Artigos

Artigos

Auditoria de TI: como realizá-la de forma sólida e eficaz

Por Marcelo Vieira Souza Ribeiro e Nestor Ferreira Campos Filho

Auditoria de TI (Tecnologia da Informação) é um termo novo, por mais que a palavra auditoria seja utilizada há bastante tempo. Inicialmente, é importante ressaltar e definir o significado da palavra “auditoria”.

No dicionário DICIO, Dicionário Online de Português, é definida como: “Avaliação detalhada da contabilidade, de assuntos financeiros ou econômicos, de uma empresa”.

Já no dicionário Priberan, auditoria é definida como: “Análise e avaliação do estado contábil de uma empresa ou instituição feita por um especialista em assuntos financeiros e econômicos”.

Sob uma ótica ampla, auditoria pode ser definida como: “Um exame cuidadoso e sistemático das atividades desenvolvidas em determinada empresa, cujo objetivo é averiguar se elas estão de acordo com as atividades planejadas e/ou estabelecidas previamente, se foram implementadas com eficácia e se estão adequadas (em conformidade) à consecução dos objetivos”.

A auditoria surgiu com a necessidade de avaliar os registros contábeis, as movimentações financeiras e muitos outros fatores. Segundo dados históricos, a auditoria surgiu primeiramente na Inglaterra por volta do século XIV, ano de 1314, em que o governo utilizava o exame periódico e sistemático das contas públicas (Portal da Educação, Origem e Evolução da Auditoria Contábil). A palavra auditoria é muito conhecida no âmbito contábil, tanto que nasceu justamente pela necessidade de analisar os registros e controles contábeis.

Nota-se que o termo “auditoria” não é nenhuma novidade no contexto das empresas, porém, o termo “auditoria de TI”, ao contrário, é uma novidade.

É sabido que vivemos em uma era digital crescente, na qual é possível realizar compras, ações bancárias, trocas de mensagens e videochamadas de dentro de casa por meio de dispositivos eletrônicos. No contexto empresarial não é diferente: políticas, manuais, documentos, processos, procedimentos, entre outros, são elaborados e mantidos no ambiente digital.

Diante dessa nova era surge a necessidade de se averiguar os processos de TI (Tecnologia da Informação), que outrora eram vistos dentro de uma área operacional de suporte, hoje passando a assumir um papel central dentro das empresas, haja vista sua função de auxiliar na eficiência e na inovação das atividades operacionais, aumentando a competitividade do negócio.

Mas o que seria, então, uma auditoria de TI? Como é executada uma auditoria de TI?

Auditoria de TI nada mais é do que um processo minucioso de análise que busca verificar a existência de diretrizes ou processos voltados para o eixo tecnológico com base em frameworks internacionais, cujo objetivo é, simplesmente, certificar se as diretrizes estão sendo cumpridas de forma efetiva, o que se traduz na busca da segurança da informação.

A auditoria de TI é realizada primeiramente entendendo o negócio da instituição e depois analisando minuciosamente os processos e atividades tecnológicas, visto que a TI tem como objetivo apoiar o negócio principal.

São realizadas análises com base na legislação vigente, melhores práticas de mercado (internacionais), resoluções, políticas institucionais e outras. Uma revisão dos processos executados é válida para toda a instituição, uma vez que a área de TI, alinhada aos objetivos estratégicos do negócio, facilita a redução de custos e melhora a competitividade da empresa no mercado. Ao final, toda a auditoria de TI é documentada de forma a deixar claro o caminho realizado e os resultados encontrados, além de definir planos de ação para melhorias e correções na área de tecnologia, tanto para os aspectos de infraestrutura física como lógica.

Diante do exposto, verifica-se que a auditoria de TI tem como vantagem promover uma avaliação de toda a cadeia de processos, identificar falhas de segurança, fator de impacto na performance das áreas operacionais e assegurar a integração segura de TI com os demais processos internos do negócio. Em síntese, passa a ser uma aliada estratégica do negócio principal, possibilitando otimizar recursos e deixar o negócio alinhado a todos os regulamentos de segurança da informação. Verificar a eficácia dos processos de TI e implementar melhorias traz uma série de benefícios para o negócio como um todo. Entre esses benefícios estão:

·        mitigar riscos e falhas;

·        propor soluções;

·        aumentar o nível de Segurança da Informação, melhorando a gestão de TI;

·        promover melhorias nos demais setores;

·        embasar tomadas de decisões;

·        alinhar a TI com a estratégia negocial.

Por fim, fica nítida a importância da realização de auditorias de TI periódicas, uma vez que a auditoria isolada serve apenas como norteador, mas não alcança o objetivo de buscar constantemente uma segurança da informação sólida e eficaz.