Auditoria em um processo de Gestão de Mudanças em ambientes de TI

Essa publicação será pequena e bem direta ao ponto, voltada principalmente para um público “não TI”. Mas, antes de falarmos sobre o que você deve avaliar em uma auditoria e testar em termos de controles em um processo de gestão de mudanças (ou “GMUD”), precisamos assegurar que todos os leitores sabem do que estamos falando.

Podemos dizer que gestão de mudanças é um processo que busca assegurar que as alterações realizadas em sistemas sejam implementadas de forma controlada, para minimizar os riscos de impactos negativos nas operações de negócio. Isso inclui o gerenciamento de todas as etapas da mudança, desde o planejamento até a autorização para implementação e testes, passando pela avaliação e aprovação da mudança.

Em termos de ITGC (IT General Controls, ou Controles Gerais de TI), a gestão de mudanças é um conjunto de controles projetados para assegurar que as alterações nos sistemas de TI sejam realizadas de forma segura e controlada, minimizando o risco de erros e problemas durante o processo. Isso inclui controles para garantir que todas as mudanças sejam adequadamente planejadas e testadas antes da implementação, que haja segregação de funções entre as equipes de desenvolvimento e produção, e que haja mecanismos de revisão e aprovação das mudanças pelos responsáveis.

Já ao pensar em regulação, não tem como fugir, é mandatório de acordo com vários órgãos, desde o Banco Central do Brasil, CVM, PCI, B3, entre outros. Claro, também das práticas mínimas de segurança da informação (veja a ISO 27001, por exemplo). Isso significa que processos de gestão de mudanças estabelecidos e em funcionamento é o que você deve esperar em um ambiente de tecnologia. Se sua empresa não tem e, pior ainda, se você é uma empresa que atua em um mercado regulado (saúde, financeiro, SOX etc), lamento dizer, mas você está correndo sérios riscos, inclusive de descumprimentos regulatórios.

O que verificar em uma auditoria do processo de Gestão de Mudanças

É importante lembrar que os testes listados aqui não devem ser vistos como exaustivos e únicos, eles devem ser avaliados e adaptados de acordo com as necessidades e características específicas da sua empresa. Mais três avisos:

  • Você não deve colocar esses itens em uma checklist e sair fazendo sem entender cada um deles, o significado, o risco que endereça, etc. Não há uma “bala de prata” ou uma “receita de bolo pronta”, não se engane.
    .
  • É preciso ter evidências, se não tem como evidenciar um controle, não há como você considerar que exista.
    .
  • Estudar, estudar e estudar. O conhecimento é algo que ninguém te tira. Conte comigo para esclarecer dúvidas ou direcionar materiais caso queira se aprofundar na temática.

Agora que vimos o básico sobre o que é gestão de mudanças e a sua finalidade, vamos aos itens mínimos que você deve observar em uma auditoria ou avaliação de controles que for conduzir:

  1. Verificar se há um processo de gestão de mudanças documentado e se este processo é seguido de maneira consistente.
    .
  2. Verificar se há um histórico de todas as mudanças realizadas no sistema, incluindo informações sobre o que foi alterado, quem solicitou a mudança, quem aprovou a mudança etc.
    .
  3. Verificar se há algum controle de versão de software em utilização (Git, CVS, Subversion, Mercurial, TFS, etc).
    .
  4. Verificar se todas as mudanças são registradas e documentadas de forma completa e precisa.
    .
  5. Verificar se há um processo para testar as mudanças antes de serem implementadas no ambiente de produção.
    .
  6. Verificar se há uma avaliação de impacto das mudanças realizada antes da implementação.
    .
  7. Verificar se há uma verificação de regressão realizada após a implementação de uma mudança.
    .
  8. Verificar se há um processo de reversão (rollback) de mudanças que resultam em problemas ou falhas no sistema documentado e se este processo é seguido.
    .
  9. Verificar se há um processo para monitorar as mudanças após a implementação para garantir que elas foram realizadas corretamente e que não houve impactos negativos no sistema.
    .
  10. Verificar se há uma revisão pós-implantação realizada para avaliar o sucesso da mudança e identificar oportunidades de melhoria.
    .
  11. Verificar se há uma comunicação eficiente das mudanças para todas as partes interessadas, incluindo os usuários finais.
    .
  12. Verificar se há treinamento adequado fornecido para os usuários finais antes da implementação de uma mudança.
    .
  13. Verificar se há um processo para comunicar as mudanças aos usuários e garantir que eles estejam cientes das alterações no sistema.
    .
  14. Verificar se há um processo de aprovação de mudanças documentado e se este processo é seguido.
    .
  15. Verificar se há um processo de gerenciamento de conflitos de mudanças documentado e se este processo é seguido.
    .
  16. Verificar se há uma política de backup, recuperação de mudanças e testes de integridade dos backups para casos de problemas ou falhas no sistema.

Obviamente, cada empresa possui uma realidade, limitações de recursos (humanos ou financeiros), priorizações equivocadas, entre outras situações.

Portanto, esses são apenas alguns exemplos de testes que você pode realizar quando se pensa em avaliar um processo de gestão de mudanças em um ambiente de tecnologia.

Espero que esse conteúdo possa te ajudar em suas atividades profissionais ou em seus estudos. Fique à vontade para comentar aqui embaixo 👇 ou entrar em contato diretamente comigo caso precise tirar alguma dúvida ou algo assim.

 

2 comentários SobreAuditoria em um processo de Gestão de Mudanças em ambientes de TI

  • Parabéns Tiago, pelo artigo. Venho implantando processo de mudança em um órgão no Governo Estadual e tenho várias dificuldades para mudar a cultura dos envolvidos. Desda falhas no repasse da informação, na participação dos interessados, enfim, é uma labuta a cada reunião. Mas seguimos firmes para a mudança de cultura.

    • Olá Henrique,
      Fico feliz que tenha gostado do artigo. Procurei escrevê-lo de uma forma bem prática, focando no que precisamos observar em uma avaliação desse tipo.
      O grande desafio, que é constante, é a criação e a manutenção de uma cultura de controles, com as linhas de “defesa” se conversando e fazendo toda a máquina funcionar.
      Espero que dê tudo certo por aí.
      Qualquer coisa, só falar.
      Abraços!

Deixe uma resposta:

Seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.