Este terceiro capítulo trata sobre a auditoria da tecnologia da informação. Iniciamos com a definição de indicador de controle, destacando a sua importância no processo
3.1 Indicadores de controle
Gerência de Projetos em TI
44
3.1 Indicadores de controle
No Capítulo 1, relatamos que, segundo Viana (2016), gerenciamento de projetos é o ramo de trabalho que busca definir e atingir objetivos, otimizando o uso de recursos, como tem-po, dinheiro, pessoas, materiais, energia e espaço, durante o curso de um projeto. Também destacamos que o ato de manter o projeto em equilíbrio envolve invariavelmente o controle adequado de algumas demandas concorrentes, tais como: escopo, prazo, custo, qualidade.
Nessa linha de pensamento, é importante entender que para manter o projeto em equi-líbrio, no que se refere às áreas mencionadas, precisamos de métricas para determinar se esse equilíbrio está acontecendo, e, ainda mais importante, caso o projeto não esteja em equilíbrio, é necessário saber o quão distante do equilíbrio desejado ele está.
Tal como um carro, um navio ou um avião precisam de indicadores que determinem seus parâmetros, como a velocidade do carro, a altura na qual o avião se encontra num determinado momento, a posição do navio, a quantidade de combustível disponível e a temperatura do motor, um projeto também precisa de indicadores, e essas métricas e/ou medidas que nos permitem definir se o projeto está em equilíbrio ou não são chamadas de indicadores de controle.
Os indicadores de controle são, numa definição simples, parâmetros que permitem ava-liar a distância entre o cenário desejado pela empresa e o encontrado atualmente, se as metas traçadas foram alcançadas ou se estão longe disso. Já segundo Campos (2004), os indicado-res de controle, também conhecidos como itens de controle, são características numéricas ge-renciáveis, pois somente o que é medido pode ser gerenciado, e esse gerenciamento permite a busca por melhores resultados.
Conforme o exposto, precisamos ter indicadores ou itens de controle para controlar tudo o que queremos gerenciar em um projeto. É muito importante entender que o que não é medido não pode ser controlado. Sendo assim, conclui-se que: se quisermos controlar o tempo do projeto, para verificar se estamos adiantados ou atrasados, precisamos ter um indicador de controle que armazene esse dado. Se quisermos controlar o que já foi gasto no projeto, precisamos ter outro indicador para armazenar esse novo dado, e assim por diante. Porém, para além de apenas definir o que deve ser armazenado, é necessário definir também com que frequência esse indicador deve ser atualizado, pois não adianta ter um in-dicador que mostre que o projeto vai atrasar depois que ele já atrasou ou um inin-dicador que apresente o custo desatualizado de um projeto.
Não é uma boa prática, entretanto, trabalhar com um número muito grande de indica-dores, querer controlar tudo e todos, pois isso leva a duas consequências desastrosas para o projeto:
• gasto excessivo com controles desnecessários – para se controlar algo, algum sis-tema ou pessoa deve verificar o estado de uma determinada atividade e atualizar o indicador;
Auditoria de TI 3
• indicadores que se sobrepõem – frequentemente temos, numa lista inadequada de indicadores, alguns que têm a função de medir a mesma atividade ou situação. Outro aspecto importante e que não deve ser esquecido é que os indicadores não in-formam o que deve ser feito em caso de “alerta vermelho”; eles apenas devem indicar ou fornecer um número que representa a situação atual de determinado objeto ou atividade dentro do projeto. O que deve ser feito com relação a esse número e se ele representa ou não uma situação de emergência é responsabilidade da gestão de risco do projeto, que veremos nos próximos capítulos desta obra.
Com base no apresentado, tem-se que o uso de indicadores de controle é condição essencial para uma adequada auditoria de projetos em TI. Ou seja, para saber se as características intrín-secas de um projeto estão adequadas, devemos realizar uma medição destas periodicamente.
A utilização de indicadores possibilita a correção dos rumos de uma estratégia, mas esse processo exige o comprometimento do corpo empresarial da organização. Não pode haver relaxamentos ou setores descompromissados com as tarefas.
Nesse sentido, Terribili Filho (2010) enfatiza que, quando se efetua uma avaliação do pro-jeto durante seu ciclo de vida por indicadores, é possível tomar decisões para mudar o rumo do projeto ou mesmo paralisá-lo, pois os indicadores mostram a situação atual e as tendências. Existem quatro grupos de indicadores utilizados para melhorar o controle dos projetos:
• Indicadores de impacto – medem o resultado do projeto em longo prazo e sua contribuição para a organização e a sociedade. Ou seja, eles medem se o projeto conquistou seu propósito central.
• Indicadores de efetividade – medem o resultado dos objetivos propostos em um determinado período de tempo, após a produção dos resultados do projeto. Por se tratar de efetividade, só podem ser medidos após a produção do resultado do projeto. Eles têm a função de responder a perguntas como:
◦ Esse projeto ajudou a empresa a aumentar seu faturamento? ◦ Ajudou a empresa a fidelizar mais clientes?
◦ Ajudou a empresa a minimizar desperdícios?
• Indicadores de desempenho – monitoram os processos e subprocessos para que as metas estipuladas sejam atingidas.
• Indicadores operacionais – medem os recursos e as atividades dos projetos, sina-lizando qual a tendência do projeto com relação a prazo, custo etc. São exemplos desse tipo de indicador:
◦ índice de desempenho de prazo; ◦ índice de desempenho de custo; ◦ taxas de tarefas realizadas; ◦ desvio de esforço.
Auditoria de TI
3
Gerência de Projetos em TI
46
Segundo Barbosa (2009), umas das técnicas mais utilizadas para mensuração, monito-ramento e controle do desempenho do projeto é o gerenciamento do valor agregado (EVM – Earned Value Management). Sua técnica é simples: ele compara o valor do trabalho efetivamente realizado com o que foi originalmente estimado no orçamento (linha de base do projeto).
O EVM utiliza três indicadores para realizar o controle do projeto: PV – valor planejado; AC – custo real; EV – valor agregado, em que:
• PV é o valor total orçado para ser gasto em determinada atividade;
• AC é o custo desembolsado pela empresa no período da atividade relacionada pelo PV;
• EV é o montante orçado para o trabalho efetivamente realizado no período da atividade relacionada pelo PV.
Com base nesses índices, podemos calcular os indicadores de custo CV (variação de custo) e CPI (índice de desempenho em custo), conforme apresentado a seguir:
• CV = EV – AC • CPI = EV/AC
Também é possível calcular dois indicadores de prazo: SV (variação de prazo) e SPI (índice de desempenho em prazo), conforme apresentado nas fórmulas a seguir:
• SV = EV – PV • SPI = EV/PV
Por fim, fechamos essa primeira parte do capítulo destacando a importância dos indi-cadores, conforme afirmava Edwards Deming (1900-1993): “Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se conhece, e não há sucesso no que não se gerencia” (apud SENA, 2016).
3.2 Auditoria de TI
Auditoria é “um exame sistemático das atividades desenvolvidas em determinada em-presa ou setor, que tem o objetivo de averiguar se elas (as atividades) estão sendo realizadas de acordo com as disposições planejadas e/ou estabelecidas previamente, se foram imple-mentadas com eficácia e se estão adequadas” (SIGNIFICADOS, 2017).
Imagine uma grande rede de supermercados, uma rede de fast food, uma rede de far-mácias ou mesmo o controle de tráfego aéreo de uma cidade, um estado ou país. Agora imagine o fluxo de informações que circulam por essas empresas constantemente, o nú-mero de transações, o núnú-mero de produtos comprados, vendidos, devolvidos, estragados, danificados, as reclamações, o número de passageiros por voo, os voos atrasados, as malas
Auditoria de TI 3
de cada passageiro etc. Isso tudo gera uma quantidade enorme de dados, cada um deles gerado a partir de uma ou mais atividades realizadas por funcionários ou por máquinas.
Dado o ponto evolutivo de integração mundial que atingimos como civilização, é pra-ticamente impossível suportar todo esse fluxo de dados1 e informações2 sem um potente sistema de controle interno. Mas nisso reside o problema: como é possível garantir que esse sistema de controle e toda a estrutura tecnológica agregada a ele seja confiável? Afinal, toda estrutura de TI é responsável por coletar, manipular, armazenar, descartar e publicar dados e informações e, dada a importância estratégia que conquistou, não pode ser tratada como uma “caixa-preta”.
Nesse sentido, para Buarque (2017), a auditoria de TI consiste em analisar vários as-pectos da governança de TI3 de uma organização, como, por exemplo, avaliar os controles de acesso lógico ao ambiente de TI, os processos de TI, verificar se a contratação de bens e serviços de TI é feita de acordo com as normas da organização e a legislação vigente etc. Enfim, consiste em afastar as dúvidas que surgem quanto à confiabilidade dos procedimen-tos adotados por esse sistema e com o intuito de garantir aos patrocinadores do projeto e ao próprio gestor que se está seguindo um caminho seguro e adequado.
Vale destacar que a auditoria de projetos de TI é parte importantíssima do pro-cesso de gestão de projetos em TI, haja vista que a metodologia adotada pelo Project Management Institute (PMI, 2013) destaca como sendo uma das principais funções do PMO (escritório de projetos) o “monitoramento da conformidade com os padrões, polí-ticas, procedimentos e modelos de gerenciamento de projetos através de auditorias em projetos” (PMI, 2013, p. 11).
O mesmo documento citado indica a utilização da auditoria de processos na fase de iniciação e planejamento de projetos (PMI, 2013, p. 27), bem como em seu encerramento (PMI, 2013, p. 28). Indica também a verificação e a auditoria da configuração do projeto (na gerência de integração do projeto) que garantem que a composição dos itens do projeto está adequada e foi corretamente efetuada, assegurando que os requisitos funcionais definidos na documentação foram atendidos (PMI, 2013, p. 97).
De acordo com Arima (1993), exceto em algumas peculiaridades tecnológicas, que im-plicam aplicação de técnicas específicas, a metodologia de auditoria pode ser mantida con-forme apresentado na Figura 1:
1 Dados “são partículas primitivas de registros estruturados. São simples observações sobre um estado. Os dados são facilmente armazenados e obtidos de máquinas” (SIQUEIRA, 2005, p. 24).
2 Informação é “um dado acrescido de contexto, relevância e propósito. Requer um mínimo de análise para a sua obtenção, através da avaliação humana” (SIQUEIRA, 2005, p. 24).
3 Governança de TI: “vem inserida dentro do contexto da governança corporativa e tem como propó-sito medir o desempenho da TI e sempre manter o alinhamento entre tecnologia e negócios” (TOMIA-TTI, 2012, p. 9).
Auditoria de TI
3
Gerência de Projetos em TI
48
Figura 1 – Etapas da auditoria.
Planejamento Levantamento Inventário Priorização e seleção Revisão e avaliação Recomendação Parecer conclusivo Sim Início Fim Ponto falho?
Fonte: ARIMA, 1993, p. 23. Adaptado.
Essas etapas da auditoria podem ser definidas conforme detalhado a seguir (ARIMA, 1993): • Planejamento do projeto de auditoria – Naturalmente, antes de se auditar qual-quer processo de uma empresa, faz-se necessário entender e definir as caracterís-ticas desta com relação às suas necessidades de recursos, sejam eles financeiros, materiais, tecnológicos ou humanos. Para tanto, ferramentas de monitoramento e controle são bem-vindas. Podem ser citados como exemplos dessas ferramentas: ◦ cronograma de execução;
◦ quadro de recursos tecnológicos; ◦ quadro de recursos humanos; ◦ quadro de recursos materiais.
• Levantamento dos itens a serem auditados – Essa etapa do processo deve forne-cer um entendimento pleno e global das características do processo a ser auditado, numa visão macro. Nesse sentido, podem ser utilizadas entrevistas e análise de documentação, de maneira a identificar e expor as informações relevantes para o entendimento do processo e suas relações com os demais processos da empresa. • Identificação e inventário dos pontos de controle4 – A característica do processo em
questão permite identificar os diversos pontos de controle que merecem ser validados. • Priorização e seleção dos pontos de controle – Nessa etapa é realizado o sequen-ciamento dos pontos de controle (identificados na etapa anterior) a serem audi-tados. Essa priorização ou sequenciamento é realizada normalmente em função do grau de risco5representado pelo objeto de um determinado ponto de controle. 4 Ponto de controle: qualquer documento de entrada ou saída, arquivos, rotinas que a equipe achar importante destacar e monitorar (ARIMA, 1993).
5 Grau de risco: a análise de risco baseia-se na verificação dos prejuízos que poderá acarretar ao pro-cesso ou à empresa, em curto, médio e longo prazos. O método de análise de risco para a auditoria consiste em saber, com antecedência, quais as prováveis ameaças que aquele ponto de controle repre-senta em um sistema de informação ou processo da empresa (ARIMA, 1993).
Auditoria de TI 3
• Revisão e avaliação dos pontos de controle – Essa etapa consiste em executar testes de validação dos pontos de controle, segundo as especificações de controle interno determinado pela auditoria e com base na governança de TI, com o intuito de evidenciar falhas ou fraquezas de controle interno.
• Acompanhamento e conclusão da auditoria – Após a execução dos testes de va-lidação, os resultados deverão ser objeto de relatórios de auditoria e deverão con-ter o diagnóstico ou a situação atual em que se encontram os pontos de controle, apontando as fraquezas e falhas, caso existam.
Um fator importante a considerar, ainda segundo Arima (1993), é que, caso um ponto de controle apresente alguma falha ou fraqueza de controle interno, ele deverá ser trans-formado em ponto de auditoria. Isso significa que o referido ponto sofrerá nova revisão e avaliação após o prazo estabelecido para a tomada de medidas corretivas.
Do que foi exposto até o momento, podemos considerar que o objetivo máximo da au-ditoria é determinar se os processos realizados no projeto possuem a capacidade de atender às necessidades da empresa, fiscalizando se as leis estabelecidas para os serviços de TI estão sendo cumpridas (CNASI, 2012). Além disso, uma boa auditoria deverá:
1. elaborar e monitorar metas;
2. detectar pontos críticos que possam arriscar o cumprimento dessas metas; 3. reduzir os riscos de erros e fraudes;
4. certificar informações confiáveis e oportunas.
No entanto, conforme Cnasi (2012), deve ser tomado muito cuidado com o estresse causado pelos quatro itens relatados como funções de uma boa auditoria. Deve-se concentrar esforços na solução de problemas e na busca por melhorias. Dois itens devem ser muito bem controlados:
• o clima de “caça às bruxas”, atrás de culpados por falhas ocorridas;
• o desconforto ou até boicote por parte dos funcionários em identificar ou mesmo relatar os itens que precisam ser monitorados, por conta da desconfiança em relação aos verdadeiros objetivos da auditoria.
É importante destacar, ainda, que a auditoria de TI, que pode ser interna ou externa, não está restrita à auditoria de sistemas de informação, mas abrange todo o universo tecno-lógico de uma empresa, departamento ou setor. Desse modo, são destacados a seguir os estilos de auditoria:
• Auditoria de infraestrutura de TI – A infraestrutura de TI de uma empresa com-põe-se de hardware, software, tecnologia de gestão de dados, tecnologia de rede e serviços de tecnologia. A auditoria de infraestrutura de TI atua no sentido de reduzir riscos envolvidos na disponibilidade da infraestrutura e inclui eficácia, eficiência e confiabilidade de TI.
• Auditoria de desenvolvimento de sistemas – Auditoria de sistemas é uma ativi-dade voltada à avaliação dos procedimentos de controle e segurança vinculados ao processamento das informações e tem como funções documentar, avaliar e
mo-Auditoria de TI
3
Gerência de Projetos em TI
50
Essa auditoria tem como objetivo, entre outros, certificar que: ◦ as informações são corretas e oportunas;
◦ existe um processamento adequado das operações; ◦ as informações estão protegidas contra fraudes; ◦ existe proteção contra situações de emergências.
• Auditoria de segurança física – A segurança física tem como objetivo proteger equipamentos e informações contra usuários não autorizados, prevenindo o aces-so a esses recuraces-sos, e deve estar baseada no monitoramento do perímetro dos re-cursos computacionais em questão, podendo ser explícita, como uma sala cofre, ou implícita, como áreas de acesso restrito. Segundo Pinheiro (2009, p. 4), a segu-rança física pode ser abordada sob duas formas: segusegu-rança de acesso, em que são tratadas medidas de proteção contra o acesso físico não autorizado, e segurança ambiental, em que são tratadas medidas de prevenção por causas naturais. • Auditoria de integridade de dados – Também chamada de auditoria lógica,
com-preende um conjunto de medidas e procedimentos adotados pela empresa ou in-trínsecos aos sistemas utilizados, com o intuito de proteger dados, programas e sistemas contra tentativas de acesso não autorizado, realizadas por usuários ou outros programas. Com base em Pinheiro (2009, p. 15), a seguir estão relacionados alguns recursos que precisam ser protegidos:
◦ aplicativos (programas fonte e objeto); ◦ arquivos de dados;
◦ utilitários e sistemas operacionais; ◦ arquivos de senha;
◦ arquivo de log.
O mesmo autor ainda destaca alguns pontos de auditoria convenientes, em se tra-tando de segurança lógica:
◦ apenas usuários autorizados devem ter acesso aos recursos computacionais; ◦ os usuários devem ter acesso apenas aos recursos realmente necessários para
a execução de suas tarefas;
◦ os usuários não podem executar transações incompatíveis com suas funções. • Auditoria de planejamento e gestão – Fornece uma análise profunda da
empre-sa e, o mais importante, determina a aptidão da equipe, incluindo uma avalia-ção individual de cada executivo e sua adequaavalia-ção à estratégia da organizaavalia-ção (GRATERON, 1999).
3.2.1 Trilhas de auditoria
Em se tratando de identificar pontos de controle e auditar as atividades em projetos, faz-se necessário, além de conhecer o resultado da auditoria, dado mediante relatório dos
Auditoria de TI 3
indicadores de controle nos pontos de controle selecionados, saber quais ações foram execu-tadas e quem as executou para gerar aquele resultado. Torna-se, então, necessário um me-canismo de gravação e recuperação das ações ou eventos que foram realizados e dos atores dessas ações ou eventos dentro do projeto auditado.
Seguindo esse raciocínio, seria bom se pudéssemos registrar tudo, cada ação do usuário sobre o sistema ou processo, mas é fácil de perceber que isso causaria, na prática, problemas de espaço de armazenamento e lentidão de processamento. Porém, por outro lado, regis-trando o mínimo necessário, corre-se o risco de não identificar justamente aquela ação que permitiria desvendar o problema identificado. Nesse sentido, as trilhas de auditoria devem ser bem planejadas para cobrirem o que é relevante dentro do processo.
Outros dois fatores importantes e que devem ser considerados quanto ao uso de trilhas de auditoria são:
• Por quanto tempo se deve armazenar os dados coletados pela trilha de auditoria? • O que fazer se o espaço de armazenamento dos dados coletados pela trilha de
auditoria der sinais de que está se esgotando?
Ter um rastro de tudo aquilo que foi feito ou consultado no sistema ou mesmo den-tro do projeto é um recurso precioso para qualquer gestor, conforme afirmam Garcia et al. (2005, p. 9), destacando que as trilhas de auditoria possibilitam prover um mecanismo de aperfeiçoamento e proteção contra as principais ameaças e vulnerabilidades, na correção de falhas diagnosticadas e nas tentativas de acesso e violação de sistemas e processos.
Agora que já entendemos o que são indicadores de controle e auditoria de TI e as trilhas de auditoria, passamos para o terceiro item deste capítulo, que aborda o modelo de maturi-dade de gerenciamento de projetos de TI.