A segurança da informação é uma grande aliada de empresas, pois é responsável por evitar que qualquer pessoa distribua, de forma indevida, dados sobre vendas, margem de lucro, concorrentes, entre outras. Em um mundo no qual diversas tarefas são realizadas ao mesmo tempo e e-mails confidenciais podem ser enviados em apenas um clique, é fundamental que exista proteção para eventuais erros.

Nesses casos, a Segurança da Informação permite construir políticas e métodos que são empregados na circulação de dados confidenciais e são controlados pelo departamento de Tecnologia da Informação (TI) de uma empresa.

Geralmente, programas são instalados para garantir que os computadores serão utilizados somente para fins de trabalho. Além disso, é imprescindível garantir que os funcionários não baixarão nenhum tipo de programa no computador, uma vez que um simples bug ou malware pode colocar tudo a perder. Por isso, corporações preveem punições rigorosas (e até o risco de demissão) para qualquer colaborador que quebrar as regras de uso das informações, quer estejam em um e-mail com relatórios sobre vendas, quer em planilhas sobre a porcentagem dos lucros ou em apresentações salvas no computador.

O objetivo geral da Auditoria Interna é avaliar e prestar ajuda a alta Administração e desenvolver adequadamente suas atribuições, proporcionando-lhes análises, recomendações e comentários objetivos, acerca das atividades examinadas.

O auditor interno deve, portanto, preocupar-se com qualquer fase das atividades da empresa na qual possa ser de utilidade à Administração. Para conseguir o cumprimento deste objetivo geral de serviços à administração, há necessidades de desempenhar atividades tais como:

Nesse sentido, o nível ao qual o departamento se reporta pode desde logo indicar o grau de independência e autonomia dos auditores internos.

Para que esta autonomia e independência possam ser consideradas adequadas, torna-se necessário que a auditoria interna se reporte ao conselho da Direção ou a Diretoria Máxima da empresa, de modo a poder realmente escapar das ingerências e pressões, bem como manter a liberdade de agir sobre todas as áreas da organização, sem restrições.

Por outro lado, uma subordinação a grau menor pode criar situações, impossibilitando a execução de seus trabalhos de forma independente. Seria útil, entretanto, lembrar que o mero posicionamento hierárquico, diretamente sob a direção maior da empresa, não é em si, apenas, uma adequada resposta à existência de independência e autonomia através do suporte da direção.

A extensão em que esse suporte de fato existe somente pode ser apurada da discussão franca com a direção de modo a verificar em que grau a direção considera sua auditoria interna realmente autorizada a examinar vertical e horizontalmente a ações empresariais. A Auditoria Interna, colocada dessa forma, em nível recomendável para efeito do bom controle interno.

O auditor deve ter profundo conhecimento a respeito da área auditoria. Ou seja, no caso da auditoria de sistemas, o profissional deve ter algum tipo de formação em tecnologia, como segurança da informação, por exemplo.

Mas não apenas isso, para ser um auditor é preciso ser treinado para tal. No caso dos auditores internos, é comum que a própria organização tenha um departamento de treinamento.

Uma auditoria completa pode ser resumida em quatro passos básicos:

Ou seja, uma auditoria nada mais é, do que um processo de verificação da estrutura da corporação, realizada por profissionais capacitados para tal.

Ela procura analisar e avaliar a eficácia dos processos, exercendo também uma função preventiva, a fim de determinar se esses são adequados e se cumprem com seus determinados objetivos ou estratégias.

Assim, por meio da auditoria é possível estabelecer mudanças que sejam necessárias para obtenção desses objetivos.

Quando se trata da segurança e auditoria de sistemas, esse processo é focado nas operações da área de Tecnologia da Informação.

Ou seja, trata-se do processo de verificação de toda a estrutura computacional de uma organização.

Na auditoria de TI, verifica-se se as operações da área estão em conformidade com os objetivos propostos, como políticas institucionais e o que é definido em lei.

Dessa forma, é possível garantir a integridade dos dados manipulados, verificando aspectos de segurança e qualidade.

Auditoria de sistemas e a Organização Nacional de Padronização

No entanto, uma auditoria não pode ser realizada de qualquer maneira. Para isso, existem organizações de normatização dedicadas ao estabelecimento de modelos de padronização de processos.

A ISO, por exemplo, sigla para Organização Internacional de Padronização, é um desses órgãos. Sua função é promover a normatização de produtos e serviços, a fim de conferir qualidade aos mesmos.

Trata-se de um de um órgão de reconhecimento mundial que já publicou mais de 22 mil padrões internacionais. Sua representante no Brasil é a ABNT, ou Associação Brasileira de Normas Técnicas.

Quando as organizações determinam estratégias para garantir qualidade e competitividade aos seus produtos e serviços, ou ainda quando é preciso estabelecer salvaguardas para o atendimento de requisitos técnicos, há a necessidade de implementar um sistema de gestão.

Isso significa seguir as normas ISO. O processo de auditoria de gestão, por exemplo, tem como referência a norma ISO 19001:2018.

Nessa norma são definidos os requisitos para a implementação de um programa de auditoria, papeis, responsabilidades e o escopo do programa de auditoria.

Porém, quando falamos especificamente da auditoria de sistema de informação, devemos observar outra norma, a ISO 27000:2018.

A ISO 27000 é composta por cerca de quarenta normas que versam sobre a tecnologia da informação, técnicas de segurança e sistemas de gestão.

Quais são os tipos de auditoria de sistemas?

Uma organização pode passar por diferentes tipos de auditoria de sistemas, os principais são:

Auditoria interna

A auditoria interna é um processo realizado pela própria organização para auditar seus sistemas e procedimentos.

Com isso, a empresa visa garantir que seus parâmetros estejam sendo seguidos devidamente e que os resultados esperados sejam atingidos.

Por meio dessa auditoria, a organização toma conhecimentos dos processos que não estão em conformidade com suas diretrizes e identifica oportunidades de melhorias.

No entanto, a auditoria interna não pode ser realizada por qualquer profissional. Para ser um auditor é preciso ter as competências necessárias, habilidades e experiências para executar sua função com êxito.

Para isso, o auditor interno deve ter conhecimento e ser treinado na ISO 19011, bem como no sistema ao qual será auditado.

Esse tipo de auditoria é de suma importância para organizações que desejam medir, de forma eficaz, seu desempenho em relação às normas e diretrizes a serem seguidas.

Auditoria externa

A auditoria externa, como você já deve imaginar, é realizada por um auditor independente.

Por mais que a organização acredite que uma auditoria interna seja eficiente, a auditoria externa e especializada é fundamental para averiguar se os processos estão, de fato, adequados às normas e diretrizes pré-determinadas.

A importância de uma auditoria externa vem da independência em relação a empresa e, por isso, sua opinião não pode sofrer nenhum tipo de influência.

Esse tipo de auditoria pode ser contratada pela própria empresa ou pode ser um processo determinado pela leis relacionadas ao setor de atuação da empresa, tornando a auditoria externa obrigatória.

Nesse último caso, o auditor, normalmente, é um órgão regulador.