.P. (a representar a gestão e inovação dos sistemas do MSESS) é crucial para o bom funcionamento deste sistema. 4
Figura 1 Organograma do MSESS (fevereiro 2015) 3. Organização O II, I.P. é um instituto integrado na administração indireta do Estado que tem como missão disponibilizar soluções adequadas, que satisfaçam as necessidades de Tecnologias de Informação e Comunicação dos clientes, visando o serviço prestado a cidadãos com o intuito de líderar a Administração Pública em soluções de Tecnologias de Informação e Comunicação, mantendo a confiança, competência e a inovação. O II, I.P. tem adotado mecanismos de gestão flexíveis e inovadores, cujos resultados são orientados para uma maior eficiência e para a satisfação das necessidades dos clientes e dos colaboradores. Neste sentido, o II, I.P. tem vindo a eliminar a rigidez na sua estrutura potenciando os meios de que dispõe, na melhoria contínua dos seus processos. Este esforço tem vindo a ser reconhecido através das diversas certificações, quer do sistema de gestão da qualidade, quer do sistema de gestão de informação do Instituto. O modelo de gestão organizacional do Instituto caracteriza se pela existência de funções de negócio, alocadas a unidades organizacionais específicas, de âmbito vertical, que são envolvidas e invocadas no decorrer dos processos do negócio com vista à produção dos resultados que 5
concretizam a missão do Instituto. O organigrama abaixo mostra a estrutura organizativa do Instituto de Informática. Figura 2 Estrutura organizacional do II, IP A atividade do Instituto de Informática é orientada pela Política do Sistema de Gestão Integrado, que decorre da Missão, Visão e Valores da organização, apoiando de forma permanente a prestação de um serviço público de excelência e sustentável. Um dos principais objetivos do Instituto de Informática dentro das suas atividades é de criar valor para as Partes Interessadas, promovendo uma relação de confiança, através da disponibilização de soluções que correspondam às expectativas, estabelecendo para o efeito as parcerias e os acordos adequados. O Instituto de Informática compromete se a definir, implementar, rever e melhorar, de forma sistemática, os processos e ações de comunicação com as Partes Interessadas, internas e externas, de modo a garantir a eficácia de uma comunicação integrada. Compromete se ainda em melhorar continuamente a eficácia e competência organizacionais, verificando a conformidade dos processos existentes, monitorizacion os resultados chave do seu desempenho, e avaliando o valor das soluções que disponibiliza, introduzindo as melhorias necessárias. 6
Outro objetivo do instituto é o de prestar um serviço de excelência através da implementação de práticas sustentáveis no âmbito da gestão da qualidade, segurança da informação e continuidade do negócio, gestão de serviços de tecnologias de informação e responsabilidade social. Compromete se ainda em implementar e partilhar as boas práticas e os processos de gestão, promovendo a agilidade organizacional e a inovação, com recurso aos melhores referenciais e tecnologias disponíveis. 4. Processo BAI07 O processo BAI07 Manage Change Acceptance and Transitioning pertence à área de Management e ao Domínio Build, Acquire and Implement do COBIT5, tendo como base aceitar e tornar operacionais novas soluções. O objectivo principal deste processo é implementar soluções de forma segura e alinhadas com as expectativas e resultados acordados. No contexto do Instituto de Informática da Segurança Social, este processo é implementado pelo processo Gestão de Entregas, cujo fluxo é descrito pelo seguinte esquema. 7
Figura 3 Processo de Gestão de Entregas do II, IP As práticas do BAI07 utilizadas no processo na fase de Concepção são: BAI07.01 Establish an implementation plan; BAI07.02 Plan business process, system and data conversion. No caso das outras fases as práticas utilizadas são: BAI07.03 Plan acceptance tests. BAI07.04 Establish a test environment. BAI07.05 Perform acceptance tests. BAI07.06 Promote to production and manage releases. Será um dos objectivos deste projeto identificar claramente as restantes fases do processo de Gestão de Entregas, para mapear com as práticas do BAI07. 5. Avaliação do processo A avaliação do processo BAI07 será efectuada de acordo com o Process Assessment Model (PAM) do COBIT5, que fornece uma base para definir o nível de capacidade do processo. O PAM (descrito na figura), define a capacidade de um processo com base em duas dimensões: Dimensão de capacidade e dimensão do processo Figura 4 COBIT 5 Process Assessment Model Dimensão de Processo Esta dimensão faz uso do COBIT5 como modelo de referência de processos, que fornece definições dos processos num ciclo de vida, juntamente com uma arquitectura que descreve as relações entre os processos. No caso desta avaliação, a dimensão de processo foca se no processo BAI07 que pertence ao domínio Build, Acquire and Implement. Dimensão de Capacidade Esta dimensão permite medir a capacidade de um processo relativamente ao alcance dos objectivos de negócio actuais ou projectados de uma organização para o processo. 8
A capacidade de um processo é expressa em função dos seus atributos, agrupados em 6 níveis: Nível 0 Processo Incompleto O processo não está implementado ou não cumpre o seu propósito; Nível 1 Processo Cumprido (um atributo) O processo implementado cumpre o seu propósito; Nível 2 Processo Gerido (dois atributos) O Processo de nível 1 é agora implementado com a utilização de um modelo de gestão (planeado, monitorizado e ajustado) e todos os seus produtos de trabalho são estabelecidos, controlados e mantidos de forma apropriada; Nível 3 Processo Estabelecido (2 atributos) O processo de nível 2 é agora implementado utilizando um processo definido que é capaz de alcançar os resultados do processo; Nível 4 Processo Previsível (2 atributos) O processo de nível 3 opera agora dentro de limites definidos para alcançar os resultados do processo; Nível 5 Processo Optimizado (2 atributos) O processo de nível 4 é melhorado continuamente para alcançar os objectivos de negócio relevantes actuais e projectados. Indicadores de Avaliação O indicadores de avaliação são utilizados para avaliar se os atributos do processo foram alcançados. Existem dois tipos de indicadores de avaliação: Indicadores de atributos de capacidade do processo: Prática genérica Produto de trabalho genérico Indicadores de performance do processo são específicos de cada processo e são utilizados para determinar se um processo se encontra no nível de capacidade 1. No caso desta avaliação, os indicadores de performance do BAI07 encontram se nas páginas 84 85 do documento Process Assessment Model (PAM): Using COBIT5. 9
Escala de classificação Cada atributo é classificado de acordo com uma escala definida no ISO/IEC 15504 standard indicada na figura 6: 6. Caso de negócio Figura 6 Tendo reconhecido as mais valias da utilização de uma framework como o COBIT na gestão e governança das tecnologias de informação das organização, o II, IP apresentou no seu plano de actividades para 2014 a intenção de levar a cabo uma iniciativa de auto avaliação utilizando o COBIT 5. O alinhamento dos objectivos do negócio com os objectivos para as tecnologias de informação é actualmente um factor essêncial em organizações do tipo e dimensão do II, IP. O COBIT 5 posiciona se como líder de mercado no âmbito de ferramentas e boas práticas na obtenção deste alinhamento. Embora no passado o II, IP tenha levado a cabo uma implementação parcial dos processos definidos no COBIT 4, o nível actual de cumprimento destas práticas não conhecido na sua totalidade. Adicionalmente, a framework COBIT evoluiu para a versão 5, oferecendo uma visão mais coesa da governança e gestão das TI nas organizações. Tendo em vista o objectivo óptimo de uma implementação plena das práticas definidas no COBIT 5, é essencial um levantamento prévio do as is em termos de governança e gestão das TI no II,IP. Parte de uma iniciativa maior, este projecto tem como objectivo fazer uma avaliação das operações do II, IP no âmbito do processo BAI07 Manage Change Acceptance and Transitioning, definido no COBIT 5. O Problema O foco deste projeto será o processo de Gestão de Entregas do II, IP. O problema com o qual este projecto se preocupa está relacionado com conhecer o nível de adesão do II,IP às boas práticas definidas pela indústria e pela framework COBIT 5 no âmbito do referido processo. 10
A Solução A solução para o problema referido no parágrafo anterior passa por utilizar o COBIT 5 para aferir o nível de cumprimento de boas práticas na operação do processo de Gestão de Entregas do II, IP. Este processo do II, IP foi mapeado para o processo BAI07, descrito no COBIT 5. O processo BAI07 do COBIT 5 tem como objectivo contribuir para o uso adequado de soluções tecnológicas como suporte de processos de negócio de uma organização. No final deste projecto será apresentada uma auditoria com base neste mapeamento, assim como sugestões de acções futuras a levar a cabo pelo II, IP. Riscos O risco mais relevante identificado para este projecto é o risco de dificuldades na obtenção da informação necessária ao processo de avaliação proposto no mesmo. Este risco ocorre devido a possíveis faltas de disponibilidade do pessoal relevante dentro do instituto para ser entrevistado e prestar os esclarecimentos necessários. Este projecto será desenvolvido por uma equipa composta por 5 estudantes do Instituto Superior Técnico entre Abril e Junho de 2015. 7. Referências Organograma do MSESS, Fevereiro 2015, MSESS http://www.portugal.gov.pt/pt/os ministerios/ministerio da solidariedade e seguranca social.asp x Informação Institucional, Julho 2013, II, I.P. http://www4.seg social.pt/ii ip instituto de informatica ip Plano de Atividades, 2014, Instituto de Informática http://www4.seg social.pt/documents/10152/8936574/plano_atividades_ii_2014 Sessão de apresentação de processos @II I.P., Março 2015, Luis Azevedo COBIT 5: Enabling Processes COBIT 5: PAM 11