Grande parte das Organizações no mercado angolano não contemplam no seu plano anual de auditoria interna a avaliação dos seus sistemas de informação.
Os sistemas de informação (SI) são hoje absolutamente fundamentais não apenas para o regular funcionamento das actividades e processos de negócio das Organizações, mas também para o seu sucesso e sobrevivência. É, por isso, fundamental garantir a disponibilidade desses mesmos SI e a integridade e confiabilidade dos dados por eles suportados através da implementação de um ambiente de controlo interno robusto, que seja regularmente revisto e auditado.
Destacamos os principais domínios de SI que devem ser avaliados na actividade de auditoria:
- Governança de SI – avaliar se o Plano Estratégico de SI está alinhado com os objectivos estratégicos de negócio de modo a dar respostas às necessidades da Organização e garantir que as políticas e procedimentos estão de acordo com a legislação em vigor e as boas práticas internacionais
- Gestão de Acessos - avaliar os controlos dos processos de atribuição de acessos, remoção de acessos e revisão de acessos com o objectivo de verificar que utilizadores com a acesso á informação da Organização são os adequados, autorizados e estão de acordo com as suas respectivas funções e responsabilidades.
- Configurações de Segurança – avaliar se as configurações dos sistemas (aplicações, base de dados, sistemas operativos, etc.) estão devidamente parametrizadas com o objectivo de reduzir a vulnerabilidade perante ameaças
- Gestão de Alterações – avaliar os controlos referentes a alterações às aplicações, interfaces, bases de dados e sistemas operacionais são devidamente autorizadas, testadas e aprovadas antes de serem implementadas.
- Gestão de Operações – avaliar os controlos que asseguram a continuidade e resiliência dos sistemas de informação através da análise de backups, teste de reposição, plano de continuidade de negócio, plano de recuperação em caso de desastre.
No entanto, tem-se verificado que a grande parte das Organizações do mercado angolano não contemplam no seu plano anual de auditoria interna a avaliação dos SI, sendo um dos principais motivos identificados, a escassez de auditores de SI para a execução desta actividade crítica.
A resolução desta situação, requer que as Organizações sejam proactivas na definição de um plano que contemple iniciativas tácticas (de curto prazo) e estratégicas (de longo prazo) que visem dotá-las das competências e capacidade necessárias. Nesse sentido, as Organização deveram equacionar modelos de co-sourcing nas suas auditorias e o investimento no talento através da requalificação e reforço dos seus quadros, apostando na formação e certificação dos mesmos.
Em suma, a crescente importância dos SI para o sucesso e sobrevivência das Organizações impõe a definição e implementação de um ambiente de controlo interno robusto. Neste contexto, é fundamental a realização de auditorias regulares aos SI, pelo que as Organizações deverão definir e implementar iniciativas que permitam dotá-las das competências e capacidade necessárias para o efeito.
Artigo escrito por Frederico Fragoso, Manager EY, Technology, Financial Accounting Advisory Services.