Governanga de TI: comparativo entre COBIT e ITIL Abstract This paper has the purpose to present a practical guide to compare the Information Technology (IT) methodologies most used into corporate organizations worldwide. A case study is presented and analyzed through these methodologies. The aim is to identify characteristics that are the same or that are different among them, and how these methods can help to increase the control and automation level of corporate processes. Furthermore, has the objective to establish a relationship between IT and administration/strategy processes. Resumo Este artigo tem por objetivo apresentar um comparativo pritico entre as metodologias de gestio da Tecnologia da Informagao (TI) mais utilizadas atualmente pelas empresas e analisar um estudo de caso sob a ética destas metodologias. Busca identificar as semelhangas e diferengas destas metodologias ¢ como clas podem ajudar a aumentar 0 grau de controle © automacao dos processos corporativos, relacionando a TI aos processos de gestio estratégica e administrativa de uma organizagio. Palavras chave: Governanga; TI; COBIT; ITIL. 1 Introducao E principio basico de uma organizagio buscar a geréncia dos seus processos internos e também a forma de comunicago destes processos com os seus fornecedores e parceiros de negécios, que podemos chamar de processos externos a organizagao. Isso visa identificar as interfaces entre esses processos, as responsabilidades das éreas da empresa, das pessoas e 0 desempenho esperado medido por indicadores e metas. Na maioria dos casos, tendo as interfaces definidas, as responsabilidades claras entre as reas e a mensurago do desempenho, as empresas conseguem alcangar © objetivo final que ¢ a melhoria dos servigos devido aos ganhos de rapidez ¢ produtividade, As empresas costumam chamar de sistema da qualidade ao conjunto de processos controlados e, muitas delas, possuem departamentos especificos, independentes, com a responsabilidade de tratar da melhoria continua e evolugdo dos processos. Existem programas que atingem os varios niveis da organizagao, desde os processos produtivos de operagao € manutengao até os processos, administrativos da controladoria e do juridico. Além disso, para uma empresa de servigos, existem dois elos na cadeia de relacionamento que so os clientes e os fomnecedores, ndo sendo possivel a empresa dissociar seus processos da interago com seus consumidores e parceiros de negécio. Os acordos de nivel de servigo so uma maneira de gerir essa inter-relagdo.O problema que se apresenta é justamente que a melhoria e evolugao dos processos nao tém fim, pois os negécios podem ser sempre melhorados nos requisitos de organizagdo, eficiéncia e grau de automagao. Para tanto, dependendo do porte ¢ do perfil do negécio da empresa, existem, disponiveis no mercado, uma série de metodologias que norteiam ferramentas de sistemas e treinamentos de capacitagdo, e que prometem revolucionar o sistema de gestio e a relagdo entre fornecedor — empresa — cliente. Entidades idéneas podem auditar e certificar empresas quanto a eficiéncia da aplicagao de algumas destas metodologias. Como exemplos de metodologias disponiveis e largamente aceitas no mercado, podemos citar: 0 COBIT [ISACA 2000c] para gesttio da TI inovando através da Governanga Tecnolégica e o ITIL [OGC 2002a] que padroniza uma série de processos operacionais e de gestfo também ligados a TI. O objetivo é criar uma sistemética padronizada suportada por processos, possivelmente automatizados, que seja entendida e que esteja ao alcance de todos numa organizagao, que possa ser replicada e, sobretudo, permita evolugio. O conceito de Governanga Tecnolégica, do termo em inglés IT Governance, define que a TI é um fator essencial para a gestio financeira e estratégica de uma organizagio ¢ ndo apenas como suporte & empresa. Sem ela tornam-se invidveis as questoes basicas da gestdo corporativa. No nivel macro, a governanga de TI trata justamente da integragdo e uso de processos corporativos suportados pelos pacotes de gestio [ISACA 2000b], por exemplo: BI (Business Intelligence), CRM (Customer Relationship Management), ERP (Enterprise Resource Planning) e SCM (Supply Chain Management). Portanto, Governanga Tecnolégica & a metodologia (e seus processos integrados) de gestio corporativa dos recursos de TI. A proposta deste artigo & comparar as varias disciplinas das metodologias mencionadas, através do estudo de caso de uma empresa que fornece servigos de tecnologia, verificando a aplicabilidade dessas metodologias nas organizagdes: como podem melhorar o controle ¢ a evolugdo dos processos internos, quais caracteristicas podem viabilizar a automacdo destes procedimentos e, finalmente, como afetam os profissionais de tecnologia do nivel operacional. 2 OCOBIT e a Governanga de TI © COBIT [ISACA 20004] ~ Control Objectives for Information and Related Technology — tem por missio explicita pesquisar, desenvolver, publicar e promover um conjunto atualizado de padrées internacionais de boas praticas referentes ao uso corporativo da TI para os gerentes e auditores de tecnologia ‘A metodologia COBIT foi criada pelo ISACA — Information Systems Audit and Control Association ~ através do IT Governance Institute, organizagio independente que desenvolveu a metodologia considerada a base da governanga tecnolégica. O COBIT funciona como uma entidade de padronizagio e estabelece métodos documentados para nortear a drea de tecnologia das empresas, incluindo qualidade de software, niveis de maturidade e seguranga da informagao. Os documentos do COBIT definem Governanga Teenolégica como sendo “uma estrutura de relacionamentos entre processos para direcionar e controlar uma empresa de modo a atingit objetivos corporativos, através da agregaco de valor ¢ risco controlado pelo uso da tecnologia da informagio e de seus processos”.A Govemnanga Tecnolégica considera a area de TI nao apenas como um suporte & organizacao, mas um ponto fundamental para que seja mantida a gestio administrativa e estratégica da organizagdo. O objetivo central é manter processos e priticas relacionados & infra-estrutura de sistemas, redes e dispositivos utilizados pela empresa. A anilise destes processos deve orientar a organizagio na decisio de novos projetos e como utilizar tecnologia da informagio neles, considerando também a evolugo tecnolégica, sistemas ja existentes, integrago com atendimento ao cliente (externo e interno), custo da tecnologia e retorno esperado, A necessidade de integragdo de sistemas e a evolugdo tecnolégica sio fundamentadas nos processos da metodologia, criando-se métricas para auditoria e medigdo da evolugZo das atividades destes processos, 2.1 Dominios de Processos © COBIT esta organizado em quatro dominios para refletir um modelo para os processos de TI. Os dominios podem ser caracterizados pelos seus processos e pelas atividades executadas em cada fase de implantagdo da Governanga Tecnoldgica. Os dominios do COBIT sao: a Plancjamento e Organizacio: define as questdes estratégicas ligadas ao uso da TI em uma organizagdo, trata de varios processos, entre eles, a definigdo da estratégia de TI, arquitetura da informagdo, direcionamento teenolégico, investimento, riscos, geréneia de projetos e da qualidade. 2 Aquisisio e Implementasao: define as questdes de implementagdo da TI conforme as diretivas estratégicas e de projeto pré-definidos no Plano Estratégico de Informatica da empresa, também conhecido como PDI (Plano Diretor de Informatica). Possui uma série de processos como, por exemplo, identificagao de solugSes automatizadas a serem. aplicadas ou reutilizadas na corporaco, aquisigdo e manutengio de sistemas e de infra- estrutura, desenvolvimento © mapeamento de procedimentos nos sistemas, instalagdo ¢ geréncia de mudangas. a Entrega e Suporte: define as questées operacionais ligadas a0 uso da TI para atendimento aos servigos pata os clientes, manutengdo ¢ garantias ligadas a estes servigos. O momento destes dominios & apés a ativagao de um servigo e sua entrega ao cliente, que pode operar ou utilizar os servigos da empresa para operagio terceirizada. Os processos relativos a este dominio tratam da definigdo dos niveis de servigo (SLA — Service Level Agreement); geréncia de fornecedores integrados as atividades; garantias de desempenho, continuidade e seguranga de sistemas; treinamento de ustitios; alocagdo de custos de servigos; geréncia de configuragdo; geréncia de dados, problemas e incidentes, 2 Monitorago: define as questdes de auditoria e acompanhamento dos servigos de TI, sob © ponto de vista de validagao da eficiéncia dos processos ¢ evolucdo dos mesmos em termos de desempenho ¢ automagao. Os processos deste dominio tratam basicamente da supervisio das atividades dos outros processos; adequacdes realizadas na empresa para garantia de procedimentos operacionais; coleta e andlise de dados operacionais ¢ estratégicos para auditoria e para controle da organizasao. Além dos quatro dominios principais que guiam o bom uso da tecnologia da informagiio na organizagao, existe também a questdo de auditoria que permite verificar, através de relatérios de avaliagao, 0 nivel de maturidade dos processos da organizago. O método de auditoria segue 0 modelo do CMM que estabelece os seguintes niveis: a Inexistente: significa que 0 processo de gerenciamento nao foi implantado.