| O CobiT sob uma perspectiva de Controle a Serviços e Processos | ||
 |
||
|
|
Um caso prático de utilização do CobiT para implementação de contoles, relatado pelo profissional Fábio José O CobiT, concebido pela ISACA com o objetivo de mensurar a maturidade dos controles, bem como, para avaliações de auditoria e Governança de TI, apresenta-se também adequado como ferramenta de analise e melhoria continua de serviços e processos, fornecendo ao gestor, acostumado a uma abordagem mais operacional, uma visão ampla do ambiente e interações onde o serviço acontece, bem como do posicionamento de determinado processo dentro da dinâmica de TI, obtendo uma base sólida de “o que” e “como” realizar gestão e melhorias de controles de forma a atender mais eficiente as ações de governança geradas e geridas pela diretoria de TI da companhia. Neste artigo é apresentado, de forma breve, um caso onde o CobiT a partir de um trabalho de avaliação de maturidade de processos realizados em determinada empresa, foram identificadas oportunidades de melhoria no processo: Instalação, Migração, Conversão e Plano de Aceite de Aplicativos e Software, (processo AI-07 ). Para isso foi constituído um “Time de Melhoria de Qualidade”, sendo o grupo formado por analistas de desenvolvimento de várias áreas, e liderado por um gestor de serviços da área de Suporte Técnico. Nota : Embora o uso do CobiT fosse normal para avaliação de maturidade, não fora usado até o momento, para o estabelecer e desenvolver soluções de melhoria aos controles de TI. Objetivo do Time O Time de Melhoria de Qualidade desenvolveu atividades e metodologia de documentação dos novos controles com o seguinte objetivo: • Aumento de maturidade da atividade e da qualidade das entregas no processo, • Formalizar e normatizar as atividades ligadas ao processo, • Divulgação e implantação da metodologia desenvolvida Metodologia de Trabalho Foi utilizada durante todo o desenvolvimento do projeto metodologia baseada em 6 Sigmas , com as seguintes fases : Medir – Explorar – Definir - Implantar - Controlar, de forma a gerir o projeto dentro de um ciclo lógico e dentro dos conceitos de sistemas de qualidade . Levantamento da Situação Atual No levantamento da situação atual, não foram encontrados subsídios que nos permitiram quantificar o desempenho atual dos processos por ausência de documentação, o que evidenciou o motivo da baixa maturidade verificada durante a fase de avaliação, e nos orientamos a registrar as situações encontradas a partir de determinado momento, mas sem fornecer parâmetros numéricos, ou seja, o levantamento foi realizado de modo qualitativo. Foram identificados os seguintes aspectos: • Ausência de metodologia formal correlacionada à Instalação, Migração, Conversão e Aceite de Sistemas; • Ausência de processo para gerenciamento de aderência a normas e padrões corporativos; • Falta de indicadores de Desempenho; • Processos de Instalação / Aprovação não estavam integrados no Ciclo de Vida do Sistema; • Planos de Treinamento, Testes, Transição para Produção e Aprovações não eram definidos adequadamente; • Inexistência de aplicação de testes de stress ou testes insuficientes Com as seguintes conseqüências • Produtos que não atendiam ao acordado ; • Re-trabalhos aos sistemas/produtos implantados em produção ; • Clientes Insatisfeitos ; • Usuários incapacitados a usar ou estavam sub-utilizando novos produtos/facilidades ; • Aumento de custo suporte técnico quando de implantação de novos produtos ; • Falta de registros/documentações para auditorias Analisando e Investigando Nesta fase, passamos a explorar o processo e realizamos aprofundamento nas causas-raízes da situação atual bem como iniciando a procura do caminho a ser seguido. Desde a primeira reunião do grupo a opção era de “não reinventar a roda”, aproveitando o máximo possível conhecimentos disponíveis no mercado , e , após as primeiras análises, foi proposto ao grupo que a base de conhecimento a ser utilizada fosse o CobiT, do qual nos utilizamos das versões 3.0 (processo AI-05) e 4.0, focando-se no processo AI-07. O CobiT até então era uma ferramenta utilizada apenas para mensurar o grau de adequacidade de controles, passou a ser nossa base para o desenvolvimento dos controles, por meio de muita discussão do grupo entre o “mundo desejável” e o “mundo real”, que foi benéfica a todos ajudando no perfeito alinhamento dos conceitos e práticas propostas : 1. O porquê da existência do processo de avaliação de maturidade e sua contribuição para a melhoria dos processos do dia a dia 2. O processo de controle como gerador de melhoria 3. A transformação dos pontos de controle em atividades operacionais do processo 4. Clareza do processo em análise, seus objetivos e interfaces com outros processos Construindo os Controles O inicio desta fase se deu pela utilização direta do CobiT e seu Objetivo de Controle de Alto Nível , de forma a definir claramente as expectativas do processo , Foram estabelecidas então as seguintes premissas com base no processo CobiT AI-07 Instalação, Migração, Conversão e Plano de Aceite de Aplicativos e Software: Controle sobre o processo de TI para Instalar e Aprovar soluções e mudanças Que satisfaça os requisitos de negócio de TI para Garantir que os Sistemas e Infra-estrutura trabalhem sem problemas depois de sua implantação Focando-se em Comprovar que as soluções estão conforme acordado e livres de erros, e planejar a liberação para produção Que se obtém com • Metodologia de testes, homologação e provas integradas ; • Planejamento para promoção de novos pacotes • Aprovação por parte da área de negócio afetada • Revisões pós implementação E se mede por • % de Aplicativos fora do ar por promoção a produção ou aplicação indevida de hot-fixes • % de Projetos documentados e com Plano de Teste aprovado • % Erros encontrados durante revisão de garantia da qualidade das funções de instalação e aprovações Objetivo dos Controles “O objetivo a ser alcançado com a solução de controles é a proteção do ambiente de produção e seus serviços , através do uso formal de procedimentos e verificações periódicas (checklist)” Definindo os Entregáveis A partir da base conceitual acima, a continua utilização do CobiT foi fundamental , garantindo que não houvesse perda de foco na estrutura do processo, gerando uma linha mestra a ser percorrida ,de forma a : • Estabelecer o consenso dos resultados esperados do processo • Traduzir as experiências e idéias dos membros do grupo em uma linguagem padronizada • Garantir compreensão do inter-relacionamento dos produtos recebidos (processos predecessores) e resultados entregues (processos recebedores) • Garantir que todas as atividades do processo estavam cobertas • Dirimir dúvidas se uma atividade sugerida deveria ou não fazer parte do processo em questão , ou a qual processo deveria a atividade pertencer • Identificar e Definir estrutura de responsabilidade ( RACI ) • Definir Fatores Críticos de Sucesso • Definição de métricas de acompanhamento e objetivos (KPI e KGI ) • Documentação a ser gerada e evidencia à auditorias • Recursos de TI a serem envolvidos no processo de geração do documento • Definir claramente escopo e expectativas sobre o processo • Inserir pontos de geração de evidencias para auditorias , pela geração de registro durante o uso do documento no processo indicado O Relatório de Acompanhamento O relatório entregue no final de cada fase crítica do processo se estrutura de forma a que o operador perceba que em qual tarefa do processo em que esta envolvido, ao mesmo tempo que possui características e necessidades próprias ( fatores críticos de sucesso , métricas , responsáveis , etc. ), faz parte de um contexto maior , e que o seu correto cumprimento garantirá que a tarefa seguinte já foi iniciada em condições apropriadas . Treinamento dos Envolvidos O Grupo de usuários envolvidos no processo, foram treinados de forma estruturada, a semelhança de qualquer projeto de desenvolvimento, manutenção ou implantação de sistemas de informação. Implantado e Monitorando O processo de implantação se deu a partir de : • Analise e aprovação por parte da alta direção de TI da metodologia proposta; • Reuniões com os Lideres de Equipe, de forma a obter o comprometimento necessário; • Treinamentos para os usuários das metodologias; • Definição da equipe de suporte a metodologia durante o tempo de implantação. O período de uso assistido da metodologia foi definido em 12 meses , os quais terminam em agosto de 2008 , durante os quais a equipe que desenvolveu a metodologia será responsável pelo suporte , uso da metodologia , ajustes e melhorias necessárias , bem como divulgação dos Indicadores de Performance (KPI) do processo. Findo este tempo, um Indicador de Meta (KGI) será definido para o próximo período, e um novo responsável pelo processo indicado. Como escopo inicial, estão sendo controladas as alterações classificadas como criticas, seja devido ao impacto causado no negócio, quanto ao número total de usuários envolvidos, e dentro de escopo estamos com 100 % de uso da metodologia e geração dos devidos registros. Após os primeiros 12 meses, o uso da metodologia será estendido para todas as manutenções de sistemas, independente de sua classificação de criticidade. Conclusão A utilização do CobiT , alem de ter suportado o desenvolvimento da metodologia , forneceu subsídios para durante o uso deste framework no dia a dia sejam gerados automaticamente os documentos de controle e registro do processo, garantindo tanto o estudo de lições aprendidas quanto o atendimento de evidencias em auditorias. O CobiT, em apoio as práticas e normas como ITIL, ISO 20000, etc. , vem ampliar e fortalecer o leque de ferramentas a disposição do Gestor de Serviços em sua tarefa de prestar um serviço de qualidade, custo compatível, dentro dos requisitos do negócio, mantendo um ciclo de melhoria continua e garantindo os devidos registros para eventuais auditorias. Fábio José Usuário do Portal http://www.isaca.org.br e especialista em Gestão de Serviços de Service Desk e Helpdesk, Certificado em :CobiT Foundations, ITIL Practitioner, ISO 20000 Foundations e ITIL V3 Foundations e-mail : fabiojpl@ig.com.br |
O CobiT sob uma perspectiva de Controle a Serviços e Processos
© Copyright 2010 Fábio José Pereira Lima & ISACA Chapter SP
© Copyright 2010 Fábio José Pereira Lima & ISACA Chapter SP
Fotos