Olá Caros leitores!
Vamos iniciar o post com uma ilustração:
Era para ser um dia normal, mas o dia começou cinza e todos estão tensos. O chefe chegou extremamente preocupado e logo de manhã reúne a equipe e diz: “Leiam os procedimentos e registrem o que está faltando, pois amanhã temos a auditoria externa. Se perdermos o selo da ISO, cabeças vão rolar!”
Alguma semelhança com algo que você já presenciou, viu ou ouviu?
Empresas e profissionais buscam mostrar ao mercado que estão aptos a atenderem seus clientes (internos e externos) dentro de padrões de qualidade. Muitas vezes esta busca por qualificação e certificação é um instrumento utilizado mais para marketing pessoal/empresarial do que garantir que as entregas são feitas com a qualidade esperada pelo cliente, mas acredito que esta seja a minoria.
Quando falamos em Governança de TI, um dos objetivos de se implementar certificações/auditorias, é a busca de transparência da área de TI perante seus stakeholders (a organização, clientes e principalmente a alta administração). A TI é um ativo estratégico que representa um risco dentro da organização, já que suporta de alguma forma praticamente todos os processos de negócio, e por isso precisa ser mitigado. Alguns regulamentos, como a SOX, aumentam ainda mais esta necessidade de transparência, pois os gestores do negócio são responsabilizados em causa de fraudes e/ou por desobediência a estas leis. Neste contexto, ao contrário do cenário que abordamos no início do post, a auditoria de TI precisa ser encarada como algo que agrega maior valor a TI, e não como algo que serve para revelar as falhas das pessoas e puni-las. Um relato interessante sobre os benefícios de auditorias externas pode ser encontrado no site tiespecialistas.
Nós, profissionais de TI, precisamos nos colocar no lugar de quem está à frente do negócio. Por melhor que seja a equipe de TI, como ter certeza que de fato que a TI está alinhada com a empresa e mitigando os riscos? Nós sabemos na prática aos riscos que estamos sujeitos e o impacto que isto pode causar para o negócio, tanto em imagem quanto financeiro. Alguns exemplos de itens simples que geram grande impacto para o negócio se não forem bem gerenciados: backup, processos de gestão de serviços, segurança da informação, sistemas e etc. Isto para não entrar no mérito das empresas que necessitam de auditoria externa por obrigações legais. Acredito que este exame de conformidade que a auditoria traz, comprova que a TI está no caminho certo, ou então aponta o que está errado e precisa ser corrigido. Vejo que é uma forma do negócio compartilhar de fato as responsabilidades da TI e seus riscos.
O COBIT é uma ferramenta muito utilizada em auditorias de TI. Ele permite uma avaliação padronizada para fundamentar a opinião do auditor sobre a TI da organização e permite apresentar recomendações à administração sobre melhoria dos controles internos.
A conclusão que chegamos com esta reflexão é que diferente do título do post, a auditoria de TI é um “bem necessário”, que traz benefícios para todos os stakeholders de TI, desde clientes, passando pela alta administração e principalmente para a própria TI.
Espero que tenham gostado. Sugestão, dúvidas, críticas? Deixem seus comentários
Um grande abraço e até a próxima!
1 Comentários
Você acredita que seja uma tendência o aumento da demanda pela certificação CISA?