Lidando com os 10 Principais Riscos Tecnológicos

Core Report

TECNOLOGIA

Lidando com os10 Principais RiscosTecnológicosO Papel da Auditoria Interna

CBOKThe Global Internal Audit Common Body of Knowledge

Philip E. FloraCIA, CISA, CFE, CCSA

Sajay Rai CPA, CISSP, CISM

●

Sobre o CBOK

8%

6%

14%

19%

5%

25%

23%

Américado Norte

AméricaLatina & Caribe

ÁfricaSubsaariana

Oriente Médio& Áfricado Norte

Europa& ÁsiaCentral

Sul daÁsia

Leste Asiático& Pacífico

Pesquisa do Praticante CBOK 2015: Participação das Regiões Globais

*As taxas podem variarpor pergunta.

FATOS DA PESQUISA

Participantes 14,518

Países 166

Idiomas 23

NÍVEIS DOS FUNCIONÁRIOS*

Chief audit executive (CAE) 26%

Diretor 13%

Gerente 17%

44%Equipe

Observação: As regiões globais são baseadas nas categorias do Banco Mundial. Para a Europa, menos de 1% dos participantes era da Ásia Central. As respostas da pesquisa foram coletadas entre 2 de Fevereiro de 2015 e 1º de Abril de 2015. O link da pesquisa online foi distribuído via listas de mailing dos institutos, sites do IIA, newsletters e redes sociais. Pesquisas parcialmente preenchidas foram incluídas na análise, desde que as perguntas demográficas tivessem sido completadas. Nos relatórios CBOK 2015, perguntas específicas são chamadas de Q1, Q2 e assim por diante. Uma lista completa das perguntas da pesquisa está disponível para download no CBOK Resource Exchange.

O Common Body of Knowledge (CBOK) Global de Auditoria Interna é o maior estudo contínuo global no mundo sobre a pro�ssão da auditoria interna, incluindo estudos sobre os praticantes de auditoria interna e suas partes interessadas. Um dos componentes principais do CBOK 2015 é a pesquisa global do praticante, que fornece uma perspectiva abrangente das atividades e características dos auditores internos do mundo todo. Este projeto tem como base as duas pesquisas globais do praticante anteriores, conduzidas pela �e IIA Research Foundation em 2006 (9.366 respostas) e 2010 (13.582 respostas). Os relatórios serão lançados mensalmente até Julho de 2016 e podem ser baixados de graça, graças às contribuições generosas e ao apoio de indivíduos, organizações pro�ssionais, �liais do IIA e institutos do IIA. Mais de 25 relatórios foram planejados em três formatos: 1) core reports, que abordam tópicos gerais, 2) closer looks, que exploram mais a fundo as principais questões, e 3) fast facts, com foco em uma região ou ideia especí�ca. Esses relatórios exploram diferentes aspectos de oito áreas de conhecimento, incluindo tecnologia, riscos, talento e outras. Visite o CBOK Resource Exchange em www.theiia.org/goto/CBOK para download das perguntas da pesquisa e dos relatórios seguintes, conforme forem disponibilizados.

●

Conteúdos

Sumário Executivo 4

1 Cibersegurança 5

2 Segurança da Informação 7

3 Projetos de Desenvolvimento de Sistemas de TI 9

4 Governança de TI 12

5 Serviços Terceirizados de TI 15

6 Uso de Mídias Sociais 17

7 Computação Mobile 19

8 Habilidades de TI Entre Auditores Internos 21

9 Tecnologias Emergentes 23

10 Conscientização Tecnológica do Comitê edo Conselho de Auditoria

25

Conclusão 26

Áreas deConhecimento

do CBOK

Futuro

Global

Governança

Gestão

Risco

Normas & Certificações

Talento

Tecnologia

●

O

●

●

●

Sumário Executivo

s riscos tecnológicos primários e emergentes de sua organização estão sendo identi�cados e geridos apropriadamente? Essa é uma das perguntas fundamentais que os comitês de auditoria e conselhos de organizações em todos os lugares estão fazendo. Este relatório fornece aos auditores internos, membros do conselho e comitês de auditoria as informações chave para ajudá-los a lidar com os riscos tecnológicos mais importantes da atualidade. Você aprenderá sobre:

Os 10 principais riscos tecnológicosPerguntas fundamentais para auditores internos fazerem sobre esses riscosAtividades fundamentais para lidar com os riscos tecnológicos

Os 10 principais riscos foram identi�cados usando entrevistas com os diretores executivos de auditoria (chief audit executives - CAEs) e especialistas em tecnologia da informação (TI) da África, América Latina e Oriente Médio, Europa, Canadá e Estados Unidos. Adicionalmente, perspectivas sobre os riscos tecnológicos são apresentadas a partir da Pesquisa Global do Praticante de Auditoria Interna CBOK 2015, a maior pesquisa sobre auditores internos no mundo. A ordem dos riscos pode variar em prioridade, dependendo do mercado no qual você opera. Este relatório não apenas guia os leitores por meio do labirinto das questões tecnológicas atuais e emergentes, mas também aborda o lado organizacional dos riscos causados por baixos níveis de habilidades de TI dentro do departamento de auditoria interna e pela falta de conscientização entre os membros do conselho de administração.

●

AO Papel da Auditoria Interna

1 Cibersegurança

❝ Com relação à cibersegurança, a maioria dos líderes não entende quantos riscos estão assumindo.❞

—Scott Klososky,

Sócio na Future Point

of View, LLC, EUA

0% 20% 40% 60% 80% 100%

4-Risco Alto

3-Risco Moderado

2-Risco Mínimo

1-Nenhum risco

Média de todos os participantes

Especialistas em Contabilidade

Especialistas emGerenciamento de Riscos

Especialistas de TI

Observação: Q93: Em sua opinião, qual o nível de risco inerente em sua organização para as áreas emergentes de Tecnologia da Informação (TI) a seguir? Aqueles que responderam “não se aplica/não sei” foram excluídos dos cálculos. Devido a arredondamento, alguns totais podem não somar 100%. 1.038 participantes para TI; 1.139 para gerenciamento de riscos; 1.678 participantes para contabilidade; 9.426 participantes ao total.

Documento 1 Níveis de Risco para Violações de Dadosque Possam Prejudicar a Marca

3% 15% 36% 46%

5% 19% 42% 35%

12% 21% 40% 27%

7% 20% 39% 34%

cibersegurança é, provavelmente, o tópico de TI mais discutido entre executivos, auditores internos, comitês de auditoria e o conselho de diretores. Portanto, é o nº 1 em nossa lista dos 10 principais riscos da tecnologia. Um dos maiores riscos da cibersegurança que as organizações encaram é a possibilidade de pessoas externas roubarem dados delicados ou sigilosos. A maioria das organizações reconhece o dano que tais violações de dados podem causar a suas marcas e reputações. O Documento 1 con�rma essas opiniões, já que mais de 70% dos participantes da pesquisa consideram o risco de uma violação de dados como alto ou moderado. Também vale notar que os especialistas de TI consideram este risco ainda mais alto (82%). Isso pode ser explicado pelo fato de especialistas de TI

entenderem melhor de tecnologia e saberemas lacunas que podem ser exploradas.

Auditores internos podem desempenhar um papel integral na organização, para garantir que os riscos da cibersegurança sejam abordados apropriadamente. Dependendo do porte da organização, o papel que desempenham pode variar em termos das atividades que eles conduzem e das perguntas que podem fazer. Dentro de organizações de pequeno porte (com menos de 1.500 funcionários), 5 de 10 departamentos de auditoria interna conduzem o mínimo ou nenhuma atividade relativa à cibersegurança; enquanto o departamento de auditoria interna conduz extensivas atividades relativas à cibersegurança em 4 de 10 empresas de grande porte. (Q92, n=9.929).

●

PERGUNTAS CHAVE PARA A AUDITORIA INTERNA FAZER

1. A organização é capaz de monitorar intrusões suspeitas na rede?

2. A organização é capaz de identificar se um ataque está ocorrendo?

3. A organização pode isolar o ataque e restringir danos potenciais?

4. A organização é capaz de saber se dados confidenciais estão saindo da organização?

5. Se houver um incidente, há um plano formal de gerenciamento de crises em prática, testado e alinhado ao risco organizacional?

6. Se houver um incidente, a organização tem acesso a habilidades forenses para auxiliar com o incidente?

7. A equipe de incidentes está a postos e sabe de seus papéis e responsabilidades?

ATIVIDADES CHAVE PARA A AUDITORIA INTERNA CONDUZIR

1. Conduzir um exame anual independente e um teste de penetração da rede externa.

2. Verificar que exercícios de simulação sejam realizados com relação ao plano de gerenciamento de crises da organização, para preparar a equipe de incidentes para o caso de um incidente real.

3. Conduzir uma auditoria da arquitetura de rede, para determinar a conformidade com as políticas e procedimentos de rede.

4. Conduzir uma auditoria de um incidente recente e determinar se as políticas, procedimentos e ferramentas foram aplicadas conforme planejado e se os especialistas forenses atuaram durante o incidente.

❝ Os auditores

devem garantir

que sua empresa

tenha um processo

para aprender com

suas próprias

experiências e com

as de outras

organizações.

A colaboração

ocorre, por exemplo,

por meio da

Financial Services-

Information Sharing

and Analysis Center,

uma organização

global usada

extensivamente na

indústria de

instituições

financeiras para

compartilhamento

de ideias para

combater as ameaças

da cibersegurança

e relacionadas.❞

—James Alexander,

CIA, CFE, CISA,

Unitus Community

Credit Union,

Portland, Oregon

●

2 Segurança da Informação

A ● Processo robusto de avaliação de riscos ●

● Políticas e normas de segurança da informação documentadas e comunicadas

●

●

● Programas testados de recuperação de desastres, continuidade do negócio e resposta a incidentes

● Processos de gerenciamento operacional de ativos, gestão de redes, gestão de patches e gerenciamento de mudanças

● Segurança física rigorosa

O Papel da Auditoria Interna

Decrease

Stay the same

Increase

75%

3%22%

Diminuir

Permanecer a mesma

Aumentar

52%7%

41%

Observação: Q94: Nos próximos dois a três anos, você acha que a atividade de auditoria interna relativa a essas áreas de tecnologia vai aumentar, diminuir ou permanecer a mesma? 11.163 participantes.

Documento 2

Cobertura de Auditoria

Cibersegurança deDados Eletrônicos

Segurança Físicade Data Centers

pesar da cibersegurança receber muita atenção da mídia, a segurança da informação é igualmente crítica e vem em 2º lugar em nossa lista de 10 principais riscos de tecnologia. A segurança da informação refere-se à proteção da con�dencialidade, integridade e disponibilidade das informações críticas para a organização. No passado, a maioria das organizações concentravam seu foco na proteção do perímetro da rede e gastavam uma porção considerável de seu orçamento de segurança com dispositivos de perímetro de rede, tais como �rewalls, detecção de intrusões, prevenção de intrusões, �ltros de conteúdo e monitoramento de rede. No entanto, com todas as notícias recentes sobre violações de dados de grande escala, é óbvio que focar apenas no perímetro da rede não é a estratégia correta. É uma conclusão inevitável pensar que, se infratores externos quiserem penetrar a rede de uma organização, encontrarão uma forma de fazê-lo. O foco, agora, deve estar sobre uma defesa em camadas das informações críticas, em vez de uma única camada de defesa do perímetro da rede. Um bom programa de segurança da informação em uma organização normalmente tem um executivo ou gerente de alto nível, como um chief information security o�cer (CISO), responsável pelo programa. No mínimo, um programa de segurança da informação engloba:

Procedimentos e�cazes de governança e conformidade

Programa de treinamento e�caz de conscientização de segurançaProcedimentos e�cientes de controle de acesso

A auditoria interna tem um papel principal a desempenhar para garantir que o programa de segurança da informação de uma organização seja e�caz e e�ciente. Os planos de auditoria interna devem continuar incluindo tanto atividades de segurança física e cibersegurança, apesar de que as atividades de cibersegurança provavelmente aumentarão mais rapidamente. Conforme exibido no Documento 2, mais de 75% dos participantes planejam aumentar a atividade de cibersegurança, em comparação com 52% para segurança física.

●

1. Qual foi a última vez em que a política de segurança da informação foi revisada e atualizada?

2. Qual a taxa de sucesso do programa de treinamento de conscientização de segurança? O treinamento é obrigatório? Quais as repercussões para os que não completaram o treinamento ainda?

3. Qual foi a última vez em que uma avaliação de riscos foi feita? A avaliação de riscos é feita para todos os novos fornecedores terceirizados?

4. A organização simula incidentes para determinar sua prontidão?

5. Qual foi a última vez em que um teste de recuperação de desastres foi feito? Foi bem sucedido? Quais questões foram encontradas?

6. Quais requisitos de conformidade a organização tem? Health Insurance Portability and Accountability Act de 1996 (HIPAA)? Lei Sarbanes-Oxley de 2002 (SOX)? PCI Security Standards Council?

7. Um infrator externo pode penetrar o parâmetro físico usando engenharia social? (Um exemplo desse tipo de violação seria começar uma conversa casual com um funcionário do lado de fora do prédio e entrar com ele no prédio quando passar o crachá na entrada.

8.

A organização registra e monitora as atividades de usuários privilegiados (aqueles com autoridade administrativa para gerir o ambiente de TI)?


1. Conduzir um exame de vulnerabilidade da rede interna.

2. Revisar o processo de controle de acesso. Os proprietários realmente revisam a lista de acesso ou a revisão é um exercício de conformidade, no qual os proprietários apenas “aprovam” sem realmente examiná-la?

3. Usar terceiros para conduzir um ataque simulado e auditar os resultados. Por exemplo, conduzir um exercício de e-mail de phishing, para determinar a eficácia do programa de treinamento de conscientização (organizações médias e grandes).

4. Auditar o backup das informações críticas e verificar que os backups sejam realizados rotineiramente.

5. Auditar a atividade de usuários privilegiados e verificar se apenas usuários autorizados têm capacidades privilegiadas. Além disso, verificar se usuários privilegiados são registrados e monitorados.

6. Auditar terceiros que tenham acesso aos ativos críticos da organização ou revisar os relatórios Nº 16 de Statement on Standards for Attestation Engagements (SSAE) (organizações de grande porte).

❝ A segurança da

informação

organizacional

e o gerenciamento de

riscos organizacionais

não podem permitir a

contenção dos riscos

principais, sem que os

funcionários sejam

informados sobre o

gerenciamento dos

riscos e sobre seu

poder de tomar

uma atitude.❞

—Grace Lwanga, Diretora Técnica,

Auditoria de TI, WorldVision International


●

3 Projetos de Desenvolvimentode Sistemas de TI

❝ As organizações precisam aprender rapidamente com quaisquer erros de desenvolvimento de sistemas, para que possam se tornar mais bem-sucedidasno desenvolvimento e implementação dos aplicativos fundamentais para a empresa.❞

—Edward Carr, Diretor de Auditoria de TI

Governo Estadual de Ohio

Observação: Q94: Nos próximos dois a três anos, você acha que a atividade de auditoria interna relativa a essas áreas de tecnolgoia vai aumentar, diminuir ou permanecer a mesma? Tópico: Avaliação da gestão de projetos/auditorias dos principais projetos. 11.019 participantes.

Documento 3 Avaliação de Principais Projetos de TI no Futuro

0% 20% 40% 60% 80% 100%

DiminuirPermanecer amesmaAumentar

Média Global

América do Norte

Europa e Ásia Central

América Latina e Caribe

Leste Asiático e Pacífico

Oriente Médio eNorte da África

África Subsaariana

Sul da Ásia 73% 22% 5%

73% 23% 4%

68% 26% 6%

63% 27% 10%

62% 34% 4%

57% 39% 5%

54% 43% 3%

61% 33% 6%

U

● Taxa geral de sucesso: 16,2% ● Projetos contestados: 52,7% ● Prejudicados (cancelados): 31,1% * CIO Journal, Janeiro de 2014, conforme

citado no �e Wall Street Journal.

ma grande porção do orçamento de TI é gasto em projetos de desenvolvimento de sistemas e, portanto, o tópico vem em 3º lugar na lista de 10 principais riscos de tecnologia. Para continuar viável, toda organização precisará desenvolver ou atualizar seus sistemas tecnológicos. Infelizmente, as chances de sucesso são baixas. De acordo com o Relatório CHAOS, publicado pelo �e Standish Group, projetos de desenvolvimento de sistemas de TI se saíram assim durante um longo período de tempo:

Um estudo estimou que falhas de software custam às empresas de $50 a $80 bilhões anualmente.* A maioria dos participantes da pesquisa reconhecem a importância de continuar ou aumentar as auditorias e a avaliação dos principais projetos tecnológicos (veja Documento 3). Cerca de 6 entre 10 de todos os participantes esperam aumentar essas auditorias. Os objetivos dos projetos fundamentais de sistema devem ser monitorados durante o desenvolvimento e após a implementação.

●

● O defensor do projeto no nível executivo oferece suporte limitado ou não está envolvido.

● Os analistas corporativos são fracos ou não foram treinados apropriadamente.

● Gerenciamento de riscos fraco ou ruim. ● A gestão do projeto é fraca ou o

gerente tem pouca experiência. ● O comitê de direcionamento do

projeto é ine�caz.


A auditoria interna deve considerar conduzir auditorias para cada aspecto do systems development life cycle (SDLC). Elementos típicos do SDLC incluem um estudo de viabilidade, estudo de requerimentos, de�nição de requerimentos, design detalhado, programação, testes, instalação e revisão pós-implementação.*

* Veja o Glossário de Termos ISACA, disponível em www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf.

LACUNAS DEEXPECTATIVAS

●

Datas forçadas de implementação (a data de conclusão do projeto é definida antes que a equipe do projeto faça um planejamento apropriado e/ou use técnicas de estimativa de projeto).

●

Expectativas não realistas.

● Expectativas e recursos não compatíveis entre si

● Consequências de baixo desempenho do projeto não são aplicadas consistentemente

●

Relatório de status infrequente/impreciso (valor adquirido não utilizado)


1. Como os projetos são aprovados dentro da organização?

2.

3. Como os projetos são gerenciados dentro da organização?

4. Os principais projetos têm um gerente executivo à frente?

5. Há um comitê de direcionamento de projeto em prática e suas reuniões são conduzidas periodicamente?

6. Se os fornecedores estiverem envolvidos no desenvolvimento do projeto, qual é o processo administrativo de contratação?

7. São fornecidos relatórios de status mensais?

8. Qual processo a organização segue caso o projeto tenha excedido o orçamento ou esteja tomando mais tempo para concluir?

9. A organização tem um processo em prática para cancelar projetos se os objetivos não estiverem sendo alcançados?

10. A organização de TI conduz estudos de satisfação do usuário com o resultado e custos dos projetos de TI?

Aqui estão alguns motivos comuns pelos quais projetos de desenvolvimento de sistemas de TI não conseguem atender as expectativas da gerência:

Como os projetos são iniciados dentro da organização?

Exemplos de objetivos de projeto não alcançados em muitas organizações são prazos perdidos, excessos de custos, e�ciências não entregues como esperado, software com falhas que não foram testadas antes da implementação, integração reduzida em relação ao plano inicial e menos funcionalidades do que as identi�cadas no plano corporativo quando o projeto foi aprovado. Finalmente, outra questão importante é a liderança fraca, que pode prejudicar um projeto em muitos níveis. Áreas comuns de liderança fraca incluem:

●


1. Conduzir auditorias durante o ciclo de vida dos principais projetos de desenvolvimento de sistemas de TI. O ciclo de vida inclui a conformidade contratual, gestão de projetos, custos (tais como estruturação da equipe de fornecedores/contas a pagar), progresso do projeto, pedidos de modificação, programas de incentivo/bônus e etc.

2.

Participar em auditorias de projeto com as equipes de auditoria/qualidade do fornecedor para limitar o número de auditorias e/ou obter conhecimento adicional. Isso minimizará as interrupções ao projeto.

3.

Conduzir uma auditoria da metodologia de gestão de projetos da organização.

4. Revisar o portfólio de projetos e auditar se a metodologia está sendo seguida, especialmente para projetos que não estejam dentro do orçamento ou prazo.

5.

Verificar se os usuários estão envolvidos nas mudanças do escopo do projeto e entregáveis.

6. Depois que o projeto for concluído, revisar os resultados do estudo de satisfação do usuário conduzido pela organização de TI ou conduzir seu próprio estudo de satisfação do usuário, para verificar os resultados fornecidos pela organização de TI.

7.

Determinar se há atividade de projeto post mortem/lições aprendidas e se é usada para a melhoria do processo para futuros projetos.

Para mais informações, veja o GTAG 12: Auditing IT Projects, 2009, disponível em www.theiia.org, em Standards & Guidance.

●

C ● Alinhamento claro com o negócio ● Entrega mensurável de valor ao

negócio ● Controles formais de recursos,

riscos, desempenho e custos

4 Governança de TI

DEFINIÇÃO DE GOVERNANÇA DE TI

A governança de TI

consiste da liderança,

processos e estruturas

organizacionais que

garantem que a

tecnologia da informação

da empresa apoie as

estratégias e objetivos

da organização.

—Da Estrutura Internacional de Práticas Profissionais (Altamonte Springs, FL: The Institute of Internal Auditors, 2013), 43.

COMPONENTES DA GOVERNANÇA DE TI EFICAZ

Estruturas organizacional e de governança

Liderança e apoio executivo

Planejamento estratégico e operacional

Entrega e mensuração do serviço

Organização de TI e gerenciamento de riscos

—Do GTAG 17: Auditing IT Governance (Altamonte Springs, FL: The Institute of Internal Auditors, Julho de 2012).

0% 20% 40% 60% 80% 100%

Média Global


Sul da Ásia

América do Norte


Oriente Médio eÁfrica do Norte


África Subsaariana

4-Atividade extensiva

3-Atividade moderada

2-Atividade mínima

1-Sem atividade

Observação: Q72: Qual é a extensão da atividade de seu departamento de auditoria interna relativa às revisões de governança? Tópico: Revisões das políticas e procedimentos de governança, relativos ao uso da Tecnologia da Informação (TI), em especial, por parte da organização. CAEs apenas. Aqueles que responderam “não se aplica/não sei” foram excluídos dos cálculos. 2.545 participantes.

Documento 4 Atividade de Governança de TI

4% 23% 45% 28%

8% 21% 43% 27%

14% 16% 45% 25%

8% 22% 45% 25%

9% 21% 49% 22%

6% 12% 62% 21%

14% 28% 43% 15%

9% 22% 45% 23%

om os escândalos corporativos recentes, muita culpa é colocada não apenas na governança corporativa, mas também na governança de TI. Portanto, esse é o tópico Nº 4 em nossa lista dos 10 principais riscos da tecnologia. Em muitas organizações, a gerência questiona a quantidade de dinheiro gasto em TI e há ênfase crescente no monitoramento dos custos de TI. Essa ênfase também ocorre por conta da maior lacuna entre o que TI pensa que o negócio precisa ter e o que o negócio pensa que TI possa entregar. No mínimo,

um bom programa de governança de TI deve ter os três elementos a seguir:

Cerca de 3 a cada 10 participantes dizem que a atividade de auditoria interna para a governança de TI em sua organização é inexistente ou mínima, o que é motivo para preocupação (veja Documento 4). Considerando a

●


COMO PLANEJAR UMA AUDITORIA DE GOVERNANÇA DE TI

No escopo e execução de uma auditoria de TI, a equipe do trabalho de auditoria interna deve:

Determinar se a função de TI está alinhada e entende os objetivos e estratégias da organização.

Determinar a eficácia do gerenciamento de recursos e desempenho de TI.

Avaliar os riscos que podem prejudicar o ambiente de TI.

—Do GTAG 17: Auditing IT Governance (Altamonte Springs, FL: The Institute of Internal Auditors, 2012), 15.

0%

20%

40%

60%

80%

100%

50 ou mais25 a 4910 a 244 a 91 a 3

4-Atividadeextensiva

3-Atividademoderada

1-Nenhuma ou2-Atividade mínima

Número de Funcionários no Departamento de Auditoria Interna

Documento 5Atividade de Governança de TI Comparada aoPorte do Departamento de Auditoria Interna

41% 30%

19% 17%20%

42%49% 47% 45%

42%

17%21%

33%

37% 38%

Observação: Q72: Qual é a extensão da atividade de seu departamento de auditoria interna relativa às revisões de governança? Tópico: Revisões das políticas e procedimentos de governança, relativos ao uso da Tecnologia da Informação (TI), em especial, por parte da organização. CAEs apenas. Aqueles que responderam “não se aplica/não sei” foram excluídos dos cálculos. 2.497 participantes.

quantidade de dinheiro gasto em tecnologia e seu impacto sobre os consumidores e operações, quase todos os departamentos de auditoria interna devem ter, ao menos, atividade moderada voltada para a governança de TI. Entre os participantes, o maior nível de atividade para governança de TI foi no Sul da Ásia, com 8 entre 10 participantes relatando atividade moderada ou extensiva.

A auditoria interna pode ajudar a organização, prestando avaliação das áreas

nas quais a TI se sai bem e tem controles apropriados para mitigar o risco com base na tolerância a riscos da organização. Outro objetivo de negócio igualmente importante é que haja uma infraestrutura de TI para que se possa tirar vantagem das oportunidades de melhorar o negócio. Departamentos de auditoria interna de pequeno porte parecem ter di�culdade em alocar tempo para a revisão da governança de TI. Em departamentos de auditoria com três funcionários ou menos, 4 entre 10 dizem ter nenhuma ou atividade mínima para governança de TI (veja Documento 5).

●


1. Quais atividades TI está conduzindo para se alinhar com o negócio? Com que frequência TI se reúne com o corporativo para entender suas necessidades?

2. Qual é a percepção corporativa das capacidades e desempenho da TI?

3. Como TI determina o valor que agrega ao negócio?

4. Como os executivos de TI determinam o número apropriado de recursos a serem empregados na TI?

5. A TI conduz uma avaliação de riscos de TI periodicamente?

6. A TI tem métricas chave de desempenho definidas, para mensurar seu desempenho?

7. A TI gerencia seu custo?


1. Avaliar o “tom no topo” da organização de TI em relação à cultura corporativa, métricas/expectativas de desempenho definidas, service-level agreements (SLA), atendimento ao cliente e etc.

2. Periodicamente, conduzir uma auditoria para determinar se a função de TI está alinhada e entende as prioridades estratégicas da organização.

3.

4.

5. Auditar as métricas de custo em prática no ambiente de TI.

6. Examinar o negócio, para determinar a percepção dos líderes do negócio sobre as capacidades e desempenho de TI.

7. Comparar o programa de conformidade dentro da organização com estruturas estabelecidas, tais como Control Objectives for Information and Related Technology (COBIT), Committee of Sponsoring Organizations of the Treadway Commission (COSO), National Institute of Standards and Technology (NIST) e International Organization for Standardization (ISO) 27001 e ISO 27002, conforme apropriado (grandes organizações).

Revisar a eficácia da gestão de recursos e desempenho de TI.

Avaliar os riscos que possam prejudicar o ambiente de TI.

●

CO Papel da Auditoria Interna

5 Serviços Terceirizados de TI

❝ Terceirizar serviços

de TI se equipara a

fornecer a alguém

as chaves de seu

reino e esperar/

confiar a eles a

gestão das

informações como

você a faria.❞

—Drew Perry, CISSP, CISA ,

IT Compliance Manager, Ashland, Inc.

0% 20% 40% 60% 80% 100%

Média Global



América do Norte


Oriente Médio eNorte da África

Sul da Ásia

África Subsaariana

Diminuir Permanecer a mesmaAumentar

Observação: Q94: Nos próximos dois a três anos, você acha que a atividade de auditoria interna relativa a essas áreas tecnológicas vai aumentar, diminuir ou permanecer a mesma? Tópico: Auditorias de aquisição de TI, incluindo terceiros e serviços terceirizados.11.020 participantes.

Documento 6 Auditorias Futuras de TI Terceirizada

74% 22% 4%

71% 25% 4%

67% 28% 5%

63% 33% 4%

59% 39% 3%

59% 31% 10%

55% 41% 4%

61% 34% 5%

omo mencionado na seção anterior, um foco maior sobre os custos de TI resultou na terceirização de alguns serviços chave de TI. Isso levou a ainda mais foco na governança de TI, elevando os serviços terceirizados de TI ao 5º lugar de nossa lista de 10 principais riscos de tecnologia. Serviços terceirizados de TI podem expor uma organização a um risco que pode �car escondido até que um erro ocorra. Em alguns casos, a terceirização coloca processos tecnológicos essenciais para fora do controle direto da gerência. Em média, 6 entre 10 auditores internos entrevistados dizem que esperam um aumento nas auditorias de serviços terceirizados de TI ao longo do próximo

ano (veja Documento 6). O maior aumento é esperado na África Subsaariana e o menor na Europa.

Auditores internos podem prevenir que ocorram alguns problemas de terceirização ao se envolverem desde o início do ciclo de terceirização. Por exemplo, a auditoria interna deve garantir que o contrato inicial aborde supervisão, monitoramento, auditoria, segurança física e lógica, estruturação de equipe apropriada, uma pessoa de contato, acesso à informação, planos de continuidade do negócio/recuperação de desastres, SLAs e reporte.

●


1. Os serviços terceirizados são importantes para a organização?

2. A organização tem uma estratégia bem definida de terceirização?

3. Qual a estrutura de governança relativa às operações terceirizadas? Os papéis e responsabilidades estão claramente definidos?

4. Uma análise de risco detalhada foi conduzida no momento da terceirização; e está sendo feita uma análise regular de riscos?

5. Contratos formais ou SLAs existem para as atividades terceirizadas?

6. O SLA define claramente key performance indicators (KPIs) para o monitoramento do desempenho do fornecedor?

7. Como é monitorada a conformidade com o contrato ou SLA?

8. Qual o mecanismo usado para abordar a não conformidade com o SLA?

9. As responsabilidades de ser proprietário do sistema de dados, de comunicação, de operação e softwares de aplicativo estão claramente definidas e acordadas junto ao prestador de serviços?

10.


1. Envolver-se no início do processo de contratação da terceirização.

2. Auditar um fornecedor externo e revisar seus SLAs e KPIs.

3. Revisar um serviço externo, no qual tenha havido não conformidade, e determinar se os passos apropriados foram seguidos.

4. Garantir que todo o código-fonte entregue pelo terceirizado seja escaneado em busca de malware.

5. Auditar o processo de tomada de decisões relativo à determinação de como uma organização decide quais elementos de TI devem ser terceirizados.

6. Selecionar um fornecedor chave existente e revisar a avaliação de riscos conduzida antes da seleção do fornecedor.

RECURSOS

Auditing Outsourced Functions, 2ª Edição, de Mark Salamasick (Altamonte Springs, FL: The Institute of Inter-nal Auditors Research Foundation, 2012).

GTAG 7: Information Technology Outsourcing2ª Edição (AltamonteSprings, FL: TheInstitute of Internal Auditors, 2012).

Qual o processo para obter uma avaliação sobre a eficácia operacional dos controles internos da parte do prestador de serviços?

●

A ● Exposição a responsabilidades legais, tais como difamação, assédio e violações de privacidade

● Vazamento de informações con�-denciais ou segredos do negócio, podendo afetar a competitividade

● Danos à reputação da organização, por meio de comunicações falsas, depreciativas ou imprudentes

6 Uso de Mídias Sociais

RECURSO

Auditing Social Media: A Governance and Risk Guide de Peter Scott e Mike Jacka (John Wiley & Sons com o The IIA, 2011).

Observação: Q92: Para a segurança da tecnologia da informação (TI) em particular, qual a extensão da atividade de seu departamento de auditoria interna relativa às áreas a seguir? Aqueles que responderam “não se aplica/não sei” foram excluídos dos cálculos. 9.747 participantes.

Documento 7

Avaliação para Uso de Mídias Sociais por parte do Funcionário


3-Atividademoderada


57%

12%

31%

0%

20%

40%

60%

80%

100%

50 ou mais25 a 4910 a 244 a 91 a 3


3-Atividademoderada


Observação: Q92: Para a segurança da tecnologia da informação (TI) em particular, qual a extensão da atividade de seu departamento de auditoria interna relativa às áreas a seguir? Tópico: Procedimentos da organização sobre como os funcionários usam as mídias sociais. Aqueles que responderam “não se aplica/não sei” foram excluídos dos cálculos. 8.980 participantes.

Documento 8 Avaliação de Mídias Sociais em Comparação com oPorte do Departamento de Auditoria Interna

23%28%

32%38% 37%

71%

63%

57%

46%42%

6%9% 10%

17%21%

velocidade com a qual as mídias sociais espalham mensagens levou as organizações a de�nirem políticas e procedimentos de mídias sociais, motivo pelo qual elas são o Nº 6 de nossa lista. Essas políticas focam, principalmente, nas formas como os funcionários podem usar as ferramentas de mídias sociais e as restrições impostas a eles quanto ao conteúdo que pode ser compartilhado nas mídias sociais. Se um funcionário violar a política de mídias sociais e postar uma mensagem prejudicial, os riscos potenciais à organização incluem:

Conforme mostrado no Documento

7, a atividade de avaliação atual, por parte da auditoria interna, relativa ao

●

1.

2. Comunicar a política por meio de um programa de conscientização e treinamento de segurança.

3. Implementar a política por meio do emprego de softwares de “�ltros de conteúdo” para tecnologias, tais como Web 2.0.

4. Monitorar os resultados, para garantir que a política esteja sendo seguida.

5. Aplicar a política àqueles que a violarem.



1. Como a organização usa as redes sociais para atingir seus clientes e consumidores?

2. Qual conteúdo é permitido para postagem em sites de redes sociais?

3. Há um grupo ou pessoa responsável pelo monitoramento dos conteúdos reais disponíveis em redes sociais (condução de varreduras de sites de mídias sociais)?

4. Qual conteúdo é monitorado pelo software de “filtro de conteúdo”? Quem monitora os alertas criados pelo software?

5. Quais são as consequências para um funcionário que viole a política de mídias sociais?


1. Conduzir uma auditoria das políticas e procedimentos de mídias sociais.

2. Revisar a adequação do treinamento de conscientização, para garantir que o tópico das mídias sociais seja abordado.

3.

4. Conduzir uma varredura independente de sites de mídias sociais, para determinar o conteúdo organizacional disponível.

uso de mídias sociais por funcionários é muito baixa. Quase 6 entre 10 participantes relataram nenhuma ou mínima atividade. Apenas 1 entre 10 disse ter atividade extensiva. Departamentos de auditoria interna de maior porte têm maior probabilidade de serem ativos na avaliação de mídias sociais (veja Documento 8). No entanto, 4 entre 10 dos maiores departamentos de auditoria interna ainda indicam nenhuma ou mínima atividade nesta área. Para abordar os riscos de mídias sociais, as organizações devem incorporar os passos a seguir como parte de seus procedimentos de mídias sociais:

De�nir uma política de uso corporativo de mídias sociais.

Os auditores internos podem ter um papel chave no gerenciamento de riscos associados às mídias sociais. Eles podem atuar no papel de consultores, enquanto a organização implementa os passos acima. Além disso, a auditoria interna deve considerar a inclusão de uma auditoria de mídias sociais como parte de seu plano anual de auditoria.

Entender o uso do software de “filtro de conteúdo” e sua eficácia para monitorar a entrada e saída de conteúdo.

●

A

Riscos de Segurança

Riscos de Conformidade

Riscos de Privacidade

Riscos de Gestão

7 Computação Mobile

❝ A informação viaja

com seus usuários,

portanto dados de

segurança devem

ser tão robustos

em dispositivos

móveis quanto o

são na sede da

empresa. Tablets,

computadores

pessoais, celulares,

relógios smart, etc

são pequenos

data centers nos

quais a maioria das

informações

estratégicas da

empresa é guardada

(ou dados suficientes

para atacar os

servidores centrais).

A quantidade de

equipamentos

roubados e/ou

perdidos agrava a

situação.❞

— Alejandro Rembado Mendizábal, CAE,

Telefonica da Argentina

proliferação dos dispositivos móveis, assim como as melhorias na tecnologia, funcionalidades e aplicativos, revolucionou a força de trabalho e deu novo signi�cado ao termo “computação mobile e trabalhador mobile”, e é o Nº 7 de nossa lista dos 10 principais riscos de tecnologia. O trabalhador mobile de ontem normalmente trabalhava com um notebook, conectando-se remotamente à rede da empresa. O trabalhador mobile de hoje normalmente tem mais capacidade de computação, trabalhando com dispositivos móveis, tais como telefones ou tablets, que usam aplicativos desenvolvidos especialmente para conduzir o negócio. Dispositivos móveis dão aos usuários organizacionais capacidade de computação, conectividade com a Internet onde quer que haja Wi-Fi ou serviço de celular, e a conveniência de ter um dispositivo para uso pessoal e pro�ssional. Ao mesmo tempo, dispositivos móveis - sejam pessoais ou corporativos - apresentaram uma miríade de riscos de con�guração de dispositivo e rede que desa�am a abordagem tradicional de um departamento de TI quanto ao gerenciamento de riscos.

As informações guardadas em aparelhos móveis podem incluir dados pessoais e corporativos. Eles podem ser expostos se o dispositivo for �sicamente perdido ou roubado, se o usuário do dispositivo deixar a organização sem deletar os dados do dispositivo, ou se os controles de segurança apropriados não estiverem em prática e operando como previsto.

Com o advento do bring your own device (BYOD), as empresas dependem dos usuários amplamente para conformidade com políticas e procedimentos aplicáveis, tais como diretrizes para atualização de software ou sistemas operacionais. Usuários que considerem as atualizações muito invasivas ou degradantes para o desempenho do aparelho podem escolher não instalá-las ou contornar os controles.

BYODs podem levantar preocupações de privacidade a partir das perspectivas da organização e do funcionário. Por exemplo, pode ser cada vez mais difícil para uma organização proteger a privacidade de uma parte interessada quando uma personally identi�able information (PII) é acessada ou armazenada em dispositivo móvel. Contrariamente, os funcionários podem ter preocupações com a privacidade, por achar que seu aparelho smart permite o monitoramento invasivo por parte da empresa, ou que ela possa inadvertida- mente apagar informações pessoais (ex., fotos e dados de contato) de seu aparelho quando dados corporativos forem deletados.

BYODs exigem a gestão de serviços expandidos de suporte de TI. Conforme o número de tipos de dispositivos cresce, também cresce o potencial de vulnerabilidades da rede. Além disso, quando os dispositivos passam por upgrade, o requisito de descartar

●

Riscos Legais

O Papel da Auditoria Interna❝ O online banking

na África e em

partes do Oriente

Médio é um risco

maior do que em

outras regiões,

devido ao amplo

uso de celulares

para internet

banking.❞

—Grace Lwanga, Diretora Técnica,

Auditoria de TI, WorldVision International

Documento 9 Avaliação

do Uso de Dispositivos Móveis


3-Atividademoderada


49%

16%

35%


1. A organização tem um processo para inventário de todos os dispositivos de computação mobile?

2. Como a organização gerencia dispositivos de computação mobile roubados ou perdidos?

3. Como a organização gerencia BYODs?

4. Como a organização gerencia o conteúdo em dispositivos móveis quando um funcionário deixa a organização?

5. Os dispositivos móveis são criptografados?


1. Conduzir uma auditoria do processo de inventário dos dispositivos de computação mobile.

2. Auditar como dispositivos perdidos ou roubados são geridos.

3. Entender a forma como uma organização decide sobre o tipo de informação que pode ser armazenada em dispositivos móveis.

4. Verificar que informações delicadas não estejam sendo armazenadas em dispositivos móveis ou que sejam criptografadas.

Observação: Q92: Para a segurança da tecnologia da informação (TI) em particular, qual a extensão da atividade de seu departamento de auditoria interna relativa às áreas a seguir?

apropriadamente o aparelho pode aumentar o risco do gerenciamento. Se BYODs forem oferecidos para prestadores externos de serviço, a gestão de dados corporativos nos dispositivos BYOD do prestador também pode aumentar os riscos de gerenciamento.

Uma organização precisa entender as consequências legais de armazenar dados em dispositivos móveis, tais como em casos de ação judicial e requisitos de e-discovery aplicáveis.

Conforme exibido no Documento 9, apenas 51% dos departamentos de auditoria interna relataram atividade moderada ou extensiva, o que signi�ca que quase metade das empresas tem nenhuma ou mínima atividade na área.

●

O

8 Habilidades de TI Entre Auditores Internos

Nenhuma especialização

Outras especializações

Auditoria de Desempenho

Gestão

Fraude

Operações

Reporte Financeiro

Conformidade

Tecnologia da Informação (TI)

Gerenciamento de Riscos

Contabilidade

25%18%

12%

10%5%

4%

3%

9%6%5%

3%

18%

12%

10%

9%

6%

5%

5%

4%

3%

3%

25%

Observação: Q11: Além de conduzir atividades gerais de auditoria interna, você tem uma área de especialização técnica para que você tenha tido treinamento formal e na qual você gaste a maioria de seu tempo de trabalho? 13.144 participantes.

Documento 10 Especializações Técnicas dos Participantes da Pesquisa

número de auditores de TI quali�cados é um problema contínuo para a auditoria interna e o tópico é o Nº 8 de nossa lista de 10 principais riscos de tecnologia. Entre os participantes da pesquisa, apenas 10% se especializaram em TI (veja Documento

10). Esse problema é causado por uma variedade de motivos, o principal sendo que os pro�ssionais de TI têm a oportunidade de usar novas tecnologias e ganhar salários maiores do que auditores de TI, diz Mark Salamasick, diretor executivo da University of Texas System. “Salários para auditores com especialização ou experiência em tecnologia geralmente não estão alinhados com os salários dos cargos de TI, resultando em menos auditores com as habilidades ótimas de auditoria de TI em muitas organizações.

Uma abordagem para aumentar o número de auditores com habilidades de TI é fornecer treinamento de TI para auditores operacionais/�nanceiros com aptidão para TI. No entanto, pode ser difícil para essa equipe de auditoria interna treinada internamente estabelecer sua credibilidade junto ao departamento de TI e à gerência. Sudarsan Jayaraman, diretor geral de Serviços de Consultoria de TI na Protiviti-Oriente Médio, comentou, “auditores de TI precisam de habilidades mais especializadas para serem bem-sucedidos na condução de muitas atividades/trabalhos de auditoria de alto risco. A não ser que os auditores de TI tenham habilidades de alto nível, incluindo experiência como pro�ssionais de TI, a gerência, frequentemente, não se sente confortável com suas habilidades e resultados de auditoria.

●


1.

2.

3.


Os seis ítens de ação a seguir são úteis para desenvolver relacionamentos entre a auditoria interna e o departamento de TI, e para aumentar a conscientização dos processos de TI em geral:

1.

2. Comparecer às principais reuniões de TI (ex., comitês de direcionamento de projetos de desenvolvimento de sistemas, atualizações da segurança da informação, novas tecnologias, etc.) para entender melhor os desafios e riscos significantes de TI.

3.

4. Contratar auditores que tenham histórico em tecnologia, para aumentar as habilidades de TI e credibilidade de auditoria junto à gerência de TI.

5. Conduzir auditorias de governança de TI.

6. Trabalhar e compartilhar informações sobre os principais riscos organizacionais com outras áreas de gerenciamento de riscos, governança, controle e conformidade, para reduzir a duplicação de esforços e minimizar a interrupção à equipe de TI já sobrecarregada.

Finalmente, reportar ao conselho sobre o progresso alcançado nessas seis atividades. Isso fortalecerá o entendimento da tecnologia por parte do conselho e do comitê de auditoria e responsabilizará a auditoria interna pelo crescimento da eficácia da auditoria de TI.

Construir relacionamentos com a equipe chave de TI e demonstrar como a auditoria de TI agrega valor à organização.

Reunir-se periodicamente com os principais membros da equipe de TI, incluindo o chief technology officer (CTO) e o CISO.

A auditoria interna pode seguir vários passos para abordar a falta de habilidades de TI em seu departamento. O primeiro passo é fazer um inventário da falta de habilidades de TI dentro de seu grupo:

Entendendo os tipos de tecnologias usadas dentro da organização

Mapeando as habilidades de tecnologia dentro do grupo em comparação com as habilidades de tecnologia usadas na organização

Identi�cando a lacuna de habilidade para todas as tecnologias que não estejam cobertas pelo grupo de auditoria interna

Depois que as lacunas forem identi�cadas, a auditoria interna tem diversas opções para abordá-las:

Opção 1: Desenvolver as habilidades internamente, alocando uma quantidade apropriada de orçamento e fornecendo treinamento à equipe.

Opção 2: Implementar um processo de rotação de habilidades de TI, trabalhando em cooperação com o chief information o�cer (CIO).

Opção 3: Trabalhar com um prestador de serviços externo, para terceirizar ou co-source e lidar com a lacuna de habilidades de TI.

●

O

● Análise preditiva de dados ● Big data ● Fog computing (na qual a

computação na nuvem é estendida aos limites da rede do negócio)

● Impressão 3D (na qual impressoras são programadas para entregar objetos tridimensionais)

●

● Robótica


9 Tecnologias Emergentes

ritmo no qual a tecnologia está mudando e evoluindo é impressionante e pode rapidamente apresentar novos riscos à organização. Por isso, o tópico das tecnologias emergentes é o Nº 9 em nossa lista dos 10 principais riscos de tecnologia. A tecnologia emergente pode signi�car coisas diferentes para diferentes organizações. Para algumas, o uso de dispositivos smart pode ser uma tecnologia emergente; em outras, pode já haver esse uso. Para os propósitos desta discussão, de�nimos tecnologias emergentes como aquelas que não estejam em uso na organização atualmente, mas que podem ser empregadas no futuro próximo. Exemplos incluem:

A Internet of �ings (na qual objetoscotidianos, como geladeiras ou fornos de microondas, têm conectividade com a rede e podem enviar e receber dados)

Também é possível que uma certa tecnologia já esteja em uso dentro de uma indústria (por exemplo, big data no setor �nanceiro), mas não em outra indústria. Essas diferenças afetariam também o nível percebido do risco. Como o Documento 11 mostra, a indústria �nanceira percebe o maior nível de risco na con�abilidade do big data.

A auditoria interna pode desempenhar um papel fundamental na adoção de tecnologias emergentes dentro da organização. Ela pode se envolver nos estágios iniciais do processo de avaliação de uma nova tecnologia e fornecer orientações em termos de seus riscos e requisitos de controle. Por exemplo, se uma organização está considerando adotar serviços de computação na nuvem pela primeira vez, a auditoria interna pode fazer parte da força-tarefa tecnológica, para determinar os riscos adicionais apresentados por esse ambiente (ou, em alguns casos, a redução dos riscos).

●


1. A organização tem uma equipe que avalie as tecnologias emergentes de TI?

2. A organização tem um processo formal de avaliação de tecnologias emergentes?

3. Como a organização identifica os riscos apresentados pelas tecnologias emergentes?

4. Quais projetos atuais estão em condução nos quais novas tecnologias serão empregadas no ambiente de produção?


1. Obter um inventário das tecnologias atualmente em uso.

2. Entender os novos projetos nos quais tecnologias emergentes possam ser empregadas.

3. Auditar o processo de riscos para tecnologias emergentes (como o risco é identificado durante a avaliação da tecnologia emergente).

4. Comunicar-se com a equipe de tecnologia de TI, para entender sua estratégia de adoção de tecnologias emergentes.

0% 20% 40% 60% 80% 100%

Média

Outro tipo de organização

Privadas (excluindoo setor financeiro)

Setor público (incluindoagências governamentaise operações do governo)

Públicas (excluindoo setor financeiro)

OrganizaçõesSem Fins Lucrativos

Setor financeiro(públicas e privadas)

4-Alto Risco3-RiscoModerado

1-Nenhum ou2-Risco mínimo

Observação: Q93: Em sua opinião, qual o nível de risco inerente em sua organização para as áreas de tecnologia da informação emergente a seguir? Aqueles que responderam “não aplicável/não sei” foram excluídos dos cálculos. Devido a arredondamento, alguns totais podem não somar 100%. 9.373 participantes.

Documento 11 Risco de Confiabilidade do Big Data em Comparação por Tipo de Organização

23% 43% 35%

23% 52% 25%

31% 47% 22%

31% 43% 26%

32% 42% 26%

37% 43% 20%

29% 44% 27%

●

D


10 Conscientização Tecnológica doComitê e do Conselho de Auditoria

❝ Em problemas

post mortem, uma

causa raiz frequente

é que as pessoas

não entendem seu

próprio negócio -

“como funciona” e

“e se”. Para superar

esse problema e dar

às pessoas a

oportunidade de agir

antes que seja tarde

demais, é essencial

criar um ambiente no

qual as pessoas

possam entender

profundamente sua

situação e suas

opções.❞

—Brian Barnier, Principal, ValueBridge

Advisors & Fellow, OCEG


1. Qual a estratégia de TI da organização se mudanças tecnológicas forem planejadas?

2. O comitê de auditoria entende os riscos de TI e pode relacioná-los no contexto dos riscos corporativos?

3. O comitê de auditoria entende sua responsabilidade e o papel que temno contexto da conscientização sobre riscos e tecnologia corporativa?


1. Garantir que a conscientização tecnológica esteja inclusa nas pautas de reuniões com o comitê de auditoria.

2. Atuar como conselheiros para a organização na tomada de decisões sobre tecnologias emergentes (ex., quando a organização estiver planejando transferir informações delicadas para a nuvem ou quando informações delicadas forem armazenadas junto a um prestador de serviços externo).

iversas organizações têm um número limitado de expertise de TI representada em seu conselho de administração. Portanto, este tópico é o Nº 10 de nossa lista de 10 principais riscos de tecnologia. É necessário um nível apropriado de conhecimento de TI no conselho para que ele responsabilize o departamento de TI pelo desempenho. Gunther Meggeneder, vice presidente sênior, Auditoria Interna e Conformidade Corporativa, Ista International, observa, “É importante para o Conselho/Comitê de Auditoria, nos próximos anos, ter mais expertise de TI, assim como progrediram em ter forte representação �nanceira”. Como a TI capacita o negócio e exige investimento signi�cativo, é arriscado para um conselho não ter conhecimentos de TI.

“Dentro dos próximos quatro a cinco anos, todo Conselho de Administração deve ter um tecnólogo de TI ou, ao menos, alguém que participe do conselho consultivo”, diz Scott Klososky, sócio na Future Point of View, LLC.

A auditoria interna desempenha um papel fundamental e é o conduíte principal para trazer conscientização tecnológica para o conselho e o comitê de auditoria. Ela é responsável por medir a sagacidade tecnológica de seu comitê de auditoria e atuar como educadora e/ou consultora para o comitê de auditoria.

●

O

Conclusão

Sobre a Equipe do Projeto

Ulrich Hahn (Alemanha)Steve Hunt (Estados Unidos)Richard Martin (Estados Unidos)

Michael Parkinson (Austrália)Kurt Reding (Estados Unidos)Dave Williams (Estados Unidos)

Patrocínio

s auditores internos trabalharam diligentemente para pensar estrategicamente, entender o negócio e agregar valor. Agora, precisam ser proativos para identi�car as tecnologias emergentes que possam impactar suas organizações. Especialistas fazem estas recomendações:

1. Implemente um processo de conscientização situacional. 2. Fique atento a sinais de atenção em sua indústria ou ambiente. 3. Pergunte “E se?” 4. Tenha uma lista de riscos e oportunidades relativos às tecnologias emergentes, que possa ser revisada para determinar seu impacto potencial. 5. Quando um risco ou oportunidade for identi�cada, tome atitudes para reagir com acompanhamento.

Embora seja impossível prever o futuro, podemos ter certeza de que o cenário tecnológico mudará. Os auditores internos devem estar preparados para adaptação.

Equipe de Desenvolvimento do CBOK

CBOK Co-Presidentes: Dick Anderson (Estados Unidos) Jean Coroller (França)

Presidente do Subcomitê da Pesquisa do Praticante:Michael Parkinson (Austrália)

Vice Presidente da IIARF: Bonnie Ulmer

Analista de Dados Primários: Dr. Po-ju ChenDesenvolvedora de Conteúdo: Deborah PoulalionGerentes de Projeto: Selma Kuurstra e Kayla ManningEditora Sênior: Lee Ann Campbell

Comitê de Revisão dos Relatórios

Este relatório é parcialmente patrocinado pela �lial �e IIA-Austin. Agradecemos a eles por seu apoio generoso.

●

P

S

Sobre os Autores

Observação: O conteúdo deste relatório é uma colaboração entre Phil Flora, que desenvolveu a lista dos 10 principais riscos, conduziu as entrevistas com especialistas ao redor do mundo e desenvolveu o texto inicial, e Sajay Rai, que desenvolveu o texto �nal e elaborou perguntas chave e atividades chave para cada capítulo.

hilip E. Flora, CIA, CISA, CFE, CCSA, é o membro principal/gestor da FloBiz & Associates, LLC, membro do YCN Group e consultor de treinamento do IIA. Phil tem mais de 30 anos de experiência em auditoria e atuou como diretor executivo de auditoria (chief audit executive - CAE) em uma corporação pública sem �ns lucrativos por mais de 16 anos. Ajudou a criar um Internal Audit Leadership Development Program, que ajudou a desenvolver mais de 50 futuros líderes de auditoria. Phil é, atualmente, membro do Board of Trustees da IIARF. Ele é o antigo presidente do International Committee do IIA e do Committee of Research and Education Advisors (CREA) da IIARF e vem participando de comitês internacionais do IIA desde 2000. Tem sido palestrante frequente em diversas conferências e eventos de treinamento estaduais, regionais, nacionais e internacionais nos últimos 10 anos. Phil é bacharel em Contabilidade pela Virginia Commonwealth University.

ajay Rai, CPA, CISSP, CISM, é co-fundador e proprietário da Securely Yours, LLC. Com mais de três décadas de experiência em TI, Sajay Rai traz uma riqueza de conhecimentos em segurança da informação e riscos, auditoria de TI, continuidade do negócio, recuperação de desastres e privacidade. Antes de abrir a Securely Yours, Sajay atuou como sócio na Ernst & Young LLP, responsável pela prática consultiva de informação na área de Detroit Metro e também foi líder nacional de práticas de segurança e risco na Ernst & Young. Antes da Ernst & Young, trabalhou na IBM, onde liderou suas práticas de segurança da informação e continuidade do negócio. Atuou no Professional Issues Committee (PIC) do IIA e como membro do conselho da Filial IIA-Detroit. Tem Mestrado em Gestão da Informação pela Washington University, em St. Louis, e Bacharelado em Ciência da Computação pela Fontbonne College em St. Louis.

SUA DOAÇÃO EM AÇÃOOs relatórios CBOK estão disponíveis gratuitamente para o público graças às contribuições generosas de indivíduos, organizações, filiais do IIA e institutos IIA do mundo todo.

DOE PARAO CBOK

CBOKwww.theiia.org/goto/

Limitação de Responsabilidade

Sobre a The IIA Research Foundation

O CBOK é administrado pela The IIA Research Foundation (IIARF), que fornece pesquisas inovadoras para a profissão de auditoria interna há quatro décadas. Por meio de iniciativas que exploram questões atuais, tendências emergentes e necessidades futuras, a IIARF tem sido uma força propulsora por trás da evolução e do avanço da profissão.

A IIARF publica este documento para propósitos informativos e educacionais apenas. A IIARF não dá orientações jurídicas ou contábeis ou qualquer garantia de resultados jurídicos ou contábeis por meio da publicação deste documento. Quando questões jurídicas ou contábeis surgirem, assistência profissional deve ser buscada e obtida.

Contate-nos

Sede do The Institute of Internal Auditors Global247 Maitland AvenueAltamonte Springs, Flórida, 32701-4201, EUA

Copyright © 2015, The Institute of Internal Auditors Research Foundation (IIARF). Todos os direitos reservados. Para permissão para reprodução ou citação, favor contatar [email protected]. ID # 2015-1402