Neste mês de junho, aconteceu em São Paulo o 6º. CONTECSI (Congresso Internacional de Gestão de Tecnologia e Sistemas de Informações) e o 18th WSAS (Simpósio Mundial de Auditoria Contínua) na Universidade de São Paulo. Participei apresentando um artigo científico sobre Auditoria em Serviços de TI. Foram apresentados trabalhos científicos de várias universidades e cases como o da IBM sobre um Modelo de Arquitetura para Auditoria Contínua. O evento contou com a presença de renomados professores da Universidade de New Jersey (Rutgers), Universidade de Paris, Universidade do Porto, Universidade Autônoma do México, Universidade Católica do Chile e outras. O evento foi patrocinado pela USP, Rutgers University e ISACA.
Algumas pesquisas interessantes foram apresentadas como a dos professores da Universidade Autônoma do México sobre um software de piscicultura e também um outro trabalho sobre implantação do ITIL do mestrado de computação da UFPE. Também tivemos vários artigos sobre Gestão de Mudança Organizacional em TI, ITIL/ISO 20000, Governança, Qualidade de TI, ERP, Tecnologia Móvel e Engenharia de Software apresentados por alunos a professores de pós-graduação da USP, UFRGS, UNICAMP, UFPE, UNB, PUC-PR, UFMG entre outras.
Bem, voltando ao assunto principal do congresso. O professor Miklos Vasarhelyi da Rutgers University e da PwC, maior autoridade mundial no assunto, define auditoria contínua como um tipo de auditoria que produz resultados simultaneamente ou em um pequeno período de tempo após a ocorrência de um evento relevante. Utiliza Uso intensivo de tecnologia para tratar grandes quantidades de dados e informações. Este uso intensivo da tecnologia explica-se pela necessidade da identificação e comunicação dos fatos relevantes em prazos muito curtos. Existe uma fronteira tênue entre auditoria contínua e monitoramento contínuo. A primeira avalia o controles e é realizada por uma equipe de auditoria. O monitoramento contínuo, por sua vez, trata da avaliação do processos operacionais e é executado pelo gestor. Também pode ser utilizada técnicas de “data mining” para detectar o que está “escondido” por trás das informações.
A auditoria contínua utiliza uma técnica denominada CAAT que significa “Computer Assisted Audit Tools and Techniques”, ou em uma tradução livre, Técnicas e Ferramentas de Auditoria executadas através de Computador. Inclui técnica como testes de dados e ITF (Integrated Test Facilicites). Os softwares mais utilizados para implementar o CAAT são o ACL e o IDEA. Recomendo o ACL pela facilidade de uso e pelo fato de ser uma referência na área. Existe versão para teste no site http://www.acl.com/. Na tela abaixo fiz uma pequena simulação com um dados do postgreSQL no software ACL para uma auditoria de dados.
A auditoria contínua pode ser utilizada por todas as áreas e não ficar restrita a um grupo ou a uma determinada área. Isto gera maior governança corporativa de TI. No ISACA Journal de junho saiu uma matéria interessante com o título “Moving From IT Governance to Enterprise Governance of IT”. Foi abordado que a Governança Corporativa de TI está substituindo a Governança de TI. Isto significa que as informações, dados, sistemas e demais recursos não pertencem somente a área de TI, mas a toda a corporação. O termo “TI” tem levado a debates da integração da área de TI com o negócio, quando o correto seria pensar na integração da TI corporativa, ou seja, de toda a organização. Desta forma, conceitos como auditoria contínua está relacionada à extração de informações e mineração de dados não mais por profissionais de TI, mas por um Contabilista ou por um Advogado, por exemplo. O ISACA criou a certificação CGEIT (Certifi
ed in the Governance of Enterprie IT) que está mais relacionada a este novo tipo de governança. Fui um dos primeiros a obter esta certificação no ISACA e hoje já são mais de 5.000 profissionais com este selo. Recomendo o livro “Enterprise Governance of IT” de Grembergen & Hae para maiores informações sobre o assunto. Os autores são da Universidade de Antuérpia, um dos centros de excelência nesta área.
Eis um campo bem interessante para o jovens que estão se formando em Computação ou Ciências Contábeis. Na minha opinião, o ideal é uma combinação das duas formações para um criar um diferencial nesta área. Um algo a mais seria a certificação CISA (Certified Information Systems Auditor) do ISACA, que fornece uma boa base para trabalhar com auditoria de sistemas, incluindo o uso das técnicas do CAAT.
Bem interessante! Compartilhe com a gente seu conhecimento de monitoramento continuo.
ResponderExcluir[ ]'s
Priscila,
ResponderExcluirSim. Claro. vou incluir um post específico sobre o monitoramento contínuo.
Obrigadão pelo post.