Com o grande número de leis, normas e resoluções de órgãos e entidades de governos exigindo auditorias periódicas sobre controles internos, TI, balanços patrimoniais, esse serviço tem sido cada vez mais procurado por empresas de médio e grande porte.
Existem vários tipos de auditoria, mas para facilitar vou citar três grupos: A auditoria externa (independente), a auditoria interna, e a auditoria de conformidade.
O foco deste artigo é falar um pouco sobre a auditoria de controles de TI (tanto externa, interna ou de conformidade), assunto abordado no COBIT (processo ME2 do framework), e também na NBR ISO 27001 no item sobre auditorias internas do SGSI (sistema de gestão de segurança da informação).
O Cobit em seu processo ME2 (Monitorar e Avaliar Controles Internos) informa que “Estabelecer um programa de controles internos efetivo para TI requer um processo bem definido de monitoramento. Esse processo inclui o monitoramento, resultados de auto-avaliações, revisões de terceiros e comunicação de controles em não conformidade (através de relatórios de auditoria, por exemplo). Um dos principais benefícios do monitoramento de controles internos é prover garantias de que as operações são eficientes e efetivas, e em conformidade com leis e regulamentos aplicáveis.”
Já a ISO 27001 informa que as empresas devem “conduzir auditorias a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos de segurança:
a) obedecem aos requisitos da norma e à legislação pertinente ou regulamentos;
b) obedecem aos requisitos de segurança da informação identificadas;
c) são efetivamente implementados e mantidos;
d) e são executados conforme esperado.”
A auditoria geralmente possui 4 etapas: Planejamento e preparação, Execução da auditoria, Report de resultados e Plano de ação. Essas etapas tem como resultado alguns documentos de grande importância para a empresa, pois eles contem informações sobre os riscos encontrados e a avaliação desses riscos, os controles em conformidade ou não com normas, e recomendações de melhoria. Esses documentos são apresentados à área de TI e à administração da empresa.
Além do relatório de auditoria funcionar como um “mapa” que mostra a direção a ser tomada pela área de TI, ele serve como um guia para auxiliar a administração no planejamento estratégico, e na priorização de investimentos.
Após a auditoria é importante realizar follow-ups, ou seja, o acompanhamento periódico dos controles definidos e do plano de ação. O follow-up nada mais é do que uma auditoria de revisão, mas que é fundamental para dar continuidade ao processo. Uma observação pertinente sobre revisão é que todas as normas recomendam o follow-up.
Alguns dos benefícios trazidos pela auditoria de ti, como o conhecimento dos ativos de informação e seus riscos, e a facilidade de priorização de investimentos, são tão importantes para a tomada de decisão da empresa, que deveria ser realizada por todas as empresas, de todos os portes, e não somente por aquelas que têm obrigatoriedade por motivos de leis ou normas a serem atendidas.
*Fábio Soto é diretor da consultoria Andrade Soto.
Existem vários tipos de auditoria, mas para facilitar vou citar três grupos: A auditoria externa (independente), a auditoria interna, e a auditoria de conformidade.
O foco deste artigo é falar um pouco sobre a auditoria de controles de TI (tanto externa, interna ou de conformidade), assunto abordado no COBIT (processo ME2 do framework), e também na NBR ISO 27001 no item sobre auditorias internas do SGSI (sistema de gestão de segurança da informação).
O Cobit em seu processo ME2 (Monitorar e Avaliar Controles Internos) informa que “Estabelecer um programa de controles internos efetivo para TI requer um processo bem definido de monitoramento. Esse processo inclui o monitoramento, resultados de auto-avaliações, revisões de terceiros e comunicação de controles em não conformidade (através de relatórios de auditoria, por exemplo). Um dos principais benefícios do monitoramento de controles internos é prover garantias de que as operações são eficientes e efetivas, e em conformidade com leis e regulamentos aplicáveis.”
Já a ISO 27001 informa que as empresas devem “conduzir auditorias a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos de segurança:
a) obedecem aos requisitos da norma e à legislação pertinente ou regulamentos;
b) obedecem aos requisitos de segurança da informação identificadas;
c) são efetivamente implementados e mantidos;
d) e são executados conforme esperado.”
A auditoria geralmente possui 4 etapas: Planejamento e preparação, Execução da auditoria, Report de resultados e Plano de ação. Essas etapas tem como resultado alguns documentos de grande importância para a empresa, pois eles contem informações sobre os riscos encontrados e a avaliação desses riscos, os controles em conformidade ou não com normas, e recomendações de melhoria. Esses documentos são apresentados à área de TI e à administração da empresa.
Além do relatório de auditoria funcionar como um “mapa” que mostra a direção a ser tomada pela área de TI, ele serve como um guia para auxiliar a administração no planejamento estratégico, e na priorização de investimentos.
Após a auditoria é importante realizar follow-ups, ou seja, o acompanhamento periódico dos controles definidos e do plano de ação. O follow-up nada mais é do que uma auditoria de revisão, mas que é fundamental para dar continuidade ao processo. Uma observação pertinente sobre revisão é que todas as normas recomendam o follow-up.
Alguns dos benefícios trazidos pela auditoria de ti, como o conhecimento dos ativos de informação e seus riscos, e a facilidade de priorização de investimentos, são tão importantes para a tomada de decisão da empresa, que deveria ser realizada por todas as empresas, de todos os portes, e não somente por aquelas que têm obrigatoriedade por motivos de leis ou normas a serem atendidas.
*Fábio Soto é diretor da consultoria Andrade Soto.