Cadastre-se

CADASTRO

Em caso de não possuir CPF, por favor entre em contato conosco clicando aqui.

Ao informar meus dados, eu concordo com a Política de Privacidade

ReCaptcha
Entrar
Escola Superior de Redes

Data da publicação:

23/09/2021

Auditoria de governança de TI: entenda a importância e como fazer

Escola Superior de Redes

Compartilhar

Governança de TI é um conjunto de políticas, estratégias, processos de gestão, monitoramento, prevenção de riscos e investimentos que tem como objetivo principal alinhar o setor de TI ao restante do negócio.

Ao implementar práticas bem estruturadas, a empresa terá a capacidade de integrar a tecnologia a mais ambientes, maximizando os impactos positivos que o TI pode causar no dia-a-dia de cada setor.

A importância é tanta que a ABNT (Associação Brasileira de Normas Técnicas) editou a norma ABNT NBR ISO/IEC 38500:2018 que “fornece princípios orientativos para os membros das estruturas de governança das organizações (que podem incluir proprietários, diretores, parceiros, gerentes executivos ou similares) sobre o uso efetivo, eficiente e aceitável de tecnologia da informação (TI) dentro de suas organizações”.

Nesse contexto, a transparência pode ser vista como fundamento para a boa governança e como pré-requisito essencial para a accountability, envolvendo a prestação de contas e a responsabilização.

O papel da auditoria de governança e gestão de TI, então, consiste em verificações periódicas do compliance de processos para garantir a integração entre os resultados alcançados, a estratégia de alocação dos recursos e os objetivos estratégicos definidos para o exercício. Estas ações demonstrarão o uso dos recursos, os produtos, os resultados e os impactos produzidos.

As melhores práticas, em uso pelos órgãos de controle, abordam o COSO – Committee of Sponsoring Organizations of the Treadway Commission – e o COBIT – Control Objectives for Information and related Technology como frameworks de referência.

Importância da Auditoria de Governança de TI

Cada empresa deve passar por alguns processos de auditoria. Essa rotina permite que as falhas sejam identificadas de forma mais inteligente, focando no alinhamento dos processos ao seu padrão de execução e trabalhando para que a empresa busque sempre um padrão de qualidade superior.

Quando falamos em auditoria de governança de TI, buscamos analisar possíveis falhas nos processos de gestão ou desalinhamento entre a equipe responsável pela execução das atividades do setor de TI e as demais áreas da empresa.

Dessa forma, a empresa consegue manter suas atividades otimizadas, evitando conflitos, erros e gargalos no ambiente de produção.

Contudo, ​​a auditoria de governança de TI deve ser feita com cuidado. Ela exige uma atenção especial dos profissionais que forem verificar os procedimentos para garantir que nenhuma falha fique em branco ou que a companhia tenha dificuldades para alinhar os seus processos com os padrões do mercado.

Nesse sentido, os frameworks são vitais ao auxiliar os os protocolos da auditoria.

Frameworks

COSO (Committee of Sponsoring Organizations of the Treadway Commission)

O framework COSO é utilizado para avaliar o sistema de controles de uma organização.

O COSO fornece uma estrutura para a gestão, conselho de confiança, partes interessadas externas e outros que interagem com o negócio para usar como um guia no desempenho de suas respectivas funções em relação ao controle interno.

COSO é uma iniciativa do setor privado criada em 1985 com a intenção de melhorar a qualidade dos relatórios financeiros por meio do foco na governança corporativa, práticas éticas e controle interno.

Espera-se que o framework ajude as organizações a projetar e implementar o controle interno à luz de muitas mudanças nos ambientes de negócios e operacionais, ampliar a aplicação do controle interno na abordagem de operações e objetivos de relatórios e esclarecer os requisitos para determinar o que constitui um controle interno eficaz.

O Framework apresenta a relação direta que existe entre os objetivos de uma entidade- que é o que uma entidade se esforça para alcançar-, os componentes de controle interno – que representam o que é necessário para atingir os objetivos – e a estrutura organizacional da entidade – o sistema pelo qual as atividades são orientado na busca de alcançar objetivos. Esse relacionamento pode ser descrito na forma de um cubo (como na figura abaixo).

 

Framework para governança de TI

 

  • Três categorias de objetivos são apresentadas em colunas (parte superior do cubo): Operações, Divulgação e Conformidade.
  • Cinco componentes de controle interno são apresentados por linhas (frente do cubo): Ambiente de Controle, Avaliação de Risco, Atividades de Controle, Informação e Comunicação e Atividades de Monitoramento.
  • A estrutura organizacional de uma entidade é apresentada pela terceira dimensão (lado do cubo): Nível de Entidade, Divisão, Unidade Operacional e Função.

Os cinco componentes do controle interno são suportados por 17 princípios que apresentam os conceitos fundamentais de cada componente.

O Framework também fornece orientação adicional na forma de pontos de foco destinados a auxiliar a administração no projeto, implementação e avaliação de princípios relevantes.

Juntos, os componentes e princípios constituem os critérios do Framework e os pontos de foco fornecem orientações que ajudarão a administração a avaliar se os componentes do controle interno estão presentes, funcionando e operando em conjunto dentro da entidade.

  • Ambiente de Controle: O conjunto de padrões, processos e estruturas que fornecem a base para a realização do controle interno em toda a organização;
  • Avaliação de Riscos: O processo de identificação, avaliação e mitigação de riscos que impedem a organização de atingir seus objetivos;
  • Atividades de Controle: Políticas e procedimentos que garantem que as diretrizes da gestão sejam cumpridas e as ações necessárias sejam tomadas para abordar os riscos e atingir as metas. As atividades de controle ocorrem em toda a organização e são realizadas por funcionários em todos os níveis e funções.
  • Informação e comunicação: As informações pertinentes devem ser identificadas, capturadas e comunicadas ao pessoal apropriado em tempo hábil. Os sistemas de informação devem fornecer dados que sejam relevantes para os objetivos estabelecidos, precisos e com detalhes suficientes, compreensíveis e em forma utilizável. Comunicações eficazes também devem ocorrer em um sentido mais amplo, fluindo para baixo, através e para cima através da organização.
  • Atividade de monitoramento: Avaliação da qualidade do desempenho da organização ao longo do tempo. O monitoramento contínuo ocorre diariamente no curso das operações por meio de supervisão regular de supervisão e avaliações separadas por partes externas.

COBIT (Control Objectives for Information and related Technology)

Objetivos de controle para informações e tecnologias relacionadas, mais popularmente conhecido como COBIT, é uma estrutura que visa ajudar as organizações que buscam desenvolver, implementar, monitorar e melhorar a governança de TI e o gerenciamento de informações.

O COBIT foi estabelecido pela ISACA, que significa Associação de Auditoria e Controle de Sistemas de Informação. A ISACA e o IT Governance Institute (ITGI) o publicam.

O COBIT 2019 atualiza a estrutura para empresas modernas, abordando novas tendências, tecnologias e necessidades de segurança. A estrutura ainda funciona bem com outros frameworks de gerenciamento de TI, o que a torna uma ótima opção como uma estrutura guarda-chuva para unificar processos em uma organização inteira.

Novos conceitos e terminologia foram introduzidos no COBIT Core Model, que inclui 40 objetivos de governança e gerenciamento para estabelecer um programa de governança. O sistema de gerenciamento de desempenho agora permite mais flexibilidade ao usar medições de maturidade e capacidade. No geral, o framework é projetado para dar às empresas mais flexibilidade ao personalizar uma estratégia de governança de TI.

Uma das principais diferenças entre o COBIT e outros frameworks é que ele se concentra especificamente em segurança, gerenciamento de riscos e governança de informações.

Isso é enfatizado no COBIT 2019, com melhores definições do que é e do que não é. Por exemplo, a ISACA diz que o COBIT 2019 não é uma estrutura para organizar processos de negócios, gerenciar tecnologia, tomar decisões relacionadas a TI ou determinar estratégias ou arquitetura de TI.

Em vez disso, é projetado estritamente como uma estrutura para governança e gerenciamento de TI corporativa em toda a organização. Isso é melhor esclarecido para as empresas na versão atualizada, para que haja menos confusão sobre como o COBIT deve ser usado e implementado.

De acordo com a ISACA, o COBIT 2019 foi atualizado para incluir:

  • Áreas de foco e fatores de design que dão mais clareza sobre a criação de um sistema de governança para as necessidades de negócios;
  • Melhor alinhamento com os padrões globais, estruturas e melhores práticas para reforçar a relevância da estrutura;
  • Um modelo de código aberto que permite feedback da comunidade de governança global para incentivar atualizações e melhorias mais rápidas;
  • Atualizações regulares lançadas em uma base contínua;
  • Mais orientações e ferramentas para apoiar as empresas no desenvolvimento de um “sistema de governança mais adequado, tornando o COBIT 2019 mais prescritivo”;
  • A melhor ferramenta para medir o desempenho de TI e alinhamento com o CMMI;
  • Mais suporte para a tomada de decisões, incluindo novos recursos de colaboração online.

O COBIT 2019 também introduz conceitos de “área de foco” que descrevem tópicos e questões de governança específicas, que podem ser tratados por objetivos de gestão ou governança.

Alguns exemplos dessas áreas de foco incluem pequenas e médias empresas, cibersegurança, transformação digital e computação em nuvem.

As áreas de foco serão adicionadas e alteradas conforme necessário com base nas tendências, pesquisas e feedback – não há limite para o número de áreas de foco que podem ser incluídas no COBIT 2019.

Quer se aprofundar no assunto? Conheça o curso de Auditoria de Governança de TIC com Cobit e Coso da ESR.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

posts recentes

  • Inteligência Artificial para TI
    Inteligência Artificial

    Guia de inteligência artificial para TI: aplicações, fundamentos e muito mais

    Para assimilar este Guia de inteligência artificial para TI, você vai percorrer o seguinte trajeto: Cada um desses tópicos se desdobrará em discussões relevantes e atualizadas sobre o tema para criar uma estrutura que apresente como a IA funciona, por que ela se tornou indispensável para os profissionais de tecnologia e como utilizá-la de forma […]

    26/02/2026
  • Cloud híbrida vs multicloud
    Computação em Nuvem

    Cloud híbrida vs. multicloud: diferenças, usos e como escolher a melhor estratégia

    A discussão sobre cloud híbrida vs. multicloud ganha nova relevância em 2026, especialmente diante de um cenário marcado pela revisão de contratos de nuvem, pela sistematização do uso da inteligência artificial nas empresas e pela crescente pressão por eficiência financeira.  Após um ciclo intenso de adoção, muitas organizações passaram a reavaliar suas estratégias de nuvem […]

    19/02/2026
  • Treinamento em TI no setor público
    Temas Diversos

    Treinamento em TI no setor público: otimize projetos governamentais

    O treinamento em TI no setor público, sobretudo em projetos governamentais estratégicos, consolidou-se como um pilar para a eficiência da prestação de serviços. Afinal, a eficiência é um princípio constitucional da administração pública e deve também orientar a maturidade digital dos órgãos.  Dessa forma, não se trata de implantar sistemas isolados, mas, sim, de capacitar […]

    12/02/2026
  • Cursos de Governança de TI
    Governança de TI

    Cursos de governança de TI imperdíveis para você se especializar!

    Já sabe quais cursos de governança de TI podem gerar resultados reais na sua carreira? Este guia vai ajudar você a estruturar um plano de estudos estratégico e adequado para o cenário digital moderno.  Em meio à transformação digital acelerada, ao uso intensivo de dados, à inteligência artificial e à pressão regulatória crescente, a tecnologia […]

    05/02/2026
  • businesspeople planning glass wall 1
    Métodos Ágeis e Inovação

    Cultura ágil no setor público: mitos, desafios e o que tem dado certo

    Por que falar de cultura ágil no setor público é cada vez mais relevante? A pressão por serviços públicos mais eficientes, transparentes e acessíveis não surge apenas por causa do movimento de transformação digital. Ela decorre de um cenário mais amplo, marcado por restrições orçamentárias, aumento da complexidade regulatória e maior exigência por resultados mensuráveis […]

    29/01/2026
  • Redes Definidas por Software
    Administração e Projeto de Redes

    Por que as Redes Definidas por Software (SDN) estão no eixo da flexibilidade em TI?

    As Redes Definidas por Software (SDN) não são mais analisadas sob uma perspectiva de alternativa experimental. Trata-se de um conceito já consolidado, bem como um pilar estratégico das organizações que precisam de agilidade, automação e governança em ambientes híbridos e distribuídos. Isso porque a pressão sobre a infraestrutura aumentou de forma exponencial. Conforme dados do Cisco […]

    29/01/2026
Ver todos os posts >