A digitalização das companhias ao redor do mundo, por meio da implementação de variados recursos tecnológicos aos seus processos de negócio, traz inúmeros benefícios, como o aumento da capacidade do processamento de informações e, consequentemente, aumento da capacidade do atendimento de demandas, a redução da chance de eventuais erros e omissões relacionados a processos manuais e um menor custo com mão de obra humana.
Entretanto, esse processo resulta no surgimento de novos riscos associados aos ativos (pessoas, processos e tecnologias) encarregados da sustentação do seu ambiente tecnológico.
Para garantir que estes riscos sejam mapeados, de forma a mitigar a probabilidade e/ou reduzir o impacto de eventos prejudiciais, as organizações devem estruturar uma série de controles relacionados à Tecnologia da Informação (TI).
O conceito de ITGC (Information Technology General Controls – Controles Gerais de Tecnologia da Informação) serve como suporte para a identificação de controles que tem por objetivo mitigar os riscos relacionados à TI dentro das organizações. A identificação destes controles como “gerais” se deve ao fato de serem desenhados de forma a cobrir risco em diversos fatores dentro da organização, como, por exemplo, segurança física e lógica do ambiente tecnológico, cópias de segurança dos dados da organização, gestão dos incidentes de TI e Segurança da Informação (SI).
Além da implementação dos controles, é recomendada a atividade de avaliação dos destes, a fim de avaliar sua eficácia mantendo-os atualizados e adequados ao negócio, de forma a cobrir os riscos de TI identificados.
A maneira mais comum de avaliar os ITGCs implementados pela organização é através do processo de auditoria interna. Este processo tem por objetivo avaliar a efetividade e eficiência dos controles para mitigação dos riscos de TI aos quais a organização possa estar exposta.
A atividade de auditoria interna deve ser executada por uma área e/ou terceiro independente das áreas e equipes responsáveis pela execução dos controles, garantido que a avaliação será performada de forma imparcial e objetiva.
Os ITGCs implementados pela organização devem ser identificados e associados aos riscos aos quais estes cobrem. Uma abordagem utilizada em algumas organizações é elaborar uma Matriz de Riscos e Controles (MRC), onde essa associação é descrita. Este material serve como um ponto de partida para o auditor responsável pela execução das atividades de avaliação dos controles. Os controles identificados pela organização como aplicáveis são relacionados no documento conhecido como SOA (Statement of Applicability – Declaração de Aplicabilidade, em português).
Etapas da Auditoria ITGC
Uma vez em posse da MRC e/ou do SOA da organização, o auditor poderá iniciar a fase de TOD (Test of Design – Teste de Desenho, em português), onde o objetivo é avaliar se os processos implementados pela organização foram desenhados de forma satisfatória a atender aos controles aos quais estes estão relacionados e a boas práticas do mercado. Nesta fase, o auditor pode recorrer a um ou mais dos seguintes métodos para avaliar o desenho de um controle:
- Indagação: questionar o responsável pelo processo (chamado, às vezes, de Control Owner) para obter a descrição e visão geral deste. Este método é geralmente utilizado em conjunto com outra técnica, devido ao baixo nível de confiabilidade das informações;
- Observação: observar a execução do processo por parte do responsável ou alguém por este designado;
- Inspeção: analisar documentos, gravações, capturas de tela ou outros tipos de evidências da execução do processo avaliado. Este método pode ser associado à indagação para obter a descrição do processo de forma mais precisa;
- Reperformance: reexecutar o processo do início ao fim. Esta etapa, por vezes, pode ser identificada como “walkthrough”.
Além do teste de desenho, os controles são avaliados também quanto à sua efetividade, no TOE (Test of Effectiveness – Teste de Efetividade, em português), onde o objetivo é validar que um controle, de fato, reduz ou mitiga o(s) risco(s) ao(s) qual(is) este está associado em determinado período.
Para avaliar a efetividade de um controle, são selecionadas amostras, baseadas no período escopo da avaliação, a periodicidade e forma de execução do controle (manual, automático ou híbrido), de maneira que o auditor consiga garantir que o controle está funcionando no ambiente em que está implementado. Por exemplo, em uma auditoria cujo período de avaliação é de 1 ano, a expectativa é que haja apenas 1 execução de um controle anual, 12 execuções de um controle mensal e assim em diante. Assim sendo, o auditor deve selecionar uma quantidade razoável de amostras e, quando aplicável, relacionados a períodos (meses, semanas ou dias) distantes, para garantir que a eficácia do controle não foi comprometida com o passar do tempo.
Além dos testes de desenho e efetividade dos controles, o auditor poderá também executar o teste conhecido como “rollforward”. Este teste consiste no teste de efetividade performado sobre a execução de um controle complementar ao período escopo, de forma a cobrir um período planejado.
Após a execução dos testes, o auditor deve emitir um relatório de auditoria para formalizar o resultado de suas avaliações. Caso identifique controles cujo desenho não está aderente ao risco relacionado ou aos requisitos da organização, bem como controles ineficientes, o auditor deve descrever o problema (também chamado de “gap”) e pode sugerir um plano de ação corretiva para este desvio.
De acordo com Lucas Bezerra, consultor de GRC da Safeway Consultoria, “a Auditoria ITGC é indispensável para organizações que buscam a conformidade com diversas regulamentações, por exemplo a Lei Sarbanes-Oxley ou para empresas que buscam aprimorar a gestão de riscos de TI”.
Segundo ele, “a dinamicidade da indústria tecnológica resulta no constante surgimento de riscos relacionados à TI; portanto, a avaliação periódica de eficiência dos controles implementados para minimizar a probabilidade e impacto destes riscos ao ambiente é de suma importância para empresas de diversos ramos de negócio e portes, facilitando a gestão destes riscos e preparar as empresas para a constante renovação tecnológica ao redor do mundo”.