Apostila COBIT e ITIL

Apostila COBIT e ITIL

(Parte 1 de 3)

Governança de TI: comparativo entre COBIT e ITIL

Abstract

This paper has the purpose to present a practical guide to compare the Information Technology (IT) methodologies most used into corporate organizations worldwide. A case study is presented and analyzed through these methodologies. The aim is to identify characteristics that are the same or that are different among them, and how these methods can help to increase the control and automation level of corporate processes. Furthermore, has the objective to establish a relationship between IT and administration/strategy processes.

Resumo

Este artigo tem por objetivo apresentar um comparativo prático entre as metodologias de gestão da Tecnologia da Informação (TI) mais utilizadas atualmente pelas empresas e analisar um estudo de caso sob a ótica destas metodologias. Busca identificar as semelhanças e diferenças destas metodologias e como elas podem ajudar a aumentar o grau de controle e automação dos processos corporativos, relacionando a TI aos processos de gestão estratégica e administrativa de uma organização.

Palavras chave: Governança; TI; COBIT; ITIL.

1 Introdução

É princípio básico de uma organização buscar a gerência dos seus processos internos e também a forma de comunicação destes processos com os seus fornecedores e parceiros de negócios, que podemos chamar de processos externos à organização. Isso visa identificar as interfaces entre esses processos, as responsabilidades das áreas da empresa, das pessoas e o desempenho esperado medido por indicadores e metas. Na maioria dos casos, tendo as interfaces definidas, as responsabilidades claras entre as áreas e a mensuração do desempenho, as empresas conseguem alcançar o objetivo final que é a melhoria dos serviços devido aos ganhos de rapidez e produtividade.

As empresas costumam chamar de sistema da qualidade ao conjunto de processos controlados e, muitas delas, possuem departamentos específicos, independentes, com a responsabilidade de tratar da melhoria contínua e evolução dos processos. Existem programas que atingem os vários níveis da organização, desde os processos produtivos de operação e manutenção até os processos administrativos da controladoria e do jurídico. Além disso, para uma empresa de serviços, existem dois elos na cadeia de relacionamento que são os clientes e os fornecedores, não sendo possível à empresa dissociar seus processos da interação com seus consumidores e parceiros de negócio. Os acordos de nível de serviço são uma maneira de gerir essa inter-relação.

O problema que se apresenta é justamente que a melhoria e evolução dos processos não têm fim, pois os negócios podem ser sempre melhorados nos requisitos de organização, eficiência e grau de automação.

Para tanto, dependendo do porte e do perfil do negócio da empresa, existem, disponíveis no mercado, uma série de metodologias que norteiam ferramentas de sistemas e treinamentos de capacitação, e que prometem revolucionar o sistema de gestão e a relação entre fornecedor – empresa – cliente. Entidades idôneas podem auditar e certificar empresas quanto à eficiência da aplicação de algumas destas metodologias.

Como exemplos de metodologias disponíveis e largamente aceitas no mercado, podemos citar: o COBIT [ISACA 2000c] para gestão da TI inovando através da Governança Tecnológica e o ITIL [OGC 2002a] que padroniza uma série de processos operacionais e de gestão também ligados a TI. O objetivo é criar uma sistemática padronizada suportada por processos, possivelmente automatizados, que seja entendida e que esteja ao alcance de todos numa organização, que possa ser replicada e, sobretudo, permita evolução.

O conceito de Governança Tecnológica, do termo em inglês IT Governance, define que a TI é um fator essencial para a gestão financeira e estratégica de uma organização e não apenas como suporte à empresa. Sem ela tornam-se inviáveis as questões básicas da gestão corporativa. No nível macro, a governança de TI trata justamente da integração e uso de processos corporativos suportados pelos pacotes de gestão [ISACA 2000b], por exemplo: BI (Business Intelligence), CRM (Customer Relationship Management), ERP (Enterprise Resource Planning) e SCM (Supply Chain Management). Portanto, Governança Tecnológica é a metodologia (e seus processos integrados) de gestão corporativa dos recursos de TI.

A proposta deste artigo é comparar as várias disciplinas das metodologias mencionadas, através do estudo de caso de uma empresa que fornece serviços de tecnologia, verificando a aplicabilidade dessas metodologias nas organizações: como podem melhorar o controle e a evolução dos processos internos, quais características podem viabilizar a automação destes procedimentos e, finalmente, como afetam os profissionais de tecnologia do nível operacional.

O COBIT [ISACA 2000d] – Control Objectives for Information and Related Technology – tem por missão explícita pesquisar, desenvolver, publicar e promover um conjunto atualizado de padrões internacionais de boas práticas referentes ao uso corporativo da TI para os gerentes e auditores de tecnologia.

A metodologia COBIT foi criada pelo ISACA – Information Systems Audit and Control Association – através do IT Governance Institute, organização independente que desenvolveu a metodologia considerada a base da governança tecnológica. O COBIT funciona como uma entidade de padronização e estabelece métodos documentados para nortear a área de tecnologia das empresas, incluindo qualidade de software, níveis de maturidade e segurança da informação.

Os documentos do COBIT definem Governança Tecnológica como sendo “uma estrutura de relacionamentos entre processos para direcionar e controlar uma empresa de modo a atingir objetivos corporativos, através da agregação de valor e risco controlado pelo uso da tecnologia da informação e de seus processos”.

A Governança Tecnológica considera a área de TI não apenas como um suporte à organização, mas um ponto fundamental para que seja mantida a gestão administrativa e estratégica da organização. O objetivo central é manter processos e práticas relacionados à infra-estrutura de sistemas, redes e dispositivos utilizados pela empresa. A análise destes processos deve orientar a organização na decisão de novos projetos e como utilizar tecnologia da informação neles, considerando também a evolução tecnológica, sistemas já existentes, integração com fornecedores, atendimento ao cliente (externo e interno), custo da tecnologia e retorno esperado. A necessidade de integração de sistemas e a evolução tecnológica são fundamentadas nos processos da metodologia, criando-se métricas para auditoria e medição da evolução das atividades destes processos.

2.1 Domínios de Processos

O COBIT está organizado em quatro domínios para refletir um modelo para os processos de TI. Os domínios podem ser caracterizados pelos seus processos e pelas atividades executadas em cada fase de implantação da Governança Tecnológica. Os domínios do COBIT são:

Planejamento e Organização: define as questões estratégicas ligadas ao uso da TI em uma organização, trata de vários processos, entre eles, a definição da estratégia de TI, arquitetura da informação, direcionamento tecnológico, investimento, riscos, gerência de projetos e da qualidade.

Aquisição e Implementação: define as questões de implementação da TI conforme as diretivas estratégicas e de projeto pré-definidos no Plano Estratégico de Informática da empresa, também conhecido como PDI (Plano Diretor de Informática). Possui uma série de processos como, por exemplo, identificação de soluções automatizadas a serem aplicadas ou reutilizadas na corporação, aquisição e manutenção de sistemas e de infraestrutura, desenvolvimento e mapeamento de procedimentos nos sistemas, instalação e gerência de mudanças.

Entrega e Suporte: define as questões operacionais ligadas ao uso da TI para atendimento aos serviços para os clientes, manutenção e garantias ligadas a estes serviços. O momento destes domínios é após a ativação de um serviço e sua entrega ao cliente, que pode operar ou utilizar os serviços da empresa para operação terceirizada. Os processos relativos a este domínio tratam da definição dos níveis de serviço (SLA – Service Level Agreement); gerência de fornecedores integrados às atividades; garantias de desempenho, continuidade e segurança de sistemas; treinamento de usuários; alocação de custos de serviços; gerência de configuração; gerência de dados, problemas e incidentes.

Monitoração: define as questões de auditoria e acompanhamento dos serviços de TI, sob o ponto de vista de validação da eficiência dos processos e evolução dos mesmos em termos de desempenho e automação. Os processos deste domínio tratam basicamente da supervisão das atividades dos outros processos; adequações realizadas na empresa para garantia de procedimentos operacionais; coleta e análise de dados operacionais e estratégicos para auditoria e para controle da organização.

Além dos quatro domínios principais que guiam o bom uso da tecnologia da informação na organização, existe também a questão de auditoria que permite verificar, através de relatórios de avaliação, o nível de maturidade dos processos da organização. O método de auditoria segue o modelo do CMM que estabelece os seguintes níveis:

Inexistente: significa que o processo de gerenciamento não foi implantado.

Inicial: o processo é realizado sem organização, de modo não planejado.

Repetível: o processo é repetido de modo intuitivo, isto é, depende mais das pessoas do que de um método estabelecido.

Definido: o processo é realizado, documentado e comunicado na organização.

Gerenciado: existem métricas de desempenho das atividades, o processo é monitorado e constantemente avaliado.

Otimizado: as melhores práticas de mercado e automação são utilizadas para a melhoria contínua dos processos.

O resultado do relatório identifica o grau de evolução dos processos na organização que é avaliada, de modo concreto, com base em relatórios confiáveis de auditoria e parâmetros de mercado. O sumário executivo do relatório traz as seguintes informações: se existe um método estabelecido para o processo, como o método é definido e estabelecido, quais os controles mínimos para a verificação do desempenho do método, como pode ser feita auditoria no método, quais as ferramentas utilizadas no método e o que avaliar no método para sua melhoria. A partir de então, a organização define as metas, isto é, os objetivos de controle a serem atingidos.

Figura 1 – Os Quatro Domínios de Processos do COBIT Objetivos do Negócio

Governança de TI

Informação

Pessoas Aplicações Tecnologia Infra-estrutura Dados

Recursos de TI

Planejamento e Organização

Aquisição e Implementação

Entrega e Suporte

PO1 -Definir o Plano Estratégico de TI PO2 -Definir a Arquitetura da Informação PO3 -Determinar a Direção Tecnológica

PO4 -Definir a Organização de TI e Relacionamentos

PO5 -Gerenciar o Investimento em TI

PO6 -Comunicar Objetivos Gerenciais e Direção

PO7 -Gerenciar Recursos Humanos

PO8 -Garantir Conformidade com Requisitos Externos

PO9 -Identificar Riscos PO10 -Gerenciar Projetos PO11 -Gerenciar Qualidade

AI1 -Identificar Soluções Automatizadas AI2 -Adquirir e Manter Aplicações de Software AI3 -Adquirir e Manter Infra-estrutura Tecnológica AI4 -Desenvolver e Manter Procedimentos AI5 -Instalar e Validar Sistemas AI6 -Gerenciar Mudanças

DS1 -Definir e Gerenciar Níveis de Serviço DS2 -Gerenciar Serviços de Terceiros DS3 -Gerenciar Desempenho e Capacidade DS4 -Garantir Continuidade dos Serviços DS5 -Garantir Segurança de Sistemas DS6 -Identificar e Alocar Custos DS7 -Educar e Treinar Usuários DS8 -Assistir e Aconselhar Clientes DS9 -Gerenciar a Configuração DS10 -Gerenciar Problemas e Incidentes DS11 -Gerenciar Dados DS12 -Gerenciar Infra-estrutura Predial DS13 -Gerenciar Operações

Monitoração

M1 -Monitorar os Processos M2 -Identificar Controles Internos e Adequação M3 -Obter Garantia Independente M4 -Fornecer para Auditoria Independente

Objetivos do Negócio Governança de TI

InformaçãoInformação

Pessoas Aplicações Tecnologia Infra-estrutura Dados

Recursos de TI

Pessoas Aplicações Tecnologia Infra-estrutura Dados

Recursos de TI

Planejamento e Organização

Aquisição e Implementação

Entrega e Suporte

PO1 -Definir o Plano Estratégico de TI PO2 -Definir a Arquitetura da Informação PO3 -Determinar a Direção Tecnológica

PO4 -Definir a Organização de TI e Relacionamentos

PO5 -Gerenciar o Investimento em TI

PO6 -Comunicar Objetivos Gerenciais e Direção

PO7 -Gerenciar Recursos Humanos

PO8 -Garantir Conformidade com Requisitos Externos

PO9 -Identificar Riscos PO10 -Gerenciar Projetos PO11 -Gerenciar Qualidade

PO1 -Definir o Plano Estratégico de TIPO1 -Definir o Plano Estratégico de TI PO2 -Definir a Arquitetura da InformaçãoPO2 -Definir a Arquitetura da Informação PO3 -Determinar a Direção TecnológicaPO3 -Determinar a Direção Tecnológica

PO4 -Definir a Organização de TI e RelacionamentosPO4 -Definir a Organização de TI e Relacionamentos

PO5 -Gerenciar o Investimento em TIPO5 -Gerenciar o Investimento em TI

PO6 -Comunicar Objetivos Gerenciais e DireçãoPO6 -Comunicar Objetivos Gerenciais e Direção

PO7 -Gerenciar Recursos HumanosPO7 -Gerenciar Recursos Humanos

PO8 -Garantir Conformidade com Requisitos ExternosPO8 -Garantir Conformidade com Requisitos Externos

PO9 -Identificar RiscosPO9 -Identificar Riscos PO10 -Gerenciar ProjetosPO10 -Gerenciar Projetos PO11 -Gerenciar QualidadePO11 -Gerenciar Qualidade

AI1 -Identificar Soluções Automatizadas AI2 -Adquirir e Manter Aplicações de Software AI3 -Adquirir e Manter Infra-estrutura Tecnológica AI4 -Desenvolver e Manter Procedimentos AI5 -Instalar e Validar Sistemas AI6 -Gerenciar Mudanças

AI1 -Identificar Soluções Automatizadas AI2 -Adquirir e Manter Aplicações de Software AI3 -Adquirir e Manter Infra-estrutura Tecnológica AI4 -Desenvolver e Manter Procedimentos AI5 -Instalar e Validar Sistemas AI6 -Gerenciar Mudanças

AI1 -Identificar Soluções AutomatizadasAI1 -Identificar Soluções Automatizadas AI2 -Adquirir e Manter Aplicações de SoftwareAI2 -Adquirir e Manter Aplicações de Software AI3 -Adquirir e Manter Infra-estrutura TecnológicaAI3 -Adquirir e Manter Infra-estrutura Tecnológica AI4 -Desenvolver e Manter ProcedimentosAI4 -Desenvolver e Manter Procedimentos AI5 -Instalar e Validar SistemasAI5 -Instalar e Validar Sistemas AI6 -Gerenciar MudançasAI6 -Gerenciar Mudanças

DS1 -Definir e Gerenciar Níveis de Serviço DS2 -Gerenciar Serviços de Terceiros DS3 -Gerenciar Desempenho e Capacidade DS4 -Garantir Continuidade dos Serviços DS5 -Garantir Segurança de Sistemas DS6 -Identificar e Alocar Custos DS7 -Educar e Treinar Usuários DS8 -Assistir e Aconselhar Clientes DS9 -Gerenciar a Configuração DS10 -Gerenciar Problemas e Incidentes DS11 -Gerenciar Dados DS12 -Gerenciar Infra-estrutura Predial DS13 -Gerenciar Operações

DS1 -Definir e Gerenciar Níveis de Serviço DS2 -Gerenciar Serviços de Terceiros DS3 -Gerenciar Desempenho e Capacidade DS4 -Garantir Continuidade dos Serviços DS5 -Garantir Segurança de Sistemas DS6 -Identificar e Alocar Custos DS7 -Educar e Treinar Usuários DS8 -Assistir e Aconselhar Clientes DS9 -Gerenciar a Configuração DS10 -Gerenciar Problemas e Incidentes DS11 -Gerenciar Dados DS12 -Gerenciar Infra-estrutura Predial DS13 -Gerenciar Operações

(Parte 1 de 3)

Comentários