A computação em nuvem está transformando os serviços de TI dos negócios,
mas também apresenta riscos significativos que precisam ser planejados. Os
principais problemas relevantes incluem segurança na nuvem, atendimento ao
cliente, gerenciamento de fornecedores e conformidade legal e regulamentar.
É essencial observar que a abordagem de auditoria realizada,
provavelmente varia de acordo com a escala e complexidade do serviço que está
sendo usado. Para isso, valem algumas perguntas consideradas pela auditoria
interna antes do início dos trabalhos:
·
O processo de avaliação de risco de auditoria
existente é flexível o suficiente para diferenciar entre a variedade de
serviços em nuvem que podem ser usados?
·
Existe um entendimento claro da diferença
entre a organização e a nuvem e onde o limite da tecnologia começa e termina?
·
Foram fornecidas explicações suficientes às
principais partes internas, incluindo diretores e comitê de auditoria, para
destacar o raciocínio comercial ou o impacto do fornecimento da nuvem?
·
Como o trabalho de auditoria complementa as
avaliações mais amplas de fornecedores que estão considerando riscos de
terceiros e de quarta parte?
·
Como as amostras serão selecionadas e existem
oportunidades para empregar análises de dados, seja por meio do provedor de
serviços ou internamente, para permitir análises complexas que atendem a altos
e baixos no fornecimento?
·
As equipes de
auditoria conhecem bem as diferenças nos serviços de computação em nuvem e
aplicam a abordagem correta para fornecer uma cobertura de auditoria eficaz?
·
A estratégia
da organização para a nuvem está vinculada à estratégia geral de negócios?
Diante disso, alguns riscos e desafios se apresentam, como o fator
segurança. A segurança é uma das
principais áreas de foco deste serviço e requer conhecimento detalhado. Há
uma ampla variedade de controles de segurança que precisam ser considerados,
desde o controle de acesso e criptografia até as defesas e monitoramento
cibernético. Como o provedor de serviços em nuvem implementa padrões de
segurança reconhecidos também será crítico a considerar.
Outro desafio é manter a resiliência operacional de forma eficaz para
manter o serviço dos clientes, além de atender aos requisitos legais e
regulatórios. A auditoria interna precisará considerar o nível de
resiliência necessário e como o provedor de nuvem atende a esses requisitos. Os
auditores internos também precisam entender como o modelo operacional funciona,
podendo usar métricas de serviço e reuniões com o provedor de serviços, para um
melhor entendimento da nuvem.
As políticas e processos de governança também são importantes no
processo. É preciso haver uma transição clara, em que a abordagem de negócios
como de costume, se incorpore efetivamente à organização. Uma política de
nuvem em toda a organização precisa ser estabelecida. Os serviços em nuvem
podem ser adquiridos facilmente e existe o risco de que, sem a devida
governança, as organizações percam o controle central da TI que está sendo
usada.
Por fim, existe a importância em cumprir os aspectos regulatórios e
legais. Os reguladores financeiros estarão cada vez mais focados no risco
potencial de concentração, quando várias organizações grandes estiverem usando
um pequeno número de fornecedores, como Amazon, Google, IBM e
Microsoft. Uma falha de serviço em um grande provedor de serviços em nuvem
pode resultar em interrupção em massa. À medida que o uso da tecnologia em
nuvem amadurece, as organizações adotam novos modelos operacionais com maior
automação que se afasta do gerenciamento tradicional de TI e do design de
serviços. A auditoria interna precisará considerar como se move para
fornecer garantia em tempo real.
Entre em contato com a TATICCA – ALLINIAL GLOBAL, que
atua com serviços integrados de auditoria, contabilidade, impostos, corporate finance, financial advisory, risk advisory, tecnologia,
consultoria empresarial e treinamentos. Para obter mais informações, acesse
www.taticca.com.br ou e-mail taticca@taticca.com.br. Nossa empresa conta com
profissionais com ampla experiência no mercado e possui metodologias
certificadas para a realização das atividades.