COMO FORMATAR E ORGANIZAR A DOCUMENTAÇÃO DE PROCESSOS DE BOAS PRÁTICAS– ISO-27.002 / ISO-20.000 / COBIT / ITIL-V3.
Após a decisão em adotar algum padrão ou recomendações tais como (ISO/IEC-27.002, ISO/IEC-20.000, ITIL, COBIT, COSO e tantos outros existentes, surge a pergunta: COMO COLOCAR EM PRÁTICA AS AÇÕES NECESSÁRIAS?,
Depois de alguns anos chegamos a um modelo que é bastante efetivo em termos de conteúdo e praticidade para formalização de processos e controles.
Embora existam normas especificas de qualidade que contemplam recomendações e práticas neste sentido, há necessidade de fazermos algumas adaptações para implantar boas práticas relacionadas à Tecnologia da Informação, as quais passaremos a abordar. O nosso leitor poderá adotar ou não estas sugestões, mas vamos procurar explanar o que elas representam e porque são recomendadas.
1 – A Estrutura Hierárquica da Documentação.
Primeiramente é necessário definir a estrutura a ser seguida na organização dos documentos, lembrando que é necessário contemplar nesta estrutura todos os escalões hierárquicos existentes na organização e lhes referenciando a cada um os tipos de documentos sob sua responsabilidade organizacional ou institucional. Vejamos um exemplo na figura abaixo:
Politicas: Estabelecer o nível estratégico a ser cumprido na adoção das melhores práticas. É atribuída pelo nível diretivo das organizações e estabelece as diretrizes gerais a serem observadas por todos.
Normas: Estabelecer o nível tático e estabelece as regras a que as áreas operacionais deverão observar para o cumprimento das diretrizes ditadas pelas políticas. É atribuída aos gerentes e gestores das áreas envolvidas em cada prática ou modelo que será adotado.
Procedimentos: Estabelecer o nível operacional e estabelece o “como será feito!”, descrevendo passo a passo as atividades, responsáveis, evidências a serem produzidas, e ainda em um segundo momento, poderão ser adotadas métricas que possibilitem a medida de eficiência e de nível de serviço obtido pelo processo.
Controles e Métricas: Estabelece o “Entregável ou Evidencia física da execução do Processo”, ou seja, o processo de fato foi executado, quando ao final de seu ciclo, o usuário tenha produzido o controle ou a evidencia nele instituído.
Pode-se ainda vincular métricas ou indicadores de controle para medir a efetividade do procedimento, e dependendo do resultado ser favorável ou não, identificar a necessidade de melhorias ou ajustes no processo até que o índice desejado seja atingido.(Assim se estabelece o ciclo de melhoria contínua dos processos).
2 – A Estrutura Física dos Documentos
Uma vez estabelecido à estrutura hierárquica da documentação, e o seu endereçamento nas escalas de comando da companhia, passamos a estabelecer o conteúdo físico de cada tipo de documento, cada um estabelecendo o conteúdo a ele determinado na estrutura hierárquica da documentação (Item 1).
Na figura abaixo, exemplificamos um modelo de documento muito fácil de ser entendido e ao mesmo tempo bastante completo em termos de conteúdo e formato de apresentação.
2.1 – Composições de Estrutura Comum (Politicas, Normas e Procedimentos).
Tipo de Documento: é recomendado que o documento possua uma indicação claramente visível que identifique ao leitor o tipo de documento (ex. Politica, Norma, Procedimento, Controle, Instrução Técnica, entre outros).
Cabeçalho / Identificação: Deve haver um quadro incluindo as informações relacionadas a identificação do documento, tais como Título/Descrição do Documento, Identificação, Versão, Data emissão, data de Inicio Vigência, Data de fim da vigência, e data prevista para a sua próxima revisão, responsáveis, classificação de sigilo, áreas responsáveis.
Objetivo do Documento: Descrever de forma clara o objetivo do documento, ou o proposito desejado do documento.
Abrangência/Aplicação: Descrever ao leitor qual é a abrangência de uso do documento, se é um documento de uso corporativo, aplicável a apenas uma Unidade, departamento ou a um grupo de pessoas. A informação deve ser clara ao leitor quando ele puder ser identificado no grupo de pessoas que deve ou não cumprir o que está estabelecido no documento.
Terminologia: Identificar os termos técnicos não usuais e o seu significado através de uma descrição clara e preferencialmente não técnica, e que possa ser entendido por pessoas leigas em relação ao termo técnico, siglas ou palavras em outros idiomas.
2.1.1 – Composições Especificas (Descrição de Politicas).
Descrição das Diretrizes: Identificar o conteúdo detalhado das Diretrizes forma mais detalhada e clara possível.
Sugerimos adotar o formato de uma tabela, contendo em cada coluna as informações requeridas em cada Diretriz, sendo no mínimo: Numero sequencial, descrição ou enunciado das Diretrizes a serem seguidas e um campo para Observações e informações complementares. Ex:
Descrição das Diretrizes de Uma Politica:
Seq | Diretrizes | Observações |
1 | As entradas e Saídas de Colaboradores nas dependências da organização deverão ser controladas através de identificação funcional padrão. | São considerados colaboradores, todos os níveis hierárquicos da Organização, incluindo Diretores, Gerentes, Supervisores, colaboradores e estagiários. |
2.1.2 – Composições Especificas (Descrição de Normas).
Descrição das Normas: Identificar o conteúdo detalhado das normas a serem seguidas para a aplicação das Diretrizes, estabelecendo regras na forma mais detalhada e clara possível..
Sugerimos adotar o formato de uma tabela, contendo em cada coluna as informações requeridas em cada Regra, sendo no mínimo: Numero sequencial, descrição ou enunciado das Regras a serem seguidas e Observações. Ex:
Descrição das Regras de uma Norma:
Seq | Regras | Observações |
1 | Todos os colaboradores da organização serão identificados através de identidades funcionais, seguindo o modelo padrão da companhia. | São considerados colaboradores, todos os níveis hierárquicos da Organização, incluindo Diretores, Gerentes, Supervisores, colaboradores e estagiários. |
2 | As identidades funcionais devem ser providenciadas pela Área de RH e entregues no primeiro dia de trabalho. Os colaboradores que ainda não possuem a identidade funcional deverão receber a sua identificação até 30 dias da data de inicio de vigência desta norma. | |
3 | Os colaboradores deverão apresentar as suas identidades funcionais na portaria nas ocasiões de movimentação de entrada e saídas das dependências da organização. | O procedimento de entrada e saída identificadas entrará em vigora 30 dias após a data de inicio de vigência desta norma |
4 | Nos casos de perdas e extravio o colaborador deve reportar formalmente o fato a Área de RH, para que seja providenciada a emissão de nova identidade funcional. |
2.1.3 – Composições Especificas (Descrição de Procedimentos).
Descrição do Processo: Identificar o conteúdo detalhado do Procedimento na forma mais detalhada e clara possível..
Sugerimos adotar o formato de uma tabela, contendo em cada coluna as informações requeridas em cada atividade, sendo no mínimo: Numero sequencial, descrição da Atividade e Observações, podendo-se ainda incluir campos adicionais e facultativos, tais como, a Identificação do Responsável (Quem?) as situação ou condição de execução da atividade (Quando?). Quanto mais informações, mais completo será o conteúdo do processo e mais demorado e complexo será a sua confecção, isto posto, sugerimos iniciar com modelos mais simplificados e complementando campos adicionais na medida em que se fizerem necessários. Ex:
Descrição das Atividades de um Procedimento (Procedimento de Entrada e Saída na Portaria de Pedestres):
Seq | Descrição Atividade | Observações | Quem? | Quando? |
1 | Verificar a identificação do colaborador na ocasião de entrada do colaborador. | Modelo Identificação MOD-001 – Identidade Funcional | Vigilante | No momento de entrada e saída dos colaboradores na empresa |
2 | A identidade funcional do colaborador é valida? | N.A. | Vigilante | N.A. |
3 | Caso Positivo:Liberar o acesso ao colaborador | N.A. | Vigilante | N.A. |
4 | Caso Negativo:Encaminhar o colaborador ao RH, para que seja providenciada emissão de nova identidade funcional / Identidade provisória. | N.A. | Vigilante | N.A. |
2.1.3 – Composições Comuns (Campos de Controle dos Documentos).
No Item 2.1 e seus subitens tratamos as partes específicas de cada documento, informando as variações de conteúdo dependendo de cada tipo de documento (Politica, Norma ou Procedimento). Após esta parte, o documento pode ser padronizado nas questões de controle e referencias.
Sugerimos incluir após a parte especifica os seguintes campos de controle.
Documentos Referenciados /Anexos: Identificar ao leitor a relação de documentos relacionados, por Exemplo, identificar em uma política quais normas está a ela subordinada, identificar em uma norma quais procedimentos a ela estão subordinados, e etc..
Este tipo de informação dá ao leitor informações de referencia entre os documentos, uma vez que a Politica gerou uma determinada norma, e esta gera uma determinada relação de procedimentos, desdobrando uma Diretriz em Regras e esta em um ou mais procedimentos.
Pode-se ainda desenhar graficamente os processos através de fluxos das atividades demonstrando as atividades passo-a-passo e facilitando em muito o entendimento do processo. (Politicas e Normas não possuem Fluxogramas), mas podem conter desenhos esquemáticos que facilitem o entendimento dos objetivos das mesmas.
Classificação da Informação: Nos casos onde as organizações possuem politicas de segurança da informação é importante identificar nos documentos a sua classificação de segurança (Documento de Uso Interno, Documento Confidencial, Documento Restrito a um determinado Grupo de Pessoas).
Controle de Aprovação / Revisão: Tabela contendo a identificação dos responsáveis pela aprovação e revisão do documento, local para assinatura e data dos responsáveis, e identificação de contato.
Anexos: Convém incluir toda e qualquer informação adicional, modelos e templates necessários para a execução ou entendimento como anexo ao final do documento. Recomendamos enumerar os anexos e referencia-los no corpo do documento para facilitar a navegação e leitura.
3 – Controles da Documentação.
3.1 – Lista de Documentos e Controle de Revisão.
Na medida em que os documentos sejam confeccionados é recomendado que sejam apontados em um controle destinado a relacionar os documentos vigentes, em revisão, revogados, e a identificação do documento, Numero de sua versão, Identificação de seus responsáveis, data de inicio de vigência, data de fim da vigência e data prevista para a sua próxima revisão, resumo de revisões realizadas identificando o que mudou entre uma versão e outra.
Regularmente recomendamos a verificação deste controle, com a finalidade de promover as revisões periódicas de conteúdo e de aplicação de melhorias nos processos, sendo que pelo menos 30 dias antes da data de vencimento da data prevista para a revisão, o responsável pela documentação deve enviar uma notificação de revisão ao responsável para que o documento seja revisado até a data do seu aniversário.
As boas práticas determinam que a documentação deva ser revisada pelo menos uma vez a cada ano, e não é incomum encontrar documentos com mais de 10 anos de vigência e com 30 ou 40 revisões, ou seja, um processo é uma entidade com vida própria e está em constante evolução. Não existe processo perfeito e ele sempre poderá ser melhorado, simplificado, apoiado por aplicações automatizadas, e assim por diante.
3.2 – Visões de Hierarquia entre os documentos (Mapa de Processos).
Com o acumulo de práticas a serem adotadas e a quantidade de documentos que se fazem necessários confeccionar para atender as boas práticas, há alguns anos atrás montamos uma visão hierárquica dos documentos, isto facilita em muito o controle e visão holística dos processos (A mesma visão da Pirâmide demonstrada no item 1, com um organograma dos documentos demonstrando as suas dependências e relações mutuas).
A seguir ilustraremos um modelo, para quem estiver interessado em seguir.
4 – Mapa Geral de Processos – Compliance Norma ISO-IEC-27002 – Gerenciamento de Segurança da Informação
Modelo acima representa o Mapa Geral de Politicas, Normas e Procedimentos requeridos para a Implantação de Politica de Segurança da Informação, conforme as recomendações da Norma ISO-27.002.
Framework Compliance Norma ISO-27002, Veja mais informações em:
- Post
- http://aghatha.com/index.php/framework-de-processos-e-controles-para-o-compliance-de-ti-norma-iso-27001-iso-27002-seguranca-da-informacao-release-02-01-a.html
- https://aghatha.wordpress.com/2011/05/22/compliance-de-processos-norma-isoiec-27-002-gerenciamento-de-seguranca-informacao/ – SUGESTÃO DE ESTRATÉGIA – ADOÇÃO DAS RECOMENDAÇÕES DA NORMA ISO-27.002 – SEGURANÇA DA INFORMAÇÃO
- Link de Licenciamento em nossa Webstore
- https://aghatha.wordpress.com/2012/12/04/aghatha-framework-licenca-uso-perpetua-modelos-aplicacao-norma-iso-iec-270022005-seguranca-informacao-r02-01a/
5 – Mapa Geral de Processos – Compliance COBIT – Governança TI e Sarbanes Oxley Compliance
Modelo acima representa o Mapa Geral de Politicas, Normas e Procedimentos requeridos para a Implantação da Governança de TI e Sarbanes Oxley Compliance, conforme as recomendações do COBIT, PCAOB e Norma de Segurança e Modelos de Gerenciamento de Serviços ITIL-V3.
Veja em nosso outro artigo, como desenhar fluxograma de processos de negócio, em:
—-
———-
· Download do conteúdo deste Artigo :
O Conteúdo deste artigo está disponível para download no formato Arquivo (PDF) na pagina Free Whitepaper publicada em nosso site
www.AGHATHA.com , acessando a pagina : http://aghatha.com/index.php/whitepapers.html , você poderá realizar o download do mesmo gratuitamente.
Faça-nos uma visita, caso opte por assinar a Nossa Newsletter, você passará a receber avisos de atualizações e ampliações do conteúdo deste artigo e/ou comunicados sobre a publicação de outros artigos relacionados com este mesmo assunto.
———-
-
Visite nossa Webstore :
Economize centenas de horas com a realização de levantamentos, definição, documentação e organização de processos e controles em Tecnologia da Informação.
Agora é possivel obter suites contendo modelos pré-definidos, integrados e prontos para utilização / implementação e contruídos em conformidade com as regras e requisitos estabelecidos nos diversos padrões de compliance em TI.
-
AGHATHA Framework – Compliance Norma ISO-27002
-
AGHATHA Services – Serviços Suporte Técnico e Consultoria Técnica Sob Demanda.
http://aghatha.com/index.php/servico-consultoria-suporte-tecnico-compliance-ti-nao-presencial.html
———-
-
Framework de processos e controles para o Compliance de TI.
Convidamos a conhecer nosso Framework de Processos e Controles para o Compliance de TI aos Padrões e Recomendações para o Compliance SOX, ISO-27.001/2, ISO-20.000:1/2, COBIT, ITIL V3, PMI.
Nele, você poderá ver alguns exemplos de como é possível descrever processos complexos com a adoção de 4 camadas sucessivas de detalhamento, sendo o nível # 1 a visão mais alta e o nível # 4 o nível mais detalhado do processo (Drill-Down de detalhamento de processos em camadas).
Ou ainda, Leia mais sobre este mesmo assunto, em nossos POSTs.
Framework Compliance Norma ISO-27002
- Post
- http://aghatha.com/index.php/framework-de-processos-e-controles-para-o-compliance-de-ti-norma-iso-27001-iso-27002-seguranca-da-informacao-release-02-01-a.html
- Link de Licenciamento em nossa Webstore
- https://aghatha.wordpress.com/2012/12/04/aghatha-framework-licenca-uso-perpetua-modelos-aplicacao-norma-iso-iec-270022005-seguranca-informacao-r02-01a/
———-
—- Fim Conteúdo Artigo —-
Agradecimentos e Convites:
As informações e comentários existentes neste artigo são o fruto de observações e experiências adquiridas pelo autor durante a execução de projetos ao longo de 30 anos de atuação no mercado. Utilizamos este espaço para a divulgação e intercâmbio destes conhecimentos junto aos nossos leitores, clientes e amigos.
Caso você tenha alguma dúvida ou necessidade de informações adicionais para o seu entendimento ou aplicação, entre em contato conosco através do e-mail abaixo.
Abraço e Felicidades a Todos,
Eurico Haan de Oliveira
http://www.aghatha.com/index.htm
Siga-nos pelo Twiter, e receba comunicados de novos artigos e/ou revisões deste texto.
- Convidamos a participar de nossos Grupos de Discussão no Linkedin: https://aghatha.wordpress.com/aghatha_grupo_de_usuarios_ti/
———
Apresentação AGHATHA Framework – Norma ISO-27001:2/2005.
———
———
Declaração e Preservação de Direitos:
Todas as demais marcas, modelos, desenhos, nomes, incluindo o conteúdo integral deste artigo, são de propriedade de seus respectivos fabricantes, autores ou publicadores.
O leitor está autorizado a fazer o uso interno e não comercial do conteúdo deste artigo, desde que mantidas as observações de direitos autorais e mantidas as referencias a suas origens e identificação dos respectivos autores e proprietários.
Direitos de uso comerciais deste artigo são preservados e mantidos em nome exclusivo do autor e o leitor não está autorizado a utiliza-los, de forma integral ou parcial para usos e fins comercias e/ou em atividades que visem à obtenção de lucro ou benefício comercial próprio ou a terceiros.
This work is licensed under a Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 3.0 Unported License.
Para a confecção deste artigo foram citadas e/ou utilizados os seguintes nomes, marcas e publicações:
- COBIT ® 4.1, que é de propriedade exclusiva ISACA – Information Systems Audit and Control Association (www.isaca.org ) e IT Governance Institute™ (www.itgi.org), sendo Todos os direitos autorais reservados.
- Conteúdo Artigo – é de propriedade exclusiva do Autor e de AGHATHA (http://www.aghatha.com/index.htm / Http://www.aghatha.com ), sendo os direitos preservados todos os direitos autorais e exploração comercial.
- COSO®, que é de propriedade exclusiva Committee of Sponsoring Organizations of the Treadway Commission (COSO)™ (www.coso.org/), sendo Todos os direitos autorais reservados.
- ISO-IEC® Standard – São de propriedade exclusiva do International Organization for Standardization (ISO®) e International Electrotechnical Commission (IEC®) (www.iso.org), sendo Todos os direitos autorais reservados.
- ITIL V-3 ® – IT Infrastructure Library® (www.itil-officialsite.com) que é de propriedade e proteção exclusiva da Coroa Britanica (www.ogc.gov.uk) – Office of Government Commerce (OGC) – UK, sendo Todos os direitos autorais reservados.
- PCAOB ® é propriedade exclusiva do Public Company Accounting Oversight Board – (http://pcaobus.org/), sendo Todos os direitos autorais reservados.
- PMI ® / PMBOK ® propriedade exclusiva do Project Management Institute ( www.pmi.org/), sendo Todos os direitos autorais reservados
– Fim Declarações de Direitos de Copyright —
— Fim Artigo