O processo de governança de TI com COBIT e ITIL

COBIT e ITIL: a parceria ideal para estruturação da Governança de TI!

Alinhar e integrar Frameworks, guias e metodologias é uma tarefa que costuma causar incertezas e desconforto nos profissionais que começam a desbravar essa sopa de letrinhas da "ciência mercadológica".

Diante de tantos mapeamentos, fica difícil construir um mapa mental único, universal. Diante de tantas linguagens, é embaraçoso fazer tradução simultânea. Diante de tantas verdades, é cruelmente confuso encontrar uma só verdade. O que é um paradoxo, afinal: precisamos ter em mente uma só verdade, ou todas elas seriam "meias verdades", algo frustrante e inútil para quem não tem tempo a perder. 

Isoladas e desconexas, as boas práticas soam para empresas como palavras em livros. Mas “empresas não se transformam com palavras.” Henry Mintzberg

Pensando nisso, renuí algumas considerações que espero responder certas perguntas que profissionais de TI costumam fazer sobre a relação entre #ITIL e #COBIT, e - principalmente - a relação de ambos com a #Governança de TI.

Entendendo a expectativa de uma abordagem prática, faço isso sob a perspectiva dos pontos complementares, suplementares e interseções destas práticas dentro do macro processo de governança de TI, etapa por etapa.

Como está estruturado este artigo: 

1. O que é Governança de TI
2. Governança de TI x Gestão de TI
3. O uso de COBIT e ITIL durante o processo de Governança
4. Conclusão 

1) O que é Governança de TI 

1.1) Definição

Para a #ITIL, Governança de TI " Consiste de liderança, estruturas organizacionais e processos que garantam que a organização de TI suporte e amplie as estratégias e objetivos da empresa."

Em outras palavras, significa direcionar os investimentos em TI, abrangendo estrutura, políticas, processos, funções, fazendo com que o resultado final atenda às necessidades e expectativas da área de negócio.

O conceito se encaixa perfeitamente na definição da norma ISO/IEC 38500, que é adotado pelo #COBIT 

"Sistema pelo qual o uso atual e futuro da TI é dirigido e controlado. A governança corporativa de TI envolve a avaliação e a direção do uso da TI para dar suporte à organização no alcance de seus objetivos estratégicos e monitorar seu uso para realizar os planos. A governança inclui a estratégia e as políticas para o uso de TI dentro de uma organização.”

O  Framework COBIT 5 acrescenta 05 áreas de foco da Governança de TI:  

• Alinhamento estratégico: ou seja, direcionar objetivos de TI para os objetivos da organização. 
• Entrega de valor: garantia de que os processos de governança de TI entreguem valor a área de negócio.
• Gerenciamento de riscos: fazer com que TI, além de entregar necessidades, cuide para que a informação seja gerenciada de forma a controlar riscos , evitando possíveis perdas para a área de negócio.
• Gerenciamento de recursos: que são habilitadores dos processos de governança.
• Mensuração de performance: engloba o monitoramento das práticas de governança para todos os processos; o relato dos indicadores para as partes envolvidas com os processos (stakeholders); e através do controle dos resultados dos processos de gestão (falo sobre diferença entre governança e gestão no item 2 deste artigo).

Misturando estes ingredientes (as definições acima transcritas) e  batendo tudo isso durante um minuto no liquidificador, o que podemos obter como resultado é que governar TI significa realizar uma gestão a nível estratégico da organização de TI*.

Mais especificamente, governança requer envolver adequadamente o nível estratégico, além do tático e operacional, que sozinhos, seriam insuficientes para dirigir o valor que a TI entrega ao negócio. “A estratégia sem tática é o caminho mais lento para a vitória. Tática sem estratégia é o ruido antes da derrota.” Sun Tzu

* Peço licença aos teóricos: é apenas uma interpretação, propositalmente informal, e não uma definição, ok? :)

Para explorar melhor o conceito, proponho três outras interpretações:

• Governança de TI pela perspectiva de relacionamento entre TI e Negócio  
• Governança de TI pela perspectiva de níveis organizacionais  
• Governança de TI pela perspectiva de processo.  

1.2) Governança de TI pela perspectiva de relacionamento entre TI e Negócio

Nesta ótica, o objetivo da Governança de TI é fazer com que a tecnologia da informação integre-se com a área de negócio. Governar TI significa conciliar e compartilhar decisões através do uso de uma linguagem em comum, garantindo que os esforços da organização de TI estão direcionados para resultados formalmente (re)conhecidos por ambas partes e que estes resultados agregam o valor esperado.

1.3) Governança de TI pela perspectiva de níveis hierárquicos

Estruturar de forma adequada a #Governança de TI em sua organização presume que existam atividades e autonomia suficientes dentro do departamento de TI, a nível estratégico, além do tático e operacional.

Mas...o que isso quer dizer?

Significa que, se o departamento e TI é uma "caixinha" abaixo do departamento financeiro, inovação, ou outro qualquer, provavelmente organização de TI terá autonomia de tomar decisões táticas e operacionais, mas dificilmente terá a propriedade de dividir as estratégicas com diretoria executiva do negócio.

A direção e controle dos objetivos para tecnologia da informação podem enfrentar lacunas graças a esta ausência funcional: a falta de papel que ocupa uma posição estratégica, na hierarquia de TI.  

Vale acrescentar que, dentro da organização, a governança de TI, hierarquicamente, faz parte da governança empresarial, que inclui governança de negócios e governança corporativa. 

1.4) Governança de TI pela perspectiva de processo.

Sob a ótica de um macro processo, governar TI significa executar o ciclo PDCA de governança, através dos sub processos:

1. identificar objetivos da área de negócio; 
2. direcionar os objetivos de TI; 
3. definir as ações necessárias; 
4. mensurar a performance atingida comparando-a com os objetivos e aplicando ações corretiva e direcionar ajustes

Este ciclo de Governança é ilustrado na imagem a seguir (há uma única diferença: apesar da imagem citar 05 etapas, estou utilizando apenas 04, compatíveis com o ciclo PDCA)

Ciclo de Governança de TI

Esta é a perspectiva que escolhi para usar neste artigo! 

Descrevo no item 3) , como utilizar COBIT e ITIL para definir e conduzir um macroprocesso de governança de TI e estruturar todos os processos de governança e gestão, contidos nestas boas práticas.

Só queria nos lembrar de um mais detalhe: o COBIT 4 descrever este mesmo ciclo de uma maneira mais didática e ferramental. Estou falando da cascata de objetivo, ilustrada a seguir.  

Cascata de Objetivos COBIT 5, ISACA

2) Governança de TI x gestão de TI

Vamos analisar a distinção entre governança e gerenciamento que descrevo a seguir, baseando-me na ISO/IEC 38500 (norma internacional para governança de TI).

• Governança : os processos de governança de TI direcionam-se para as 05 áreas de foco (apresentadas no item 1.1)), abordando práticas e técnicas necessárias para avaliar opções estratégicas, prover direção para TI e monitorar os resultados. 
• Gestão : as práticas e atividades envolvidas com gestão de TI buscam planejar, construir, executar e monitorar a organização de TI, garantindo uma cobertura holística.

Em resumo, podemos interpretar que a governança estabelece direção (além de monitorar e avaliar os direcionamentos), enquanto a gestão planeja, constrói, executa (e também monitora e avalia).  

Vamos então entender como COBIT e ITIL ajudam com tudo isso!

3) O uso de COBIT e ITIL durante o processo de Governança

No item 1.4) deste artigo, identifiquei quatro macro atividades / subprocessos do do ciclo de governança. A seguir, descrevo estas etapas, identificando o papel de COBIT e ITIL como guias para cada uma delas.

3.1) Compreender os objetivos da área de negócio

Trata-se da atividade contínua de interpretar e conhecer o direcionamento de sua organização, para poder identificar, adiante, o que pode ser feito dentro de TI de forma a contribuir e maximizar esta direção.

Afinal, necessidades de Negócio Geram impactos para o tratamento da Informação. É por isso que O COBIT entra em ação desde já para estudar e definir os direcionadores das partes interessadas*. 

* Por partes interessadas, entenda-se: clientes, envolvidos da área de negócio, parceiros, e toda e qualquer parte que está envolvida com os resultados dos serviços de TI. 

Para entender como o Framework COBIT propõe esta parte do trabalho, proponho que olhe rapidamente a imagem a seguir, onde está ilustrada - mais uma vez - a cascata de objetivos do COBIT 5. Repare nas setas que eu adicionei ao desenho. 

Cascata de Objetivos COBIT 5, ISACA

As setas azuis estão apontando para as 03 fases da cascata que desempenham o papel citado no título deste tópico do artigo: Compreender os objetivos da área de negócio. 

As ferramentas e boas práticas do COBIT nos guiam a realizar estas atividades para transformar: 

• direcionadores das partes interessadas em necessidades (benefícios, otimização de riscos, otimização de recursos); 
• em seguida, transformar estas necessidades em objetivos corporativos.

 Conclusão: para realizar a etapa do processo de governança que chamamos de "1) Compreender os objetivos da área de negócio", o #COBIT é a melhor ferramenta de mercado, uma vez que a biblioteca #ITIL não descreve recursos e ferramentas para contribuir com esta fase de natureza de governança corporativa, ainda distante da realidade de gestão de serviços de TI.  

3.2) Direcionar os objetivos de TI

Esta etapa consiste em traduzir os objetivos de negócio em objetivos de TI, relacionando-os de forma a definir o que TI deve fazer para contribuir com a organização.

O relacionamento dos objetivos de negócio com objetivos de TI torna-se mais fácil com auxílio de algumas ferramentas que o COBIT disponibiliza em sua estrutura, tais como: 

• Desdobramentos de objetivos corporativos em objetivos de TI.
• Processos de governança e gestão*: uma vez definidos os objetivos corporativos da organização, basta usar os processos de governança e gestão que ajudam a priorizá-los e entregá-los
• Os habilitadores de TI: a estrutura de habilitadores (informações, processos, pessoas, funções, etc.) ajuda a relacionar os objetivos de negócio com as decisões de como usar os recursos de TI: aplicativos, informações, infraestrutura e pessoas.   

* apenas para o conceito ficar claro: apesar de eu ter separado aqui "processos" de "habilitadores", o processo - para o COBIT 5 - é também um tipo de habilitador. 

Tudo que resumi neste tópico faz parte de uma fase da cascata de objetivos do COBIT, qual aponto uma seta azul, a seguir. 

Cascata de Objetivos COBIT 5, ISACA

E a ITIL, até agora nada??

A ITIL já entra em cena sim! O que estamos tratando aqui já faz parte da etapa de Estratégia de Serviços, ilustrada a seguir.  

Ciclo de Vida do Serviço de TI da ITIL, Axelos

Para esta fase, entretanto - 3.2) Direcionar os objetivos de TI - a biblioteca ITIL tem certas limitações ao compará-la com o COBIT. Enquanto este disponibiliza ferramentas para a tradução de objetivos corporativos para objetivos de TI, a ITIL está mais preocupada em descrever como estas atividades são realizadas, executadas e monitoradas. 

Conclusão: para realizar a etapa do processo de governança denominado de "2) Direcionar os objetivos de TI", tanto #COBIT quanto #ITIL oferecem boas práticas. O COBIT ainda é considerado mais relevante para esta fase, mas ambos já podem ser (e é interessante que sejam) utilizados um em complemento ao outro. 

3.3) Definir as ações necessárias

Trata-se de estabelecer quais atividades devem ser conduzidas em busca dos objetivos, assim como a estrutura e responsabilidades envolvidas com as atividades.

A partir daqui, COBIT e a ITIL podem ser utilizados em conjunto, com papéis complementares.:

• O COBIT direciona as ações necessárias para alcançar os objetivos definidos no passo anterior e, de bônus, ainda disponibiliza as entradas, saídas e uma matriz RACI genérica para cada processo que está sendo abordado. 
•  A ITIL , por sua vez, colabora fornecendo uma referência de como aplicar estas atividades, como desenhá-las em um processo, definir seus papéis detalhadamente, além de técnicas e orientações em geral de como executar o processo. Apesar do COBIT também disponibilizar publicações complementares que orientam o "como aplicar", a ITILé a referência mais conhecida e adotada para este fim. 

Conclusão: para realizar esta etapa do ciclo de Governança de TI, a ITIL é a prática mais reconhecida pelo mercado. É nesta fase que predomina a relevância da biblioteca diante do Framework de governança. O COBIT, contudo, não precisa ser desprezado: pode continuar ajudando com a disponibilização de ferramentas, modelos que não são tão fáceis de encontrar nos livros da ITIL. 

3.4) Mensurar a performance atingida e aplicar ações corretivas

Esta é a etapa do macro processo de governança que orienta a uma contínua mensuração dos processos para identificar se os objetivos estão sendo atingidos e gerando valor para a área de negócio e garantir que ações serão tomadas para corrigir resultados indesejados.

O COBIT e a ITIL podem ser usados em parceria novamente, já que ambos referenciam indicadores que podem ser usados para medir o sucesso dos processos de gestão e governança. O COBIT, entretanto, poderá ser mais completo por oferecer tais métricas para processos de Governança que não são oferecidos pela ITIL. 

Conclusão: ITIL e COBIT são igualmente relevantes para realizar esta parte do ciclo de governança, exceto pelo fato do Framework de governança oferecer indicadores para processos que não fazem parte da biblioteca de gestão de serviços. 

4) Conclusão

Para governar TI, o #COBIT ajudará a definir a estrutura necessária para 1- priorizar e controlar os processos de gestão e governança, assim como 2- oferecer um guia para aplicação dos processos específicos de governança. A #ITIL fornecerá uma base de conhecimento para modelar e executar os processos quando se trata do escopo de gestão de TI.