 | | :: Informaciones |  Voltar
BRASIL - PORTO ALEGRE
Fábio Lorenzo de Andrade Soto
http://www.andradesoto.com.br/Fonte do tema: http://www.baguete.com.br
Auditoria de TI: obrigatoriedade benéfica?
A exigência normativa da auditoria de controles de TI é o tema do artigo que Fábio Soto, diretor da consultoria Andrade Soto, publica no Baguete nesta quarta-feira, 20.
O executivo cita os três tipos de auditoria (externa, interna e de conformidade) e destaca sua abordagem pelo Cobit e pela norma ISO 27001.
"Alguns dos benefícios trazidos pela auditoria de ti, como o conhecimento dos ativos de informação e seus riscos, e a facilidade de priorização de investimentos, são tão importantes para a tomada de decisão da empresa, que deveria ser realizada por todas as empresas, de todos os portes, e não somente por aquelas que têm obrigatoriedade por motivos de leis ou normas a serem atendidas", analisa Soto.
Com o grande número de leis, normas e resoluções de órgãos e entidades de governos exigindo auditorias periódicas sobre controles internos, TI, balanços patrimoniais, esse serviço tem sido cada vez mais procurado por empresas de médio e grande porte.
Existem vários tipos de auditoria, mas para facilitar vou citar três grupos: A auditoria externa (independente), a auditoria interna, e a auditoria de conformidade.
O foco deste artigo é falar um pouco sobre a auditoria de controles de TI (tanto externa, interna ou de conformidade), assunto abordado no COBIT (processo ME2 do framework), e também na NBR ISO 27001 no item sobre auditorias internas do SGSI (sistema de gestão de segurança da informação).
O Cobit em seu processo ME2 (Monitorar e Avaliar Controles Internos) informa que “Estabelecer um programa de controles internos efetivo para TI requer um processo bem definido de monitoramento. Esse processo inclui o monitoramento, resultados de auto-avaliações, revisões de terceiros e comunicação de controles em não conformidade (através de relatórios de auditoria, por exemplo). Um dos principais benefícios do monitoramento de controles internos é prover garantias de que as operações são eficientes e efetivas, e em conformidade com leis e regulamentos aplicáveis.”
Já a ISO 27001 informa que as empresas devem “conduzir auditorias a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos de segurança:
a) obedecem aos requisitos da norma e à legislação pertinente ou regulamentos;
b) obedecem aos requisitos de segurança da informação identificadas;
c) são efetivamente implementados e mantidos;
d) e são executados conforme esperado.”
A auditoria geralmente possui 4 etapas: Planejamento e preparação, Execução da auditoria, Report de resultados e Plano de ação. Essas etapas tem como resultado alguns documentos de grande importância para a empresa, pois eles contem informações sobre os riscos encontrados e a avaliação desses riscos, os controles em conformidade ou não com normas, e recomendações de melhoria. Esses documentos são apresentados à área de TI e à administração da empresa.
Além do relatório de auditoria funcionar como um “mapa” que mostra a direção a ser tomada pela área de TI, ele serve como um guia para auxiliar a administração no planejamento estratégico, e na priorização de investimentos.
Após a auditoria é importante realizar follow-ups, ou seja, o acompanhamento periódico dos controles definidos e do plano de ação. O follow-up nada mais é do que uma auditoria de revisão, mas que é fundamental para dar continuidade ao processo. Uma observação pertinente sobre revisão é que todas as normas recomendam o follow-up.
Alguns dos benefícios trazidos pela auditoria de ti, como o conhecimento dos ativos de informação e seus riscos, e a facilidade de priorização de investimentos, são tão importantes para a tomada de decisão da empresa, que deveria ser realizada por todas as empresas, de todos os portes, e não somente por aquelas que têm obrigatoriedade por motivos de leis ou normas a serem atendidas.
*Fábio Soto é diretor da consultoria Andrade Soto.
Andrade Soto com novo telefone em São Paulo
Fonte: Institucional
Data: 18/12/2009
A Andrade Soto conta com novo telefone para facilitar o contato com empresas de São Paulo.
Os atuais clientes e demais empresas da cidade que queiram entrar em contato com a Andrade Soto, devem ligar para o telefone (11) 3522.4141.
Voltar  Versão para imprimir  Enviar por e-mail
|
| |
|
| :: Chileno | | | | • Fábio Lorenzo de Andrade Soto
Porto Alegre / Brasil
Consultoria em TI é uma empresa pró-ativa, independente e focada em resultados e na segurança das informações do cliente.
|
|
|
