Com a transformação digital e a chegada das novas tecnologias de inteligência artificial e análise de grandes massas de dados, esta área está demandando muitos profissionais preparados, entre eles também auditores internos de TI, e sobre isto que queria falar mais hoje a respeito.
Começo lembrando de que a tradicional auditoria é uma avaliação sistemática e independente dos livros, contas, registros estatutários, documentos e comprovantes de uma empresa, com o objetivo de verificar a veracidade das demonstrações financeiras e divulgações não financeiras, visando agregar valor e melhorar as operações da empresa, assegurando que os registros contábeis sejam mantidos conforme exigido por lei.
As auditorias são realizadas com objetivos de:
- Conformidade com Leis e Regulamentos: Garantir que o comportamento financeiro e operacional de uma empresa esteja em conformidade com os requisitos legais relevantes.
- Avaliação dos Controles Internos: Avaliar a eficácia e eficiência dos controles internos e dos procedimentos operacionais da empresa.
- Detecção e Prevenção de Fraudes: Ajudar na detecção e prevenção de fraudes e erros nos processos contábeis.
- Verificação de Registros: Verificar se os ativos e passivos de uma empresa são reais e estão contabilizados corretamente.
- Garantia de Precisão: Assegurar a precisão e a integridade dos registros financeiros e a conformidade com as normas contábeis aplicáveis.
Podemos dizer que a auditoria pode ser primeiro realizada internamente por uma empresa para avaliar seus próprios processos e sistemas, ou então conduzida por uma empresa especializada de auditoria independente, sem interesse direto no resultado da auditoria, que no final geralmente resulta em certificação ou avaliação formal.
Em relação ao escopo da auditoria podemos separá-las em:
- Auditoria de Sistemas de Informação: Revisão e avaliação dos sistemas de informação, metodologias e operações de uma empresa.
- Auditoria de Conformidade: Verificação se uma entidade está seguindo regulamentos internos e externos e acordos.
- Auditoria Operacional: Examina a eficácia, eficiência e economia das operações de uma empresa.
- Auditoria Financeira: Foca em determinar se as demonstrações financeiras de uma empresa apresentam uma visão justa e precisa de sua posição financeira.
Mas queria ficar hoje apenas na auditoria de TI. Mas por que então as empresas fazem isto? Vou tentar listar abaixo alguns destes motivos:
- Conformidade: Adesão a leis, regulamentos e padrões.
- Segurança: Identificação de vulnerabilidades e fortalecimento das medidas de segurança.
- Desempenho: Melhoria da eficiência e eficácia dos sistemas de TI.
- Gestão de Riscos: Gestão e mitigação proativa dos riscos de TI.
Sendo que para isto as empresas necessitam de auditores de TI para:
- Garantir a conformidade com leis e regulamentos.
- Proteger e garantir a segurança dos dados e sistemas de informação.
- Melhorar a eficiência dos processos de TI.
- Mitigar riscos associados a dados, violações de segurança e sistemas de tecnologia.
- Proporcionar segurança às partes interessadas quanto à eficácia e segurança dos sistemas de TI.
A realização de uma auditoria de TI envolve várias etapas:
- Planejamento: Definição do escopo e objetivos da auditoria, identificando as áreas e funções principais a serem auditadas.
- Execução: Realização da auditoria conforme o plano, incluindo coleta de dados, entrevistas com a equipe e testes de sistemas e controles.
- Relatório: Compilação dos achados, conclusões e recomendações com base nas evidências coletadas.
- Acompanhamento: Verificação se as recomendações foram implementadas e se as melhorias sugeridas foram eficazes.
Mas qual o tipo de empresa e segmento que normalmente contrata um profissional assim:
- Instituições Financeiras: Bancos, companhias de seguros e outras empresas de serviços financeiros.
- Empresas de Consultoria: Provedores de serviços de auditoria para diversos setores.
- Empresas de Tecnologia: Empresas de software, hardware e internet.
- Organizações de Saúde: Hospitais, companhias de seguros de saúde, entre outros.
- Agências Governamentais: Órgãos governamentais em todos os níveis.
- Instituições Educacionais: Universidades e faculdades.
- Empresas de Manufatura e Varejo: Companhias que utilizam sistemas complexos de TI para gerenciar cadeias de suprimentos e processos de produção.
- Empresas de Energia e Utilidades: Empresas do setor de energia, incluindo utilitários de eletricidade, gás e água.
Mas quais seriam as principais habilidades que estas empresas acima procuram em um auditor de TI? Segue algumas dicas:
- Formação Educacional: Bacharelado em sistemas de informação, ciência da computação, contabilidade ou área relacionada.
- Habilidades Técnicas: Conhecimento em operações de TI, redes, bancos de dados e cibersegurança.
- Habilidades Analíticas: Capacidade de analisar dados e entender sistemas de TI complexos.
- Atenção aos Detalhes: Precisão na identificação de discrepâncias e irregularidades.
- Habilidades de Comunicação: Capacidade de comunicar achados claramente para stakeholders técnicos e não técnicos.
- Habilidades de Resolução de Problemas: Identificação de problemas e sugestão de soluções possíveis.
Sem falar de que a experiência prática é bem importante, através de estágios ou posições iniciais em funções de TI ou auditoria, assim como também a educação continuada é importante para manter-se atualizado com as últimas tecnologias, padrões e regulamentações, que estão mudando e evoluindo a cada momento.
Abaixo algumas dicas do que precisa aprender para atuar na área:
- Conhecimento Técnico Básico e Segurança de Redes: Ação: Estudar para certificações básicas de TI e rede, para construir uma base sólida de conceitos de TI e operações de rede.
- Segurança de Redes Avançada e Revisão de Arquitetura: Obter certificações como Cisco Certified Network Associate (CCNA) ou Certified Network Defender (CND), para conseguir uma visão aprofundada das configurações de rede, protocolos de segurança e solução de problemas.
- Conhecimento Geral de Auditoria e Conformidade: Buscar a certificação Certified Information Systems Auditor (CISA), para ter o conhecimento para conduzir auditorias, entender padrões de auditoria e aplicar princípios de auditoria em sistemas de TI.
- Gestão de Segurança da Informação Especializada: Tornar-se certificado como ISO 27001, para conseguir focar no desenvolvimento, gestão e auditoria de um ISMS, garantindo a gestão abrangente da segurança da informação.
- Gestão de Riscos e Avaliação: Treinamento em frameworks de gestão de riscos como COSO ou ISO 31000, para ter conhecimento na identificação, avaliação e gestão eficaz de riscos, uma habilidade crítica para a tomada de decisões estratégicas em segurança de TI.
- Conformidade Regulamentar e Gestão de Riscos de Fornecedores: Aprender requisitos regulatórios específicos e estudar Gestão de Riscos de Terceiros, que é essencial para garantir conformidade com regulamentos locais e gerenciar riscos de fornecedores externos.
- Habilidades Sociais e Multitarefa: Envolver-se em treinamento de gestão de projetos e desenvolver habilidades sociais como comunicação eficaz e liderança, para conseguir gerenciar múltiplos projetos, envolver-se com stakeholders e liderar equipes de auditoria.
- Experiência no Mundo Real: Obter experiência prática através de estágios, funções de meio período ou aprendizado baseado em projetos nos campos de TI e auditoria, de forma a conseguir aplicar este seu conhecimento teórico em cenários do mundo real, aprimorando a compreensão e a proficiência nas habilidades.
A carreira de um auditor de TI pode progredir das seguintes formas:
- Associado ou Analista de Auditoria de TI: Realiza auditorias básicas sob supervisão, auxilia na testagem de controles de TI e documenta processos de auditoria.
- Auditor de TI Sênior: Lidera projetos de auditoria, desenvolve procedimentos de auditoria, realiza avaliações complexas de controles de TI e dados, gerencia auditores juniores.
- Gerente de Auditoria de TI: Supervisiona múltiplos projetos de auditoria, gerencia uma equipe de auditores, desenvolve estratégias de auditoria, reporta-se à alta administração.
- Diretor de Auditoria de TI: Supervisão estratégica, gestão de stakeholders seniores, liderança organizacional.
- Executivo Chefe de Auditoria ou Executivo Chefe de Segurança da Informação: Gestão executiva, governança corporativa, execução estratégica.
Agora avaixo algumas dicas práticas para quem deseja entrar na área e vai passar pelas temidas entrevistas para auditoria de TI, que frequentemente incluem perguntas técnicas, comportamentais e baseadas em cenários, então preste atenção nos seguintes pontos:
- Técnicas: "Quais passos você seguiria em uma auditoria de TI típica?", "Como você se mantém atualizado com as últimas ameaças e vulnerabilidades de segurança de TI?".
- Comportamentais: "Conte-me sobre um momento em que você teve que explicar um problema de TI complexo para um stakeholder não técnico.".
- Baseadas em Cenários: "Imagine que você encontra um erro significativo em um sistema que passou despercebido por um longo tempo. Como você abordaria isso?".
Outras dicas genéricas para este momento crítico de seleção seriam:
- Pesquise a Empresa: Entenda a cultura, os serviços chave em auditoria de TI e as notícias recentes sobre a empresa.
- Pratique Suas Respostas: Estruture suas respostas de maneira clara e concisa focando na: Situação, Tarefa, Ação, Resultado.
- Faça Perguntas: Prepare perguntas ponderadas sobre a equipe, a abordagem da empresa para auditoria de TI e oportunidades de desenvolvimento profissional.
Se chegou até aqui no texto, e conseguir passar desta fase acima, depois sua rotina de um auditor de TI pode variar dependendo do tipo de empresa, ou do projeto específico e da fase do ciclo de auditoria, mas normalmente seria:
- Manhã: Revisão dos planos e objetivos da auditoria, preparação de checklists e ferramentas, reunião de equipe para coordenar tarefas.
- Meio da Manhã ao Início da Tarde: Trabalho de campo, incluindo coleta de dados, testes de controles de TI, entrevistas com pessoal chave.
- Tarde: Análise de dados para identificar discrepâncias, riscos ou ineficiências, consulta com gerentes de TI e negócios.
- Final da Tarde: Documentação dos achados, relatórios detalhados, reuniões de acompanhamento para clarificar pontos ou coletar mais informações.
- Fim do Dia: Planejamento para o próximo dia, aprendizado e desenvolvimento profissional contínuo.
Não esqueci da noite e madrugadas, mas vou deixar esta parte para que você descubra na prática, e até para não lhe deixar desaniomado nos enormes desafios que lhe espera. Desejo sucesso!
Como vimos se tornar um auditor de TI requer um conjunto diversificado de habilidades técnicas, analíticas e interpessoais, mas através de um planejamento de carreira estruturado, certificações relevantes e experiência prática, é possível construir uma carreira bem-sucedida e recompensadora na auditoria de TI, e diante da demanda alta e pouca oferta, você vai ganhar uma boa grana!