COMO FORMATAR E ORGANIZAR A DOCUMENTAO DE PROCESSOS DE BOAS PRTICAS EM TI ISO-27.002 / ISO-20.000 / COBIT / ITIL-V3.

Aps a deciso em adotar algum padro ou recomendaes tais como (ISO/IEC-27.002, ISO/IEC-20.000, ITIL, COBIT, COSO e tantos outros existentes, surge a pergunta: COMO COLOCAR EM PRTICA AS AES NECESSRIAS?, Depois de alguns anos chegamos a um modelo que bastante efetivo em termos de contedo e praticidade para formalizao de processos e controles. Embora existam normas especificas de qualidade que contemplam recomendaes e prticas neste sentido, h necessidade de fazermos algumas adaptaes para implantar boas prticas relacionadas Tecnologia da Informao, as quais passaremos a abordar. O nosso leitor poder adotar ou no estas sugestes, mas vamos procurar explanar o que elas representam e porque so recomendadas. 1 A Estrutura Hierrquica da Documentao. Primeiramente necessrio definir a estrutura a ser seguida na organizao dos documentos, lembrando que necessrio contemplar nesta estrutura todos os escales hierrquicos existentes na organizao e lhes referenciando a cada um os tipos de documentos sob sua responsabilidade organizacional ou institucional. Vejamos um exemplo na figura abaixo:

Aghatha Maxi Consulting www.aghatha.com.br / www.aghatha.com / http://aghatha.wordpress.com/ Maio/2011 - Todos os Direitos Reservados, O contedo deste material pode ser utilizado e/ou divulgado, desde que o autor e a fonte sejam citados.

Politicas: Estabelecer o nvel estratgico a ser cumprido na adoo das melhores prticas. atribuda pelo nvel diretivo das organizaes e estabelece as diretrizes gerais a serem observadas por todos. Normas: Estabelecer o nvel ttico e estabelece as regras a que as reas operacionais devero observar para o cumprimento das diretrizes ditadas pelas polticas. atribuda aos gerentes e gestores das reas envolvidas em cada prtica ou modelo que ser adotado. Procedimentos: Estabelecer o nvel operacional e estabelece o como ser feito!, descrevendo passo a passo as atividades, responsveis, evidncias a serem produzidas, e ainda em um segundo momento, podero ser adotadas mtricas que possibilitem a medida de eficincia e de nvel de servio obtido pelo processo. Controles e Mtricas: Estabelece o Entregvel ou Evidencia fsica da execuo do Processo, ou seja, o processo de fato foi executado, quando ao final de seu ciclo, o usurio tenha produzido o controle ou a evidencia nele institudo. Pode-se ainda vincular mtricas ou indicadores de controle para medir a efetividade do procedimento, e dependendo do resultado ser favorvel ou no, identificar a necessidade de melhorias ou ajustes no processo at que o ndice desejado seja atingido.(Assim se estabelece o ciclo de melhoria contnua dos processos). 2 A Estrutura Fsica dos Documentos Uma vez estabelecido estrutura hierrquica da documentao, e o seu endereamento nas escalas de comando da companhia, passamos a estabelecer o contedo fsico de cada tipo de documento, cada um estabelecendo o contedo a ele determinado na estrutura hierrquica da documentao (Item 1). Na figura abaixo, exemplificamos um modelo de documento muito fcil de ser entendido e ao mesmo tempo bastante completo em termos de contedo e formato de apresentao.

(Clique na figura acima e faa o Download do modelo, diretamente no site da Aghatha : ou em : www.aghatha.com.br/news ) 2.1 Composies de Estrutura Comum (Politicas, Normas e Procedimentos). Aghatha Maxi Consulting www.aghatha.com.br / www.aghatha.com / http://aghatha.wordpress.com/ Maio/2011 - Todos os Direitos Reservados, O contedo deste material pode ser utilizado e/ou divulgado, desde que o autor e a fonte sejam citados.

Tipo de Documento: recomendado que o documento possua uma indicao claramente visvel que identifique ao leitor o tipo de documento (ex. Politica, Norma, Procedimento, Controle, Instruo Tcnica, entre outros). Cabealho / Identificao: Deve haver um quadro incluindo as informaes relacionadas a identificao do documento, tais como Ttulo/Descrio do Documento, Identificao, Verso, Data emisso, data de Inicio Vigncia, Data de fim da vigncia, e data prevista para a sua prxima reviso, responsveis, classificao de sigilo, reas responsveis. Objetivo do Documento: Descrever de forma clara o objetivo do documento, ou o proposito desejado do documento. Abrangncia/Aplicao: Descrever ao leitor qual a abrangncia de uso do documento, se um documento de uso corporativo, aplicvel a apenas uma Unidade, departamento ou a um grupo de pessoas. A informao deve ser clara ao leitor quando ele puder ser identificado no grupo de pessoas que deve ou no cumprir o que est estabelecido no documento. Terminologia: Identificar os termos tcnicos no usuais e o seu significado atravs de uma descrio clara e preferencialmente no tcnica, e que possa ser entendido por pessoas leigas em relao ao termo tcnico, siglas ou palavras em outros idiomas. 2.1.1 Composies Especificas (Descrio de Politicas). Descrio das Diretrizes: Identificar o contedo detalhado das Diretrizes forma mais detalhada e clara possvel. Sugerimos adotar o formato de uma tabela, contendo em cada coluna as informaes requeridas em cada Diretriz, sendo no mnimo: Numero sequencial, descrio ou enunciado das Diretrizes a serem seguidas e um campo para Observaes e informaes complementares. Ex: Descrio das Diretrizes de Uma Politica:

Seq 1

Diretrizes As entradas e Sadas de Colaboradores nas dependncias da organizao devero ser controladas atravs de identificao funcional padro.

Observaes So considerados colaboradores, todos os nveis hierrquicos da Organizao, incluindo Diretores, Gerentes, Supervisores, colaboradores e estagirios.

2.1.2 Composies Especificas (Descrio de Normas). Descrio das Normas: Identificar o contedo detalhado das normas a serem seguidas para a aplicao das Diretrizes, estabelecendo regras na forma mais detalhada e clara possvel..

Aghatha Maxi Consulting www.aghatha.com.br / www.aghatha.com / http://aghatha.wordpress.com/ Maio/2011 - Todos os Direitos Reservados, O contedo deste material pode ser utilizado e/ou divulgado, desde que o autor e a fonte sejam citados.

Sugerimos adotar o formato de uma tabela, contendo em cada coluna as informaes requeridas em cada Regra, sendo no mnimo: Numero sequencial, descrio ou enunciado das Regras a serem seguidas e Observaes. Ex: Descrio das Regras de uma Norma:

Seq 1

Regras Todos os colaboradores da organizao sero identificados atravs de identidades funcionais, seguindo o modelo padro da companhia.

Observaes So considerados colaboradores, todos os nveis hierrquicos da Organizao, incluindo Diretores, Gerentes, Supervisores, colaboradores e estagirios.

As identidades funcionais devem ser providenciadas pela rea de RH e entregues no primeiro dia de trabalho. Os colaboradores que ainda no possuem a identidade funcional devero receber a sua identificao at 30 dias da data de inicio de vigncia desta norma.

Os colaboradores devero apresentar as suas identidades funcionais na portaria nas ocasies de movimentao de entrada e sadas das dependncias da organizao.

O procedimento de entrada e sada identificadas entrar em vigora 30 dias aps a data de inicio de vigncia desta norma

Nos casos de perdas e extravio o colaborador deve reportar formalmente o fato a rea de RH, para que seja providenciada a emisso de nova identidade funcional.

2.1.3 Composies Especificas (Descrio de Procedimentos). Descrio do Processo: Identificar o contedo detalhado do Procedimento na forma mais detalhada e clara possvel.. Sugerimos adotar o formato de uma tabela, contendo em cada coluna as informaes requeridas em cada atividade, sendo no mnimo: Numero sequencial, descrio da Atividade e Observaes, podendo-se ainda incluir campos adicionais e facultativos, tais como, a Identificao do Responsvel (Quem?) as situao ou condio de execuo da atividade (Quando?). Quanto mais informaes, mais completo ser o contedo do processo e mais demorado e complexo ser a sua confeco, isto posto, sugerimos iniciar com modelos mais simplificados e complementando campos adicionais na medida em que se fizerem necessrios. Ex: Descrio das Atividades de um Procedimento (Procedimento de Entrada e Sada na Portaria de Pedestres): Aghatha Maxi Consulting www.aghatha.com.br / www.aghatha.com / http://aghatha.wordpress.com/ Maio/2011 - Todos os Direitos Reservados, O contedo deste material pode ser utilizado e/ou divulgado, desde que o autor e a fonte sejam citados.

Seq 1

Descrio Atividade Verificar a identificao do colaborador na ocasio de entrada do colaborador.

Observaes Modelo Identificao MOD-001 Identidade Funcional

Quem? Vigilante

Quando? No momento de entrada e sada dos colaboradores na empresa

A identidade funcional do colaborador valida?

N.A.

Vigilante

N.A.

Caso Positivo:Liberar o acesso ao colaborador

N.A.

Vigilante

N.A.

Caso Negativo:Encaminhar o colaborador ao RH, para que seja providenciada emisso de nova identidade funcional / Identidade provisria.

N.A.

Vigilante

N.A.

2.1.3 Composies Comuns (Campos de Controle dos Documentos). No Item 2.1 e seus subitens tratamos as partes especficas de cada documento, informando as variaes de contedo dependendo de cada tipo de documento (Politica, Norma ou Procedimento). Aps esta parte, o documento pode ser padronizado nas questes de controle e referencias. Sugerimos incluir aps a parte especifica os seguintes campos de controle. Documentos Referenciados /Anexos: Identificar ao leitor a relao de documentos relacionados, por Exemplo, identificar em uma poltica quais normas est a ela subordinada, identificar em uma norma quais procedimentos a ela esto subordinados, e etc.. Este tipo de informao d ao leitor informaes de referencia entre os documentos, uma vez que a Politica gerou uma determinada norma, e esta gera uma determinada relao de procedimentos, desdobrando uma Diretriz em Regras e esta em um ou mais procedimentos. Pode-se ainda desenhar graficamente os processos atravs de fluxos das atividades demonstrando as atividades passo-a-passo e facilitando em muito o entendimento do processo. (Politicas e Normas no possuem Fluxogramas), mas podem conter desenhos esquemticos que facilitem o entendimento dos objetivos das mesmas. Classificao da Informao: Nos casos onde as organizaes possuem politicas de segurana da informao importante identificar nos documentos a sua classificao de segurana (Documento de Uso Interno, Documento Confidencial, Documento Restrito a um determinado Grupo de Pessoas).

Aghatha Maxi Consulting www.aghatha.com.br / www.aghatha.com / http://aghatha.wordpress.com/ Maio/2011 - Todos os Direitos Reservados, O contedo deste material pode ser utilizado e/ou divulgado, desde que o autor e a fonte sejam citados.

Controle de Aprovao / Reviso: Tabela contendo a identificao dos responsveis pela aprovao e reviso do documento, local para assinatura e data dos responsveis, e identificao de contato. Anexos: Convm incluir toda e qualquer informao adicional, modelos e templates necessrios para a execuo ou entendimento como anexo ao final do documento. Recomendamos enumerar os anexos e referencia-los no corpo do documento para facilitar a navegao e leitura. 3 Controles da Documentao. 3.1 Lista de Documentos e Controle de Reviso. Na medida em que os documentos sejam confeccionados recomendado que sejam apontados em um controle destinado a relacionar os documentos vigentes, em reviso, revogados, e a identificao do documento, Numero de sua verso, Identificao de seus responsveis, data de inicio de vigncia, data de fim da vigncia e data prevista para a sua prxima reviso, resumo de revises realizadas identificando o que mudou entre uma verso e outra. Regularmente recomendamos a verificao deste controle, com a finalidade de promover as revises peridicas de contedo e de aplicao de melhorias nos processos, sendo que pelo menos 30 dias antes da data de vencimento da data prevista para a reviso, o responsvel pela documentao deve enviar uma notificao de reviso ao responsvel para que o documento seja revisado at a data do seu aniversrio. As boas prticas determinam que a documentao deva ser revisada pelo menos uma vez a cada ano, e no incomum encontrar documentos com mais de 10 anos de vigncia e com 30 ou 40 revises, ou seja, um processo uma entidade com vida prpria e est em constante evoluo. No existe processo perfeito e ele sempre poder ser melhorado, simplificado, apoiado por aplicaes automatizadas, e assim por diante. 3.2 Vises de Hierarquia entre os documentos (Mapa de Processos). Com o acumulo de prticas a serem adotadas e a quantidade de documentos que se fazem necessrios confeccionar para atender as boas prticas, h alguns anos atrs montamos uma viso hierrquica dos documentos, isto facilita em muito o controle e viso holstica dos processos (A mesma viso da Pirmide demonstrada no item 1, com um organograma dos documentos demonstrando as suas dependncias e relaes mutuas). A seguir ilustraremos um modelo, para quem estiver interessado em seguir.

Aghatha Maxi Consulting www.aghatha.com.br / www.aghatha.com / http://aghatha.wordpress.com/ Maio/2011 - Todos os Direitos Reservados, O contedo deste material pode ser utilizado e/ou divulgado, desde que o autor e a fonte sejam citados.

4 Mapa Geral de Processos Compliance Norma ISO-IEC-27002 Gerenciamento de Segurana da Informao

Modelo acima representa o Mapa Geral de Politicas, Normas e Procedimentos requeridos para a Implantao de Politica de Segurana da Informao, conforme as recomendaes da Norma ISO-27.002. Veja mais informaes em: http://aghatha.wordpress.com/2011/05/22/compliance-deprocessos-norma-isoiec-27-002-gerenciamento-de-seguranca-informacao/ - SUGESTO DE ESTRATGIA ADOO DAS RECOMENDAES DA NORMA ISO-27.002 SEGURANA DA INFORMAO 5 Mapa Geral de Processos Compliance COBIT Governana TI e Sarbanes Oxley Compliance Aghatha Maxi Consulting www.aghatha.com.br / www.aghatha.com / http://aghatha.wordpress.com/ Maio/2011 - Todos os Direitos Reservados, O contedo deste material pode ser utilizado e/ou divulgado, desde que o autor e a fonte sejam citados.

Modelo acima representa o Mapa Geral de Politicas, Normas e Procedimentos requeridos para a Implantao da Governana de TI e Sarbanes Oxley Compliance, conforme as recomendaes do COBIT, PCAOB e Norma de Segurana e Modelos de Gerenciamento de Servios ITIL-V3. - Fim Contedo Artigo Agradecimentos e Convites: As informaes e comentrios existentes neste artigo so o fruto de observaes e experincias adquiridas pelo autor durante a execuo de projetos ao longo de 30 anos de atuao no mercado. Utilizamos este espao para a divulgao e intercmbio destes conhecimentos junto aos nossos leitores, clientes e amigos. Caso voc tenha alguma dvida ou necessidade de informaes adicionais para o seu entendimento ou aplicao, entre em contato conosco atravs do e-mail abaixo. Abrao e Felicidades a Todos, Eurico Haan de Oliveira www.aghatha.com.br Consultoria@aghatha.com.br o Siga-nos pelo Twiter, e receba comunicados de novos artigos e/ou revises deste texto.

Convidamos a participar de nossos Grupos de Discusso no Linkedin: http://aghatha.wordpress.com/aghatha_grupo_de_usuarios_ti/

---------

Aghatha Maxi Consulting www.aghatha.com.br / www.aghatha.com / http://aghatha.wordpress.com/ Maio/2011 - Todos os Direitos Reservados, O contedo deste material pode ser utilizado e/ou divulgado, desde que o autor e a fonte sejam citados.

Declarao e Preservao de Direitos: Todas as demais marcas, modelos, desenhos, nomes, incluindo o contedo integral deste artigo, so de propriedade de seus respectivos fabricantes, autores ou publicadores. O leitor est autorizado a fazer o uso interno e no comercial do contedo deste artigo, desde que mantidas as observaes de direitos autorais e mantidas as referencias a suas origens e identificao dos respectivos autores e proprietrios. Direitos de uso comerciais deste artigo so preservados e mantidos em nome exclusivo do autor e o leitor no est autorizado a utiliza-los, de forma integral ou parcial para usos e fins comercias e/ou em atividades que visem obteno de lucro ou benefcio comercial prprio ou a terceiros. Para a confeco deste artigo foram citadas e/ou utilizados os seguintes nomes, marcas e publicaes: COBIT 4.1, que de propriedade exclusiva ISACA Information Systems Audit and Control Association (www.isaca.org ) e IT Governance Institute (www.itgi.org), sendo Todos os direitos autorais reservados. Contedo Artigo - de propriedade exclusiva do Autor e de AGHATHA (http://www.aghatha.com.br / Http://www.aghatha.com ), sendo os direitos preservados todos os direitos autorais e explorao comercial. COSO, que de propriedade exclusiva Committee of Sponsoring Organizations of the Treadway Commission (COSO) (www.coso.org/), sendo Todos os direitos autorais reservados. ISO-IEC Standard - So de propriedade exclusiva do International Organization for Standardization (ISO) e International Electrotechnical Commission (IEC) (www.iso.org), sendo Todos os direitos autorais reservados. ITIL V-3 IT Infrastructure Library (www.itil-officialsite.com) que de propriedade e proteo exclusiva da Coroa Britanica (www.ogc.gov.uk) Office of Government Commerce (OGC) UK, sendo Todos os direitos autorais reservados. PCAOB propriedade exclusiva do Public Company Accounting Oversight Board (http://pcaobus.org/), sendo Todos os direitos autorais reservados. PMI / PMBOK propriedade exclusiva do Project Management Institute ( www.pmi.org/), sendo Todos os direitos autorais reservados

Fim Declaraes de Direitos de Copyright -- Fim Artigo

Aghatha Maxi Consulting www.aghatha.com.br / www.aghatha.com / http://aghatha.wordpress.com/ Maio/2011 - Todos os Direitos Reservados, O contedo deste material pode ser utilizado e/ou divulgado, desde que o autor e a fonte sejam citados.