LAB GSTI 2.0: É um avião? É um pássaro? Não, é um SISA!
Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com
A profissão de Auditor é sem dúvida uma das funções mais estimulantes no contexto dos sistemas de informação se tivermos em conta a transversalidade de conhecimentos necessários, os variados contactos com os diversos elementos da Organização e sobretudo pelo carácter de missão que caracteriza cada projeto de Auditoria. Hoje vou falar do que é necessário para se ser um Super Information System Auditor (SISA).
A importância das tecnologias de informação nas organizações tem vindo a crescer significativamente, representando um fator crítico para a criação de valor do negócio, potenciando uma maior eficiência e eficácia dos negócios . Perante uma cada vez maior dependência de tecnologias de informação, a complexidade dos sistemas de informação também aumentou substancialmente, levando à necessidade de desenho e implementação de modelos de gestão de risco e controlo interno que possam garantir a proteção dos ativos de informação , em particular no que refere à sua segurança e conformidade com requisitos internos e externos.
É neste contexto que a função de Auditor de Sistemas de Informação tem vindo a ganhar cada vez maior importância, sendo hoje em dia encarada não apenas como uma função com responsabilidade de proteção de ativos mas, sobretudo, como um parceiro das áreas de negócio para a gestão de oportunidades de melhoria contínua. Para tal, é necessário garantir uma correta definição da função de Auditoria Interna, bem como das competências que deverão fazer parte do modelo de capacitação dos seus profissionais.
Desenhar um programa de formação e capacitação alinhado com as necessidades é sempre uma tarefa exigente, nomeadamente no que refere ao equilíbrio que é necessário garantir entre as necessidades da Organização (objeto auditado) e as expectativas individuais dos seus profissionais. Um dos fatores críticos de sucesso para garantir uma adequada gestão de expectativas ao nível da formação e qualificação dos profissionais é o desenho de um modelo de competências que transmita de forma clara as necessidades do contexto específico da Organização e a forma como cada função deverá desenvolver competências para poder desempenhar o seu papel nesse contexto .
A preparação de um programa de formação e qualificação de uma Auditor de Sistemas de informação pode por vezes gerar algumas confusões, nomeadamente pela transversalidade de domínios temáticos que deverão constar no curriculum deste tipo de profissional, bem como pela necessidade de competências comportamentais que são de enorme mais-valia na execução de qualquer projeto de Auditoria.
Um dos erros mais comuns está relacionado com a confusão que pode existir entre “Formação” e “Qualificação/Certificação” , i.e. um Auditor de Sistemas de Informação deverá ser formado e capacitado para desenvolver as atividades relacionadas com a sua função e deverá ter as qualificações/certificações que possam ser valorizadas para a credibilidade e visibilidade da função. Vejam-se alguns dos erros mais comuns no desenho de planos de formação para Auditores de Sistemas de Informação:
- O conhecimento das boas práticas de Gestão de Projeto é crítico para a função de Auditor pelo que o plano de formação deverá considerar formação nesta área. No entanto, a qualificação/certificação PMP (Project Management Professional do PMI) não será, em maior parte dos casos, uma necessidade na função de Auditor pois essa não será a área de competência pela qual o Auditor será reconhecido.
- Outro exemplo é a certificação ISO27001 Lead Auditor . Esta certificação tem grande relevância caso exista na Organização um alinhamento com este standard , ou mesmo um processo de certificação em curso ou manutenção. Apesar da qualificação/certificação não ser um fator crítico, formação no domínio de segurança da informação é sem dúvida relevante, tão mais relevante quanto for alinhada com os riscos e controlos do sistema de informação auditado.
- Já em relação à qualificação/certificação CISA (Certified Information Systems Auditor) esta é sem dúvida uma das mais relevantes qualificações para qualquer Auditor de Sistemas de Informação. No entanto, tratando-se de uma certificação de reconhecimento de competências e experiências profissionais, esta deverá ser sempre encarada como um reconhecimento dos conhecimentos e experiência adquiridos pelo Auditor e não o âmbito direto da sua formação.
Recentemente criei o Modelo de Competências do SISA (Super IS Auditor) que representa uma visão da função de Auditor de Sistemas de Informação e que poderá apoiar as Organizações na definição das necessidades de formação, capacitação e certificação dos seus profissionais. Desta forma será possível desenhar planos de desenvolvimento de competências alinhados com as melhores práticas de mercado (ex. ISACA® Model Curriculum for IS Audit and Control, Skills Framework for the Information Age, COBIT ), garantindo sempre o alinhamento com a realidade específica de cada Organização.
O SISA (Super IS Auditor)
O Super IS Auditor é um profissional de excelência com conhecimentos e competências nas áreas de Auditoria e sistemas de informação cuja sua função na organização é apoiar as áreas de negócio a potenciarem as tecnologias de informação e comunicação para a criação de valor, garantindo a conformidade com os requisitos de eficiência, eficácia, segurança e conformidade da informação. As suas competências de Auditoria, risco e controlo são complementadas por conhecimentos nos diferentes domínios de sistemas de informação, tais como o governance e gestão de SI; aquisição e implementação de soluções; entrega e suporte de serviços e segurança da informação . O desempenho de diferentes atividades de suporte às diferentes funções na Organização leva a que tenha desenvolvido características comportamentais transversais relacionadas com a capacidade de comunicação, negociação, gestão de equipas ou gestão de projetos . A sua credibilidade e independência são o seu maior ativo, motivo pelo qual os seus conhecimentos e experiências são reconhecidos por entidades externas através de certificações de reconhecimento de competências adquiridas e de formação contínua .
Modelo de competências do SISA
O modelo de competências SISA é composto por 4 principais dimensões:
- “Saber auditar” - Conhecer e entender o processo de Auditoria, standards e técnicas (ex. Formação em standards e processo de auditoria (IIA, ISACA); Formação em risco e controlo (COSO , ISO 31000, COBIT5); Análise e tratamento de dados (ACL, IDEA, BI));
- “Conhecer o objeto auditado” - Conhecer e entender as atividades de Auditoria nos diferentes domínios de um sistema de informação:
- Governança e gestão de sistemas de informação (ex. COBIT 5; ISO38500);
- Aquisição, desenvolvimento e implementação de sistemas de informação (ex. PMBOK; ITIL; CMMI);
- Operação, manutenção e suporte de sistemas de informação (ex. ITIL; ISO20000); e
- Segurança da informação (ex. ISO27001/2; ISO 22301).
- “Saber ser Auditor” – Desenvolver as competências comportamentais necessárias ao desenvolvimento da função de Auditor (ex. Formação em Gestão e controlo de Projetos (PMBOK, Prince2); Formação em Gestão de Equipas; Formação em Técnicas de entrevista e negociação; Formação em Técnicas de comunicação e reporting ); e
- “Ser reconhecido como Auditor” – Obter as qualificações/certificações profissionais ou académicas que possam contribuir para a credibilização da função de Auditor (ex. CIA – Chartered Internal Auditor; CISA - Certified Information Systems Auditor; Pós-Graduação Académica na área de Auditoria de Sistemas de Informação).
Conclusão
Quase que poderíamos dizer que não há boa nem má formação. A formação é sempre boa quando é útil para o desemprenho das funções de um profissional e será tendencialmente má quando esses princípios não forem assegurados. Quero com isto dizer que a chave do sucesso para um bom programa de formação está também no desenho desse programa e no seu alinhamento com uma visão clara da função e respetivo modelo de competências.
Se este exercício for feito, de preferência bem feito, então a seleção das formações e dos formadores será sempre mais facilitada pois todos saberão para onde querem ir e como lá chegar. Quando este exercício não é feito, ou é mal feito, então nem o melhor formador do mundo poderá salvar a utilidade da formação, podendo resultar numa boa experiência mas numa experiência sem qualquer ação ou resultado prático para o Profissional ou para a sua Organização.
Cumprimentos desde Portugal… estamos juntos!