Auditoria em tecnologia da informação

AUDITORIA EM TECNOLOGIA DA INFORMAÇÃO

A tecnologia da informação tem se tornado, cada vez mais, uma parte integral dos processos e atividades das organizações. Neste sentido, avaliar o que deverá ser auditado na organização se torna um desafio crescente, pois a auditoria interna deverá considerar em sua análise todos os itens que compõem o universo de tecnologia da informação e como estes itens impactam no resultado da organização.

A análise deverá ser conduzida considerando o ambiente de tecnologia da informação, seus aplicativos, sua infraestrutura, os processos da área de tecnologia que mantêm o ambiente operacional e de acordo com os requisitos de negócio estabelecidos e, além disso, como toda essa infraestrutura física e de processos suporta em maior ou menor grau os objetivos da organização.

A Subsecretaria de Estado da Transparência, por meio da Coordenação de Tecnologia da Informação, tem desenvolvido o projeto de auditoria em Tecnologia da Informação utilizando COBIT que visa desenvolver processos internos que permitam identificar, dentro da estrutura do Estado, iniciativas na área de tecnologia da informação que precisam de acompanhamento sistemático a ser realizado pela área de controle interno.

O projeto tem se baseado em metodologias bem difundidas, utilizadas e recomendadas por instituições e associações de controle interno reconhecidas mundialmente, tais como: IT Governance Institute (ITGI), Information Systems Audit and Control Association (ISACA) e o Institute of Internal Auditors (IIA).

A metodologia é dividida em quatro etapas: Na primeira, é realizado um levantamento dos itens relevantes (projetos, sistemas, etc.) que compõem o universo de tecnologia da informação, tais elementos podem então ser agrupados em temas de auditoria de acordo com sua similaridade visando diminuir a granularidade dos temas e otimizar os recursos de auditoria. Após o levantamento inicial, é realizado um estudo que busca identificar como cada tema deste colabora com os objetivos da organização, esta informação vai subsidiar a próxima etapa onde os temas são então priorizados com base nos resultados de uma avaliação dos fatores de risco mais relevantes a que estes estão expostos. O resultado do trabalho é um lista priorizada de temas que permite a elaboração de um plano de auditoria em Tecnologia da Informação de médio prazo para a Subsecretaria.

O projeto ainda vai além ao considerar em seu escopo a seleção dos controles que serão avaliados para cada tema nas futuras auditorias. Tais controles serão selecionados do Control Objectives for Information and Related Technology (COBIT) que é um documento que reúne os principais processos e controles cuja adoção é recomendada para a área de tecnologia da informação. A Subsecretaria de Estado da Transparência pretende, desta forma, dispor de uma metodologia robusta de planejamento de auditoria em Tecnologia da Informação, que permita agregar valor ao estado, por meio da seleção dos temas mais relevantes para auditoria, e, além disso, otimizar seus recursos internos.