Auditoria de TI – mal necessário?

Olá Caros leitores!

Vamos iniciar o post com uma ilustração:

Era para ser um dia normal, mas o dia começou cinza e todos estão tensos. O chefe chegou extremamente preocupado e logo de manhã reúne a equipe e diz: “Leiam os procedimentos e registrem o que está faltando, pois amanhã temos a auditoria externa. Se perdermos o selo da ISO cabeças vão rolar!”

Alguma semelhança com algo que você já presenciou, viu ou ouviu?

Empresas e profissionais buscam mostrar ao mercado que estão aptos a atenderem seus clientes (internos e externos) dentro de padrões de qualidade. Muitas vezes esta busca por qualificação e certificação é um instrumento utilizado mais para marketing pessoal/empresarial do que garantir que as entregas são feitas com a qualidade esperada pelo cliente, mas acredito que esta seja a minoria.

Quando falamos em Governança de TI, um dos objetivos de se implementar certificações/auditorias, é a busca de transparência da área de TI perante seus stakeholders (a organização, clientes e principalmente a alta administração). A TI é um ativo estratégico que representa um risco dentro da organização, já que suporta de alguma forma praticamente todos os processos de negócio, e por isso precisa ser mitigado. Alguns regulamentos como a SOX (http://www.governancadeti.com/2010/08/governanca-de-ti-lei-sarbanes-oxley-e-a-ti/) aumentam ainda mais esta necessidade de transparência, pois os gestores do negócio são responsabilizados em causa de fraudes e/ou por desobediência a estas leis. Neste contexto, ao contrário do cenário que abordamos no início do post, a auditoria de TI precisa ser encarada como algo que agrega maior valor a TI, e não como algo que serve para revelar as falhas das pessoas e puni-las. Um relato interessante sobre os benefícios de auditorias externas pode ser encontrado no site tiespecialistas (http://www.tiespecialistas.com.br/2011/02/a-importancia-de-uma-auditoria-de-sistemas-independente/).

Nós profissionais de TI precisamos nos colocar no lugar de quem está à frente do negócio. Por melhor que seja a equipe de TI, como ter certeza que de fato que a TI está alinhada com a empresa e mitigando os riscos? Nós profissionais de TI sabemos na prática aos riscos que estamos sujeitos e o impacto que isto pode causar para o negócio, tanto em imagem quanto financeiro. Alguns exemplos de itens simples que geram grande impacto para o negócio se não forem bem gerenciados: backup, processos de gestão de serviços, segurança da informação, sistemas e etc. Isto para não entrar no mérito das empresas que necessitam de auditoria externa por obrigações legais. Acredito que este exame de conformidade que a auditoria traz, comprova que a TI está no caminho certo, ou então aponta o que está errado e precisa ser corrigido. Vejo que é uma forma do negócio compartilhar de fato as responsabilidades da TI e seus riscos.

O COBIT é uma ferramenta muito utilizada em auditorias de TI. Ele permite uma avaliação padronizada para fundamentar a opinião do auditor sobre a TI da organização e permite apresentar recomendações à administração sobre melhoria dos controles internos.

A conclusão que chegamos com esta reflexão é que diferente do título do post, a auditoria de TI é um “bem necessário”, que traz benefícios para todos os stakeholders de TI, desde clientes, passando pela alta administração e principalmente para a própria TI.