TITULO: Estudo de como as auditorias podem agregar valor para a organização e seus métodos aplicados Paulo Victor Me.Rafael Cunha RESUMO: O trabalho em questão traz a abordagem da auditoria e seus benefícios aplicada a Governança de T.I, observando seus aspectos conceituais e entendendo como é seu funcionamento dentro de uma organização, mas não somente isso como também uma forma de melhorar o sistema organização e uma das formas é obtendo a certificação através da avaliação de conformidade que garante a organização a confiança do cliente em seus produtos ou serviços prestados. Tendo em vista ainda o reconhecimento da realização do processo de auditoria através de estudos científicos e técnicos como prova de melhorias e por fim definir a auditoria interna e externa, sua forma de atuar e como ocorre o seu processo dentro de uma organização. Palavras-chave: Auditoria, organização, benefícios 1 INTRODUÇÃO: A tecnologia da informação hoje se desempenha de forma muito importante nas organizações e sua gestão, toda atividade basicamente tem a sua operação feita com sistemas tecnológicos então se deve considerar essa alta dependência das empresas a área de T.I e também os custos, mas o preocupante não são apenas os custos há um grandeza aumento das fraudes, dos problemas de segurança, dessas vulnerabilidades existente nos processos decorrentes da proporção a que tecnologia tomou entretanto as normalizações evoluíram e as auditorias ganharam forças para operar, aprimoraram suas ferramentas e técnicas e não são somente uma ferramenta contra os pontos fracos de dentro de uma empresa, se tornaram um grande instrumento para medição e melhoria de uma organização, operando em diversas áreas. De acordo com o Inmetro em setembro de 2010 somaram-se, no país, 7.145 empresas com sistemas de gestão da qualidade certificados conforme a ISO 9001, 324 empresas com sistemas de gestão ambiental certificados conforme a ISO 14001, e 5.974 empresas com produtos certificados, uma grande amostra de que as auditorias tem solucionado problemas e mais que isso tem trazido segurança e credibilidade para as organizações. 2 FUNDAMENTAÇÃO TEÓRICA 2.1 ESTUDO DA IMPORTÂNCIA DA AUDITORIA 2.1.1 Aspectos conceituais É uma realidade de hoje em dia a capacidade de melhorias pra organização que a auditoria pode trazer, não se limitando apenas a uma área e possui ferramentas importantes para monitorar e verificar a eficácia de sistemas de gestão organizacionais, bem como para melhorar o seu desempenho, é um mecanismo de programa de avaliação de conformidade sendo aplicadas de forma intensiva em modalidades como a certificação e acreditação. E para entender esse contexto de auditoria em sistemas de gestão é preciso entender como funciona a avaliação de conformidade. 2.1.2 Avaliação de conformidade A avaliação de conformidade funciona como um mecanismo que vai regular o mercado interno de cada país e o mercado globalizado, bastante usado por autoridades regulamentadores e que possui um grande impacto nos diferentes segmentos da sociedade, principalmente em situações que envolvem risco à saúde, à segurança ou ao meio ambiente e como foco do nosso estudo é auditoria de sistemas, isso nos leva ao tratamento da segurança de informação entre outras melhorias dentro da organização, é uma definição simples de uma ótima ferramenta que traz grande desenvolvimento. o Inmetro (2007, p. 8), embasado no conceito de sistema, apresenta, de forma mais detalhada, um conceito similar: [...] a avaliação da conformidade é um processo sistematizado, com regras preestabelecidas, devidamente acompanhado e avaliado, de forma a propiciar adequado grau de confiança de que um produto, processo ou serviço, ou ainda um profissional, atende a requisitos preestabelecidos por normas ou regulamentos, com o menor custo possível para a sociedade. Analisando essa definição vemos que a avaliação depende de um conjunto de atividades inter-relacionadas, que constituem um sistema e existem atividades definidas que compõe esse sistema: Ensaio Inspeção Certificação Acreditação Representação do Sistema Brasileiro de Avaliação da Conformidade (SBAC) São atividades que formam o domínio da avaliação de conformidade, sendo que a certificação é uma das atividades de avaliação da conformidade que mais se conhece pois faz de parte de programas em vários âmbitos, a maior parte dos processos de certificação, faz uso das auditorias de sistemas de gestão. 2.2ANÁLISE DO PROCESSO DE AUDITORIA DE SISTEMA DE GESTÃO 2.2.1 Reconhecimento do processo Os estudos científicos e técnicos em auditoria têm recebido contribuições significativas de auditores, pesquisadores e especialistas reconhecidos no meio empresarial e acadêmico, principalmente no âmbito específico da qualidade (SAYLE, 1985; ARTER, 1989; MILLS, 1989; WEALLEANS, 2000; RUSSELL, 2001; O´HANLON, 2005; CROFT; DOUGHERTY, 2007). A norma ABNT NBR ISO 19011 (ABNT, 2002), principal referência para auditorias em sistemas de gestão da qualidade e ambiental normalizados, define a auditoria como um “processo sistemático, documentado e independente, para obter evidências de auditoria e avaliá-las objetivamente para determinar a extensão na qual os critérios de referência são atendidos”. De acordo com essa mesma norma, são consideradas evidências de auditoria, desde os registros da organização até a apresentação de fatos ou outras informações verificáveis, quantitativas ou qualitativas. 3 AUDITORIA DE SISTEMA DE GESTÃO A auditoria é um intenso serviço em conhecimento, e o seu processo é composto por uma série de atividades interdependentes, sendo que cada atividade tem um impacto em uma ou mais atividades que influenciam o desempenho do processo todo, então se deve visar o entendimento da importância, da contribuição e da interdependência de cada uma das etapas e atividades, considerando auditor e auditado. Karapetrovic e Willborn (2000) - estabelecem três fases genéricas para o processo de auditoria, contemplando “planejamento, condução e relato” -, até abordagens mais detalhadas, como a estabelecida pela norma ABNT NBR ISO 19011 (ABNT, 2002),a norma ABNT NBR ISO 19011 é o principal guia para auditorias internas ou externas de sistema de gestão da qualidade e ambiental, sendo também a principal referência para as auditorias de sistemas de gestão no âmbito do SBAC. Muitas de suas diretrizes estão sendo incorporadas na revisão da norma ABNT NBR ISO/IEC 17021 (ABNT, 2007) que estabelece requisitos obrigatórios para organismos de certificação de sistemas de gestão. Contudo, essa norma, assim como as pesquisas estudadas, considera o processo de auditoria apenas sob a perspectiva e visão da entidade auditora. Isto pode transmitir a impressão de que a participação do auditado não tem significância no desempenho e nos resultados das auditorias de sistema de gestão. 3.1 Auditoria interna É feita por parte da própria organização, por auditores pertencentes ao seu quadro ou quando ela contrata e se faz necessário para promover uma autoavaliação atendendo a um requisito normativo, e essas normas de sistemas de gestão vai exigir que a empresa possua uma estrutura para planejar e executar auditorias internas periódicas para avaliar se está de acordo com o seu sistema de gestão em relação aos requisitos da norma de referencia , um ótimo exemplo são as empresas com sistema de gestão da qualidade certificados de acordo com a ABNT NBR ISO 9001, que devem planejar e realizar auditorias internas, isso traz para organização uma agregação de valor juntamente com qualidade de serviço, são essas auditorias periódicas que vai alinhar todas as áreas e transformar em desenvolvimento. 3.2 Auditoria externa Diferente da interna, a externa se baseia no interesse de algum cliente que manter um contrato e até mesmo pra fechar e com isso ele sabe as condições do seu fornecedor ou também quando há uma necessidade de certificação para garantir qualidade de serviço e vem uma organização independente e realiza essa auditoria dentro da empresa mas é um processo continuo por que mesmo com a certificação a empresa deve manter um programa de auditorias internas como forma de verificar a conformidade de seu sistema de gestão, isso aplicado a segurança da informação nos mostra a necessidade que há da realização de auditorias por conta quantidade de fraudes que existem hoje no mundo tecnológico, tal como a segurança de dados de usuários e de empresas, um bom sistema de gestão vai trabalhar em todos âmbitos dentro da organização com o intuito de melhorar cada vez mais. 3.3 AUDITORIA DE SISTEMA DE GESTÃO AGREGANDO VALOR As mudanças nas expectativas das organizações auditadas tem sido moldado de acordo com os reais objetivos das auditorias de sistemas de gestão, podendo proporcionar agregação de valor e isso modifica a postura. Um exemplo é nas auditorias na área da saúde no Brasil, a pesquisa de Remor (2009) mostrou a importância de se elaborar relatórios de auditoria bem embasados e criteriosos, com o objetivo maior de oferecer suporte à tomada de decisão e à gestão do Sistema Único de Saúde (SUS). Nas auditorias de contabilidade, há evoluções começando pela definição na auditoria interna, a atividade de “consultoria planejada para agregar valor e melhorar as operações de uma organização”, auxiliando-a a realizar seus objetivos por meio de uma “abordagem sistemática e disciplinada para avaliar e melhorar a eficácia da gestão de risco, do controle e do processo de governança”. Sakofsky (1993) previu que o papel do auditor seria crítico e que, quanto mais organizações alcançassem a certificação, maior seria a demanda por auditores mais bem treinados e qualificados, que estivessem aptos a oferecer um estilo de auditoria mais facilitador, para que as empresas percebessem a auditoria da qualidade como uma ferramenta de melhoria e não como uma temida relatoria. As auditorias internas das organizações com certificação ISO 9001 continuam focadas em não conformidades, porque as auditorias externas dos organismos de certificação fazem o mesmo. Os auditores externos se concentram no que é fácil e acessível, gastando muito mais tempo em detalhes do que assumindo uma visão ampliada, que englobe até questões estratégicas da organização. O cenário para o auditor da qualidade é de mudanças constantes, e outro exemplo disso está na ABNT NBR ISO 9004 (ISO, 2009), norma que estabelece requisitos adicionais para a sustentabilidade do sucesso das organizações certificadas pela ABNT NBR ISO 9001. Essa norma vai além da conformidade do sistema de gestão, alcançando questões de eficiência e desempenho. Ela introduz temas como gestão do conhecimento, aprendizagem organizacional e inovação, e expande o “foco no cliente” para o “foco nas partes interessadas”. Essas sensíveis modificações tornam o uso da ABNT NBR ISO 9004 um grande desafio, não somente para gerentes, mas também para auditores internos e externos. 4 METODOLOGIA Este trabalho que trouxe a abordagem de auditoria, seu conceito, processos, implementação visando seus benefícios dentro de uma organização e sua relação com a Governança de T.I foram feitas pesquisas em artigos na internet e livros. 5 RESULTADO Referente a pesquisa em livros e artigos tenho que por afirmar foi suficiente para entender a funcionalidade e eficacia das auditorias, a sua necessidade e como se dá sua implementação , a forma que melhora a Gestão e sua relação com a Governança de T.I, em artigos lidos foram realizadas pesquisas de campo para saber de forma quantitativa e qualitativa sobre as auditorias em questão e também teve resultados positivos, melhorias significativas. 6 CONCLUSÃO Como sabemos a tecnologia está bem presente na rotina do nosso cotidiano , de empresas,mas também sabemos que os ataques, as fraudes, as falhas de segurança aumentaram trazendo desconfiança dos usuários e prejuízos para as organizações por conta da indisponibilidade de sistemas e serviços, também há roubo de dados entre outros crimes e a busca por soluções tem acontecido de forma intensa para trazer segurança da informação e este trabalho foi com o intuito de mostrar a capacidade que as auditorias tem de não só solucionar problemas de segurança como melhorar a organização em vários aspectos, mostrando seus conceitos, processos, implementação e métodos. REFERENCIAS SILVA, Alexandre Nixon Raulino Soratto da. Auditorias de sistemas de gestão: competências para agregação de valor. 2011. Tese (Doutorado em Engenharia e Gestão do Conhecimento)Universidade Federal de Santa Catarina, 2011. CRUZ, Carlos Magno Bispo Rosal da. Auditoria de Segurança da Informação em Sistemas e Aplicações. 2017. 68 f. Dissertação (Mestrado) - Curso de Mestrado Profissional em Computação Aplicada, Instituto de Ciências Exatas Departamento de Ciência da Computação, Universidade de Brasília, Brasília, 2017. PIZZOLI, Fábio Antonio. Sistema de Gerenciamento de Segurança de Informações: Processo de Auditoria. 2004. 135 f. Dissertação (Mestrado) - Curso de Mestrado Profissionalizante em Engenharia, Escola de Engenharia, Universidade Federal do Rio Grande do Sul, Porto Alegre, 2004. SILVA, Fabiano Pontes Pereira da. Verificação da adequabilidade do COBIT 5 como abordagem de governança corporativa de TI. 2016. 74 f. Dissertação (Mestrado) - Curso de Mestrado Profissional em Ciência da Computação, Centro de Informática, Universidade Federal de Pernambuco, Recife, 2016. FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a governança de TI – 4° ed.: Da estratégia à gestão de processos e serviços.