Como passar numa auditoria de TIC sem problemas

A área de TIC (tecnologia da informação e comunicação) sempre está em auditoria. Quando não em uma auditoria de TIC especifica, ela está envolvida numa auditoria da área de negócios. Quando não existem observações sobre não-conformidade de processos e controles, a auditoria é encerrada sem alardes. Entretanto, se identificada alguma não-conformidade, o desgaste é gigantesco. São necessárias horas e horas de elaboração de justificativas, argumentações, novos testes e reuniões intermináveis na tentativa de convencer os auditores que o risco da não-conformidade é pequeno. O melhor investimento é garantir que não haja problemas de conformidade.

Apesar do objetivo principal não seja a auditoria e sim usar processos robustos de planejamento e controle, não podemos negar que a auditoria exerce uma forte influência na implantação de processos nas áreas. Olhando pelo viés de priorizar atividades, utilizar os mapas de auditoria é uma forma de balizar os recursos e investimentos na área.

Os conceitos e objetivos das auditorias devem ser conhecidos por todos da organização. Os membros da equipe devem ser instruídos sobre que tipo de informação cada um tem competência para passar ao auditor. As mensagens devem ser únicas e não podem depender de opiniões individuais dos membros da equipe.

As auditorias de TIC são baseadas no framework de governança de TI CobIT. O CobIT orienta sobre as melhores práticas de gestão para cada área da organização de TI. Entretanto, não descreve detalhadamente os procedimentos, mesmo porque cada organização tem suas próprias características. O CobIT possui quatro quadrantes básicos: Planejamento e Organização; Aquisição e Implementação; Entrega e Suporte; e, Controle e Avaliação. O investimento em processo e controle de mudanças para implantar o CobIT não é insignificante. Para acelerar o projeto é recomendável contratar ajudar externa.

Normalmente, as auditorias de TIC avaliam o desempenho e conformidade da área nos seguintes pontos de controle: alinhamento de TIC com os objetivos de negócio; controle e segurança da infra-estrutura, incluindo o datacenter; controle e segurança lógica; controles nos sistemas que estão em produção; e, o processo e controles no desenvolvimento de sistemas.

Para garantir o alinhamento de TIC a melhor forma é ter os problemas dentro do BSC – Balance Scorecard – da empresa. Isso além de garantir que os investimentos de TIC estão alinhados e ter os recursos necessários para implantar os projetos, reduz o esforço do desenvolvimento do Planejamento Estratégico de TIC.

O controle e a segurança física da infra-estrutura de TIC são importantes para garantir a base de processamento das informações. Itens como planejamento de capacidade, acesso físico a equipamento críticos e inventários de hardware e software são alvo constantes de auditorias. Essa analise é importante para verificar o domínio da equipe de TIC na gestão dos ativos e sua capacidade de gestão de operação.

O controle e segurança lógica das informações é um dos itens mais críticos na área de TIC. Pequenos descuidos na configuração do ambiente ou falhas nos controles podem levar a resultados desastrosos para a organização. O ponto de controle mais suscetível a falhas é o controle de acesso ao sistema: renovação de senhas; falta de cancelamento de acesso de funcionários ou terceiros que deixaram a empresa; falta de evidências que os relatórios de acompanhamento estão sendo monitorados; funcionários com excesso de privilégios de acessos; entre outros. Nesse item as atenções devem ser redobradas.

Os sistemas que estão em produção são alvo de auditorias para avaliar se estão funcionando da forma que foram projetados. O principal ponto de controle nessa área é como são realizadas as alterações no sistema. Para evitar códigos maliciosos ou alterações que possam comprometer a integridade das informações é necessário um processo robusto de controle de mudanças. O processo deve conter pontos de análise e autorizações antes de uma alteração ser efetivada em produção. O ritual deve ser rígido e sem exceções. As situações de emergência devem ser contempladas no processo.

A auditoria no desenvolvimento de sistema analisa a metodologia utilizada para análise de requisitos, as fases de desenvolvimento e testes, o treinamento dos usuários, o planejamento de implantação, a capacitação dos gerentes e analistas, os investimentos planejados versus o realizado, entre outros. A área de TIC deve usar uma metodologia reconhecida pelo mercado, ter ferramentas que apóiem essa metodologia e ter o pessoal treinamento. Não é suficiente ter a metodologia no papel e conhecida por poucos. Todos sem exceção devem conhecer e praticar a metodologia, incluindo as empresas de consultoria que prestam serviço.

Para evitar problemas de conformidade, a equipe de gerentes de TIC deve estar alinhada e comprometida com as práticas de gestão. Devem ser rigorosos na execução e não podem ser tolerantes a falhas no procedimento. Uma única pessoa que falha no seu papel pode comprometer a imagem e o trabalho de toda uma equipe.