ADMINISTRAO E ORGANIZAO DE INFORMTICA PROFESSOR: FLVIO CAMPOS CARELLI
GOVERNANA DA TECNOLOGIA DA INFORMAO: COBIT & ITIL
Dulcino Jnior Rogrio Baesso Vivian Vital
VOLTA REDONDA RJ 2005 OUTROS TRABALHOS EM: www.projetoderedes.com.br SUMRIO
1. Introduo..................................................................................................... 03 2. Governana da Tecnologia da Informao................................................ 03 3. TI governvel?........................................................................................... 05 4. O que CobiT............................................................................................... 07 5. O qu o ITIL ? ............................................................................................ 10 6. ITIL e CobiT ainda so mistrios para CIOs .............................................. 15
1 1. . I I n nt t r r o od du u o o Entende-se por governana de tecnologia uma estrutura de relacionamentos e processos com o objetivo de prover informaes condizentes s estratgias estabelecidas de negcio nos mais variados contextos organizacionais. A governana de tecnologia tem como objetivo demonstrar o valor adicionado proporcionado por tecnologia em contrapartida com riscos envolvidos e retorno sobre investimentos previstos. Em resumo, a governana de tecnologia visa medir e desta forma justificar a raison detre de tecnologia tal como qualquer rea de negcio vem sendo objeto de medio h sculos. O reconhecimento e efetivo uso de modelo eficientes de governana de tecnologia tem sido base de definies que retratam a realidade de milhares de organizaes que de alguma forma j institucionalizaram seus princpios bsicos.
2 2. . G Go ov ve er r n na an n a a d da a T Te ec cn no ol l o og gi i a a d da a I I n nf f o or r m ma a o o Segundo Tereza Cristina M.B.Carvalho, nestas ltimas dcadas, empresas dos mais diversos setores tm investido bastante em TI (tecnologia de informao). Nos Estados Unidos e Europa, anualmente, as empresas investem, em mdia, cerca de 4% de sua receita em TI, segundo pesquisa realizada pelo Gartner Group. No Brasil, em 2003, a mdia de investimento foi de 4,9% do faturamento lquido, contra 1,3% registrado em 1988, segundo pesquisa efetuada FGV-EASP. E tudo indica que esses investimentos continuaro crescendo. Como conseqncia, as empresas esperam otimizar seus processos e custos, aumentar a eficincia de seus funcionrios e do seu relacionamento com fornecedores e parceiros, melhorar e personalizar os servios prestados aos seus clientes, enfim crescer, aumentar a sua presena no mercado e a sua lucratividade a curto e mdio prazos. OUTROS TRABALHOS EM: www.projetoderedes.com.br Contudo, poucas empresas conseguem determinar o ROA (return on assets) ou ROI (return on investment) decorrentes de investimentos em TI e, com isto, avaliar de maneira consistente os benefcios obtidos pela rea de negcios. Falta a chamada Governana de TI. A Governana de TI engloba mecanismos implementados em diferentes nveis de uma empresa. Permitem gerenciar, controlar e utilizar a TI de modo a criar valor para a empresa e permitir que decises sobre novos investimentos sejam tomadas de maneira consistente em alinhamento com a estratgia corporativa. Pressupe a adoo de mtricas que permitem avaliar o impacto da TI no desempenho de negcios. Pesquisas, como a realizada pelo CISR do MIT, indicam que as empresas mais lucrativas implementam, de alguma forma, Governana de TI. Alguns resultados interessantes indicam que empresas mais orientadas a lucro (medido atravs de indicadores como ROI) tm adotado estruturas mais centralizadas de Governana de TI, desempenhada por comits executivos ou comits criados para esse fim. A deciso sobre a infra-estrutura de TI a ser adquirida bem como a sua arquitetura efetuada de maneira centralizada e cooperativa, para possibilitar o compartilhamento eficiente de recursos e sua reutilizao. Por outro lado, empresas mais voltadas capitalizao no mercado e crescimento da receita gerada tm adotado estruturas mais distribudas de Governana de TI, dando maior autonomia s unidades de negcios no sentido de atender de maneira mais eficiente s necessidades dos clientes locais. Neste caso, dada maior nfase inovao do que padronizao de TI como no caso anterior. No mercado, muito tem-se falado do CoBIT (control objectives for information and related technology) e do ITIL (information technology infrastruture library) como base para a Governana de TI. O CoBIT orientado ao controle de processos em quatro domnios: planejamento e organizao; aquisio e implementao; entrega e suporte; e, por ltimo, monitorao e avaliao; especificando ferramentas (e.g., mtricas) para se implementar Governana de TI. O ITIL, por sua vez, mais focado em especificar melhores prticas usadas na operao e gesto da infra-estrutura de TI para proviso e suporte de servios. Pode-se dizer que o CoBIT e o ITIL so complementares e podem ser usados de maneira combinada, objetivando uma Governana de TI mais eficiente. Outras metodologias existem e podem, tambm, ser avaliadas e incorporadas como ferramentas de Governana de TI. As empresas podem ter vises diferentes sobre a importncia de TI: para algumas, o papel de TI a reduo de custos; para outras, o seu papel estratgico para o negcio. Independente disso, a TI vai agregar maior valor ao negcio se houver uma poltica de governana associada. Precisamos caminhar nesta direo.
3 3. . T TI I g go ov ve er r n n v ve el l ? ? H muitas opes de metodologia para suportar a governana em TI. O importante conhec-las bem antes de fazer a opo Segundo Tom Partner, um CIO confidencia uma das aflies do seu chefe, o presidente da empresa, o que fazer para no ficar na mo do prprio CIO. Ele diz que consegue discutir investimentos e despesas de marketing, vendas, produo ou finanas, mas sempre uma agonia quando chega a vez de falar sobre tecnologia. Na dvida, ele pede para cortar o budget, pois apesar de confiar no meu amigo, sempre se sente enganado de alguma forma e tem dificuldades para se explicar ao Conselho. O drama o mesmo de muitos outros presidentes. Est a uma das razes para que a governana em TI ganhe mais ateno de todos, CEO, CIO, Conselho de Administrao e acionistas. A 5. Edio do IT Forum, encontro anual dos principais CIOs do Brasil, tem como tema central exatamente a Governana em TI. Foram os prprios CIOs que definiram o assunto, em funo de diversas perguntas-chave. Como garantir o alinhamento de TI ao negcio? Como conseguir demonstrar os ganhos de produtividade? Como facilitar a venda dos projetos de TI? Como prioriz-los? Quais as maneiras de preparar a organizao para um outsourcing? Como conciliar os interesses conflitantes das vrias reas da organizao? Quais mtricas utilizar para demonstrar aos acionistas os resultados obtidos por TI? Como conciliar a necessidade de uma viso de longo prazo com a cobrana pelos resultados no curtssimo prazo? Como responder com agilidade s demandas de negcio mantendo padres de qualidade e segurana? Como assegurar que o investimento em desenvolvimento e treinamento seja focado no que de fato interessa? Como fazer com que a qualidade do software esteja dentro de padres internacionais? Alm desses aspectos prticos, a governana em TI uma parte da governana corporativa, que ocupa cada vez mais espao na agenda das empresas. A discusso se torna ainda mais importante medida que as cadeias produtivas se tornam mais integradas so as network organizations. Torna-se crtico garantir a otimizao no do desempenho de uma empresa, mas sim da cadeia como um todo. O menu para a implementao da governana nos apresenta inmeras opes. H os que preferem uma refeio leve. Outros provam um pouco de tudo. H os vegetarianos radicais. O balanced scorecard pode ser til para alinhamento estratgico e foco. Os padres do Cobit (Control Objectives for Information and Telated Technology) so como uma frma para implantar os processos de TI. As orientaes do CMM (Capacity Maturity Model) so indicadas para aqueles que buscam produzir software com qualidade internacional. E o PMI (Project Management Institute) est a para suportar a gerncia de projetos. Se o caso garantir o estado da arte em termos de infra-estrutura, o maitre nos indica o ITIL (IT Infrastructure Library). importante conhecer bem esse cardpio antes de fazer o pedido. No h certo ou errado e vale tudo, menos trocar de opo durante a refeio, pois nesse caso o que se consegue um grande desgaste na credibilidade e afastamento ainda maior entre TI e a direo da empresa.
4 4. . O O q qu ue e C Co ob bi i T T O CobiT (Control Objectives for Information and related Technology) pode ser traduzido como Objetivos de Controle para a Informao e Tecnologia relacionada. Publicado pela ISACA (Information Systems Audit and Control Foundation) em 1996, o CobiT est em sua terceira edio, marcando sua transferncia para o IT Governance Institute, e acrescentando em sua estrutura as guias de gerenciamento requeridas pela governana corporativa. O CobiT foi desenvolvido com base no consenso de especialistas de todo o mundo no que concerne as melhores prticas e metodologias, tais como cdigos de conduta (Conselho Europeu, OECD, ISACA etc.) critrios de qualificao para os sistemas e processos de TI (ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria etc.), padres profissionais para controle interno e auditoria (COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO etc.), prticas de mercado e requerimentos legais, governamentais e especficos dos mercados que dependem fortemente de tecnologia, tais como os setores financeiro e de telecomunicaes. O grande diferencial do CobiT sua orientao para negcios, o que vem atender as seguintes demandas: Da administrao e gerncia, visando equilibrar os riscos e os investimentos em controles no ambiente dinmico de TI. Dos usurios, que dependem dos servios de TI e seus respectivos controles e mecanismos de segurana para realizar suas atividades. Dos auditores, que podem utiliz-lo para validar suas opinies ou para recomendar melhorias dos controles internos administrao. As atividades de TI so apresentadas pelo CobiT de forma lgica e estruturada, relacionando riscos de negcios, necessidades de controles e questes tcnicas. O CobiT pode ser usado independentemente da plataforma tecnolgica adotada pela organizao e se aplica tambm a qualquer segmento de indstria. O CobiT agrupa os processos de TI em 4 domnios abrangentes: Planejamento e Organizao Aquisio e Implementao Entrega e Suporte Monitoramento
Cada domnio cobre um conjunto de processos para garantir a completa gesto de TI, somando 34 processos: Planejamento e Organizao Define o plano estratgico de TI Define a arquitetura da informao Determina a direo tecnolgica Define a organizao de TI e seus relacionamentos Gerencia os investimento de TI Gerencia a comunicao das direes de TI Gerencia os recursos humanos Assegura o alinhamento de TI com os requerimentos externos Avalia os riscos Gerencia os projetos Gerencia a qualidade
Aquisio e implementao Identifica as solues de automao Adquire e mantm os softwares Adquire e mantm a infra-estrutura tecnolgica Desenvolve e mantm os procedimentos Instala e certifica softwares Gerencia as mudanas
Entrega e suporte Define e mantm os acordos de nveis de servios (SLA) Gerencia os servios de terceiros Gerencia a performance e capacidade do ambiente Assegura a continuidade dos servios Assegura a segurana dos servios Identifica e aloca custos Treina os usurios Assiste e aconselha os usurios Gerencia a configurao Gerencia os problemas e incidentes Gerencia os dados Gerencia a infra-estrutura Gerencia as operaes Monitorao Monitora os processos Analisa a adequao dos controles internos Prove auditorias independentes Prove segurana independente
O CobiT contm 34 Processos de Controle de alto nvel e 318 objetivos detalhados para os processos de TI. Esses Objetivos de Controle so suportados pelos Guias de Auditoria que possibilitam aos auditores e gerentes revisarem os processos especficos de TI assegurando que os controles sejam suficientes ou que necessitam de melhorias. O terceiro principal componente do CobiT so os Guias de Gerenciamento. Os guias de gerenciamento do CobiT se baseiam na administrao da qualidade e performance dos servios prestados pela rea de TI, utilizando os fundamentos do balanced scorecard.
5 5. . O O q qu u o o I I T TI I L L ? ? O ITIL (Information Technology Infrastructure Library) o modelo de referncia para gerenciamento de processos de TI mais aceito mundialmente. A metodologia foi criada pela secretaria de comrcio (Office of Government Commerce, OGC) do governo Ingls,a partir de pesquisas realizadas por Consultores, Especialistas e Doutores, para desenvolver as melhores prticas para a gesto da rea de TI nas empresas privadas e pblicas. Atualmente se tornou a norma BS-15000, sendo esta um anexo da ISSO 9000/2000. O foco deste modelo descrever os processos necessrios para gerenciar a infra- estrutura de TI eficientemente e eficazmente de modo a garantir os nveis de servio acordados com os clientes internos e externos. Entre os processos que fazem parte do modelo de referncia, podemos citar: planejamento de servios, gerenciamento de incidentes, problemas, mudanas, configurao, operaes, segurana, capacidade, disponibilidade, custos, entrada em produo e testes. As empresas que o adotaram esto preocupadas em gerar valor do TI para os negcios da empresa e provar este valor de maneira adequada, atravs de processos corretos. As normas ITIL esto documentadas em aproximadamente 40 livros, onde os principais processos e as recomendaes das melhores prticas de TI esto descritas. O ITIL composto por mdulos. Os mais importantes so o "IT Service Support" e o "IT Service Delivery".
Caractersticas do ITIL Modelo de referncia para processos de TI no proprietrio; Adequado para todas as reas de atividade; Independente de tecnologia e fornecedor; Um padro de fato; Baseado nas melhores prticas; Um modelo de referncia para a implementao de processos de TI; Padronizao de terminologias; Interdependncia de processos; Diretivas bsicas para implementao; Diretivas bsicas para funes e responsabilidades dentro de cada processo; Checklist testado e aprovado; O que fazer e o que no fazer.
As "melhores prticas" so os melhores modelos de trabalho identificados em situaes reais considerando Organizaes em atividades similares. Uma "melhor prtica" significa que um modelo foi implementado anteriormente, aps ter sido determinada e comprovada a sua relevncia. A implantao de uma "melhor prtica" tudo aquilo relacionado "no reinveno da roda", mas capacidade de implementar modelos e experincias que j se mostraram eficientes em outras Organizaes. A tcnica de implantao de uma "melhor prtica" baseada em ciclo de vida, cujo foco est sempre relacionado a excelncia do gerenciamento de Servios, podendo ser aplicada a qualquer tempo e em qualquer circunstncia. O objetivo das melhores prticas reduzir os custos de tecnologia e melhorar o desempenho e performace dos ativos de tecnologia e da rea de TI como um todo. Na sua ltima instncia o iTil fornece indicadores para benchmarks. Todos os indicadores atuais, TCO, CPT, etc so excelentes na sua esfera de competncia mas nenhum deles leva o foco de TI para o usurio. O grau ideal de interao de um usurio com tecnologia a relao homem x lpis, ou seja, se tem um treinamento na fase de alfabetizao e a partir da as pessoas so capazes de utilizar qualquer lpis a vida inteira pois o processo de aprendizado de um novo tipo de lpis totalmente intuitivo.
O ITIL trata de disciplinas tticas, ou de planejamento, e operacionais: Disciplinas Tticas Service Level Management IT Service Continuity Management Financial Management Capacity Management Availability Management
Gerenciamento de Disponibilidade - o processo que visa otimizar a capacidade da infra-estrutura de TI, servios e suporte para prover, a custo efetivo, um nvel de disponibilidade que permita ao negcio atender seus objetivos. Isto obtido atravs da determinao dos requerimentos de disponibilidade do negcio e anlise da capacidade da infra-estrutura de TI para atender a estes requerimentos. As lacunas entre requerimento e capacidade so preenchidas atravs das alternativas disponveis e opes de custos associados. Gerenciamento de Continuidade - o processo de Gerenciamento dos recursos organizacionais, tcnicos e humanos - que logicamente ordenados, garantam a manuteno dos servios que suportam os negcios da organizao, dentro de nveis de servio acordados, incluindo o suporte mnimo necessrio para a continuidade das operaes no caso de uma interrupo. Este processo inclui o ciclo contnuo de avaliao de risco e adoo de medidas de contorno, reviso dos cenrios e planos de contingenciamento, bem como garantia de aderncia s orientaes corporativas quanto ao estabelecimento de Planos de Continuidade de Negcios. Gerenciamento de Capacidade - processo de monitorao, anlise e planejamento do efetivo uso dos recursos computacionais, visando definir e estabelecer uma metodologia apropriada para o acompanhamento e projeo da utilizao dos recursos computacionais, incluindo os meios de transmisso de dados e a especificao das mtricas e condies timas de operao destes recursos. Gerenciamento de Nveis de Servio - o processo de planejamento, coordenao, elaborao, monitorao e reporte dos Acordos de Nveis de Servio (SLA) e, adicionalmente, s revises dos indicadores constantes dos acordos celebrados de forma a garantir que os requerimentos de qualidade e custos esto mantidos e gradualmente melhorados. Um Acordo de Nvel de Servio (SLA) deve prover a base para o gerenciamento do relacionamento entre o provedor do servio e seu usurio. Gerenciamento de Finanas - o processo que define o mtodo e as atividades para especificao das peas oramentrias e seu acompanhamento.
6 6. . I I T TI I L L e e C Co ob bi i T T a ai i n nd da a s s o o m mi i s st t r r i i o os s p pa ar r a a C CI I O Os s De acordo com a Revista ComputerWorld, uma pesquisa realizada no ltimo dia 28 de outubro durante o evento "Gerenciamento de Capacidade no mundo ITIL/COBIT", patrocinado pela Brunise Informtica, em parceria com a CSC BRASIL, revelou que o conhecimento do empresariado sobre as metodologias e melhores prticas superficial. Participaram da pesquisa 17 empresas e 40 profissionais, sendo eles diretores, gerentes, assessores de diretoria, analistas e supervisores de TI. Entre rgos do governo, prestadores de servio e empresas do setor financeiro, responderam ao questionrio ABN AMRO, Banco do Brasil, Banespa / Santander, Bank Boston, BMC Software, Bradesco, Caixa Econmica, Cemig, Nossa Caixa, Orbitall, Proceda, Prodam, Prodesp, Serasa, Serpro, Tecban e Unibanco. De acordo com o estudo, a maioria das organizaes no possuem um gerenciamento de capacidade de seus servios de TI. Os resultados mostraram que a maioria das companhias (72%) ainda possui processos padres, no reestruturados pelos atuais modelos de referncia. Apenas 11% j estabeleceram processos baseado no ITIL, e 3% em CobIT. Apesar de 64% dos profissionais terem conhecimentos sobre negcios, ainda baixo o nmero dos que esto a par das metodologias e padres de referncia: apenas 13% deles possuem bons conhecimentos em ITIL, e 8% em CobIT. Gerenciamento estratgico foi identificado como principal meta dos profissionais de tecnologia. Segundo a pesquisa, 97% destes executivos acham que suas divises carecem de ferramentas de anlise de impacto.