Limpando as gavetas do escritório, me deparo com um artigo de 1987 que defendia, de forma bem consistente, que as atividades de “auditoria informatizada” seriam melhor empregadas em organizações de maior porte. O autor defendia que empreendimentos menores não demandavam tanta atenção porque “o seu nível de automação de sistemas contábeis não justificava o trabalho extra”.
O que pode não ser muito evidente num primeiro momento é que os resultados de grandes corporações dependem por vezes de empresas menores, que por sua vez, devem manter controles tão bons quanto (ou melhores) que os de seus contratantes. Quem, na década de 80, poderia prever o cenário de terceirização sem fronteiras no qual vivemos? O papel da Auditoria ganha destaque muito maior nesse contexto.
Os recentes escândalos corporativos mundiais envolvendo instituições financeiras mostram que a falta de controles adequados na Gestão dos Riscos, de Segurança e da Informação se fazem necessários como nunca antes.
Mas ainda hoje constato que essa filosofia, de que auditoria em TI só vale a pena em grandes corporações, continua válida. Noto que muito do trabalho de auditoria, que poderia ser extremamente facilitado pelo estágio atual de automação das empresas, ainda é feito de forma amostral. Avalia-se um número determinado de itens e julga-se o controle adequado ou não. Ponto.
Então por que ainda usamos tão pouco a Auditoria de TI?
Vejo que ainda existe uma compreensão limitada do potencial real da auditoria de TI nas organizações. Os trabalhos por vezes ainda são muito focados (e vendidos internamente) como avaliação da tecnologia. A abordagem mais correta dessa venda interna, bem como o resultado do trabalho, deve apresentar “a avaliação de controles da TI que apóiam o negócio”.
O fator econômico é outro ponto positivo no emprego da Auditoria de TI. Avaliam-se muito mais registros, de forma mais rápida e eficiente e com muito menos recursos do que a auditoria tradicional. Isso sem tratar de aspectos mais avançados, como a Auditoria Contínua, por exemplo.
O principal resultado de um trabalho de auditoria é a opinião independente. Façamos com que essa opinião seja cada dia mais valorizada, inteligente, eficiente e principal motivadora de bons e sustentáveis avanços. A história agradece.
