Auditoria de TI agregando valor aos negócios - A visão pragmática da Governança de TI - Marcio Araujo, CGEIT Gerente de Governança de TI
Desafios do CIO Principais preocupações: Capacidade de entrega em prazos muito curtos Desenvolver processos internos ágeis, controlados, com custo baixo e eficientes para o negócio Produtos finais com grande qualidade
Governança de TI Neste contexto o CIO precisa de: Visão estratégica da TI (possuir um plano estratégico) Processos formais implementados, controlados (compliance) e monitorados (quality assurance). Medição da performance por meio de uma gestão por indicadores. Sendo assim a necessidade da área de Governança.
Governança no Brasil Entretanto, Muitos ainda pregam a governança como um prática para implementação de frameworks (Cobit, ITIL, etc.) A maioria das empresas não possui uma área especializada (não há dedicação) E na maioria das vezes é vista como instrumento de controle.
Auditorias de TI com valor ao negócio Neste cenário apresentado, onde as auditorias podem gerar valor? Como estão as auditorias no Brasil? Falta atualização das práticas (muitas vezes só olham para o Cobit) BPM, BSC, ITIL, CMMI, Governança, Indicadores As auditoria estão extremamente focadas em avaliação de controles (é dever, mas não é só isso)
Auditorias de TI com valor ao negócio O que falta e o que manter? Performance As entregas de TI estão na velocidade que o negócio necessita? Há indicadores que forneçam dados para melhorias?quais? A estratégia de TI está alinhada com o negócio? Não é perguntar se tem, mas sim olhar se é coerente com o que o negócio vai fazer) Conhecer o negócio em que atua Muitos auditores de TI não conhece o negócio, deixando esta tarefa ao auditor financeiro Atualizar os planos de trabalho com base nas novas práticas Entretanto, não é auditoria de aderência, e sim de capacidade de melhoria dos processos. Devem continuar a olhar a efetividade dos controles, entretanto, com uma visão mais abrangente.
Auditorias de TI com valor ao negócio Como chego lá? Os auditores devem procurar atualização constantemente. Nos trabalhos de auditoria buscar entender a causa raiz dos problemas. Nas recomendações, entender a realidade orçamentária. Não é perda de independencia e sim demonstração de preocupação com a empresa onde se trabalha. Procurar obter conhecimento do negócio, entendendo sua dinâmica, velocidade e orçamento. Muita disposição para ouvir, estar próximo das áreas auditadas.
Só o Auditor precisa melhorar?
Visão do Auditado Vamos nos deparar com auditados, questionando os trabalhos produzidos pelos auditores: qualidade do resultado; das recomendações em muitas ocasiões genéricas; além da falta de conhecimento sobre o que estão auditando.
Papel do Auditado O auditado também precisa melhorar! É dever: Acompanhar os trabalhos de auditoria do começo ao fim Facilitar o entendimento do auditor dos processos e práticas. Ser pontual (entrega de evidências e reuniões) Analisar os pontos apresentados e discuti-los construtivamente com o auditor Contestar com conhecimento de causa, se for o caso Criar planos de ação factíveis e razoáveis para implementação em um prazo aceitável para o negócio.
Papel da Governança A governança deve assumir o papel de: Organizador, realizando a interface entre o auditor e o auditado Dominar as melhores práticas de controle interno e práticas de auditoria O trabalho da governança deve ser também consultivo as demais áreas da TI Domínio nas leis e normas de compliance que regulam a sua indústria de atuação
Modelo Atendimento a Auditoria Estabelecer o atendimento as auditorias como processo formal da TI, com: Canal de comunicação formal entre auditados e auditores (chamados) SLA no atendimento aos auditores Centralização do atendimento (governança) Metodologia de acompanhamento dos gaps Desenvolvimento da cultura de compliance
Comportamento e Habilidades Requeridos para a Governança, Auditados e Auditores Saber ouvir (todos); Não prejulgar (todos); Interessar-se por pessoas (governança); Agir com Imparcialidade (governança); Linguagem de fácil compreensão (todos); Estar aberto a novos aprendizados (todos); Visão do todo com foco em otimização, melhoria e compliance (todos); Liderança para Mudanças (governança e auditados)
Principais Conclusões Em resumo, os trabalhos de auditoria devem ser percebidos pelos auditados como algo que trará valor a organização, e os auditores por sua vez devem ter foco nas necessidades da organização A visão sobre controles pode ser diferente O auditado de TI não deve possuir uma posição defensiva (a auditoria não precisa algo pesado) A governança deve assumir tarefas tais como formalizar e controlar os planos de ação e assessorar com valor agregado as entregas de evidências
Contato Marcio Araujo m.araujo.2712@hotmail.com www.fernandoferreira.com POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Guia prático para elaboração e implementação Prefácio e Contribuição de Alberto Fávero ex- Presidente e Membro Fundador da ISSA, Capítulo Brasil Autores: Fernando Nicolau Freitas Ferreira CISM, CGEIT, CFE, CITP, CobiT Foundations, BS 7799 Lead Auditor Márcio Tadeu de Araújo CGEIT, BS 7799 Lead Auditor