Comparativo de Aplicabilidade entre os Gerenciadores de Serviços ITIL e COBIT

Transcrição

1 UNIJUÍ - UNIVERSIDADE REGIONAL DO NOROESTE DO ESTADO DO RIO GRANDE DO SUL DCEEng - DEPARTAMENTO DE CIÊNCIAS EXATAS E ENGENHARIAS CURSO DE GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO RICARDO SILVA RODRIGUES Comparativo de Aplicabilidade entre os Gerenciadores de Serviços ITIL e COBIT Coordenador da disciplina: Gerson Batisti, Dr Orientador: Romário Alcântara, MSC Santa Rosa, RS Dezembro de 2015

2 RICARDO SILVA RODRIGUES Comparativo de Aplicabilidade entre os Gerenciadores de Serviços ITIL e COBIT Monografia final do curso de Ciência da Computação da Universidade do Noroeste do Estado do Rio Grande do Sul Unijui -, apresentada como requisito parcial para aprovação no componente curricular Trabalho de Conclusão de Curso do Departamento de Ciências Exatas e Engenharias DCEEng. Coordenador da disciplina: Gerson Batisti, Dr Orientador: Romário Alcântara, MSC Santa Rosa, RS Dezembro de 2015

3 Dedicatória A meus avôs Antonio Cesar da Silva e Julieta Martins da Silva e minha mãe Harlete da Silva, que tanto se esforçaram, e incentivaram para que eu tivesse a oportunidade de cursar e concluir um Ensino Superior. Deixo aqui a certeza de que o esforço valeu à pena.

4 AGRADECIMENTOS Agradeço primeiramente a Deus, pela vida e por me ajudar a superar todas as dificuldades surgidas a cada dia; Aos meus avôs, Antonio e Julieta e minha mãe, Harlete, pela paciência, amor e incentivo, que foi de fundamental importância para chegar aonde chegaram; Ao meu orientador e amigo, Romário Alcântara, pela amizade e claro, pelo acompanhamento e revisão do estudo. E por fim, a todos os docentes, pela contribuição na minha formação acadêmica; A UNIJUI por ter me possibilitado a realização deste trabalho; A todos que, direta ou indiretamente, contribuíram para a realização deste trabalho; Agradeço ao meu irmão, pelos momentos de descontração, pelas palavras de apoio e força e que esteve presente nos momentos mais complicados desta trajetória;

5 RESUMO O presente trabalho apresenta uma análise de dois padrões de processos: ITIL e COBIT, buscando compará-los (em nível de aplicabilidade) apresentando vantagens e desvantagens em suas implantações nas mais diversas empresas, mostrando também características, diferenças e similaridades. A intenção com este trabalho é fornecer uma visão geral entre dois métodos de gerenciamento de TI, embora reconheça que um método é mais adequado para uma organização, ao mesmo tempo em que para outras podem não ser apropriado ou tão adequado. Observa-se que quanto mais conhecemos sobre os métodos de gerenciamento de TI, desconhecemos o potencial da utilização e aplicação destas nas organizações em prejuízo para o negócio. Além disso, os padrões Information Technology Infrastructure Library (ITIL) e Control Objectives for Information and related Technology (COBIT) têm sido empregados nas empresas com maior incidência, já que o ITIL está voltado ao cliente e rastreamento de problemas nas áreas de Tecnologia da Informação (TI), enquanto que o COBIT se baseia no uso da TI para o controle dos negócios da empresa. Então se propõe um comparativo referente à aplicabilidade dos métodos de gerenciamento ITIL e COBIT contribuindo na escolha do método a ser utilizado pela as empresas. Palavras-chave: Governança de TI, ITIL, COBIT, Aplicabilidade

6 ABSTRACT This paper presents an analysis of two process standards: ITIL and COBIT, trying to compare them (in Applicability level), presenting advantages and disadvantages in its implementation in several companies, and also showing characteristics, differences and similarities. The intention of this study is to provide an overview of two methods of IT anagement, while recognizing that a method is best suited for an organization, while that for others it may not be appropriate or as appropriate. It is observed that the more we know about the methods of IT management, the more unaware we also are of the potential of using and applying these in organizations in damage to the business. In addition, the Information Technology Infrastructure Library (ITIL) and Control Objectives for Information and related Technology (COBIT) standards have been employed in companies with higher incidence, as the ITIL is focused on the customer and tracking problems in areas of Information Technology (TI), while COBIT is based on the use of IT for controlling the company. That being said, the proposal is of comparative study concerning the applicability of ITIL management methods and COBIT, contributing with the companies in the choice of a method. Keywords: IT Governance, ITIL, COBIT, Applicability

7 LISTA DE SIGLAS CCTA Central Computer and Telecommunications Agency COBIT - Control Objectives for Information and Related Technology ISACA - Information Systems Audit and Control Association ISO International Organization for Standarts TI - Tecnologia da Informação ITIL - Information Technology Infrastructure Library ITGI - IT Governance Institute OGC - Office of. Governmente Commerce PMBOK - Project Management Body of Knowledge

8 LISTA DE FIGURAS Figura 1: Governança Corporativa x Governança de TI Figura 2 - Aplicação COBIT Figura 3 - Gráfico Problemas Encontrados - ITILXCOBIT Figura 4 - Gráfico Problemas Comuns - ITILXCOBIT Figura 5 - Gráfico Benefícios Encontrados - ITILXCOBIT Figura 6 - Gráfico Benefícios Comuns - ITILXCOBIT LISTA DE TABELAS Tabela 1: Matriz de arranjos de governança Tabela 2 - Beneficios Operacionais e Financeiros obtidos com a aplicação da ITIL. 36 Tabela 3 - Beneficios para os funcionários obtidos pela aplicação da ITIL Tabela 4 - Analise categorial da dimensão Desafios e Problemas Tabela 5 - Problemas ITILxCOBIT Tabela 6 - Beneficios ITILxCOBIT... 45

9 SUMARIO INTRODUÇÃO ASPECTOS DA GOVERNANÇA DE TI Gerenciamento de Serviços de TI Norma ISO/IEC Gestão Estratégica de Negócios Governança de TI Princípios de liderança para Governança de TI CONCEITUALIZAÇÃO - ITIL E COBIT ITIL COBIT APLICABILIDADE DOS GERENCIADORES Metodologia Aplicabilidade com o Gerenciador de Serviço ITIL Aplicabilidade com o Gerenciador de Serviço COBIT Comparativo de Aplicabilidade entre ITIL E COBIT CONCLUSÃO REFERÊNCIAS... 53

10 9 INTRODUÇÃO É possível afirmar que nas empresas os serviços prestados pela área de TI (Tecnologia da Informação) são cada vez mais necessários na a execução das atividades diárias de negócio, garantindo assim maior competitividade no mercado, através do ganho de produtividade gerado pelas ferramentas a disposição da organização. Atualmente, os serviços de TI e os sistemas possuem um papel essencial na coleta, análise, produção e distribuição da informação indispensável à execução do negócio das organizações. Contudo, tornou-se imprescindível o reconhecimento de que a área de TI é compõe a parte estratégica das organizações e que também é um importante recurso que precisa de gestão e investimentos apropriados. Esse cenário motivou o surgimento do conceito de Governança de TI, do termo em inglês IT Governance, através da qual se procura o alinhamento da TI com os objetivos da organização. A Governança de TI define a TI como um fator essencial para a gestão financeira e estratégica de uma organização e não apenas um suporte às mesmas. (BERNARDES e MOREIRA, 2007, p. 01) Nos anos que se sucedem, esta relação entre companhia e o crescente utilização da TI veio se acentuando cada vez mais, surgindo à necessidade de ferramentas que apóiem o gerenciamento de TI. Conseqüentemente a área de negócio das companhias acaba ficando cada vez mais dependentes nos serviços oferecidos pela TI, se tornando quase que uma obrigatoriedade que seja possível gerenciá-los de forma a permitir que a parte estratégica da organização se concentre em suas atividades e podendo assim focar no objetivo buscado pela organização. Desta forma, as melhores práticas de gestão de serviços de TI, segurança, projetos, riscos e governança desempenham papel essencial no alinhamento das

11 10 estratégias de negócio da organização com o funcionamento da TI, proporcionando assim o uso eficiente e eficaz dos recursos de TI da organização. Baseado nesse contexto surgiu o COBIT que é um padrão de gerenciamento aplicável e aceito nas melhores práticas de segurança e controle de TI, incluindo elementos de medição de desempenho, uma lista de fatores críticos de sucesso e modelos de maturidade. Surgiu também a ITIL, que é uma biblioteca de melhores práticas para a operação e gerenciamento de serviço de TI, define redução de custos e aumento da qualidade de TI como um nível de alinhamento entre serviço de TI e necessidade de negócio. extrair maior valor da TI para a organização não é uma questão de se trabalhar com mais afinco ou por mais tempo. Na verdade, é uma questão de se requerer um envolvimento de pessoas de diferentes áreas nas decisões de TI, bem como, de uma concepção de novas maneiras de se tomar decisões ou de desenvolvimento de novas técnicas para implementar tais decisões. (WEILL e ROSS,2006, p. 02), Refletindo então nesse cenário, percebe-se que a crescente utilização de boas práticas para Gestão de Serviços e Governança de TI nas pequenas, médias e grandes empresas muitas vezes acaba sendo precária por falta de capacitação dos gestores e funcionários, da ausência de investimentos e do desconhecimento da importância e dos riscos inerentes a uma gestão incorreta dos recursos de TI de uma organização.

12 11 1. ASPECTOS DA GOVERNANÇA DE TI 1.1 Gerenciamento de Serviços de TI Para entendermos o que é Gerenciamento de Serviços, se faz necessário o entendimento do conceito de serviço e como o seu gerenciamento pode auxiliar aos provedores de serviços a entregarem a proposição de valor de TI ao negócio. A gestão de serviços tem origem em negócios tradicionais como linhas aéreas, bancos, hotéis, companhias telefônicas e energéticas (OGC, 2007, p.5). Segundo OGC (2007, p.5) Um serviço é um meio de proporcionar valor aos clientes, possibilitando-lhes alcançar resultados desejados evitando custos e riscos específicos. Como o conceito de serviço pode ser utilizado nos mais diversos contextos, aqui todo o serviço que gerar um benefício ele agrega valor, e este conceito deve estar na essência da definição de serviços por uma organização. De forma simplificada, o gerenciamento de serviços de TI (ou gestão de serviços de Informática) tem por objetivo prover um serviço de TI com qualidade e alinhado às necessidades do negócio, buscando redução de custos a longo prazo. De acordo com OGC (2007, p.5), o GSTI está empenhado a entregar e suportar serviços de TI apropriados para as necessidades do negócio de uma organização. 1.2 Norma ISO/IEC Atualmente existe a norma ISO/IEC A norma ISO/IEC criada pela Organização Internacional de Normalização (ISO International Organization for Standarts) é a primeira norma Internacional para adoção dos padrões de Gerenciamento de Serviços de TI e foi criada para refletir as melhores práticas

13 12 contidas nas bibliotecas ITIL, substituindo a antiga norma britânica BS que tinha a mesma finalidade. Com isso visa certificar a aderência e qualidade de uma organização na Gestão de Serviços de TI. Os gerenciadores ITIL e COBIT já seguem o padrão desta norma onde ela fornece um critério de medição e validação do sucesso de uma organização na aplicação do framework. Certificando nesta norma permitirá que uma organização demonstre aos seus clientes e investidores que está aderente às melhores práticas, operando seu negócio com integridade e segurança e que promove o melhoramento contínuo de seus serviços, passando assim confiabilidade a seus clientes e investidores que estão na direção correta. 1.3 Gestão Estratégica de Negócios Atualmente é muito comum se falar de gestão dentro das empresas, sendo um assunto que grande parte das pessoas tem uma opinião, sem inseguranças de estar falando algo inadequado. Uma boa gestão operacional é necessária sempre, mas nunca suficiente. Gestão Estratégica é uma forma de acrescentar novos elementos de reflexão e ação sistemática e continuada, a fim de avaliar a situação, elaborar projetos de mudanças estratégicas para acompanhar e gerenciar os passos de implementação. Como o próprio nome diz, é uma forma de gerir toda uma organização, com foco em ações estratégicas em todas as áreas. (CAMPOS, 2011, P.1) Contudo, a evolução das organizações em termos de estrutura e tecnologicamente, tendo as mudanças e o conhecimento como novos paradigmas, tem exigido uma nova postura nos estilos pessoais e gerenciais voltados para uma realidade diferenciada como a que estamos passando atualmente. A necessidade de que as organizações sejam inteligentes, diante das mudanças constantes da sociedade da informação, faz com que elas também se modifiquem e requeiram planejamento de suas informações auxiliadas pelos recursos da Tecnologia da Informação (PARSONS, 1983 apud REZENDE, 2002b)

14 13 Além disso, um grande desafio dos tempos atuais é a capacidade e a competência diária que as empresas precisam enfrentar para se adaptarem e levarem a todos os seus níveis da organização seja eles hierárquicos e/ou funcionais, da alta gerência ao chão de fábrica, a incorporação de novos modelos, métodos, técnicas, instrumentos, atitudes e comportamentos necessários a mudanças, inovações e à sobrevivência sadia e competitiva no mercado. As empresas e outros tipos de organizações surgem e desaparecem em função de sua capacidade de administrar dinamicamente seus recursos internos e suas relações com o ambiente (MAXIMIANO, 2000, p43). Essa realidade ampliou-se devido inovações tecnológicas, surgimento de novos modelos de gestão e mudanças significativas no perfil dos clientes e nas suas relações com as empresas, fornecedoras de produtos e serviços. Nesse cenário, a diferença entre sucesso e fracasso, entre lucro e falência, entre o bom e o mau desempenho está no melhor uso dos recursos disponíveis para atingir os objetivos focados. O uso do modelo de gestão estratégica propõe a empresa a realizar diagnóstico situacional, destacando oportunidades e ameaças, bem como forças e fraquezas, a fim de descobrir suas inter-relações. Em síntese, o modelo de gestão estratégica atua no sentido de levar a empresa a se adequar à realidade de mercado, descobrir oportunidades e projetar um futuro. Sendo assim, os processos e os investimentos serão realizados de maneira mais organizada, racional e profissional, contribuindo para redução do grau de incerteza e para o alcance de melhores resultados. Em conjunto, a gestão estratégica de TI entra para agregar valor e ajudar a organização a ter um diferencial ainda positivo. Atualmente tem que se olhar para o futuro, definir objetivos, estratégias e as respectivas políticas, para a busca do sucesso esperado. A fim de buscar uma definição universalmente a gestão estratégica é um processo global que visa à eficácia, integrando o planejamento estratégico e outros sistemas de gestão, é um processo contínuo de decisão que determina o desempenho da organização, levando em conta as oportunidades e ameaças com

15 14 que esta se confronta no seu próprio ambiente, mas também as forças e fraquezas da própria organização. Onde se tornou uma parte essencialmente importante e integrada a qualquer estrutura gerencial de sucesso, fazendo parte de todas as áreas dentro das empresas incluindo a TI. Torquato e Silva (2000), ao refletirem sobre a ligação entre tecnologia e estratégia, afirmam que, na criação e renovação de vantagens competitivas, fatores necessários à sobrevivência das empresas, a tecnologia surge como um elemento-chave na busca de peculiaridades que as distingam favoravelmente de seus concorrentes. Para Neves (2006) as empresas estão convencidas da importância da informação para o processo de gestão e tomada de decisão, no entanto, parece não se dar conta de que o maior valor da informação está no seu uso e não na sua geração. É muito mais importante selecionar e organizar a informação tornando-a útil e, principalmente, capacitar-se a utilizar e transformar a informação de maneira a agregar valor ao negócio da empresa. A tecnologia da informação pode ser considerada como recursos tecnológicos e computacionais para a guarda, geração e uso da informação e do conhecimento. (REZENDE, 2003). Neves e Santos (2008) complementam que a TI, como um conjunto tecnológico constituído de hardware, software, redes de comunicação eletrônica de dados, redes digitais de telecomunicações, protocolos de transmissão de dados e outros serviços têm se destacado como ferramenta indispensável para aumentar o desempenho das empresas no desenvolvimento tanto de seus processos produtivos quanto na gestão empresarial. A TI contribui de diversas formas para a gestão estratégica. o principal benefício que a tecnologia da informação traz para as organizações é a sua capacidade de melhorar a qualidade e a disponibilidade de informações e conhecimentos importantes para a empresa, seus clientes e fornecedores (BEAL, 2004, P23). A tecnologia da informação cria aplicações inovadoras que proporcionam vantagens estratégicas diretas para as empresas. (TURBAN, MCLEAN e WETHERBE, 2004, p.26).

16 15 A TI fornece inteligência competitiva (nos negócios) mediante a coleta e analise de informações sobre produtos, mercados, concorrentes e mudanças ambientais. (TURBAN, MCLEAN e WETHERBE, 2004, p.27). necessária. Para planejar ações futuras e tomar decisões a TI é extremamente As tecnologias de informação, por serem responsáveis pela captação, armazenamento, tratamento e disseminação da informação, têm sido utilizadas intensamente em empreendimentos onde o recurso informação/conhecimento é de grande relevância, como no caso das organizações ou de suas áreas funcionais (NEVES e SANTOS, 2005, p.33). Portanto, o planejamento da tecnologia da informação deve possuir uma metodologia que seja parte de um Plano Estratégico de negócios, minimizando assim os riscos de implementação e utilização dos recursos. 1.4 Governança de TI O conceito de governança tecnológica vem do termo em inglês IT Governance, que define a TI como um fator essencial para a gestão estratégica de uma organização e não sendo apenas considerada como um suporte à empresa. Em sua essência, a governança de TI é um conjunto de regras que servirão como um instrumento de apoio a tomada de decisões do negócio. Segundo Weill e Ross (2006), Governança de Tecnologia da Informação é a especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na utilização da tecnologia da informação. a governança de TI busca o compartilhamento das decisões de TI com outros dirigentes da organização, além de instituir as regras, a organização e os processos necessários para dirigir o uso da tecnologia da informação (FERNANDES E ABREU, 2006, p.47). Os principais focos da governança trazem uma nova cultura para as empresas: a da medição e controle considerando assim aspectos não financeiros, mas que controla fatores que apontem para o futuro, através de indicadores, isso pode apresentar a empresa uma melhor definição qualitativa quanto ao desempenho

17 16 da TI no resultado da empresa. O princípio de medição vem ao encontro do monitoramento das atividades para garantir que os processos sejam qualificados e conhecidos em detalhes. Quando ocorre o total conhecimento da cadeia de processos, eles podem ser controlados e alinhados de acordo com os objetivos do negócio. Somente a partir desse controle é que pode ocorrer um gerenciamento eficaz. Dois pontos relevantes para a Governança de TI são: agregar valor dos serviços de TI para o negócio e a suavização dos riscos de TI. O primeiro diz respeito às vantagens e o valor agregado quando há o alinhamento estratégico da TI com o negócio e o segundo mostra que os riscos e as responsabilidades não são somente de um setor da empresa, mas todos têm uma parte desta responsabilidade. Em se tratando de melhores práticas de TI a Governança busca tornar transparentes, organizadas e legítimas as práticas de direção e monitoramento do desempenho das empresas, estas melhores práticas de TI podem ser implementadas em diferentes níveis de uma empresa, com o objetivo de controlar, gerenciar e utilizar a TI, conseguindo assim agregar valores a organização, e permitindo ainda que as decisões sejam tomadas de maneira consistente em alinhamento com a estratégia de negócios. Para sua implantação nas empresas, é necessário adotar e utilizar estas melhores práticas de acordo com os objetivos de negócio e com a infra-estrutura da empresa. Dessa maneira, pressupõe a avaliação do impacto da TI no desempenho do negócio e levando em consideração a realidade da empresa, para só depois a governança de TI realizar a utilização das melhores práticas. Estas melhores práticas, então, trabalham como suporte a governança de TI e tem como objetivo, quando implantadas, criar um sistema padrão, automatizado, que seja entendida e que permita a evolução. Duas melhores práticas disponíveis e largamente aceitas no mercado são ITIL e COBIT. A Governança de TI é parte integrante da Governança Corporativa. A necessidade em avaliar a TI, gerenciar seus riscos e ter maior controle, são fatores de grande importância e participação na governança corporativa. Weill e Ross

18 17 (2006, p.8) afirmam que para governar a TI, é necessário primeiramente aprender muito com uma boa governança financeira e corporativa. Figura 1: Governança Corporativa x Governança de TI FONTE: Elaborado pelo autor Fernandes e Abreu (2008, p. 14) concluem que a Governança de TI busca o Compartilhamento de decisões de TI com os demais dirigentes da organização, assim como também estabelece as regras, a organização e os processos que nortearão o uso da tecnologia. Weil e Ross (2006) criaram uma relação entre as cinco decisões mais comuns de TI relacionadas a arquétipos para identificar o tipo de pessoa envolvida para tomar uma decisão de TI. Eles utilizaram arquétipos políticos provocativos, pois, a maioria dos administradores se identifica com estes estereótipos. Em seus estudos Weil e Ross (2006) definem que uma das principais incógnitas da Governança de TI é estabelecer quem toma qual decisão. Porém, com base nas definições de cada modelo, pode-se pré-estabelecer os níveis de responsabilidade decisória de alguns arquétipos, conforme o quadro abaixo:

19 18 Tabela 1: Matriz de arranjos de governança FONTE: Adaptado de Weil e Ross (2006, p.12) Segundo COBIT 4.1 (2010), os pilares em que as boas práticas COBIT sustentam a Governança de TI são: Alinhamento Estratégico Entrega de valor Gestão de Recursos Gestão de Risco Mensuração de Desempenho Alinhamento Estratégico: Para Fernandes e Abreu (2008), o alinhamento estratégico garante a ligação entre o plano de negócio e o plano de TI. Alinhamento estratégico foca em garantir a ligação entre os planos de negócios e TI, definindo, mantendo e validando a proposta de valor de TI, alinhando as operações de TI com as operações da organização (COBIT 4.1, 2010, p.08). Entrega de Valor:

20 19 A execução da proposta de valor de TI através do ciclo de entrega, garantindo que TI entrega os prometidos benefícios previstos na estratégia da organização, concentrando em otimizar custos e provendo o valor intrínseco de TI (COBIT 4.1, 2010, p.08). Gestão de Recursos: Otimização dos investimentos e da gestão adequada dos recursos críticos de TI (aplicações, informações, infra-estrutura e pessoas), essenciais para fornecer os subsídios de que a empresa necessita para cumprir os objetivos (FERNANDES e ABREU, 2008, p.176). COBIT 4.1 (2010, p.08) define gestão de recursos como: Refere-se à melhor utilização possível dos investimentos e o apropriado gerenciamento dos recursos críticos de TI: aplicativos, informações, infraestrutura e pessoas. Questões relevantes referem-se à otimização do conhecimento e infraestrutura. Gestão de Risco: [...] requer a preocupação com riscos pelos funcionários mais experientes da corporação, um entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade, transparência sobre os riscos significantes para a organização e inserção do gerenciamento de riscos nas atividades da companhia (COBIT 4.1,2010, p.08). Mensuração de Desempenho: [...] acompanha e monitora a implementação da estratégia, término do projeto, uso dos recursos, processo de desempenho e entrega dos serviços, usando, por exemplo, balanced scorecards que traduzem a estratégia em ações para atingir os objetivos, medidos através de processos contábeis convencionais (COBIT 4.1,2010, p.08).

21 Princípios de liderança para Governança de TI Para Weill e Ross (2006) com bases nos seus estudos, definem os dez princípios mais importantes de liderança para governança de TI: Formule ativamente a governança: exige que os executivos seniores assumam a liderança e dediquem recursos, atenção e suporte a processos. Saiba quando reformular: repensar a estrutura da governança requer que indivíduos aprendam novos papéis e relacionamentos. Aprender leva tempo. Por isso, a reformulação da governança deve ser infreqüente. O líder tem que analisar e prover com transparência qualquer tipo de mudança no ambiente, para que o mesmo não se cause caos e sempre siga no caminho dos objetivos da empresa. Envolva os administradores seniores: Cios devem ser efetivamente envolvidos na governança de TI para haver sucesso. O envolvimento de todos da gerência visa agregar valor à governança TI, envolvendo-se basicamente em decisões estratégicas. Outro ponto importante é saber como contribuir, por isso é sempre importante saber as responsabilidades de cada envolvido. Faça escolhas: a boa governança, como boa estratégia, requer escolhas. Não é possível que a Governança de TI atenda a todas as metas, mas a governança pode e deve revelar metas conflitantes para debate. Administrar estes conflitos é importante na organização para que se chegue a um único objetivo. A administração de conflitos se torna uma ferramenta primordial para chegar a uma solução. Esclareça o processo de tratamento de exceções: é pelas exceções que as empresas aprendem. Definir um processo para tratamento de exceções visa estabelecer regras e devem ser analisadas com critérios, pois podem acrescentar valor ao negócio e impactar diretamente TI. Ofereça os incentivos certos: sistema de incentivo e recompensa nas empresas está bem tratado e compreendido. A governança de TI deve ter políticas bem definidas na questão de incentivo, além disso, deve estar bem alinhada com a própria governança.

22 21 Atribua a propriedade e a responsabilidade pela Governança de TI: como toda iniciativa organizacional, a Governança de TI deve ter um dono e envolver 29 Responsabilidades. Este pronto focal deve estar em constante diálogo com os setores envolvidos da empresa. Formule a governança em múltiplos níveis organizacionais: em empresas de grande porte múltiplas unidade de negócio é necessário considerar a Governança de TI em vários níveis. Dividir em níveis organizacionais em empresas de grande porte pode ser um facilitador para que a governança chegue ao seu objetivo. Nesta divisão, é importante que os níveis superiores devam prover condições de trabalho para níveis inferiores. Proporcione transparência e educação: quanto maior for à transparência dos processos de governança, maior será a confiança na governança. Transparência em processos significa um maior entendimento do mesmo e conseqüentemente, um maior número de seguidores deste processo. Programe mecanismos comuns entre os seus ativos principais: empresas que usam os mesmos mecanismos para governar mais de um dos seis ativos principais têm melhor governança. Por exemplo, comitês executivos que tratam de todas as questões da empresa, inclusive a TI, criam sinergias considerando múltiplos ativos.

23 22 2. CONCEITUALIZAÇÃO - ITIL E COBIT 2.1 ITIL A ITIL (Information Technology Infrastructure Library Biblioteca de Infra- Estrutura de Tecnologia da Informação) é um modelo de referência para o gerenciamento de serviços de TI, composto por uma biblioteca que ilustram o que seriam as melhores práticas dentro da TI. Desenvolvido em 1989, através da demanda do Governo Britânico para a Agência Central da Computação e Telecomunicação (CCTA Central Computer and Telecommunications Agency Central de Computadores e Agência de Telecomunicações), com o objetivo de garantir que as organizações do setor público inglês tivessem o máximo de eficiência com menor custo possível. A CCTA determinou e documentou diversas práticas importantes para a TI, como tarefas, procedimentos e responsabilidades, isto tudo com o intuito de aperfeiçoar o funcionamento de um departamento de TI de uma organização. Em meados da década de 1990 a ITIL foi reconhecida mundialmente como um padrão de fato para gerenciamento de serviços. Este sucesso crescente é devido à flexibilidade, onde a ITIL deve ser implementada como parte de uma metodologia de negócios que envolvem os processos de gerenciamento de serviços. A implantação pode ser um processo complexo e demorado. Em 2001, a CCTA fundiu-se ao OGC (Office of. Governmente Commerce - (Departamento do Comércio Britânico) transferindo também a custódia da ITIL para a organização, que se tornou responsável pela divulgação e evolução da ITIL. A partir deste ano, o modelo ganhou popularidade e reconhecimento por diversas organizações como um guia para gerência efetiva de serviços de TI. Embora a ITIL tenha sido desenvolvida para ser aplicada em órgãos do governo, ela passou a ser desenvolvida em qualquer tipo de organização e sua utilização espalhou-se pelo mundo. A ITIL hoje é consagrada como um referencial mais aceito no mundo para a gestão de infra-estrutura de TI. Onde seu principal

24 23 objetivo é fornecer um modelo para o gerenciamento de serviços de TI promovendo o alinhamento estratégico entre as áreas de negócio e as áreas de TI da organização, criando o entendimento e a comunicação entre ambas. A ITIL surgiu como reconhecimento do fato de que as organizações estão se tornando cada vez mais dependentes da TI para atingir seus objetivos corporativos. Essa crescente dependência resultou numa necessidade cada vez maior de serviços de TI com uma qualidade que corresponda aos objetivos do negócio e que atendam às exigências e expectativas do cliente (VAN BON, 2006, p.47). A ITIL possui três versões: - versão 1.0 composta por quarenta livros, devido a este fato o termo biblioteca foi adotada para nomear este modelo, lançada em versão 2.0, lançada em 2000, foi reformulada reunindo sete volumes compondo-se por sete melhores práticas: a. Entrega de Serviço; b. Gerenciamento da Infra-Estrutura de TI e de comunicação; c. Gerenciamento da Segurança; d. Gerenciamento de Aplicações; e. Gerenciamento dos Ativos de Software; f. Perspectiva do Negócio; g. Planejamento e Implementação e Suporte ao Serviço. - versão 3.0 ainda mais enxuta foi lançada em 2007, a qual apresenta o conceito de gerenciamento de ciclo de vida do serviço, que reúne cinco livros: a. Estratégia de Serviço; b. Desenho de Serviço; c. Transição de Serviço d. Operação de Serviço

25 24 e. Melhoria Contínua nos Serviço. Esta nova versão aborda o serviço desde a identificação da sua necessidade, a estratégia, o seu desenho, a sua implementação, a operação e também a sua extinção. ITIL é uma estrutura, um conjunto de diretrizes de práticas recomendadas que vise ajustar pessoas, processos e tecnologia para aumentar a eficiência do gerenciamento de serviços. Não é uma doutrina ou um padrão rígido, na medida em que algumas vezes pode ser interpretada. Embora forneça orientação para um conjunto comum de práticas recomendadas, cada implementação de ITIL é diferente e pode mudar de acordo com as necessidades da organização. (OGC, 2014,p.72). Segundo a OGC (2007), as normas ITIL descrevem o uso sistemático de processos para a gestão de serviços de TI. Com isso, as melhores práticas proporcionam: Uma gestão mais eficiente da infra-estrutura e dos serviços prestados; maior controle nos processos e menores riscos envolvidos; eliminação de tarefas redundantes; definição clara e transparente e funções e responsabilidades; maior qualidade no serviço prestado; Flexibilidade na gestão da mudança; possibilidade de medir a qualidade; aumento da satisfação do cliente ou usuário; respostas e processos mais ágeis; a comunicação se torna mais rápida e dirigida; a organização de TI se torna mais clara e sistemática; os processos são otimizados, consistentes e interligados (OGC, 2014,p.77). A ITIL não representa somente uma série de livros úteis apresentando as melhores práticas em gerência de recursos de TI, mas oferece um framework. Sendo assim, considerar a ITIL como metodologia é um equívoco comum que acontece em vários lugares quando se trata em melhores práticas. Lembrando então, que a ITIL é um conjunto de melhores práticas, podendo ser aplicado de diversas maneiras conforme a necessidade de cada empresa/negócio. Uma metodologia, por outro lado, impõe regras e padrões que devem ser seguidos e executados exatamente conforme o previsto. Ao fazer referência a ITIL, o termo biblioteca de melhores práticas, biblioteca ou framework, considera-se mais apropriado. Onde seu principal objetivo é prover um conjunto de práticas de gerenciamento de serviços de TI testadas e comprovadas no mercado, beneficiando assim com a implantação de métodos testados e poupando a perda de tempo e recursos.

26 25 De acordo com a OGC (2007), o gerenciamento de serviços de TI é como a implantação e gerenciamento da qualidade dos serviços de TI de forma a atender as necessidades de negócio. O gerenciamento da integração entre pessoas, processos e tecnologias, componentes de um serviço de TI, cujo objetivo é viabilizar a entrega e suporte de serviços de TI focados nas necessidades dos clientes e de modo alinhado à estratégia de negócio da organização, alcançando objetivos de custo e desempenho pelo estabelecimento de acordo com o nível de serviço entre a área de TI e as demais áreas de negócio da organização (MAGALHAES e PINHEIRO, 2007, P.43). Segundo Brandão (2007), para definir melhor o que é ITIL, é interessante começar dizendo o que ele não é. Conforme citado anteriormente, vimos que ITIL não é metodologia, e sim uma estrutura flexível que pode ser adaptada às necessidades de cada companhia. A ITIL também não é um manual de instruções. Por exemplo, os livros nos indicam em que momento se deve começar a escalonar um Incidente dentro da TI. De qual forma fazer isso, fica a cargo de cada organização. A ITIL não fornece fórmulas detalhadas para aplicar os processos de TI, mas fornece os fundamentos e informações necessários para criá-los e melhorálos. Este framework defende que os serviços de TI devem estar alinhados com as necessidades do negócio e sustentar os seus principais processos, além disso, as melhores práticas contidas em sua biblioteca fornecem orientação para que as empresas utilizem a TI como uma ferramenta para facilitar mudanças, transformações e crescimento do negócio, permitindo que os serviços sejam devidamente prestados e garantindo continuamente que eles estejam sempre alinhados às necessidades do negócio. Para Malcolm Fry (2004), existem dez motivos que definem o sucesso ou não da implementação do ITIL. Os mesmos são: O primeiro motivo é caracterizado pelo descomprometimento da gestão para com os objetivos do ITIL. Com uma boa orientação por parte dos gestores, os benefícios da utilização desse modelo de referência sobressairão. O segundo motivo, diz respeito à usabilidade de diagramas que abranjam detalhadamente toda a estrutura organizacional da empresa. Para Fry (2004), não à

27 26 necessidade de possuir mapas detalhados de todos os processos envolventes na organização. Se gasta tempo e recurso desnecessário. Podendo haver uma rentabilidade maior tanto a curto como em longo prazo, caso aplicar os recursos de uma melhor forma. O terceiro motivo caracteriza a implementação da ITIL como dificuldade a ausência de instruções de trabalho que são as regras de crescimento, definições de prioridades, categorias de mudanças... Esse conjunto de diretrizes é essencial e deve ser revista sempre que possível. O quarto motivo defendido pelo autor, diz respeito à ausência de atribuição para os funcionários da organização. Esse ponto atrasa o aperfeiçoamento diário da ITIL, o que seria diferente, se atribuído uma tarefa a cada colaborador para monitorar e gerir constantemente a biblioteca ITIL e os processos da organização. O quinto motivo é caracterizado pela centralização do foco no desempenho propriamente dito. Várias atividades da área de TI esquecem de que se deve haver um meio termo entre a qualidade, os processos e o desempenho. O ideal, é dedicar maior carga horária para aperfeiçoar a qualidade do processo de implementação da ITIL. O sexto motivo é a ansiedade por parte da equipe de TI em querer implementar todos os processos de gestão em uma só vez. Para as organizações, isso representa um desgaste exagerado alinhado à confusão e ao cansaço do grupo de trabalho podendo comprometer, a implementação eficiente e eficaz desse guia. O sétimo motivo é a dificuldade de implementar todos os processo do ITIL, e manter ao mesmo tempo um equilíbrio no desempenho. Lembrando que um processo de implementação leva anos até tornar-se maduro, e nem sempre existe a necessidade de se aplicar todas as bibliotecas da ITIL. O oitavo motivo, diz respeito à separação departamental. Isto pode causar vários conflitos internos. Uma solução sugerida pelo autor é a possibilidade de se trabalhar em grupos, pois parte-se do pressuposto, que trabalhar em equipe auxilia na minimização dos conflitos internos.

28 27 O nono problema é o fato de não se utilizar de outras modelos de referência para solucionar os processos da organização. Para Fry isto é um erro. Por mais que a ITIL seja um ótimo framework não se pode deixar de considerar outros modelos de referência como, por exemplo, o COBIT ou Project Management Body of Knowledge (PMBOK). Isto porque, o ITIL trabalha com o conceito de compatibilidade entre ferramentas permitindo maior flexibilização na escolha. O décimo motivo é ausência de uma revisão periódica na estrutura da ITIL. Quando suas técnicas estão sendo aplicadas na organização, essa revisão permite visualizar de forma eficaz onde estão os erros, os acertos, os ganhos de produtividade após a implementação do ITIL e outros. 2.2 COBIT O Control Objectives for Information and Related Technology (COBIT) é aceito pelas empresas que atuam na área de TI como uma boa prática em segurança e controle da TI para empresas de vários segmentos. Esta melhor prática de TI foi criada pelo Information Systems Audit and Control Association (ISACA) e atualmente é editado pelo IT Governance Institute (ITGI), encontrando-se em sua terceira versão. O COBIT é um modelo e uma ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de controle, questões técnicas e riscos de negócios, comunicando esse nível de controle às partes interessadas. O COBIT habilita o desenvolvimento de políticas claras e boas práticas para controles de TI em toda a empresa (COBIT, 2010, p.22). Em poucas palavras, o COBIT pode ser definido em função do princípio básico do seu framework: Recursos de TI são gerenciados por Processos de TI, para atingir metas de TI, que por sua vez estão estreitamente ligadas aos Requisitos do Negócio (FERNANDES e ABREU, 2006). O framework foi criado em 1994 pela ISACF (Information Systems Audit and Control Foundation) a partir do seu conjunto inicial de objetivos de controle e vem evoluindo através da incorporação de padrões internacionais técnicos, profissionais, regulatórios e específicos para processos de TI. Em 1998, foi publicada a sua segunda edição, contendo uma revisão nos

29 28 objetivos de controle de alto nível e detalhados, e mais um conjunto de ferramentas e padrões para implementação. A terceira edição foi publicada em 2000 com o objetivo de promover um melhor entendimento e a adoção dos princípios de Governança de TI. O modelo evoluiu em 2005 para a versão 4.0 através de práticas e padrões mais maduros (COSO, ITIL e ISO/IEC 17799). Em 2007 houve uma atualização incremental (versão 4.1) cujo foco foi orientado a uma maior eficácia dos objetivos de controle e dos processos de verificação e divulgação de resultados (FERNANDES e ABREU, 2006, p.21). O modelo já tem quase duas décadas e ao longo desse tempo, foi revisado pelos órgãos criadores e está em constante evolução para se aderir às melhores práticas que vem surgindo no mercado mundial. Portanto normas internacionais são a base do estabelecendo métodos documentados e estrutura de referência para gerenciamento e auditoria da área de TI, o que possibilita a implementação efetiva e eficaz da governança de TI nas organizações que o adotam. Esta melhor prática de TI oferece um conjunto de diretrizes acerca de como gerenciar as mudanças no projeto que acontecem em função de ocorrência de riscos, surgimento de restrições etc. (FERNANDES e ABREU, 2006, p.25). Este framework contém uma estrutura composta por métodos que respondem às necessidades de gerenciamento, controle e medida da TI utilizados no processo de negócio da empresa, mediante a utilização de 34 objetivos de controle de alto nível. Os métodos incluem: Elementos de medida de desempenho; Fatores críticos de sucesso; Modelo de maturidade. O COBIT é focado no que é necessário para atingir um adequado controle e gerenciamento de TI (COBIT, 2010,p.33). domínios: Podendo então dizer que o COBIT está organizado em quatro grandes a. Planejamento e Organização

30 29 b. Aquisição e Implementação c. Entrega e Suporte d. Monitoração Sendo objetivos de controle e atividades que são executadas na governança tecnológica alinhada ao processo de negócio da empresa compõem estes domínios. Momento onde o COBIT define governança tecnológica como uma estrutura de relacionamentos entre processos para direcionar e controlar uma empresa de modo a atingir os objetivos corporativos, agregando valor e risco controlado pelo uso da TI e de seus processos. Para cada objetivo de controle de alto nível são definidos vários objetivos de controle detalhados, totalizando 318 objetivos a ser controlado, o que reforça a que o gerenciamento da TI nas organizações está se tornando cada vez mais complexo. Para as empresas que não utilizam todos os objetivos de controle ou estão em níveis de maturidade iniciais ou intermediários, o COBIT tem uma alternativa que prevê a utilização de parte dos processos. Políticas e procedimentos são os controle que devem ser seguidos para se assegurar de que os objetivos de negócio serão alcançados e que eventos indesejáveis serão prevenidos, detectados e corrigidos. O benefício da tecnologia aplicada aos negócios, com este framework não nos deixa dúvidas. Entretanto, para se ter sucesso, as empresas devem compreender e controlar os riscos associados no uso das novas tecnologias. O COBIT é uma ferramenta eficiente para auxiliar o gerenciamento e controle das iniciativas de TI nas empresas. A estrutura de processos do COBIT e o seu enfoque de alto nível orientado aos negócios fornece uma visão geral de TI e das decisões a serem tomadas sobre o assunto (COBIT, 2010, p.36).

31 30 Figura 2 - Aplicação COBIT Fonte: Fund. Bradesco (2013, p.15) Usuário: Para se certificarem da segurança e dos controles dos serviços de TI fornecidos internamente ou por terceiros; Administração: Para auxiliar na ponderação entre risco, investimento e controle de ambientes muitas vezes imprevisíveis como o de TI; Auditores de Sistemas: Para subsidiar suas opiniões e/ou prover aconselhamento aos administradores sobre os controles internos;

32 31 3 APLICABILIDADE DOS GERENCIADORES 3.1 Metodologia Esta pesquisa fundamentou-se num estudo exploratório que utilizou à pesquisa documental, livros, a internet, sites e portais nos quais estão destacadas informações referentes os métodos ITIL e COBIT. Partindo do pressuposto que uma pesquisa exploratória é explorar um problema ou uma situação para prover critérios e compreensão do problema enfrentado pelo pesquisador com a descoberta de idéias e dados (MALHOTRA, 2001, p. 106). Levou- se em conta também que a interpretação dinâmica e totalizante da realidade pode ser estabelecida quando enxergarmos o nosso objeto de pesquisa em sua realidade e por suas influências sociais, políticas, econômicas e culturais, privilegiando o desenvolvimento da ciência através do método qualitativo e, neste caso, baseado numa epistemologia crítica (GIL, 2010, p. 17). A metodologia adotada nesse estudo foi à leitura de livros, artigos e trabalhos especializados na área de governança de TI, afim de, construir uma base de dados confiáveis. Para poder mostrar conceitos, definições, estudos, comparativos e mostrar as melhores práticas para sua organização focando em aplicabilidade. 3.2 Aplicabilidade com o Gerenciador de Serviço ITIL Atualmente com a evolução das empresas, uma duvida que vem surgindo é o motivo pelo qual as organizações não fazem uso da Governança de TI, apesar de vários indícios apresentarem resultados superiores aos concorrentes ou organizações do mesmo ramo, em que a instituição de bons modelos de governança

33 32 de TI apresenta resultados superiores e satisfatórios, pois tomam decisões de forma consciente (LUNARDI et al., 2007, p. 2). Conforme o autor Leetza Pegg & Matthew Kayes (2005), destaca cinco problemas, que são percebidos nas práticas da ITIL. Esses problemas impactam na não usabilidade adequada das técnicas do ITIL. O primeiro problema, diz respeito às diferentes prioridades existentes nos setores da organização, revelando os diferentes pontos de vista percebidos na empresa. É comum nas empresas cada área dar mais ênfase nos seus interesses e objetivos do que da área ao lado, pensando nessa forma, dificulta a união por um objetivo único. O segundo problema, diz respeito às prioridades do negócio. Nem todas as instituições, tem uma equipe de TI consciente para implementar adequadamente o ITIL. Ocasionando que o as melhores práticas acabam por ficar em segundo plano e dando espaço para as prioridades do negócio, causando assim uma quebra de união da organização. O terceiro problema é à importância de se possuir tecnologia adequada para a execução das tarefas que envolvem a organização diariamente. O quarto problema é referente ao desconhecimento do estado da organização pelos gestores. Muito importante é o conhecimento da situação que se encontra o negócio, quais as necessidades da TI, qual impacto de aplicar ou não uma mudança nos processos em curso, benefícios e desvantagens. Somente com base nessas informações, será possível perceber a complexidade do aperfeiçoamento do Continual Service Improvment (serviço de melhoria continua). O quinto problema é a dificuldade de promover uma mudança organizacional (mudança na estrutura da empresa) consistente. Isso, porque existem algumas variáveis que influenciam na alteração como, a cultura, a estrutura e o tamanho da organização. Worthen (2005) diz que há uma relação entre uma lista de tarefas que as empresas devem seguir para melhorar os processos cotidianos e as técnicas da ITIL. Mas, diretamente a ITIL não detalha como aplicar essas técnicas. Desta forma,

34 33 as organizações devem desenhar as suas necessidades utilizando-se do serviço de desenho. Este autor traz mais algumas questões: - a criação de novos processos pode levar meses para se desenhar, assim, como as mudanças, podem levar anos. - ressalta a resistência da equipe na mudança de cultura e alguns hábitos, em virtude da aplicação dos novos processos que passam a integrar as organizações. Ocasionando dificuldades para as mesmas se adaptarem. - conscientizar a todos que estão ligados diretamente a organização para que haja um alinhamento entre os colaboradores e a TI, a mesma sofre o risco de não terminar com sucesso a implementação do ITIL. - todos colaboradores devem ter o foco alinhado com os demais setores da empresa a implementação do ITIL, caso contrario, o risco de fracasso tem uma tendência de crescimento. Steinberg (2008) enfatiza que as organizações para implementar a mudança organizacional devem gastar um tempo mais prolongando para realizar a mudança organizacional. Dentre os princípios da mudança organizacional destacam-se: - Informar os funcionários, bem como órgãos de gestão, acerca das novas políticas adotadas e comportamentos; - Envolver com mais freqüência os stakeholders (parte interessada) na solução de ITIL; - Saber lidar com a resistência a mudança; - Informar as pessoas em relação às atividades e planos para o ITIL. Segundo estudo de caso realizado pelo Danilo Lettieri Carvalho em sua monografia, o uso de ITIL na gestão de contrato e de outsourcing ano 2009, alguns problemas levantados: - Falta de definição formal de papéis e responsabilidades de recursos alocados e recursos próprios;

35 34 - Problemas na tomada de decisão, nos quais era esperado que a consultoria tomasse uma posição, e esta entendia que não deveria participar deste processo; - Falta de processos globais e conhecidos por todos na empresa. Não havia uma definição de quais eram os processos e boas praticas na área para a empresa; - Problemas no remanejamento de pessoal, quando algum dos recursos saia da empresa, o treinamento era demorado já que não havia uma metodologia especifica definida; - Transferência de responsabilidades para a resolução de problemas que acabavam sendo esquecidos até atingir um ponto critico; - Falta de padrão nos processos internos; - A equipe da empresa X não conseguia se dedicar a atividades de planejamento e estratégicas, pois estava diretamente envolvida no dia a dia. Segundo o autor Alan Dressler Christmann em sua monografia A Governança de TI com as Melhores Práticas do COBIT, ano 2013 foi mencionado um levantamento realizado pelo SESI e SENAI foi realizado em Dezembro de 2009 pela área de TI com o objetivo de serem analisados, sendo possível assim uma melhoria no serviço que a ITIL se propõe a prestar Normas que são difíceis de implementar - Os Standards, como são chamadas as regras da ITIL, descrevem em sua biblioteca de melhores praticas o que precisa ser feito, mas não descreve e nem mostra como esse processo é implementado para que resulte no objetivo previsto, deixando assim uma certa incerteza nos implementadores das normas. - Não define medidas de acompanhamento - A ITIL não exemplifica para os usuários ou mostra algum tipo de modelo de formas de acompanhamento e medição dos resultados que as organizações estão conseguindo durante o processo de implementação. - Não conseguir mapear os processos de negocio nos processos de TI Considerando uma fraqueza grave deste modelo. Onde a ITIL possui as regras(standards) a fim de realizar a mudança na empresa. Assim cada empresa é