É muito comum as organizações precisarem demonstrar determinados níveis de gestão e governança, por exemplo, através de certificados, à medida que os negócios se ampliam e aumentam o porte e a quantidade de clientes.
Por exemplo, quando uma empresa decide concorrer em uma licitação pública para prestação de serviço de TI, é bastante provável que a empresa tenha que apresentar algum certificado de qualidade dos seus processos para poder participar daquela concorrência. Esta exigência é importante para garantir que o órgão público selecione a organização mais capacitada para fornecer o serviço.
Também é comum ver empresas privadas exigindo de seus fornecedores determinados certificados de qualidade, desempenho ou segurança, com o mesmo objetivo de selecionar os melhores fornecedores.
Seja em uma concorrência pública ou privada, é comum também que as contratantes façam diligências em seus potenciais fornecedores para atestar NA PRÁTICA a aplicação das boas práticas requeridas.
Portanto, para aumentar a competitividade da organização é importante buscar essas certificações. No entanto, a escolha de qual certificação buscar estará relacionada ao custo da oportunidade. Em relação ao mercado público, não ter um determinado certificado pode impedir a participação em concorrências de milhões de reais. Já em relação ao mercado privado, a falta de um certificado pode impedir a conquista de novos clientes e contratos, ou pode também implicar em um esforço grande para demonstrar a existência dessas boas práticas em eventuais diligências.
Para ajudar você a entender melhor sobre as certificações para empresas de TI, apresentamos abaixo as certificações mais exigidas por órgãos públicos e privados para apoiar a seleção de fornecedores de serviços de TI.
A ISO 9001 é uma norma internacional que descreve requisitos de um Sistema de Gestão da Qualidade. Mas o que é um SGQ? Trata-se basicamente de um conjunto de processos organizacionais que são definidos e implementados para auxiliar uma determinada organização a realizar suas atividades de forma sistemática e organizada, visando a entregar produtos que alcançam consistentemente a satisfação do cliente.
Vale salientar que a ISO 9001 não é específica para empresas de TI, mas sim uma norma mais genérica que pode ser aplicada a qualquer negócio. Por isso vemos tantas empresas de vários setores da indústria divulgando seus selos de qualidade ISO 9001. E sabemos o quanto isso impacta os olhos dos clientes. Passa uma sensação de que aquela organização está de fato preocupada com a qualidade de seus produtos e serviços.
Internamente, a ISO 9001 busca implantar uma organização por processos. Busca fazer com que todos na empresa sigam determinadas instruções de trabalho que são conhecidamente exitosas em fazer com que os produtos e serviços atendam aos requisitos de seus clientes, enquanto cumprem as obrigações regulamentares.
Idealmente, toda a organização buscará a certificação, mas o escopo do Sistema de Gestão de Qualidade (SGQ) pode ser adaptado para melhorar o desempenho em uma instalação ou departamento específico.
Ter um selo ISO 9001 significa que uma organização atendeu aos requisitos do padrão, auditado por um corpo certificador. Ela implantou um SGQ.
Internamente, a criação de uma consciência de processos leva também à melhoria contínua e ao aprimoramento dos métodos de trabalho, o que por consequência aumentará o desempenho interno, permitindo entregar mais com menos (redução de refugos e aumento da eficiência), além de aumentar os lucros da organização. Externamente, a melhoria contínua garante aos clientes o benefício de receber produtos e serviços que atendam às suas necessidades e aumenta as chances de um potencial cliente confiar nos serviços prestados por aquela organização.
Essa pergunta leva à velha resposta de consultor: Depende! Depende do tamanho do escopo que se quer certificar, depende da dedicação interna e da quantidade de recursos que se deseja aplicar ao projeto, depende do "patrocínio" da direção em fazer com que a organização cumpra com os requisitos implementados. Uma estimativa que geralmente indicamos é "algo em torno de 8 à 12 meses", considerando um escopo pequeno.
É válido por 3 anos, sendo necessária a realização de auditorias de manutenção (reduzidas) anuais. A partir do terceiro ano já é necessária uma nova auditoria de certificação
O CMMI (Capability Maturity Model Integration) for Development é um modelo internacional de visibilidade global, que pode guiar uma organização desenvolvedora de software na melhoria do seu "Ciclo de Vida de Software". O CMMI contém boas práticas relacionadas à diversas disciplinas da engenharia de software, à saber:
Uma das vantagens do CMMI em relação às normas é não ser um modelo prescritivo, ou seja, o CMMI define “o que” é crítico para entregar serviços de TI com qualidade, mas não define “o como” essa entrega deve ser feita.
O CMMI deve ser interpretado como uma caixa de ferramentas para melhorar os processos da organização através do tratamento de gaps de aderência às práticas do modelo. Assim, cada organização pode implementar as boas práticas do CMMI da maneira mais adequada à sua realidade.
Outra vantagem é a estrutura de níveis de maturidade (1 à 5), que permite que organizações busquem a melhoria de processos de forma gradual. Esses níveis podem ser entendidos também como um roadmap de melhoria de processos. E o mais importante: o CMMI auxilia na gestão por indicadores através da identificação de metas de negócios mensuráveis, algo que a indústria em geral ainda carece de entendimento.
De novo: Depende! Depende do nível que se quer alcançar, depende da dedicação interna, etc. É muito comum que o nível pretendido seja o nível 3, pois é o mais exigido em concorrências públicas e privadas. Uma estimativa geral é algo em torno de 12 meses, para uma organização que nunca implementou o modelo.
É válido por 3 anos. No terceiro ano a organização deve realizar nova avaliação de maturidade (não, não é uma auditoria!).
O MPS para Software (MPS-SW) é uma certificação emitida pela Softex (Associação para Promoção de Excelência do Software Brasileiro), que tem como objetivo aprimorar o processo de desenvolvimento de software e serviços nas empresas brasileiras de TI.
O MPS para Software foca na definição de boas práticas voltadas para o desenvolvimento de software. A estrutura de processos do MPS para Software é similar à do CMMI em termos de requisitos que uma organização necessita implementar para obter algum dos seus níveis de maturidade.
Uma das vantagens do MPS para Software é a "quebra" da implementação dos processos em uma quantidade maior de níveis de maturidade, iniciando no nível G até o nível A. Esse crescimento mais gradual de maturidade facilita a implementação das práticas por micro e pequenas empresas que não possuem muitos recursos para uma implementação mais ampla.
Em termos de concorrências públicas, o MPS para Software é compatível com o CMMI for Development em determinados níveis, sendo que uma organização pode apresentar registros de avaliação de quaisquer desses modelos, desde que respeite a compatibilidade entre os níveis.
Considerando o nível C do MPS para Software equivalente ao nível 3 do CMMI, a organização deve levar em torno de 12 meses de implementação. Assim como no CMMI, a validade da avaliação também é de 3 anos.
A ISO 20000 é o padrão internacional que descreve as melhores práticas para gerenciamento de serviços de TI (ITSM, do inglês Information Technology Services Management). Essa norma é uma base de conhecimento para as organizações avaliarem a eficiência da sua entrega de serviços de TI. A partir da implementação das práticas, medem os níveis de serviço e avaliam seu desempenho, para melhoria contínua dos serviços prestados.
Pode-se dizer que a ISO 20000 é a implementação do ITIL (Information Technology Infrastructure Library) para organizações. Lembrando que o ITIL é uma certificação pessoal e não para uma organização.
Uma das razões pelas quais as empresas adotam a ISO 20000 é para identificar se seus serviços estão funcionando adequadamente e como podem ser melhorados. A certificação também demonstra aos clientes atuais e potenciais que a organização está comprometida com uma alta qualidade de serviço, além de dar às organizações um acesso mais amplo ao setor público, já que muitas autoridades governamentais exigem que os provedores de serviços de TI demonstrem conformidade com a norma.
As razões que levam à implementação da ISO 20000 serão, por consequência, similares às razões para implementar a ISO 9001 e também a ISO 27001, tema do próximo tópico. A exigência desta norma pelos contratantes requer que as empresas adequem seus processos para conquistar novos clientes e/ou contratos públicos.
Mais uma vez, pensando em uma estimativa geral, a ISO 20000 pode levar em torno de 8 à 12 meses para ser implementada. A situação atual dos processos da organização é o fator principal que impacta diretamente no prazo da implementação da norma, ou seja, quanto mais os processos da organização estejam aderentes aos requisitos da norma, menor é o tempo de implementação.
Assim como a ISO 9001, a validade da auditoria da ISO 20000 é de 3 anos com auditorias de manutenção (reduzidas) anuais. Após o terceiro ano, uma nova auditoria de certificação deve ser realizada.
A ISO 27000 é um conjunto de normas que define melhores práticas para a implantação de um Sistema de Gestão de Segurança da Informação (SGSI), com o objetivo de auxiliar organizações a manterem seus ativos de informações seguros.
As normas da ISO 27000 são aplicáveis a organizações de qualquer tamanho em qualquer setor. A principal filosofia da ISO 27000 é baseada na gestão de riscos: descobrir onde os riscos de segurança da informação estão, e então tratá-los sistematicamente, visando evitar que vulnerabilidades impactem as informações armazenadas pela organização.
As salvaguardas (ou controles) que são implementadas em geral estão na forma de políticas, procedimentos e implementações técnicas (i.e. software e equipamento).
A maioria das implementações da ISO 27000 serão sobre definir as regras organizacionais (i.e. documentos escritos) que são necessárias de modo a prevenir brechas de segurança.
12 meses ou mais, dependendo da situação atual da organização em relação às práticas exigidas.
Novamente, assim como as demais normas ISO apresentadas neste artigo, a validade da auditoria da ISO 20000 é de 3 anos com auditorias de manutenção (reduzidas) anuais. Uma nova auditoria de certificação deve ser conduzida ao final do terceiro ano.
Para mais informações sobre essa norma, veja nosso artigo sobre ISO 27001.
Além dessas certificações, há algumas outras que podem ser foco de empresas de TI que querem melhorar sua capacidade operacional, bem como a qualidade de seus produtos e serviços. Podemos citar, por exemplo, o CMMi for Services, o MPS para Serviços, o CMMI for Safety and Security, a ISO 29110, o MPT.Br e diversos outros. Mas deixaremos isso para um próximo artigo.
Se você tiver sugestões e quiser que abordamos alguma norma ou modelo em específico, fale conosco!
Gostou deste texto sobre certificações para empresas de TI? Então, visite nosso blog e confira também as principais tendências em relação a TI!
Nenhum comentário aprovado.
Deixe um comentário