Embora existam normas especificas de qualidade que contemplam recomendações e práticas neste sentido, há necessidade de fazermos algumas adaptações para implantar boas práticas relacionadas à Tecnologia da Informação, as quais passaremos a abordar. O nosso leitor poderá adotar ou não estas sugestões, mas vamos procurar explanar o que elas representam e porque são recomendadas.
1 – A Estrutura Hierárquica da Documentação.
Primeiramente é necessário definir a estrutura a ser seguida na organização dos documentos, lembrando que é necessário contemplar nesta estrutura todos os escalões hierárquicos existentes na organização e lhes referenciando a cada um os tipos de documentos sob sua responsabilidade organizacional ou institucional. Vejamos um exemplo na figura abaixo:
Politicas: Estabelecer o nível estratégico a ser cumprido na adoção das melhores práticas. É atribuída pelo nível diretivo das organizações e estabelece as diretrizes gerais a serem observadas por todos.
Normas: Estabelecer o nível tático e estabelece as regras a que as áreas operacionais deverão observar para o cumprimento das diretrizes ditadas pelas políticas. É atribuída aos gerentes e gestores das áreas envolvidas em cada prática ou modelo que será adotado.
Procedimentos: Estabelecer o nível operacional e estabelece o “como será feito!”, descrevendo passo a passo as atividades, responsáveis, evidências a serem produzidas, e ainda em um segundo momento, poderão ser adotadas métricas que possibilitem a medida de eficiência e de nível de serviço obtido pelo processo.
Controles e Métricas: Estabelece o “Entregável ou Evidencia física da execução do Processo”, ou seja, o processo de fato foi executado, quando ao final de seu ciclo, o usuário tenha produzido o controle ou a evidencia nele instituído.
Pode-se ainda vincular métricas ou indicadores de controle para medir a efetividade do procedimento, e dependendo do resultado ser favorável ou não, identificar a necessidade de melhorias ou ajustes no processo até que o índice desejado seja atingido.(Assim se estabelece o ciclo de melhoria contínua dos processos).
2 – A Estrutura Física dos Documentos
Uma vez estabelecido à estrutura hierárquica da documentação, e o seu endereçamento nas escalas de comando da companhia, passamos a estabelecer o conteúdo físico de cada tipo de documento, cada um estabelecendo o conteúdo a ele determinado na estrutura hierárquica da documentação (Item 1).
Na figura abaixo, exemplificamos um modelo de documento muito fácil de ser entendido e ao mesmo tempo bastante completo em termos de conteúdo e formato de apresentação.
(Faça o Download do modelo, diretamente no site da Aghatha : ou em : www.aghatha.com.br/news)
2.1 – Composições de Estrutura Comum (Politicas, Normas e Procedimentos).
Tipo de Documento: é recomendado que o documento possua uma indicação claramente visível que identifique ao leitor o tipo de documento (ex. Politica, Norma, Procedimento, Controle, Instrução Técnica, entre outros).Cabeçalho / Identificação: Deve haver um quadro incluindo as informações relacionadas a identificação do documento, tais como Título/Descrição do Documento, Identificação, Versão, Data emissão, data de Inicio Vigência, Data de fim da vigência, e data prevista para a sua próxima revisão, responsáveis, classificação de sigilo, áreas responsáveis.
Objetivo do Documento: Descrever de forma clara o objetivo do documento, ou o proposito desejado do documento.
Abrangência/Aplicação: Descrever ao leitor qual é a abrangência de uso do documento, se é um documento de uso corporativo, aplicável a apenas uma Unidade, departamento ou a um grupo de pessoas. A informação deve ser clara ao leitor quando ele puder ser identificado no grupo de pessoas que deve ou não cumprir o que está estabelecido no documento.
Terminologia: Identificar os termos técnicos não usuais e o seu significado através de uma descrição clara e preferencialmente não técnica, e que possa ser entendido por pessoas leigas em relação ao termo técnico, siglas ou palavras em outros idiomas.
2.1.1 – Composições Especificas (Descrição de Politicas).
Descrição das Diretrizes: Identificar o conteúdo detalhado das Diretrizes forma mais detalhada e clara possível.
Sugerimos adotar o formato de uma tabela, contendo em cada coluna as informações requeridas em cada Diretriz, sendo no mínimo: Numero sequencial, descrição ou enunciado das Diretrizes a serem seguidas e um campo para Observações e informações complementares. Ex:
Descrição das Diretrizes de Uma Politica:
Seq | Diretrizes | Observações |
1 | As entradas e Saídas de Colaboradores nas dependências da organização deverão ser controladas através de identificação funcional padrão. | São considerados colaboradores, todos os níveis hierárquicos da Organização, incluindo Diretores, Gerentes, Supervisores, colaboradores e estagiários. |
Descrição das Normas: Identificar o conteúdo detalhado das normas a serem seguidas para a aplicação das Diretrizes, estabelecendo regras na forma mais detalhada e clara possível..
Sugerimos adotar o formato de uma tabela, contendo em cada coluna as informações requeridas em cada Regra, sendo no mínimo: Numero sequencial, descrição ou enunciado das Regras a serem seguidas e Observações. Ex:
Descrição das Regras de uma Norma:
Seq | Regras | Observações |
1 | Todos os colaboradores da organização serão identificados através de identidades funcionais, seguindo o modelo padrão da companhia. | São considerados colaboradores, todos os níveis hierárquicos da Organização, incluindo Diretores, Gerentes, Supervisores, colaboradores e estagiários. |
2 | As identidades funcionais devem ser providenciadas pela Área de RH e entregues no primeiro dia de trabalho. Os colaboradores que ainda não possuem a identidade funcional deverão receber a sua identificação até 30 dias da data de inicio de vigência desta norma. | |
3 | Os colaboradores deverão apresentar as suas identidades funcionais na portaria nas ocasiões de movimentação de entrada e saídas das dependências da organização. | O procedimento de entrada e saída identificadas entrará em vigora 30 dias após a data de inicio de vigência desta norma |
4 | Nos casos de perdas e extravio o colaborador deve reportar formalmente o fato a Área de RH, para que seja providenciada a emissão de nova identidade funcional. |
Descrição do Processo: Identificar o conteúdo detalhado do Procedimento na forma mais detalhada e clara possível..
Sugerimos adotar o formato de uma tabela, contendo em cada coluna as informações requeridas em cada atividade, sendo no mínimo: Numero sequencial, descrição da Atividade e Observações, podendo-se ainda incluir campos adicionais e facultativos, tais como, a Identificação do Responsável (Quem?) as situação ou condição de execução da atividade (Quando?). Quanto mais informações, mais completo será o conteúdo do processo e mais demorado e complexo será a sua confecção, isto posto, sugerimos iniciar com modelos mais simplificados e complementando campos adicionais na medida em que se fizerem necessários. Ex:
Descrição das Atividades de um Procedimento (Procedimento de Entrada e Saída na Portaria de Pedestres):
Seq | Descrição Atividade | Observações | Quem? | Quando? |
1 | Verificar a identificação do colaborador na ocasião de entrada do colaborador. | Modelo Identificação MOD-001 – Identidade Funcional | Vigilante | No momento de entrada e saída dos colaboradores na empresa |
2 | A identidade funcional do colaborador é valida? | N.A. | Vigilante | N.A. |
3 | Caso Positivo:Liberar o acesso ao colaborador | N.A. | Vigilante | N.A. |
4 | Caso Negativo:Encaminhar o colaborador ao RH, para que seja providenciada emissão de nova identidade funcional / Identidade provisória. | N.A. | Vigilante | N.A. |
No Item 2.1 e seus subitens tratamos as partes específicas de cada documento, informando as variações de conteúdo dependendo de cada tipo de documento (Politica, Norma ou Procedimento). Após esta parte, o documento pode ser padronizado nas questões de controle e referencias.
Sugerimos incluir após a parte especifica os seguintes campos de controle.
Documentos Referenciados /Anexos: Identificar ao leitor a relação de documentos relacionados, por Exemplo, identificar em uma política quais normas está a ela subordinada, identificar em uma norma quais procedimentos a ela estão subordinados, e etc..
Este tipo de informação dá ao leitor informações de referencia entre os documentos, uma vez que a Politica gerou uma determinada norma, e esta gera uma determinada relação de procedimentos, desdobrando uma Diretriz em Regras e esta em um ou mais procedimentos.
Pode-se ainda desenhar graficamente os processos através de fluxos das atividades demonstrando as atividades passo-a-passo e facilitando em muito o entendimento do processo. (Politicas e Normas não possuem Fluxogramas), mas podem conter desenhos esquemáticos que facilitem o entendimento dos objetivos das mesmas.
Classificação da Informação: Nos casos onde as organizações possuem politicas de segurança da informação é importante identificar nos documentos a sua classificação de segurança (Documento de Uso Interno, Documento Confidencial, Documento Restrito a um determinado Grupo de Pessoas).
Controle de Aprovação / Revisão: Tabela contendo a identificação dos responsáveis pela aprovação e revisão do documento, local para assinatura e data dos responsáveis, e identificação de contato.
Anexos: Convém incluir toda e qualquer informação adicional, modelos e templates necessários para a execução ou entendimento como anexo ao final do documento. Recomendamos enumerar os anexos e referencia-los no corpo do documento para facilitar a navegação e leitura.
3 – Controles da Documentação.
3.1 – Lista de Documentos e Controle de Revisão.
Na medida em que os documentos sejam confeccionados é recomendado que sejam apontados em um controle destinado a relacionar os documentos vigentes, em revisão, revogados, e a identificação do documento, Numero de sua versão, Identificação de seus responsáveis, data de inicio de vigência, data de fim da vigência e data prevista para a sua próxima revisão, resumo de revisões realizadas identificando o que mudou entre uma versão e outra.
Regularmente recomendamos a verificação deste controle, com a finalidade de promover as revisões periódicas de conteúdo e de aplicação de melhorias nos processos, sendo que pelo menos 30 dias antes da data de vencimento da data prevista para a revisão, o responsável pela documentação deve enviar uma notificação de revisão ao responsável para que o documento seja revisado até a data do seu aniversário.
As boas práticas determinam que a documentação deva ser revisada pelo menos uma vez a cada ano, e não é incomum encontrar documentos com mais de 10 anos de vigência e com 30 ou 40 revisões, ou seja, um processo é uma entidade com vida própria e está em constante evolução. Não existe processo perfeito e ele sempre poderá ser melhorado, simplificado, apoiado por aplicações automatizadas, e assim por diante.
3.2 – Visões de Hierarquia entre os documentos (Mapa de Processos).
Com o acumulo de práticas a serem adotadas e a quantidade de documentos que se fazem necessários confeccionar para atender as boas práticas, há alguns anos atrás montamos uma visão hierárquica dos documentos, isto facilita em muito o controle e visão holística dos processos (A mesma visão da Pirâmide demonstrada no item 1, com um organograma dos documentos demonstrando as suas dependências e relações mutuas).
A seguir ilustraremos um modelo, para quem estiver interessado em seguir.
4 – Mapa Geral de Processos – Compliance Norma ISO-IEC-27002 – Gerenciamento de Segurança da Informação
Veja mais informações em: http://aghatha.wordpress.com/2011/05/22/compliance-de-processos-norma-isoiec-27-002-gerenciamento-de-seguranca-informacao/ – SUGESTÃO DE ESTRATÉGIA – ADOÇÃO DAS RECOMENDAÇÕES DA NORMA ISO-27.002 – SEGURANÇA DA INFORMAÇÃO
5 – Mapa Geral de Processos – Compliance COBIT – Governança TI e Sarbanes Oxley Compliance
Modelo acima representa o Mapa Geral de Politicas, Normas e Procedimentos requeridos para a Implantação da Governança de TI e Sarbanes Oxley Compliance, conforme as recomendações do COBIT, PCAOB e Norma de Segurança e Modelos de Gerenciamento de Serviços ITIL-V3.
Veja em nosso outro artigo, como desenhar fluxograma de processos de negócio, em:
http://aghatha.wordpress.com/2011/07/03/como-desenhar-fluxogramas-de-processos-de-negocio-1-parte-introducao-conceitos-e-modelos/
—-
Efetue o download deste artigo no formato documento (pdf), o mesmo está disponível no seguinte endereço :
http://www.aghatha.com.br/news.htm
—- Fim Conteúdo Artigo —-
Agradecimentos e Convites:
As informações e comentários existentes neste artigo são o fruto de observações e experiências adquiridas pelo autor durante a execução de projetos ao longo de 30 anos de atuação no mercado. Utilizamos este espaço para a divulgação e intercâmbio destes conhecimentos junto aos nossos leitores, clientes e amigos.
Caso você tenha alguma dúvida ou necessidade de informações adicionais para o seu entendimento ou aplicação, entre em contato conosco através do e-mail abaixo.
Abraço e Felicidades a Todos,
Eurico Haan de Oliveira
www.aghatha.com.br
Consultoria@aghatha.com.br
- Convidamos a participar de nossos Grupos de Discussão no Linkedin: http://aghatha.wordpress.com/aghatha_grupo_de_usuarios_ti/
Declaração e Preservação de Direitos:
Todas as demais marcas, modelos, desenhos, nomes, incluindo o conteúdo integral deste artigo, são de propriedade de seus respectivos fabricantes, autores ou publicadores.
O leitor está autorizado a fazer o uso interno e não comercial do conteúdo deste artigo, desde que mantidas as observações de direitos autorais e mantidas as referencias a suas origens e identificação dos respectivos autores e proprietários.
Direitos de uso comerciais deste artigo são preservados e mantidos em nome exclusivo do autor e o leitor não está autorizado a utiliza-los, de forma integral ou parcial para usos e fins comercias e/ou em atividades que visem à obtenção de lucro ou benefício comercial próprio ou a terceiros.
Para a confecção deste artigo foram citadas e/ou utilizados os seguintes nomes, marcas e publicações:
- COBIT ® 4.1, que é de propriedade exclusiva ISACA – Information Systems Audit and Control Association (www.isaca.org ) e IT Governance Institute™ (www.itgi.org), sendo Todos os direitos autorais reservados.
- Conteúdo Artigo – é de propriedade exclusiva do Autor e de AGHATHA (http://www.aghatha.com.br / Http://www.aghatha.com ), sendo os direitos preservados todos os direitos autorais e exploração comercial.
- COSO®, que é de propriedade exclusiva Committee of Sponsoring Organizations of the Treadway Commission (COSO)™ (www.coso.org/), sendo Todos os direitos autorais reservados.
- ISO-IEC® Standard - São de propriedade exclusiva do International Organization for Standardization (ISO®) e International Electrotechnical Commission (IEC®) (www.iso.org), sendo Todos os direitos autorais reservados.
- ITIL V-3 ® – IT Infrastructure Library® (www.itil-officialsite.com) que é de propriedade e proteção exclusiva da Coroa Britanica (www.ogc.gov.uk) - Office of Government Commerce (OGC) – UK, sendo Todos os direitos autorais reservados.
- PCAOB ® é propriedade exclusiva do Public Company Accounting Oversight Board – (http://pcaobus.org/), sendo Todos os direitos autorais reservados.
- PMI ® / PMBOK ® propriedade exclusiva do Project Management Institute ( www.pmi.org/), sendo Todos os direitos autorais reservados
– Fim Artigo
Junho 18, 2011 por Aghatha Maxi Consulting
Nenhum comentário:
Postar um comentário