Lidando com os 10 Principais Riscos Tecnológicos

Transcrição

1 Lidando com os 10 Principais Riscos Tecnológicos O Papel da Auditoria Interna TECNOLOGIA Core Report Philip E. Flora CIA, CISA, CFE, CCSA Sajay Rai CPA, CISSP, CISM CBOK The Global Internal Audit Common Body of Knowledge

2 Sobre o CBOK FATOS DA PESQUISA Participantes 14,518 Países 166 Idiomas 23 NÍVEIS DOS FUNCIONÁRIOS* Chief audit executive (CAE) 26% Diretor 13% Gerente 17% Equipe 44% *As taxas podem variar por pergunta. O Common Body of Knowledge (CBOK) Global de Auditoria Interna é o maior estudo contínuo global no mundo sobre a profissão da auditoria interna, incluindo estudos sobre os praticantes de auditoria interna e suas partes interessadas. Um dos componentes principais do CBOK 2015 é a pesquisa global do praticante, que fornece uma perspectiva abrangente das atividades e características dos auditores internos do mundo todo. Este projeto tem como base as duas pesquisas globais do praticante anteriores, conduzidas pela The IIA Research Foundation em 2006 (9.366 respostas) e 2010 ( respostas). Os relatórios serão lançados mensalmente até Julho de 2016 e podem ser baixados de graça, graças às contribuições generosas e ao apoio de indivíduos, organizações profissionais, filiais do IIA e institutos do IIA. Mais de 25 relatórios foram planejados em três formatos: 1) core reports, que abordam tópicos gerais, 2) closer looks, que exploram mais a fundo as principais questões, e 3) fast facts, com foco em uma região ou ideia específica. Esses relatórios exploram diferentes aspectos de oito áreas de conhecimento, incluindo tecnologia, riscos, talento e outras. Visite o CBOK Resource Exchange em para download das perguntas da pesquisa e dos relatórios seguintes, conforme forem disponibilizados. Pesquisa do Praticante CBOK 2015: Participação das Regiões Globais Europa & Ásia Central 23% América 19% do Norte Oriente Médio & África 8% do Norte Sul da Ásia 5% América Latina 14% & Caribe África 6% Subsaariana Leste Asiático 25% & Pacífico Observação: As regiões globais são baseadas nas categorias do Banco Mundial. Para a Europa, menos de 1% dos participantes era da Ásia Central. As respostas da pesquisa foram coletadas entre 2 de Fevereiro de 2015 e 1º de Abril de O link da pesquisa online foi distribuído via listas de mailing dos institutos, sites do IIA, newsletters e redes sociais. Pesquisas pesquisa está disponível para download no CBOK Resource Exchange.

3 Áreas de Conhecimento do CBOK Conteúdos Futuro Sumário Executivo 4 1 Cibersegurança 5 Global 2 Segurança da Informação 7 3 Projetos de Desenvolvimento de Sistemas de TI 9 Governança 4 Governança de TI 12 5 Serviços Terceirizados de TI 15 6 Uso de Mídias Sociais 17 Gestão 7 Computação Mobile 19 8 Habilidades de TI Entre Auditores Internos 21 Risco Normas & C ações 9 Tecnologias Emergentes Conscientização Tecnológica do Comitê e do Conselho de Auditoria 25 Conclusão 26 Talento Tecnologia

4 Sumário Executivo O s riscos tecnológicos primários e emergentes de sua organização estão sendo identificados e geridos apropriadamente? Essa é uma das perguntas fundamentais que os comitês de auditoria e conselhos de organizações em todos os lugares estão fazendo. Este relatório fornece aos auditores internos, membros do conselho e comitês de auditoria as informações chave para ajudá-los a lidar com os riscos tecnológicos mais importantes da atualidade. Você aprenderá sobre: Os 10 principais riscos tecnológicos Perguntas fundamentais para auditores internos fazerem sobre esses riscos Atividades fundamentais para lidar com os riscos tecnológicos Os 10 principais riscos foram identificados usando entrevistas com os diretores executivos de auditoria (chief audit executives - CAEs) e especialistas em tecnologia da informação (TI) da África, América Latina e Oriente Médio, Europa, Canadá e Estados Unidos. Adicionalmente, perspectivas sobre os riscos tecnológicos são apresentadas a partir da Pesquisa Global do Praticante de Auditoria Interna CBOK 2015, a maior pesquisa sobre auditores internos no mundo. A ordem dos riscos pode variar em prioridade, dependendo do mercado no qual você opera. Este relatório não apenas guia os leitores por meio do labirinto das questões tecnológicas atuais e emergentes, mas também aborda o lado organizacional dos riscos causados por baixos níveis de habilidades de TI dentro do departamento de auditoria interna e pela falta de conscientização entre os membros do conselho de administração.

5 1 Cibersegurança Com relação à cibersegurança, a maioria dos líderes não entende quantos riscos estão assumindo. Scott Klososky, Sócio na Future Point of View, LLC, EUA A cibersegurança é, provavelmente, o tópico de TI mais discutido entre executivos, auditores internos, comitês de auditoria e o conselho de diretores. Portanto, é o nº 1 em nossa lista dos 10 principais riscos da tecnologia. Um dos maiores riscos da cibersegurança que as organizações encaram é a possibilidade de pessoas externas roubarem dados delicados ou sigilosos. A maioria das organizações reconhece o dano que tais violações de dados podem causar a suas marcas e reputações. O Documento 1 confirma essas opiniões, já que mais de 70% dos participantes da pesquisa consideram o risco de uma violação de dados como alto ou moderado. Também vale notar que os especialistas de TI consideram este risco ainda mais alto (82%). Isso pode ser explicado pelo fato de especialistas de TI entenderem melhor de tecnologia e saberem as lacunas que podem ser exploradas. O Papel da Auditoria Interna Auditores internos podem desempenhar um papel integral na organização, para garantir que os riscos da cibersegurança sejam abordados apropriadamente. Dependendo do porte da organização, o papel que desempenham pode variar em termos das atividades que eles conduzem e das perguntas que podem fazer. Dentro de organizações de pequeno porte (com menos de funcionários), 5 de 10 departamentos de auditoria interna conduzem o mínimo ou nenhuma atividade relativa à cibersegurança; enquanto o departamento de auditoria interna conduz extensivas atividades relativas à cibersegurança em 4 de 10 empresas de grande porte. (Q92, n=9.929). Documento 1 Níveis de Risco para Violações de Dados que Possam Prejudicar a Marca Especialistas de TI 3% 15% 36% 46% Especialistas em Gerenciamento de Riscos 5% 19% 42% 35% Especialistas em Contabilidade Média de todos os participantes 12% 21% 40% 27% 7% 20% 39% 34% 0% 20% 40% 60% 80% 100% 1-Nenhum risco 2-Risco Mínimo 3-Risco Moderado 4-Risco Alto Observação: Q93: Em sua opinião, qual o nível de risco inerente em sua organização para as áreas emergentes de Tecnologia da Informação (TI) a seguir? Aqueles que responderam não se aplica/não sei foram excluídos dos cálculos. Devido a arredondamento, alguns totais podem não somar 100% participantes para TI; para gerenciamento de riscos; participantes para contabilidade; participantes ao total.

6 Os auditores devem garantir que sua empresa tenha um processo para aprender com suas próprias experiências e com as de outras organizações. A colaboração ocorre, por exemplo, por meio da Financial Services- Information Sharing and Analysis Center, uma organização global usada extensivamente na indústria de instituições compartilhamento de ideias para combater as ameaças da cibersegurança e relacionadas. PERGUNTAS CHAVE PARA A AUDITORIA INTERNA FAZER 1. A organização é capaz de monitorar intrusões suspeitas na rede? da organização? Se houver um incidente, a organização tem acesso a habilidades 7. responsabilidades? ATIVIDADES CHAVE PARA A AUDITORIA INTERNA CONDUZIR 1. C 2. V ao plano de gerenciamento de crises da organização, para preparar 3. C 4. Conduzir uma auditoria de um incidente recente e determinar se James Ale ander, CIA, CFE, CISA, Unitus Community Credit Union, Portland, Oregon

7 2 Segurança da Informação Documento 2 Cobertura de Auditoria Cibersegurança de Dados Eletrônicos 22% 3% 75% Segurança Física de Data Centers 7% 41% Aumentar Permanecer a mesma Diminuir 52% Observação: Q94: Nos próximos dois a três anos, você acha que a atividade de auditoria interna relativa a essas áreas de tecnologia vai aumentar, diminuir ou permanecer a mesma? participantes. A pesar da cibersegurança receber muita atenção da mídia, a segurança da informação é igualmente crítica e vem em 2º lugar em nossa lista de 10 principais riscos de tecnologia. A segurança da informação refere-se à proteção da confidencialidade, integridade e disponibilidade das informações críticas para a organização. No passado, a maioria das organizações concentravam seu foco na proteção do perímetro da rede e gastavam uma porção considerável de seu orçamento de segurança com dispositivos de perímetro de rede, tais como firewalls, detecção de intrusões, prevenção de intrusões, filtros de conteúdo e monitoramento de rede. No entanto, com todas as notícias recentes sobre violações de dados de grande escala, é óbvio que focar apenas no perímetro da rede não é a estratégia correta. É uma conclusão inevitável pensar que, se infratores externos quiserem penetrar a rede de uma organização, encontrarão uma forma de fazê-lo. O foco, agora, deve estar sobre uma defesa em camadas das informações críticas, em vez de uma única camada de defesa do perímetro da rede. Um bom programa de segurança da informação em uma organização normalmente tem um executivo ou gerente de alto nível, como um chief information security officer (CISO), responsável pelo programa. No mínimo, um programa de segurança da informação engloba: Processo robusto de avaliação de riscos Procedimentos eficazes de governança e conformidade Políticas e normas de segurança da informação documentadas e comunicadas Programa de treinamento eficaz de conscientização de segurança Procedimentos eficientes de controle de acesso Programas testados de recuperação de desastres, continuidade do negócio e resposta a incidentes Processos de gerenciamento operacional de ativos, gestão de redes, gestão de patches e gerenciamento de mudanças Segurança física rigorosa O Papel da Auditoria Interna A auditoria interna tem um papel principal a desempenhar para garantir que o programa de segurança da informação de uma organização seja eficaz e eficiente. Os planos de auditoria interna devem continuar incluindo tanto atividades de segurança física e cibersegurança, apesar de que as atividades de cibersegurança provavelmente aumentarão mais rapidamente. Conforme exibido no Documento 2, mais de 75% dos participantes planejam aumentar a atividade de cibersegurança, em comparação com 52% para segurança física.

8 A segurança da informação organizacional e o gerenciamento de riscos organizacionais não podem permitir a contenção dos riscos principais, sem que os funcionários sejam informados sobre o gerenciamento dos riscos e sobre seu poder de tomar uma atitude. Grace Lwanga, Diretora Técnica, Auditoria de TI, World Vision International PERGUNTAS CHAVE PARA A AUDITORIA INTERNA FAZER 1. Qual foi a última vez em que a política de segurança da informação foi revisada e atualizada? 2. Qual a taxa de sucesso do programa de treinamento de conscientização de segurança? O treinamento é obrigatório? Quais as repercussões para os que não completaram o treinamento ainda? 3. Qual foi a última vez em que uma avaliação de riscos foi feita? A avaliação de riscos é feita para todos os novos fornecedores terceirizados? 4. A organização simula incidentes para determinar sua prontidão? 5. Qual foi a última vez em que um teste de recuperação de desastres foi feito? Foi bem sucedido? Quais questões foram encontradas? 6. Quais requisitos de conformidade a organização tem? Health Insurance Portability and Accountability Act de 1996 (HIPAA)? Lei Sarbanes-Oxley de 2002 (SOX)? PCI Security Standards Council? 7. Um infrator externo pode penetrar o parâmetro físico usando engenharia social? (Um exemplo desse tipo de violação seria começar uma conversa casual com um funcionário do lado de fora do prédio e entrar com ele no prédio quando passar o crachá na entrada. 8. A organização registra e monitora as atividades de usuários privilegiados (aqueles com autoridade administrativa para gerir o ambiente de TI)? ATIVIDADES CHAVE PARA A AUDITORIA INTERNA CONDUZIR 1. Conduzir um exame de vulnerabilidade da rede interna. 2. Revisar o processo de controle de acesso. Os proprietários realmente revisam a lista de acesso ou a revisão é um exercício de conformidade, no qual os proprietários apenas aprovam sem realmente examiná-la? 3. Usar terceiros para conduzir um ataque simulado e auditar os resultados. Por exemplo, conduzir um exercício de de phishing, conscientização (organizações médias e grandes). 4. Auditar o back kups sejam realizados rotineiramente. 5. A usuários autorizados têm capacidades privilegiadas. Além disso, 6. Auditar terceiros que tenham acesso aos ativos críticos da organização ou revisar os relatórios Nº 16 de Statement on Standards for Attestation Engagements (SSAE) (organizações de grande porte).

9 3 Projetos de Desenvolvimento de Sistemas de TI As organizações precisam aprender rapidamente com quaisquer erros de desenvolvimento de sistemas, para que possam se tornar mais bem-sucedidas no desenvolvimento e implementação dos aplicativos fundamentais para a empresa. U ma grande porção do orçamento de TI é gasto em projetos de desenvolvimento de sistemas e, portanto, o tópico vem em 3º lugar na lista de 10 principais riscos de tecnologia. Para continuar viável, toda organização precisará desenvolver ou atualizar seus sistemas tecnológicos. Infelizmente, as chances de sucesso são baixas. De acordo com o Relatório CHAOS, publicado pelo The Standish Group, projetos de desenvolvimento de sistemas de TI se saíram assim durante um longo período de tempo: Taxa geral de sucesso: 16,2% Projetos contestados: 52,7% Prejudicados (cancelados): 31,1% Um estudo estimou que falhas de software custam às empresas de $50 a $80 bilhões anualmente.* A maioria dos participantes da pesquisa reconhecem a importância de continuar ou aumentar as auditorias e a avaliação dos principais projetos tecnológicos (veja Documento 3). Cerca de 6 entre 10 de todos os participantes esperam aumentar essas auditorias. Os objetivos dos projetos fundamentais de sistema devem ser monitorados durante o desenvolvimento e após a implementação. * CIO Journal, Janeiro de 2014, conforme citado no The Wall Street Journal. Edward Carr, Diretor de Auditoria de TI Governo Estadual de Ohio Documento 3 Avaliação de Principais Projetos de TI no Futuro Sul da Ásia 73% 22% 5% África Subsaariana Oriente Médio e Norte da África América Latina e Caribe Europa e Ásia Central América do Norte Média Global 73% 23% 4% 68% 26% 6% 63% 27% 10% 62% 34% 4% 57% 39% 5% 54% 43% 3% 61% 33% 6% 0% 20% 40% 60% 80% 100% Aumentar Permanecer a mesma Diminuir Observação: Q94: Nos próximos dois a três anos, você acha que a atividade de auditoria interna relativa a essas áreas de tecnolgoia vai aumentar, diminuir ou permanecer a mesma? Tópico: Avaliação da gestão de projetos/auditorias dos principais projetos participantes.

10 LACUNAS DE EXPECTATIVAS Aqui estão alguns motivos comuns pelos quais projetos de desenvolvimento de sistemas de TI não conseguem atender as expectativas da gerência: Datas forçadas de implementação (a data de conclusão antes que a equipe do projeto faça um planejamento apropriado e/ou use técnicas de estimativa de projeto). Expectativas não realistas. Expectativas e recursos não compatíveis entre si Exemplos de objetivos de projeto não alcançados em muitas organizações são prazos perdidos, excessos de custos, eficiências não entregues como esperado, software com falhas que não foram testadas antes da implementação, integração reduzida em relação ao plano inicial e menos funcionalidades do que as identificadas no plano corporativo quando o projeto foi aprovado. Finalmente, outra questão importante é a liderança fraca, que pode prejudicar um projeto em muitos níveis. Áreas comuns de liderança fraca incluem: O defensor do projeto no nível executivo oferece suporte limitado ou não está envolvido. Os analistas corporativos são fracos ou não foram treinados apropriadamente. Gerenciamento de riscos fraco ou ruim. A gestão do projeto é fraca ou o gerente tem pouca experiência. O comitê de direcionamento do projeto é ineficaz. O Papel da Auditoria Interna A auditoria interna deve considerar conduzir auditorias para cada aspecto do systems development life cycle (SDLC). Elementos típicos do SDLC incluem um estudo de viabilidade, estudo de requerimentos, definição de requerimentos, design detalhado, programação, testes, instalação e revisão pós-implementação.* * Veja o Glossário de Termos ISACA, disponível em Center/Documents/Glossary/glossary.pdf. Consequências de baixo desempenho do projeto não são aplicadas consistentemente Relatório de status infrequente/ impreciso (valor adquirido não utilizado) PERGUNTAS CHAVE PARA A AUDITORIA INTERNA FAZER 1. Como os projetos são aprovados dentro da organização? 2. Como os projetos são iniciados dentro da organização? 3. Como os projetos são gerenciados dentro da organização? 4. Os principais projetos têm um gerente executivo à frente? 5. Há um comitê de direcionamento de projeto em prática e suas reuniões são conduzidas periodicamente? 6. Se os fornecedores estiverem envolvidos no desenvolvimento do projeto, qual é o processo administrativo de contratação? 7. São fornecidos relatórios de status mensais? 8. Qual processo a organização segue caso o projeto tenha excedido o orçamento ou esteja tomando mais tempo para concluir? 9. A organização tem um processo em prática para cancelar projetos se os objetivos não estiverem sendo alcançados? 10. A organização de TI conduz estudos de satisfação do usuário com o resultado e custos dos projetos de TI?

11 ATIVIDADES CHAVE PARA A AUDITORIA INTERNA CONDUZIR 1. Conduzir auditorias durante o ciclo de vida dos principais projetos de desenvolvimento de sistemas de TI. O ciclo de vida inclui a conformidade contratual, gestão de projetos, custos (tais como estruturação da equipe de fornecedores/contas a pagar), progresso do projeto, pedidos de 2. Participar em auditorias de projeto com as equipes de auditoria/qualidade adicional. Isso minimizará as interrupções ao projeto. 3. Conduzir uma auditoria da metodologia de gestão de projetos da organização. 4. Revisar o portfólio de projetos e auditar se a metodologia está sendo seguida, especialmente para projetos que não estejam dentro do orçamento ou prazo. 5. V projeto e entregáveis. 6. Depois que o projeto for concluído, revisar os resultados do estudo de satisfação do usuário conduzido pela organização de TI ou conduzir seu fornecidos pela organização de TI. 7. Det post mortem/lições aprendidas e Para mais informações, veja o GTAG 12: Auditing IT Projects, 2009, disponível Standards & Guidance.

12 4Governança de TI DEFINIÇÃO DE GOVERNANÇA DE TI A governança de TI consiste da liderança, processos e estruturas organizacionais que garantem que a tecnologia da informação da empresa apoie as estratégias e objetivos da organização. Da Estrutura Internacional (Altamonte Springs, FL: The Institute of Internal Auditors, 2013), 43. COMPONENTES DA GOVERNANÇA DE TI EFICAZ Estruturas organizacional e de governança Liderança e apoio executivo C om os escândalos corporativos recentes, muita culpa é colocada não apenas na governança corporativa, mas também na governança de TI. Portanto, esse é o tópico Nº 4 em nossa lista dos 10 principais riscos da tecnologia. Em muitas organizações, a gerência questiona a quantidade de dinheiro gasto em TI e há ênfase crescente no monitoramento dos custos de TI. Essa ênfase também ocorre por conta da maior lacuna entre o que TI pensa que o negócio precisa ter e o que o negócio pensa que TI possa entregar. No mínimo, Documento 4 África Subsaariana Europa e Ásia Central América Latina e Caribe América do Norte Atividade de Governança de TI Oriente Médio e África do Norte um bom programa de governança de TI deve ter os três elementos a seguir: Alinhamento claro com o negócio Entrega mensurável de valor ao negócio Controles formais de recursos, riscos, desempenho e custos Cerca de 3 a cada 10 participantes dizem que a atividade de auditoria interna para a governança de TI em sua organização é inexistente ou mínima, o que é motivo para preocupação (veja Documento 4). Considerando a 4% 23% 45% 28% 8% 21% 43% 27% 14% 16% 45% 25% 8% 22% 45% 25% 9% 21% 49% 22% Planejamento estratégico e operacional Sul da Ásia 6% 12% 62% 21% Entrega e mensuração do serviço Organização de TI e gerenciamento de riscos Do GTAG 17: Auditing IT Governance (Altamonte Springs, FL: The Institute of Internal Auditors, Julho de 2012). Média Global 14% 28% 43% 15% 9% 22% 45% 23% 0% 20% 40% 60% 80% 100% 1-Sem atividade 2-Atividade mínima 3-Atividade moderada 4-Atividade extensiva Observação: Q72: Qual é a extensão da atividade de seu departamento de auditoria interna relativa às revisões de governança? Tópico: Revisões das políticas e procedimentos de governança, relativos ao uso da Tecnologia da Informação (TI), em especial, por parte da organização. CAEs apenas. Aqueles que responderam não se aplica/não sei foram excluídos dos cálculos participantes.

13 COMO PLANEJAR UMA AUDITORIA DE GOVERNANÇA DE TI No escopo e execução de uma auditoria de TI, a equipe do trabalho de auditoria interna deve: Determinar se a função de TI está alinhada e entende os objetivos e estratégias da organização. quantidade de dinheiro gasto em tecnologia e seu impacto sobre os consumidores e operações, quase todos os departamentos de auditoria interna devem ter, ao menos, atividade moderada voltada para a governança de TI. Entre os participantes, o maior nível de atividade para governança de TI foi no Sul da Ásia, com 8 entre 10 participantes relatando atividade moderada ou extensiva. O Papel da Auditoria Interna A auditoria interna pode ajudar a organização, prestando avaliação das áreas nas quais a TI se sai bem e tem controles apropriados para mitigar o risco com base na tolerância a riscos da organização. Outro objetivo de negócio igualmente importante é que haja uma infraestrutura de TI para que se possa tirar vantagem das oportunidades de melhorar o negócio. Departamentos de auditoria interna de pequeno porte parecem ter dificuldade em alocar tempo para a revisão da governança de TI. Em departamentos de auditoria com três funcionários ou menos, 4 entre 10 dizem ter nenhuma ou atividade mínima para governança de TI (veja Documento 5). Det do gerenciamento de recursos e desempenho de TI. Documento 5 Atividade de Governança de TI Comparada ao Porte do Departamento de Auditoria Interna Avaliar os riscos que podem prejudicar o ambiente de TI. Do GTAG 17: Auditing IT Governance (Altamonte Springs, FL: The Institute of Internal Auditors, 2012), % 80% 60% 42% 49% 47% 45% 42% 40% 41% 30% 33% 37% 38% 20% 17% 21% 19% 17% 20% 0% 1 a 3 4 a 9 10 a a ou mais Número de Funcionários no Departamento de Auditoria Interna 1-Nenhuma ou 2-Atividade mínima 3-Atividade moderada 4-Atividade extensiva Observação: Q72: Qual é a extensão da atividade de seu departamento de auditoria interna relativa às revisões de governança? Tópico: Revisões das políticas e procedimentos de governança, relativos ao uso da Tecnologia da Informação (TI), em especial, por parte da organização. CAEs apenas. Aqueles que responderam não se aplica/não sei foram excluídos dos cálculos participantes.

14 PERGUNTAS CHAVE PARA A AUDITORIA INTERNA FAZER 1. Quais atividades TI está conduzindo para se alinhar com o negócio? Com que frequência TI se reúne com o corporativo para entender suas necessidades? 2. Qual é a percepção corporativa das capacidades e desempenho da TI? 3. Como TI determina o valor que agrega ao negócio? 4. Como os executivos de TI determinam o número apropriado de recursos a serem empregados na TI? 5. A TI conduz uma avaliação de riscos de TI periodicamente? 6. desempenho? 7. A TI gerencia seu custo? ATIVIDADES CHAVE PARA A AUDITORIA INTERNA CONDUZIR 1. Avaliar o tom no topo da organização de TI em relação à cultura servicelevel agreements 2. P Comparar o programa de conformidade dentro da organização com Control Objectives for Information and Related Technology Committee of Sponsoring Organizations of the Treadway Commission National Institute of Standards and Technology (NIST) e International Organization for Standardization

15 5 Serviços Terceirizados de TI Terceirizar serviços de TI se equipara a fornecer a alguém as chaves de seu reino e esperar/ gestão das informações como você a faria. Drew Perry, CISSP, CISA, IT Compliance Manager, Ashland, Inc. C omo mencionado na seção anterior, um foco maior sobre os custos de TI resultou na terceirização de alguns serviços chave de TI. Isso levou a ainda mais foco na governança de TI, elevando os serviços terceirizados de TI ao 5º lugar de nossa lista de 10 principais riscos de tecnologia. Serviços terceirizados de TI podem expor uma organização a um risco que pode ficar escondido até que um erro ocorra. Em alguns casos, a terceirização coloca processos tecnológicos essenciais para fora do controle direto da gerência. Em média, 6 entre 10 auditores internos entrevistados dizem que esperam um aumento nas auditorias de serviços terceirizados de TI ao longo do próximo Documento 6 ano (veja Documento 6). O maior aumento é esperado na África Subsaariana e o menor na Europa. Auditorias Futuras de TI Terceirizada O Papel da Auditoria Interna Auditores internos podem prevenir que ocorram alguns problemas de terceirização ao se envolverem desde o início do ciclo de terceirização. Por exemplo, a auditoria interna deve garantir que o contrato inicial aborde supervisão, monitoramento, auditoria, segurança física e lógica, estruturação de equipe apropriada, uma pessoa de contato, acesso à informação, planos de continuidade do negócio/recuperação de desastres, SLAs e reporte. África Subsaariana Sul da Ásia Oriente Médio e Norte da África América Latina e Caribe América do Norte Europa e Ásia Central Média Global 74% 22% 4% 71% 25% 4% 67% 28% 5% 63% 33% 4% 59% 39% 3% 59% 31% 10% 55% 41% 4% 61% 34% 5% 0% 20% 40% 60% 80% 100% Aumentar Diminuir Permanecer a mesma Observação: Q94: Nos próximos dois a três anos, você acha que a atividade de auditoria interna relativa a essas áreas tecnológicas vai aumentar, diminuir ou permanecer a mesma? Tópico: Auditorias de aquisição de TI, incluindo terceiros e serviços terceirizados participantes.

16 PERGUNTAS CHAVE PARA A AUDITORIA INTERNA FAZER 1. Os serviços terceirizados são importantes para a organização? Qual a estrutura de governança relativa às operações terceirizadas? 4. Uma análise de risco detalhada foi conduzida no momento da terceirização; e está sendo feita uma análise regular de riscos? 5. Contratos formais ou SLAs existem para as atividades terceirizadas? 6. key performance indicators (KPIs) para o monitoramento do desempenho do fornecedor? 7. Como é monitorada a conformidade com o contrato ou SLA? 8. Qual o mecanismo usado para abordar a não conformidade com o SLA? 9. As responsabilidades de ser proprietário do sistema de dados, de comunicação, de operação e softwares de aplicativo estão claramente 10. dos controles internos da parte do prestador de serviços? RECURSOS Auditing Outsourced Functions, 2ª Edição, de Mark Salamasick (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 2012). GTAG 7: Information Technology Outsourcing 2ª Edição (Altamonte Springs, FL: The Institute of Internal Auditors, 2012). ATIVIDADES CHAVE PARA A AUDITORIA INTERNA CONDUZIR 1. Envolver-se no início do processo de contratação da terceirização. 2. Auditar um fornecedor externo e revisar seus SLAs e KPIs. 3. Revisar um serviço externo, no qual tenha havido não conformidade, e determinar se os passos apropriados foram seguidos. 4. escaneado em busca de malware. 5. Auditar o processo de tomada de decisões relativo à determinação de como uma organização decide quais elementos de TI devem ser terceirizados. 6. Selecionar um fornecedor chave existente e revisar a avaliação de riscos conduzida antes da seleção do fornecedor.

17 6 Uso de Mídias Sociais Documento 7 Avaliação para Uso de Mídias Sociais por parte do Funcionário 12% 31% Observação: Q92: Para a segurança da tecnologia da informação (TI) em particular, qual a extensão da atividade de seu departamento de auditoria interna relativa às áreas a seguir? Aqueles que responderam não se aplica/ não sei foram excluídos dos cálculos participantes. RECURSO 3-Atividade moderada 57% 1-Nenhuma ou 2-Atividade mínima 4-Atividade extensiva Auditing Social Media: A Governance and Risk Guide de Peter Scott e Mike Jacka (John Wiley & Sons com o The IIA, 2011). A velocidade com a qual as mídias sociais espalham mensagens levou as organizações a definirem políticas e procedimentos de mídias sociais, motivo pelo qual elas são o Nº 6 de nossa lista. Essas políticas focam, principalmente, nas formas como os funcionários podem usar as ferramentas de mídias sociais e as restrições impostas a eles quanto ao conteúdo que pode ser compartilhado nas mídias sociais. Se um funcionário violar a política de mídias sociais e postar uma mensagem prejudicial, os riscos potenciais à organização incluem: Documento 8 100% 80% 60% 40% 20% 0% 71% 23% 6% 1 a 3 4 a 9 1-Nenhuma ou 2-Atividade mínima 10 a 24 Exposição a responsabilidades legais, tais como difamação, assédio e violações de privacidade Vazamento de informações confidenciais ou segredos do negócio, podendo afetar a competitividade Danos à reputação da organização, por meio de comunicações falsas, depreciativas ou imprudentes Avaliação de Mídias Sociais em Comparação com o Porte do Departamento de Auditoria Interna 63% 28% 3-Atividade moderada 25 a ou mais 4-Atividade extensiva Observação: Q92: Para a segurança da tecnologia da informação (TI) em particular, qual a extensão da atividade de seu departamento de auditoria interna relativa às áreas a seguir? Tópico: Procedimentos da organização sobre como os funcionários usam as mídias sociais. Aqueles que responderam não se aplica/não sei foram excluídos dos cálculos participantes. 57% 32% 9% 10% Conforme mostrado no Documento 7, a atividade de avaliação atual, por parte da auditoria interna, relativa ao 46% 42% 38% 37% 17% 21%

18 uso de mídias sociais por funcionários é muito baixa. Quase 6 entre 10 participantes relataram nenhuma ou mínima atividade. Apenas 1 entre 10 disse ter atividade extensiva. Departamentos de auditoria interna de maior porte têm maior probabilidade de serem ativos na avaliação de mídias sociais (veja Documento 8). No entanto, 4 entre 10 dos maiores departamentos de auditoria interna ainda indicam nenhuma ou mínima atividade nesta área. Para abordar os riscos de mídias sociais, as organizações devem incorporar os passos a seguir como parte de seus procedimentos de mídias sociais: 1. Definir uma política de uso corporativo de mídias sociais. 2. Comunicar a política por meio de um programa de conscientização e treinamento de segurança. 3. Implementar a política por meio do emprego de softwares de filtros de conteúdo para tecnologias, tais como Web Monitorar os resultados, para garantir que a política esteja sendo seguida. 5. Aplicar a política àqueles que a violarem. O Papel da Auditoria Interna Os auditores internos podem ter um papel chave no gerenciamento de riscos associados às mídias sociais. Eles podem atuar no papel de consultores, enquanto a organização implementa os passos acima. Além disso, a auditoria interna deve considerar a inclusão de uma auditoria de mídias sociais como parte de seu plano anual de auditoria. PERGUNTAS CHAVE PARA A AUDITORIA INTERNA FAZER 1. Como a organização usa as redes sociais para atingir seus clientes e consumidores? 2. Qual conteúdo é permitido para postagem em sites de redes sociais? 3. Há um grupo ou pessoa responsável pelo monitoramento dos conteúdos reais disponíveis em redes sociais (condução de varreduras de sites de mídias sociais)? 4. Quem monitora os alertas criados pelo software? 5. Quais são as consequências para um funcionário que viole a política de mídias sociais? ATIVIDADES CHAVE PARA A AUDITORIA INTERNA CONDUZIR 1. Conduzir uma auditoria das políticas e procedimentos de mídias sociais. 2. Revisar a adequação do treinamento de conscientização, para garantir que o tópico das mídias sociais seja abordado. 3. monitorar a entrada e saída de conteúdo. 4. Conduzir uma varredura independente de sites de mídias sociais, para determinar o conteúdo organizacional disponível.

19 7 Computação Mobile A informação viaja com seus usuários, portanto dados de segurança devem ser tão robustos em dispositivos móveis quanto o são na sede da empresa. Tablets, computadores pessoais, celulares, relógios smart, etc são pequenos data centers nos quais a maioria das informações estratégicas da empresa é guardada para atacar os servidores centrais). A quantidade de equipamentos roubados e/ou perdidos agrava a situação. Alejandro Rembado Mendizábal, CAE, Telefonica da Argentina A proliferação dos dispositivos móveis, assim como as melhorias na tecnologia, funcionalidades e aplicativos, revolucionou a força de trabalho e deu novo significado ao termo computação mobile e trabalhador mobile, e é o Nº 7 de nossa lista dos 10 principais riscos de tecnologia. O trabalhador mobile de ontem normalmente trabalhava com um notebook, conectando-se remotamente à rede da empresa. O trabalhador mobile de hoje normalmente tem mais capacidade de computação, trabalhando com dispositivos móveis, tais como telefones ou tablets, que usam aplicativos desenvolvidos especialmente para conduzir o negócio. Dispositivos móveis dão aos usuários organizacionais capacidade de computação, conectividade com a Internet onde quer que haja Wi-Fi ou serviço de celular, e a conveniência de ter um dispositivo para uso pessoal e profissional. Ao mesmo tempo, dispositivos móveis - sejam pessoais ou corporativos - apresentaram uma miríade de riscos de configuração de dispositivo e rede que desafiam a abordagem tradicional de um departamento de TI quanto ao gerenciamento de riscos. Riscos de Segurança As informações guardadas em aparelhos móveis podem incluir dados pessoais e corporativos. Eles podem ser expostos se o dispositivo for fisicamente perdido ou roubado, se o usuário do dispositivo deixar a organização sem deletar os dados do dispositivo, ou se os controles de segurança apropriados não estiverem em prática e operando como previsto. Riscos de Conformidade Com o advento do bring your own device (BYOD), as empresas dependem dos usuários amplamente para conformidade com políticas e procedimentos aplicáveis, tais como diretrizes para atualização de software ou sistemas operacionais. Usuários que considerem as atualizações muito invasivas ou degradantes para o desempenho do aparelho podem escolher não instalá-las ou contornar os controles. Riscos de Privacidade BYODs podem levantar preocupações de privacidade a partir das perspectivas da organização e do funcionário. Por exemplo, pode ser cada vez mais difícil para uma organização proteger a privacidade de uma parte interessada quando uma personally identifiable information (PII) é acessada ou armazenada em dispositivo móvel. Contrariamente, os funcionários podem ter preocupações com a privacidade, por achar que seu aparelho smart permite o monitoramento invasivo por parte da empresa, ou que ela possa inadvertidamente apagar informações pessoais (ex., fotos e dados de contato) de seu aparelho quando dados corporativos forem deletados. Riscos de Gestão BYODs exigem a gestão de serviços expandidos de suporte de TI. Conforme o número de tipos de dispositivos cresce, também cresce o potencial de vulnerabilidades da rede. Além disso, quando os dispositivos passam por upgrade, o requisito de descartar

20 O online banking na África e em partes do Oriente Médio é um risco maior do que em outras regiões, devido ao amplo uso de celulares para internet banking. apropriadamente o aparelho pode aumentar o risco do gerenciamento. Se BYODs forem oferecidos para prestadores externos de serviço, a gestão de dados corporativos nos dispositivos BYOD do prestador também pode aumentar os riscos de gerenciamento. Riscos Legais Uma organização precisa entender as consequências legais de armazenar dados em dispositivos móveis, tais como em casos de ação judicial e requisitos de e-discovery aplicáveis. O Papel da Auditoria Interna Conforme exibido no Documento 9, apenas 51% dos departamentos de auditoria interna relataram atividade moderada ou extensiva, o que significa que quase metade das empresas tem nenhuma ou mínima atividade na área. Grace Lwanga, Diretora Técnica, Auditoria de TI, World Vision International PERGUNTAS CHAVE PARA A AUDITORIA INTERNA FAZER 1. A organização tem um processo para inventário de todos os dispositivos de computação mobile? 2. Como a organização gerencia dispositivos de computação mobile roubados ou perdidos? Documento 9 Avaliação do Uso de Dispositivos Móveis 3. Como a organização gerencia BYODs? 4. Como a organização gerencia o conteúdo em dispositivos móveis quando um funcionário deixa a organização? 16% 35% 49% 5. Os dispositivos móveis são criptografados? ATIVIDADES CHAVE PARA A AUDITORIA INTERNA CONDUZIR 1. Conduzir uma auditoria do processo de inventário dos dispositivos de computação mobile. 1-Nenhuma ou 2-Atividade mínima 3-Atividade moderada 4-Atividade extensiva 2. Auditar como dispositivos perdidos ou roubados são geridos. 3. Entender a forma como uma organização decide sobre o tipo de informação que pode ser armazenada em dispositivos móveis. 4. V Observação: Q92: Para a segurança da tecnologia da informação (TI) em particular, qual a extensão da atividade de seu departamento de auditoria interna relativa às áreas a seguir?

21 8 Habilidades de TI Entre Auditores Internos O número de auditores de TI qualificados é um problema contínuo para a auditoria interna e o tópico é o Nº 8 de nossa lista de 10 principais riscos de tecnologia. Entre os participantes da pesquisa, apenas 10% se especializaram em TI (veja Documento 10). Esse problema é causado por uma variedade de motivos, o principal sendo que os profissionais de TI têm a oportunidade de usar novas tecnologias e ganhar salários maiores do que auditores de TI, diz Mark Salamasick, diretor executivo da University of Texas System. Salários para auditores com especialização ou experiência em tecnologia geralmente não estão alinhados com os salários dos cargos de TI, resultando em menos auditores com as habilidades ótimas de auditoria de TI em muitas organizações. Uma abordagem para aumentar o número de auditores com habilidades de TI é fornecer treinamento de TI para auditores operacionais/financeiros com aptidão para TI. No entanto, pode ser difícil para essa equipe de auditoria interna treinada internamente estabelecer sua credibilidade junto ao departamento de TI e à gerência. Sudarsan Jayaraman, diretor geral de Serviços de Consultoria de TI na Protiviti-Oriente Médio, comentou, auditores de TI precisam de habilidades mais especializadas para serem bem-sucedidos na condução de muitas atividades/trabalhos de auditoria de alto risco. A não ser que os auditores de TI tenham habilidades de alto nível, incluindo experiência como profissionais de TI, a gerência, frequentemente, não se sente confortável com suas habilidades e resultados de auditoria. Documento 10 Especializações Técnicas dos Participantes da Pesquisa 18% Contabilidade 12% Gerenciamento de Riscos 3% 3% 4% 5% 5% 25% 6% 9% 10% 18% 12% 10% 9% 6% 5% 5% 4% Tecnologia da Informação (TI) Outras especializações Conformidade Reporte Financeiro Operações Fraude 3% Gestão 3% Auditoria de Desempenho 25% Nenhuma especialização Observação: Q11: Além de conduzir atividades gerais de auditoria interna, você tem uma área de especialização técnica para que você tenha tido treinamento formal e na qual você gaste a maioria de seu tempo de trabalho? participantes.

22 O Papel da Auditoria Interna A auditoria interna pode seguir vários passos para abordar a falta de habilidades de TI em seu departamento. O primeiro passo é fazer um inventário da falta de habilidades de TI dentro de seu grupo: Entendendo os tipos de tecnologias usadas dentro da organização Mapeando as habilidades de tecnologia dentro do grupo em comparação com as habilidades de tecnologia usadas na organização Identificando a lacuna de habilidade para todas as tecnologias que não estejam cobertas pelo grupo de auditoria interna Depois que as lacunas forem identificadas, a auditoria interna tem diversas opções para abordá-las: Opção 1: Desenvolver as habilidades internamente, alocando uma quantidade apropriada de orçamento e fornecendo treinamento à equipe. Opção 2: Implementar um processo de rotação de habilidades de TI, trabalhando em cooperação com o chief information officer (CIO). Opção 3: Trabalhar com um prestador de serviços externo, para terceirizar ou co-source e lidar com a lacuna de habilidades de TI. ATIVIDADES CHAVE PARA A AUDITORIA INTERNA CONDUZIR Os seis ítens de ação a seguir são úteis para desenvolver relacionamentos entre a auditoria interna e o departamento de TI, e para aumentar a conscientização dos processos de TI em geral: 1. Construir relacionamentos com a equipe chave de TI e demonstrar como a auditoria de TI agrega valor à organização. 2. Comparecer às principais reuniões de TI (ex., comitês de direcionamento de projetos de desenvolvimento de sistemas, atualizações da segurança da informação, novas 3. Reunir-se periodicamente com os principais membros da equipe de TI, incluindo o (CTO) e o CISO. 4. Contratar auditores que tenham histórico em tecnologia, para aumentar as habilidades de TI e credibilidade de auditoria junto à gerência de TI. 5. Conduzir auditorias de governança de TI. 6. Trabalhar e compartilhar informações sobre os principais riscos organizacionais com outras áreas de gerenciamento de riscos, governança, controle e conformidade, para reduzir a duplicação de esforços e minimizar a interrupção à equipe de TI já sobrecarregada. Finalmente, reportar ao conselho sobre o progresso alcançado nessas seis atividades. Isso fortalecerá o entendimento da tecnologia por parte do conselho e do comitê de auditoria e responsabilizará a auditoria interna

23 9 Tecnologias Emergentes O ritmo no qual a tecnologia está mudando e evoluindo é impressionante e pode rapidamente apresentar novos riscos à organização. Por isso, o tópico das tecnologias emergentes é o Nº 9 em nossa lista dos 10 principais riscos de tecnologia. A tecnologia emergente pode significar coisas diferentes para diferentes organizações. Para algumas, o uso de dispositivos smart pode ser uma tecnologia emergente; em outras, pode já haver esse uso. Para os propósitos desta discussão, definimos tecnologias emergentes como aquelas que não estejam em uso na organização atualmente, mas que podem ser empregadas no futuro próximo. Exemplos incluem: Análise preditiva de dados Big data Fog computing (na qual a computação na nuvem é estendida aos limites da rede do negócio) Impressão 3D (na qual impressoras são programadas para entregar objetos tridimensionais) A Internet of Things (na qual objetos cotidianos, como geladeiras ou fornos de microondas, têm conectividade com a rede e podem enviar e receber dados) Também é possível que uma certa tecnologia já esteja em uso dentro de uma indústria (por exemplo, big data no setor financeiro), mas não em outra indústria. Essas diferenças afetariam também o nível percebido do risco. Como o Documento 11 mostra, a indústria financeira percebe o maior nível de risco na confiabilidade do big data. O Papel da Auditoria Interna A auditoria interna pode desempenhar um papel fundamental na adoção de tecnologias emergentes dentro da organização. Ela pode se envolver nos estágios iniciais do processo de avaliação de uma nova tecnologia e fornecer orientações em termos de seus riscos e requisitos de controle. Por exemplo, se uma organização está considerando adotar serviços de computação na nuvem pela primeira vez, a auditoria interna pode fazer parte da força-tarefa tecnológica, para determinar os riscos adicionais apresentados por esse ambiente (ou, em alguns casos, a redução dos riscos). Robótica

24 Documento 11 Organizações Sem Fins Lucrativos Públicas (excluindo Setor público (incluindo agências governamentais Privadas (excluindo Outro tipo de organização 23% 43% 35% 23% 52% 25% 31% 47% 22% 31% 43% 26% 32% 42% 26% 37% 43% 20% Média 29% 44% 27% 0% 20% 40% 60% 80% 100% 1-Nenhum ou 2-Risco mínimo 3-Risco Moderado 4-Alto Risco Observação: Q93: Em sua opinião, qual o nível de risco inerente em sua organização para as áreas de tecnologia da informação emergente a seguir? Aqueles que responderam não aplicável/não sei foram excluídos dos cálculos. Devido a arredondamento, alguns totais podem não somar 100% participantes. PERGUNTAS CHAVE PARA A AUDITORIA INTERNA FAZER 1. A organização tem uma equipe que avalie as tecnologias emergentes de TI? 2. A organização tem um processo formal de avaliação de tecnologias emergentes? 3. emergentes? 4. Quais projetos atuais estão em condução nos quais novas tecnologias serão empregadas no ambiente de produção? ATIVIDADES CHAVE PARA A AUDITORIA INTERNA CONDUZIR 1. Obter um inventário das tecnologias atualmente em uso. 2. Entender os novos projetos nos quais tecnologias emergentes possam ser empregadas. 3. Auditar o processo de riscos para tecnologias emergentes (como o 4. Comunicar-se com a equipe de tecnologia de TI, para entender sua estratégia de adoção de tecnologias emergentes.

25 10 Conscientização Tecnológica do Comitê e do Conselho de Auditoria Em problemas post mortem, uma causa raiz frequente é que as pessoas não entendem seu próprio negócio - como funciona e e se. Para superar esse problema e dar às pessoas a oportunidade de agir antes que seja tarde demais, é essencial criar um ambiente no qual as pessoas possam entender profundamente sua situação e suas opções. Brian Barnier, Principal, ValueBridge Advisors & Fellow, OCEG D iversas organizações têm um número limitado de expertise de TI representada em seu conselho de administração. Portanto, este tópico é o Nº 10 de nossa lista de 10 principais riscos de tecnologia. É necessário um nível apropriado de conhecimento de TI no conselho para que ele responsabilize o departamento de TI pelo desempenho. Gunther Meggeneder, vice presidente sênior, Auditoria Interna e Conformidade Corporativa, Ista International, observa, É importante para o Conselho/Comitê de Auditoria, nos próximos anos, ter mais expertise de TI, assim como progrediram em ter forte representação financeira. Como a TI capacita o negócio e exige investimento significativo, é arriscado para um conselho não ter conhecimentos de TI. Dentro dos próximos quatro a cinco anos, todo Conselho de Administração deve ter um tecnólogo de TI ou, ao menos, alguém que participe do conselho consultivo, diz Scott Klososky, sócio na Future Point of View, LLC. O Papel da Auditoria Interna A auditoria interna desempenha um papel fundamental e é o conduíte principal para trazer conscientização tecnológica para o conselho e o comitê de auditoria. Ela é responsável por medir a sagacidade tecnológica de seu comitê de auditoria e atuar como educadora e/ou consultora para o comitê de auditoria. PERGUNTAS CHAVE PARA A AUDITORIA INTERNA FAZER 1. Qual a estratégia de TI da organização se mudanças tecnológicas forem planejadas? 2. O comitê de auditoria entende os riscos de TI e pode relacioná-los no contexto dos riscos corporativos? 3. O comitê de auditoria entende sua responsabilidade e o papel que tem no contexto da conscientização sobre riscos e tecnologia corporativa? ATIVIDADES CHAVE PARA A AUDITORIA INTERNA CONDUZIR 1. Garantir que a conscientização tecnológica esteja inclusa nas pautas de reuniões com o comitê de auditoria. 2. Atuar como conselheiros para a organização na tomada de decisões sobre tecnologias emergentes (ex., quando a organização estiver planejando transferir informações delicadas para a nuvem ou quando informações delicadas forem armazenadas junto a um prestador de serviços externo).

26 Conclusão O s auditores internos trabalharam diligentemente para pensar estrategicamente, entender o negócio e agregar valor. Agora, precisam ser proativos para identificar as tecnologias emergentes que possam impactar suas organizações. Especialistas fazem estas recomendações: 1. Implemente um processo de conscientização situacional. 2. Fique atento a sinais de atenção em sua indústria ou ambiente. 3. Pergunte E se? 4. Tenha uma lista de riscos e oportunidades relativos às tecnologias emergentes, que possa ser revisada para determinar seu impacto potencial. 5. Quando um risco ou oportunidade for identificada, tome atitudes para reagir com acompanhamento. Embora seja impossível prever o futuro, podemos ter certeza de que o cenário tecnológico mudará. Os auditores internos devem estar preparados para adaptação. Sobre a Equipe do Projeto Equipe de Desenvolvimento do CBOK CBOK Co-Presidentes: Dick Anderson (Estados Unidos) Jean Coroller (França) Presidente do Subcomitê da Pesquisa do Praticante: Michael Parkinson (Austrália) Vice Presidente da IIARF: Bonnie Ulmer Analista de Dados Primários: Dr. Po-ju Chen Desenvolvedora de Conteúdo: Deborah Poulalion Gerentes de Projeto: Selma Kuurstra e Kayla Manning Editora Sênior: Lee Ann Campbell Comitê de Revisão dos Relatórios Ulrich Hahn (Alemanha) Steve Hunt (Estados Unidos) Richard Martin (Estados Unidos) Michael Parkinson (Austrália) Kurt Reding (Estados Unidos) Dave Williams (Estados Unidos) Patrocínio Este relatório é parcialmente patrocinado pela filial The IIA-Austin. Agradecemos a eles por seu apoio generoso.

27 Sobre os Autores Observação: O conteúdo deste relatório é uma colaboração entre Phil Flora, que desenvolveu a lista dos 10 principais riscos, conduziu as entrevistas com especialistas ao redor do mundo e desenvolveu o texto inicial, e Sajay Rai, que desenvolveu o texto final e elaborou perguntas chave e atividades chave para cada capítulo. P hilip E. Flora, CIA, CISA, CFE, CCSA, é o membro principal/gestor da FloBiz & Associates, LLC, membro do YCN Group e consultor de treinamento do IIA. Phil tem mais de 30 anos de experiência em auditoria e atuou como diretor executivo de auditoria (chief audit executive - CAE) em uma corporação pública sem fins lucrativos por mais de 16 anos. Ajudou a criar um Internal Audit Leadership Development Program, que ajudou a desenvolver mais de 50 futuros líderes de auditoria. Phil é, atualmente, membro do Board of Trustees da IIARF. Ele é o antigo presidente do International Committee do IIA e do Committee of Research and Education Advisors (CREA) da IIARF e vem participando de comitês internacionais do IIA desde Tem sido palestrante frequente em diversas conferências e eventos de treinamento estaduais, regionais, nacionais e internacionais nos últimos 10 anos. Phil é bacharel em Contabilidade pela Virginia Commonwealth University. S ajay Rai, CPA, CISSP, CISM, é co-fundador e proprietário da Securely Yours, LLC. Com mais de três décadas de experiência em TI, Sajay Rai traz uma riqueza de conhecimentos em segurança da informação e riscos, auditoria de TI, continuidade do negócio, recuperação de desastres e privacidade. Antes de abrir a Securely Yours, Sajay atuou como sócio na Ernst & Young LLP, responsável pela prática consultiva de informação na área de Detroit Metro e também foi líder nacional de práticas de segurança e risco na Ernst & Young. Antes da Ernst & Young, trabalhou na IBM, onde liderou suas práticas de segurança da informação e continuidade do negócio. Atuou no Professional Issues Committee (PIC) do IIA e como membro do conselho da Filial IIA-Detroit. Tem Mestrado em Gestão da Informação pela Washington University, em St. Louis, e Bacharelado em Ciência da Computação pela Fontbonne College em St. Louis.