Auditoria em um processo de Gestão
de Mudanças em ambientes de TI
AUDITORIA, TI
Auditoria em um processo de Gestão de Mudanças em ambientes de TI
Esta publicação será curta e direta, destinada principalmente ao público que não tem conhecimento em Tecnologia da Informação. No entanto, antes de falarmos sobre o que deve ser avaliado e testado em termos de controles durante um processo de Gerenciamento de Mudanças (GMUD), precisamos garantir que todos os leitores saibam do que estamos falando.
Podemos dizer que o Gerenciamento de Mudança é um processo destinado a assegurar que as alterações feitas em sistemas sejam implementadas de forma controlada, reduzindo os riscos de impactos negativos na operação do negócio. Isso inclui o gerenciamento de todas as etapas de mudança, desde o planejamento até a autorização para implementação e testes, passando pela avaliação e aprovação da mudança.
Em relação aos ITGC (Controles Gerais de TI), a gestão de mudanças é um conjunto de mecanismos criados para assegurar que as modificações nos sistemas de TI sejam realizadas de maneira segura e controlada, evitando assim possíveis erros e problemas durante o processo. Isso inclui controles para garantir que todas as transformações sejam devidamente planejadas e testadas antes da implementação, que haja divisão de funções entre os times de desenvolvimento e produção, e que haja procedimentos de verificação e aprovação das mudanças pelos responsáveis.
Falando em regulamentação, é imprescindível respeitar as normas de vários órgãos, como o Banco Central, CVM, PCI e B3. Além disso, as práticas mínimas de segurança da informação (veja a ISO 27001, por exemplo), também devem ser seguidas. Portanto, o que você deve esperar em um ambiente de tecnologia são processos de gestão de mudanças estabelecidos e em funcionamento. Se sua empresa não os possui e, pior ainda, se você atua em um mercado regulado (saúde, financeiro, SOX etc.), você está correndo sérios riscos, inclusive de descumprimento regulatório.
O que verificar em uma auditoria do processo de Gestão de Mudanças
É essencial lembrar que os testes aqui apresentados não devem ser considerados exaustivos e únicos, eles devem ser examinados e adaptados para atender às necessidades e particularidades da sua empresa. Além disso, algumas observações importantes:
- Não faça uma lista de verificação e execute-a sem entender cada um destes itens, seu significado e o risco que implicam;
- Evite a procura por uma “panaceia” ou uma “receita pronta”; busque o conhecimento, pois nada pode substituí-lo.
- Por fim, tenha em mente que durante uma auditoria ou avaliação de controles você deve observar alguns itens mínimos.
- Verificar se existe um processo documentado de gestão de mudanças e se é seguido de forma consistente;
Se todas as mudanças estão sendo registradas e documentadas de maneira completa e precisa; se existe algum controle de versão de software em utilização (Git, CVS, Subversion, Mercurial, TFS, etc.);
- Se há um processo para testar as mudanças antes da implementação no ambiente de produção;
- Se há uma avaliação de impacto das mudanças antes da implementação;
- E se há uma verificação de regressão realizada após a implementação de uma mudança.
- Verificar se há um processo de reversão de mudanças documentado e se este processo está sendo seguido para evitar problemas ou falhas no sistema;
- Verificar se existem ferramentas ou mecanismos para monitorar as mudanças após a implementação para garantir que elas foram realizadas corretamente e que não houve impactos negativos no sistema;
- Verificar se há uma revisão pós-implantação para avaliar o sucesso da mudança e identificar oportunidades de melhoria.
É importante lembrar que cada empresa possui limitações únicas, então esses são apenas alguns exemplos de testes que você pode realizar quando se pensa em avaliar um processo de gestão de mudanças em um ambiente de tecnologia.
TGN Brasil – Representante Premium das Soluções SoftExpert Excellence Suite. Entre em contato
Continue lendo:
Relatório de Não Conformidade: para que serve e como fazer
Em um mercado cada vez mais competitivo, garantir a qualidade...
Leia maisO que é Gestão de Recursos e Como Melhorá-la na Sua Empresa
Em um mercado cada vez mais competitivo, garantir a qualidade...
Leia maisMétodo A3: O Guia Definitivo para Resolver Problemas de Forma Eficiente
Em um mercado cada vez mais competitivo, garantir a qualidade...
Leia mais