Como a auditoria interna pode ajudar a gerenciar os riscos de TI

O que é um risco de TI?

Ao pesquisar uma definição comum de risco de TI, há muito a se considerar. Para simplificar a discussão, vamos dividir isso nos seguintes componentes.

TI: Tecnologia da informação, a unidade de negócios responsável pela implantação e gerenciamento de aplicativos, bancos de dados, sistemas operacionais e infraestrutura usados diariamente por funcionários, clientes, fornecedores e outras partes interessadas da empresa. Não importa onde você trabalhe, a maioria, senão todos, os processos de negócios utilizam tecnologia de alguma forma.

Risco: A Organização Internacional de Normalização (ISO) define risco como “efeito da incerteza sobre os objetivos”. Um dos principais objetivos da função de TI é fornecer serviços e soluções tecnológicas para que nossas organizações coletem e mantenham as informações utilizadas na tomada de decisões. Portanto, em um contexto de TI, o risco pode ser geralmente agrupado usando a sigla CIA – confidencialidade, integridade e disponibilidade – para descrever a probabilidade e o impacto que um risco específico de TI tem sobre esse objetivo central. Como auditores internos, esperamos ver a administração projetar e implementar controles internos sobre os riscos de TI. Os controles comuns de TI incluem senhas (confidencialidade), alteração de programas (integridade) e replicação de dados (disponibilidade).

Agora que definimos o que é risco de TI, o diagrama abaixo ajudará a simplificar ainda mais os tipos gerais de risco de TI. Ele foi extraído do Risk IT Framework, 2^nd edição da ISACA. A linha inferior identifica como o risco de TI é agrupado em quatro categorias. O diagrama também esclarece como o risco de TI está incorporado nos pilares comuns de risco em nível empresarial e o amplo impacto que os processos de negócios de TI normalmente têm nos objetivos organizacionais. Na minha opinião, isso é um lembrete de que o gerenciamento de riscos de TI desempenha um papel vital no gerenciamento geral de riscos e que a tecnologia continua sendo um componente fundamental da gestão de uma organização.

Quais são os exemplos de risco de TI?

Vamos continuar analisando as quatro categorias de riscos de TI mostradas na figura da ISACA acima. É importante lembrar que, no caso dos riscos de TI, a declaração de risco pode ser “geral” ou muito detalhada. A lista a seguir não é, de forma alguma, exaustiva, mas vou dar exemplos para cada uma das quatro categorias e desafiá-lo a revisar algumas de suas próprias matrizes de risco e controle para ver o que você consegue identificar.

• Risco de habilitação de benefícios/valor de TI: se a solução tecnológica proposta não agregar valor, a organização poderá perder dinheiro com o investimento. Costumo ver esse tipo de risco de TI alinhado ao processo de negócios do ciclo de vida do desenvolvimento de software, geralmente antes do desenvolvimento ou da compra da solução. Os riscos comuns de TI podem incluir a falta de due diligence realizada em um fornecedor de software ou, se a solução for desenvolvida internamente, a falta de clareza na abordagem do problema central de negócios que a solução deve resolver.
• Risco de entrega do projeto do programa de TI: as soluções tecnológicas são frequentemente investimentos complexos e demorados e, se não forem entregues de forma eficaz, podem causar atrasos e custos adicionais. À semelhança do risco de habilitação de benefícios/valor de TI, vejo frequentemente o risco de entrega do projeto do programa de TI alinhado com o processo de negócios do ciclo de vida do desenvolvimento de software. Os riscos comuns de TI podem incluir a falta de governança sobre o desenvolvimento ou a implementação de ativos de TI.
• Risco de operações e entrega de serviços de TI: como ex-auditor de TI, passei muitos anos avaliando “o que poderia dar errado” nos processos de negócios de TI, como acesso lógico, mudança de programa e operações de computador. Os riscos comuns de TI aqui incluem acesso não autorizado a recursos de tecnologia e de governança inadequada das mudanças feitas nos sistemas existentes e informações não armazenadas em backup em caso de interrupção.
• Risco de segurança cibernética e da informação: a ISACA incorpora a segurança cibernética e a segurança da informação sob o guarda-chuva da tecnologia da informação. De acordo com o white paper ISACA’s “Getting Started with Risk Management” “Getting Started with Risk Management” (Introdução ao gerenciamento de riscos) da ISACA , “a segurança cibernética está relacionada à TI, porque a tecnologia é frequentemente o vetor através do qual o risco cibernético se concretiza”. Várias questões mais específicas, como violações de segurança, perda ou corrupção de dados e malware, se enquadram nessa categoria. O espaço de risco cibernético e de segurança da informação costuma ser o gerador de manchetes, onde, se algo der errado para uma organização, é mais provável que seja devido a uma falha nesse espaço.

Dê uma nova olhada no gráfico acima e veja quais outros riscos você pode derivar dessa análise. Que padrões você observa? Esses padrões se enquadram mais em riscos conhecidos e formalmente documentados ou em riscos emergentes, como IA?

Quais são as estratégias típicas para gerenciar riscos de TI?

A boa notícia é que, independentemente de estarmos lidando com riscos de TI existentes ou emergentes, as estratégias disponíveis são comprovadas. A gerência pode optar por evitar, mitigar, transferir ou aceitar os riscos de TI.

Além disso, um programa de gerenciamento de riscos sólido funciona melhor quando as Três Linhas de Defesa trabalham juntas. Os riscos de TI não são exceção, onde o gerenciamento de TI (primeira linha), a garantia de TI, a segurança empresarial ou o gerenciamento de riscos empresariais (segunda linha) e a auditoria interna (terceira linha) podem trabalhar juntos para fornecer um ciclo contínuo de feedback sobre o gerenciamento de riscos. Alguns exemplos para ajudar a gerenciar os riscos de TI incluem:

• Treinamento e conscientização dos funcionários: todas as três linhas de defesa podem participar dessa atividade. Por exemplo, testes periódicos de phishing por e-mail podem fornecer à gestão de TI uma visão rápida e feedback sobre onde podem existir lacunas na identificação de e-mails reais versus e-mails de agentes de ameaças.
• Avaliações de risco de TI de rotina: dependendo da estrutura da sua organização, as funções de gerenciamento da primeira linha são frequentemente a melhor aposta para localizar e identificar riscos de TI, dado o seu papel de gerenciar as operações diárias. Se a sua organização tiver uma função de gerenciamento de risco de segunda linha, como garantia de TI ou segurança empresarial, esses recursos podem ajudar a projetar processos e sistemas de gerenciamento de risco de TI onde os riscos são identificados e priorizados, e os controles podem ser testados para feedback em tempo real. Na terceira linha, a auditoria interna pode fornecer garantias para determinar se os processos de risco e controle de TI foram projetados e estão operando de maneira eficaz.

O que é uma avaliação de riscos de TI?

De acordo com a Estrutura de Risco de TI da ISACA, 2^nd edição, uma Avaliação de Risco de TI é um processo sistemático para identificar, avaliar, analisar, responder e relatar riscos. Considero essa estrutura útil porque os riscos de TI podem ser complicados, ambíguos e difíceis de qualificar. Além disso, na função de auditoria interna, pode ser prejudicial tentar classificar os riscos de TI sem ter uma maneira formal de catalogar e colaborar com nossos parceiros de negócios para entender verdadeiramente a essência dos riscos de TI. A estrutura nos oferece um processo estruturado e repetível que podemos usar para revisar, refinar e, potencialmente, redefinir as prioridades das medidas de resposta a riscos, considerando o rápido avanço da tecnologia para administrar nossas organizações.

O que uma avaliação de risco de TI deve incluir?

Ao decompor os componentes acima de uma avaliação de risco de TI, é bom ter em mente que, dadas as etapas contínuas e repetíveis, essa estrutura pode ser aplicada a riscos de TI existentes e emergentes.

• Identificação e avaliação de riscos: inicie e reative o processo identificando a população de riscos tecnológicos potenciais que podem afetar a organização. O risco de TI é frequentemente um alvo em movimento, portanto, rastrear essas informações em um repositório centralizado, como o TeamMate+, pode ajudar as partes interessadas a identificar, colaborar e avaliar os riscos em tempo real.
• Análise de risco e avaliação do impacto nos negócios: avalie a probabilidade e o impacto potencial de cada risco de TI identificado. Isso ajudará a priorizar os riscos com base na gravidade e nas consequências potenciais. Por exemplo, digamos que sua organização esteja considerando o uso de um LLM, como o ChatGPT, para dar suporte à função de atendimento ao cliente. O risco de TI é que o LLM forneça informações incorretas e enganosas, o que leva à insatisfação do cliente com o serviço. Se o LLM for relativamente novo e não tiver sido testado pela administração, a probabilidade de que ele forneça informações incorretas e enganosas pode ser razoavelmente classificada como “alta” e o impacto no atendimento ao cliente como “alto”. Portanto, a organização precisaria priorizar esse risco e considerar testar e pilotar a funcionalidade adequadamente para reduzir ambos os fatores dentro da propensão ao risco da organização.
• Resposta ao risco: Utilizando as estratégias descritas acima, a organização pode optar por evitar, mitigar, transferir ou aceitar o risco. No exemplo anterior do ChatGPT para atendimento ao cliente, a organização poderia optar por evitar o risco de utilizar o ChatGPT. A vantagem de fazer isso seria não comprometer tempo e recursos para controlar e monitorar o uso do ChatGPT; mas a desvantagem é que a administração abriria mão da economia de tempo estimada em 50% ao responder às consultas dos clientes.
• Relatórios e comunicação de riscos: essa é a etapa fundamental de todo o processo e provavelmente a que exige mais trabalho para atingir o equilíbrio certo entre informações suficientes para tomar decisões oportunas. Quando são fornecidas informações em excesso, as partes interessadas  podem se desligar. Se não forem apresentadas informações suficientes, as partes interessadas correm o risco de ser pegas de surpresa por acontecimentos indesejáveis.

Como a auditoria interna pode ajudar a gerenciar os riscos de TI?

Embora a gestão seja responsável pelos riscos de TI, a auditoria interna pode trazer ideias para a mesa ao longo do ciclo de vida da auditoria.

Vamos começar com algumas estratégias que você pode adotar imediatamente:

• Leia! Eu assino boletins informativos do IIA, ISACA e AICPA, bem como várias páginas e grupos adicionais do LinkedIn sobre o setor. Também acompanho as notícias de negócios como fonte do que está acontecendo em escala global e local.
• Faça networking! Participe de webinars, almoços de aprendizado e conferências para se aprofundar nesses tópicos no nível da gestão de riscos.\
• Construa relacionamentos em sua organização. Fique por dentro do que o Conselho e o Comitê de Auditoria (ou equivalente) estão pensando sobre riscos de TI. Essas pessoas são responsáveis por definir o tom da governança geral e podem fornecer uma visão geral da situação.
• Verifique periodicamente com a liderança de TI para ficar por dentro das oportunidades e ameaças. Isso pode ser feito em almoços informais ou em avaliações de risco mais formais. Os líderes de TI e suas equipes estão na linha de frente, resolvendo problemas de negócios por meio da tecnologia. Essas pessoas são um recurso vital para entender os riscos de TI em um nível mais granular.
• Convide tecnólogos internos para apresentar um tópico à sua equipe de auditoria interna. É uma maneira tática de construir relacionamentos e permitir que a equipe faça perguntas sobre um tópico específico fora do âmbito da auditoria. Durante meu tempo na prática profissional de auditoria interna, convidei um especialista no assunto para falar com a equipe de auditoria interna por 30 a 60 minutos sobre como as tecnologias emergentes estão impactando os processos de negócios que eles apoiam.
  
  

E durante o ano do plano de auditoria? 

• Leia os planos de negócios da empresa e das unidades de negócios locais. Eles são um excelente recurso para entender as condições comerciais locais e como os serviços de TI são consumidos pelas unidades de negócios.
• Participe das reuniões de gestão de riscos da sua organização para ter uma noção da propensão ao risco da administração e de como a tecnologia está impactando os objetivos estratégicos e operacionais.
• Compromissos consultivos: veja se sua equipe de auditoria interna pode participar enquanto novas tecnologias estão sendo consideradas na organização. As reuniões do comitê diretor do projeto são uma maneira eficaz de ter uma ideia de como a solução tecnológica apoiará o processo de negócios e se existem pontos fracos evidentes. Normalmente, é mais fácil lidar com riscos de TI não mitigados nesta fase, em vez de após o início da auditoria interna.
• Avaliações periódicas de riscos de TI: O TeamMate+ pode facilitar esse processo por meio de recursos como autoavaliações de entidades, riscos e/ou controles. Essa funcionalidade permite que as partes interessadas nas Três Linhas de Defesa atualizem as declarações de risco e as atividades de controle, além de permitir que as partes interessadas da primeira linha divulguem as questões identificadas pela administração antes do início de um compromisso. Esse caminho pode ser usado para reforçar a responsabilidade pela estrutura de gerenciamento de riscos e permite que as equipes colaborem em tempo real.
• Compromissos de garantia: Continue testando os processos de negócios de TI em andamento regidos pelos controles gerais de TI. Para riscos emergentes, adicione compromissos como gestão de risco de fornecedores, segurança da informação e testes de penetração ao plano de auditoria. O feedback contínuo à gestão e aos responsáveis pela governança é vital para gerenciar os riscos de TI!
  
  

Conclusão

O risco de TI é uma disciplina de negócios contínua e em evolução. Para a auditoria interna, é uma ótima oportunidade para fazer um balanço e reexaminar como as tecnologias emergentes afetam o risco de TI para nossas empresas. A boa notícia é que podemos continuar a seguir as estruturas de gestão de risco de TI existentes, que nos permitem fazer parceria com a gestão para entender esses riscos. Além disso, podemos revisitar e refinar nossas estratégias para projetar compromissos consultivos ou de garantia para fornecer feedback em tempo real às nossas equipes de governança e gestão.