ESADE ESCOLA SUPERIOR DE ADMINISTRAO, DIREITO E ECONOMIA.

CURSO DE ADMINISTRAO

Governana em TI ITIL, COBIT e ISO 20000

Camila Madeira Camila Pinto Daniel Mendes Elias Sarantopoulos Evandro Colpo Janaina Ulian

Porto Alegre, novembro de 2011.

Sumrio
INTRODUO ........................................................................................................................ 3 1. 2. 3. GOVERNANCA CORPORATIVA................................................................................. 4 PAPEL DA TI NA GOVERNANA ............................................................................... 4 2.1 ORIGEM .......................................................................................................................... 4 GERENCIAMENTO DE TI - MODELOS DE REFERNCIA (frameworks) ........... 5

3.1 ITIL - INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY ................ 5 3.1.1 Ciclo de vida do ITIL .................................................................................................. 7 3.2 COBIT - CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY ..................................................................................................................... 7 3.3 ISO 20.000 ...................................................................................................................... 10 4. COMPARATIVO DE MODELOS: ITIL x COBIT .................................................... 13 5. CASES DE SUCESSO NA APLICAO DE FRAMEWORKS. .............................. 13 CONCLUSO......................................................................................................................... 15 REFERNCIA BIBLIOGRFICA ...................................................................................... 16

INTRODUO

Atualmente a TI dirige os negcios para diversas organizaes em variados setores da economia. O sucesso da empresa no mercado depende da alta disponibilidade, segurana e desempenho dos servios de TI. Esta dependncia determinou o desenvolvimento de ferramentas, tcnicas e metodologias que propem prticas para implantao da governana e gesto eficaz dos servios de TI. O crescimento dos investimentos, aumento das exigncias dos rgos reguladores e da complexidade das operaes de TI, levou as empresas a buscarem modelos que facilitassem a descrio e os objetivos dos vrios servios e ambientes de TI, a representao de como esses servios se inter-relacionam, e orientao para a implementao e controle destes servios. A governana de TI um fator relevante diante do cenrio apresentado e os modelos de referncia que iremos estudar se mostram bastante eficazes para implantao em uma organizao.

1. GOVERNANCA CORPORATIVA Segundo IBGC (Instituto Brasileiro de Governana Corporativa): o sistema pelo qual as organizaes so dirigidas e monitoradas, envolvendo os relacionamentos entre acionistas/cotistas, conselho e administrao, diretoria, auditoria independente e conselho fiscal. As boas prticas de governana corporativa tm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade.

2. PAPEL DA TI NA GOVERNANA A Governana de TI tem o papel de criar controles de forma que a TI trabalhe de maneira transparente perante os stakeholders (executivos, conselho de administrao, acionistas), alinhando assim a TI aos processos de negcios. Para isso, a Governana de TI se empenha em estabelecer os processos que garantem organizao e controle para cumprimento dos objetivos estratgicos.

2.1 ORIGEM As necessidades da governana de TI originaram-se das demandas de controle, transparncia e previsibilidade das organizaes. As origens destas demandas datam do comeo dos anos 90, quando as questes relativas qualidade ganharam uma enorme importncia no cenrio mundial. Apesar da forte demanda por governana, o crescimento exuberante da economia mundial acabou esfriando a sua necessidade imediata, e o processo de maturidade da governana nas empresas acabou atrasando por alguns anos.

3. GERENCIAMENTO DE TI - MODELOS DE REFERNCIA (frameworks) Para se tomar as decises, necessrio que haja informaes, controles processos e procedimentos que auxiliem essas decises. Para suprir essas necessidades, surgiram padres de gerenciamento de TI mundialmente reconhecidos, tais como: ITIL, COBIT e ISO 20000.

3.1 ITIL - INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY O (ITIL) um conjunto de orientaes descrevendo as melhores prticas para um processo integrado do gerenciamento de servios de TI. Foi desenvolvido pela OGC, United Kigdoms Office of Government Commerce, no final dos anos 80, para melhorar o gerenciamento dos servios de TI do governo da Inglaterra. O ITIL preocupa-se, basicamente, com a entrega e o suporte aos servios de forma apropriada e aderente aos requisitos do negcio, e o modelo de referncia para o gerenciamento dos servios de TI mais aceito mundialmente. Tem como foco principal a operao e a gesto da infra-estrutura de tecnologia na organizao, incluindo todos os assuntos que so importantes no fornecimento dos servios de TI. Neste contexto, o ITIL considera que um servio de TI a descrio de um conjunto de recursos de TI. Os servios de suporte do ITIL auxiliam no atendimento de uma ou mais necessidades do cliente, apoiando, desta forma, aos seus objetivos de negcios. O principio bsico do ITIL descrever os processos que so necessrios para dar suporte utilizao e ao gerenciamento da infra-estrutura de TI. Outro principio fundamental do ITIL o fornecimento de qualidade de servio aos clientes de TI com custos justificveis, isto , relacionar os custos dos servios de tecnologia e como estes trazem valor estratgico ao negocio, ou seja, obter uma relao adequada entre custos e nveis de servios prestados pela rea de TI. Estar sempre alinhado aos processos, este um dos maiores fundamentos da ITIL proporcionando nveis de detalhamento de processos com muita clareza. a lgica para o gerenciamento de mudanas. Uma pesquisa realizada no Brasil pela revista IDG em 2005 aponta que 37% das empresas entrevistadas j ingressaram na aplicao da ITIL em seus processos. A adoo da

ITIL no apenas um modismo de TI, mas sim uma estratgia para reduzir custos, aproveitar melhor os recursos disponveis e aumentar a satisfao dos clientes. O ITIL traz algumas mudanas de paradigma, tais como: faz com que o negcio foque no valor e no no custo; faz pensar em toda a cadeia que envolve a prestao de servios e no uma viso fragmentada; e internamente transfere o olhar para processos e pessoas e no apenas na tecnologia. No existe uma certificao ITIL para empresas, apenas para profissionais. As empresas que quiserem obter um selo ou certificao para seus processos de TI podero se certificar com base na ISO/IEC 20000. ITIL, assim como o nome diz, uma biblioteca (Infrastructure Library), uma serie de livros. de domnio publico a utilizao destas prticas na sua empresa, entretanto todo o material possui direitos de cpia para a Coroa Inglesa. Abaixo, podemos visualizar as capas dos 05 livros principais que compem o ciclo de vida do servio, e mais o livro complementar de introduo ao ciclo de vida do servio.

Figura 1: Biblioteca ITIL Fonte: TI Exames

3.1.1 Ciclo de vida do ITIL

Figura 2: Ciclo de vida do Itil Fonte: Over

O ciclo de vida do servio tem um eixo central, que a Estratgia do Servio que tambm o estagio inicial deste ciclo. Essa estratgia vai guiar todos os outros estgios: Desenho de Servio, Transio de Servio e Operao de Servio. Envolvendo todos os estgios do ciclo de vida vem a Melhoria de Servio Continuada. Processos e Funes esto distribudos ao longo desse ciclo de vida.

3.2 COBIT - CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY O COBIT um guia, estruturado como framework, possui uma serie de componentes que podem servir como um modelo de referncia para gesto da TI, incluindo um sumrio executivo, um "framework", controle de objetivos, mapas de auditoria, ferramentas para a sua implementao e principalmente, um guia com tcnicas de gerenciamento. Tem como objetivo principal, pesquisar, desenvolver, publicar e promover um conjunto atualizado de padres internacionais de boas prticas referentes ao uso corporativo de TI para os gerentes e auditores de tecnologia. A metodologia COBIT, foi criada pelo ISACA Information Systems Audit and Control Association- atravs do IT Governance Institute, organizao independente que desenvolveu a metodologia considerada a base da governana tecnolgica. O COBIT

funciona como uma entidade de padronizao e estabelece mtodos documentados para nortear a rea de tecnologia das empresas, incluindo qualidade de software, nveis de maturidade e segurana da informao. Os documentos do COBIT definem governana tecnolgica como sendo uma estrutura de relacionamento entre processos para direcionar e controlar uma empresa de modo a atingir objetivos corporativos, atravs da agregao de valor e risco controlado pelo uso da tecnologia da informao e seus processos. Especialistas em gesto e institutos independentes recomendam o uso do COBIT como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento ROI percebido, fornecendo mtricas para avaliao de performance (KPI), alm de permitir o desenvolvimento de polticas claras e boas prticas para controle de TI nas organizaes. O COBIT independe das plataformas de TI adotadas nas empresas, tal como independe do tipo de negcio e do valor e participao que a tecnologia da informao tem na cadeia produtiva da empresa. A amplitude do conceito de governana de TI fez com que vrios modelos fossem propostos para atend-los, sendo o COBIT uma das principais metodologias. Uma viso do modelo simplificado est representada na figura a seguir:

Figura 3: Modelo simplificado do COBIT Fonte: PICADA, Maada ET AL, 2006

Conforme modelo ilustrado na figura anterior, o COBIT prope uma viso onde a TI separada em quatro grandes domnios: a) Planejamento e Organizao: Foco na viso ttica e estratgica da TI, buscando alinhar as aes de tecnologia aos objetivos do negcio; b) Aquisio e Implementao: Objetiva a realizao da estratgia de TI, identificando, desenvolvendo e adquirindo solues que executem os objetivos estabelecidos no domnio de PO (Planejamento e Organizao); c) Entrega e Suporte: Cobre as atividades tradicionais de entrega dos servios de TI, garantindo desde a segurana a continuidade dos sistemas e infra-estrutura de tecnologia; d) Controle e Avaliao: Consiste na avaliao contnua dos processos de TI, tratando mtricas (qualitativas e quantitativas), com objetivo de garantir a conformidade dos processos aos padres definidos pelo COBIT. A estrutura bem definida do COBIT o permite cobrir toda a operao de TI, medindo seu desempenho por diversos parmetros, estando estes relacionados a 34 processos de controle, considerando, dentre outros fatores, os riscos de negcio. (VIEIRA, 2004). Ainda assim, os objetivos definidos pelo COBIT no iro obrigatoriamente refletir os objetivos do negcio, ainda que esse seja o propsito da metodologia. Com uma viso sistmica, o modelo tende a generalizar os objetivos de TI, sendo necessrio considerar a relao direta com a viso do negcio. Vale destacar que o COBIT um modelo utilizado internacionalmente como um instrumento (de fomento) da Governana de TI, contendo prticas e tcnicas de controle e gerenciamento, a fim de: a) Auxiliar na preparao para auditorias; b) Acompanhamento/monitoramento; c) Avaliao nos processos de TI; d) Na produo de mapas de auditoria; e) Alm de auxiliar no alcance de metas na organizao.

O propsito da sua criao apoiar os gestores e os profissionais no controle e gerenciamento dos processos de TI de forma lgica e estruturada, tendo como foco: o relacionamento entre os objetivos de negcio com os objetivos de TI. 3.3 ISO 20.000 A ISO 20000 procura, por meio de sua implementao, proporcionar um efetivo sistema de gerenciamento, incluindo polticas e estrutura para permitir a gerncia e implementao de todos os servios de TI. A certificao ISO 2000 adicionalmente, aumenta a satisfao geral dos clientes e trabalhadores, ao mesmo tempo em que refora continuamente a imagem corporativa das organizaes. Os processos existentes na Norma ISO 20000 so baseados nas melhores prticas do ITIL, so eles.

Figura 4: ISO 20000 Processos de Entrega de Servio Fonte: Governana de TI

A alta administrao da empresa deve estar envolvida com o processo de adequao segundo a Norma ISO 20000, dando subsdios para a implantao e para a melhoria dos servios. A gerncia, segundo a ISO 20000 deve, ento:

a) Estabelecer as polticas de gerenciamento do servio, seus objetivos e planejamento; b) Divulgar a importncia de se atingir os objetivos do gerenciamento e a necessidade de melhoria contnua; c) Assegurar que as necessidades dos clientes esto sendo atendidas; d) Conforme determinado e sempre buscando sua satisfao; e) Indicar um pessoal que ser responsvel pela coordenao e gerncia de todos os servios; f) Definir e providenciar recursos de planejamento, implementao, monitorao, reviso e melhorias nos servios de TI; g) Controlar os riscos do gerenciamento e servios; h) Administrar revises do gerenciamento dos servios em intervalos planejados para assegurar sua flexibilidade, adequao e eficcia. A documentao exigida por essa norma, de acordo com a ISO 20000 tem o objetivo de assegurar o efetivo planejamento, operao e controle da gerncia de servio. A existncia da seguinte documentao pressupe o atendimento s normas quanto aos aspectos: a) Polticas e planos de gerenciamento documentados; b) Documentao do acordo de nvel de servio; c) Documentao dos processos e procedimentos dessa padronizao; Como base principal de atuao, a Norma ISO 20000 utiliza o conceito de qualidade de processos conhecido como PDCA (planejar, fazer, checar e agir), amplamente difundido nos crculos de qualidade. Com isso, no planejamento, devem-se estabelecer os objetivos e processos necessrios para atender, no somente s necessidades dos clientes, como tambm s polticas da organizao.

Figura 5: Ciclo PDCA Fonte: Empresa & Dinheiro

Seguindo o conceito do PDCA, as aes devem ser executadas, os processos implementados, os resultados monitorados, e novas aes para a melhoria contnua dos processos de TI devem ser tomadas. A Norma ISO 20000 composta de duas partes, a primeira define os requisitos que devem ser atendidos para que o gerenciamento de servios de TI estejam em conformidade com a norma e so obrigatrios. A segunda parte refere-se ao cdigo de prtica que descreve o que poderia ser feito para o atendimento dos requisitos.

4. COMPARATIVO DE MODELOS: ITIL x COBIT

Figura 6: Comparativo de Modelos ITIL x COBIT Fonte: Green Treinamento e Consultoria

5. CASES DE SUCESSO NA APLICAO DE FRAMEWORKS. O ABN Amro Bank iniciou a aplicao do ITIL em 2001 datacenter e implantao de equipamentos do banco, incluindo agncias. Promoveu a centralizao do help-desk com aumento de chamados de 20.000 para 60.000 (aumentou o controle, no os chamados), teve seu tempo de atendimento reduzido em 20%, volume de reclamaes reduzido em 80% e 94% dos atendimentos completados em menos de 20 segundos.

A Dell Computer usa o COBIT como parte da sua poltica corporativa Control SelfAssesment (CSA), um conjunto de controles e verificaes que ajudam a companhia a manter sua alta qualidade. A Tivit, empresa do Grupo Votorantim, possui a certificao ISO 20.000, que atesta as melhores prticas na entrega de servios de tecnologia. A companhia a primeira empresa brasileira a conquistar a certificao para 100% das suas operaes de Terceirizao de Infra estrutura de TI.

CONCLUSO

ITIL e o COBIT so prticas que podem ser adotadas e que se completam. A utilizao conjunta uma grande aliada no alinhamento da governana em TI com o planejamento de negcios da organizao. Enquanto o ITIL utilizado na integrao, padronizao e otimizao dos processos e eficaz para padronizar, o COBIT pode ser utilizado como um norteador, indicando mtricas e definindo objetivos de controle a serem alcanados nos processos de gesto e ideal para medir e controlar os processos implementados. Acreditamos que os trs frameworks se complementam, pois possvel utilizar os pontos fortes do ITIL com os indicadores chave de desempenho do COBIT e ambos podem fazer bom uso dos processos e controles definidos na ISO 20000.

REFERNCIA BIBLIOGRFICA BRUHN, P.R.L. O Alinhamento Estratgico entre Negcios e TI: Programa de Mestrado em Administrao e Negcios PUC/RS, Porto Alegre, 2005. CAMURUGY, Patrcia. ITIL na Governana de TI. 2006. Disponvel <http://www.timaster.com.br/revista/artigos/main_artigo.asp?codigo=1113>. Acesso 10.11.11 em: em

Green Treinamento e Consultoria. Cobit x ITIL x PMI. So Paulo, 2010. Disponvel em: <http://www.green.com.br/curso_green/CursosGest%C3%A3odeTI.htm>Acesso em 10.11.11 FERNANDES, Aguinaldo A.; ABREU, Vladimir F. Implantando a Governana de TI: da Estratgia a Gesto de Processos e Servios. So Paulo: Brasport, 2009. Q. Helena. Reta Final 2: Ciclo de vida do ITIL V3. 2010. Disponvel em: http://helenhq.wordpress.com/2010/08/11/reta-final-2-mapa-mental-do-itil-v3/. 19.11.11

Acesso

em

MANSUR, Ricardo. Governana de TI: Metodologias, Frameworks e Melhores Prticas. So Paulo: Brasport, 2007. PICADA, Maada ET AL. Governana de Tecnologia da Informao baseado na Metodologia COBIT: o caso de um banco privado brasileiro. In: Encontro Nacional De Engenharia De Produco. Fortaleza, 2006. PINHEIRO, Flvio. TI Exames. 2011. Disponvel http://www.tiexames.com.br/ITIL3_esquema_certificacao.php. Acesso em: 10.11.11 PINHEIRO, Flvio. TI Exames. 2011. Disponvel <http://www.tiexames.com.br/Amostra_Apostila_ITIL_V3_Foundation.pdf. Acesso 10.11.11 em:

em: em:

ELAINE, Jeniffer. Ciclo do PDCA - Ferramenta Administrativa. Empresa & Dinheiro, 2011. Disponvel em: http://www.empresasedinheiro.com/tag/ciclo-pdca/. Acesso em: 15.11.11

DOROW, Emerson. ISO 20.000 Vale pena investir? Governaa de TI, 2011. Disponvel em: http://www.governancadeti.com/2011/02/iso-20-000-%E2%80%93-vale-a-pena-investir/. Acesso em: 15.11.11 FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a Governana de TI: da Estratgia Gesto dos Processos e Servios. Rio de Janeiro: Brasport, 2006. TURBITT, Ken. ISO 20000: O que deve uma organizao fazer? BMC Software, 2010. Disponvel em: http://documents.bmc.com/products/documents/49/68/64968/64968.pdf . Acesso em 15.11.2011 BORGES, E. Lanamento e implantao da ISO 20000. Brunise, 2006. Disponvel em: < http://www.brunise.com.br/informativo.asp?inf_ID=22>. Acesso em: 10/11/2011. PICADA, Maada ET AL. Modelo simplificado do Cobit. In: Encontro Nacional De Engenharia De Produo. Fortaleza, 2006. DOROW, Emerson. ISO 20.000 Processos de Entrega de Servio. Governaa de TI, 2011. Disponvel em: http://www.governancadeti.com/2011/02/iso-20-000-%E2%80%93-vale-apena-investir/. Acesso em: 15.11.2011 PINHEIRO, Flvio. Biblioteca ITIL. TI Exames 2011. Disponvel <http://www.tiexames.com.br/ITIL3_esquema_certificacao.php> Acesso em 10.11.11 em:

GREEN, Treinamento e Consultoria. Comparativo de Modelos: ITIL x COBIT. Disponvel em: http://www.green.com.br/curso_green/CursosGest%C3%A3odeTI.htm. Acesso em 10.11.11