Auditoria da Tecnologia da Informação

AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO

 Eng. Marcos Antonio Nunes em 12/04/2016

Para grande parte das empresas atuais, a Tecnologia da Informação é uma  necessidade primordial para manter seu nível de eficiência e produtividade. Os sistemas gerenciais facilitam muito o uso e a manipulação dos dados nos processos operacionais, e o desenvolvimento de novas ferramentas e aplicativos especializados, permite criar uma base de informações estratégicas, fundamentais para as tomadas de decisão. Desta forma, fica claro que a informação é o produto mais importante de toda a estrutura pertencente a TI.

O desenvolvimento tecnológico tem proporcionado uma convergência das áreas de comunicação e informática de modo a facilitar ainda mais o acesso, guarda e transporte das informações. Esta facilidade também possui seu lado nefasto, onde especialistas mal intencionados usufruem da tecnologia para promoverem danos generalizados.

Mas como saber se minha empresa está utilizando este aparato tecnológico de forma correta e produtiva? E será que estamos tratando a TI conforme seu grau de importância para nosso negócio? E ainda, será que temos uma TI segura? Para buscar elucidar estas e tantas outras questões é que vem crescendo a prática de se promover as auditorias de TI nas organizações.

Tecnologia da Informação (TI).

Dentro da conceituação dada por Castells(1999) e Tenório(2007), a tecnologia da Informação pode ser entendida como toda a tecnologia convergente de hardware e software, responsável pela manipulação, transmissão, guarda e controle das informações em formato eletrônico. Podemos acrescentar a esta interpretação que, toda a infraestrutura física e lógica necessária para abrigar e conservar convenientemente qualquer componente da TI, também faz parte desta.

Auditoria da TI

A Auditoria de TI realiza uma verificação sistemática e documental na empresa, em relação ao seu planejamento e ao uso da Tecnologia da informação. Ela objetiva, de forma transparente, estabelecer o nível ou estágio de maturidade do uso da TI pela empresa, tendo como base, as normas e práticas vigentes e aceitas pelo mercado como ISO, COBIT, e ITIL.

Escopo

Devido à amplitude alcançada pela tecnologia dentro das empresas, a auditoria pode ter vários focos de abordagem, sendo necessário estabelecer um escopo com o cliente para verificar a sua real necessidade.

Veja abaixo os itens de escopo normalmente adotados nas auditorias de TI:

  • Governança;
  • Infraestrutura física;
  • Infraestrutura lógica;
  • Desenvolvimento de sistemas;
  • Comunicação;
  • Sistemas da Informação;
  • Segurança física;
  • Legal ou regulatória;
  • Data Center / CPD;
  • Segurança da informação;
  • Intrusão;

Etapas

De um modo geral, até podemos estabelecer as etapas seguidas normalmente em uma auditoria, porém vale lembrar que em cada caso, devemos nos adaptar à necessidade da empresa auditada.

As etapas normalmente seguidas são:

  • Reunião de apresentação
  • Coleta de dados
  • Definição do Escopo
  • Planejamento
  • Execução
  • Elaboração do relatório
  • Revisão dos resultados
  • Apresentação dos resultados

Caso seja de interesse da empresa auditada, podem ser inseridas etapas complementares como, por exemplo; a elaboração de um plano de ações, acompanhamento da implantação, monitoramento dos resultados, etc.

Benefícios

Conforme já comentado em sua definição, toda auditoria busca estabelecer uma relação sobre o que foi planejado ou o que foi estabelecido por meio de uma referência normativa, com o efetivamente implantado na organização. O índice verificado pode ser interpretado como o percentual de aderência ou maturidade da empresa em relação ao tópico avaliado. Desta forma a empresa pode direcionar esforços para realizar melhorias e estabelecer novas metas.

Além de analisar tais índices, a auditoria de TI consegue definir e estabelecer uma medida de risco, ainda que de forma rudimentar, sobre os problemas encontrados, e dependendo da abordagem do tema, inserir novos tópicos ou pontos de atenção para a empresa auditada.

Estudo de caso

Definição do problema

Em uma empresa familiar de pequeno/médio porte (entre 40 e 60 funcionários) foram identificados sérios problemas em relação ao orçamento destinado a tecnologia da informação. Como efeito deste descaso, constatou-se a ocorrência de atrasos na atualização tecnológica de servidores, o que expôs seriamente os serviços do setor de TI ao risco de não continuidade no processamento de informações da empresa.

Investigação e Análise

A auditoria na governança da empresa, com foco nas atividades de TI, revelou as reais causas destes problemas:

  • O setor de TI estava sendo tratado de modo informal e apenas quando algum equipamento ou sistema parava ou travava, a equipe de TI era acionada para se “apagar o incêndio”;
  • Devido à atividade principal da empresa não estar relacionada diretamente com tecnologia, a alta gerência desconhecia ou não compreendia a real importância da área de TI para os seus negócios;
  • A falta de uma governança e de uma gestão estratégica da TI não permitia um alinhamento entre as estratégias da empresa com as atividades desenvolvidas pelo setor de TI.

Recomendações

A Auditoria tem a obrigação de identificar, quantificar e qualificar os riscos, mostrar os efeitos causados pelas falhas, por meio de evidências, e buscar a real causa dos problemas para assim evitar sua reincidência. As recomendações no problema específico foram orientar a empresa na implantação de uma governança efetiva e que estabeleça o papel e o real valor dos serviços prestados pela TI na organização. A implantação de gestão estratégica na organização também foi um dos itens explanados neste estudo.

Referências:

CATELLS, M. A Sociedade em Rede. Editora Paz e Terra. São Paulo-SP, 1999.

TENÓRIO, F.G. Tecnologia da Informação Transformando as Organizações e o Trabalho. Editora FGV. Rio de Janeiro-RJ, 2007.

IMONIANA, J.O. Auditoria de Sistemas de Informação. Editora Atlas. São Paulo-SP, 2005.

Sobre o Autor:

Marcos Antonio Nunes,  PMP;  é engenheiro eletricista, mestre em administração, especialista em redes e engenharia da produção, atua profissionalmente a mais de 30 anos em empresas de tecnologia,  atualmente é consultor de empresas e professor.