Auditoria em TI? Isso existe?

Encontre na trademinas a solução

14 mai
15
FreeGreatPicture.com-50216-to-discuss-issues-of-character
Por: Cristiano Oliveira

 

Por muito tempo a TI foi considerada uma “caixa preta”, sobre a qual a administração da empresa tinha pouco controle e da qual não se sabia ao certo o que esperar como benefício para a organização. Com o aumento da importância estratégica das áreas de TI, essa situação não pôde mais ser admitida. Começava então uma busca pela aplicação de modelos de governança de TI, com o objetivo de tornar a área de TI controlável, com resultados mensuráveis e orientada aos objetivos do negócio da organização.

Nessa perspectiva, a auditoria de TI consiste em verificar vários aspectos da governança de TI de uma organização. Por exemplo, avaliar os controles de acesso lógico ao ambiente de TI, os processos de TI, ou verificar se a contratação de bens e serviços de TI é feita de acordo com as normas da organização e a legislação vigente.

Sendo assim, a Auditoria de TI possui as mesmas técnicas de uma auditoria sobre as áreas administrativas, para dar a mesma credibilidade e confiabilidade que as auditorias convencionais. E para tal é utilizada a norma ISO NBR 19011, que regula as auditorias em sistemas de gestão.

Hoje o mercado exige que tanto os departamentos de TI, quanto as empresas de TI, atuem em conformidade com a legislação aplicável, requisitos de segurança da informação, requisitos de continuidade e disponibilidade e requisitos de gestão de serviços.

E como obter esta conformidade? É vital implementar um Sistema de Gestão! E o que é um Sistema de Gestão? Um Sistema de gestão tem por finalidade dirigir e controlar as atividades de gerenciamento de serviço, ou seja, irá definir:

  • A política de gerenciamento de serviço;
  • A metodologia para gerenciar o serviço;
  • Planos e procedimentos para as atividades;
  • Papéis, funções e responsabilidades das pessoas;
  • Os indicadores do serviço;
  • E as metas do serviço.

Organizações que ainda não possuem um Sistema de Gestão, e desejam implementá-lo, necessitam de uma consultoria especializada (interna ou externa), visto que é preciso conhecimento de Frameworks como ITIL e COBIT, além das normas ISO 27001 (Segurança da Informação), ISO 22301 (Continuidade de Negócio) e ISO 20000 (Sistema de Gestão de Serviços).

Estudantes e profissionais de TI que se interessem em Auditoria de TI podem se tornar Auditores Internos de uma organização, onde poderão também exercer o papel de consultor. Outro caminho é ser um Auditor Independente, visando verificar a conformidade para fins de certificação nas organizações. E neste caso o profissional não pode exercer o papel de consultor, a fim de garantir a isenção da auditoria. Atualmente, auditores especializados na norma ISO 27001 (Segurança da Informação) tem sido bastante requisitados, pois as exigências regulatórias de vários setores da economia exigem a adequação das organizações a esta norma, como por exemplo as instituições bancárias.