A computação em nuvem está transformando os serviços de TI dos negócios, mas também apresenta riscos significativos que precisam ser planejados. Os principais problemas relevantes incluem segurança na nuvem, atendimento ao cliente, gerenciamento de fornecedores e conformidade legal e regulamentar.
É essencial observar que a abordagem de auditoria realizada, provavelmente varia de acordo com a escala e complexidade do serviço que está sendo usado. Para isso, valem algumas perguntas consideradas pela auditoria interna antes do início dos trabalhos:
· O processo de avaliação de risco de auditoria existente é flexível o suficiente para diferenciar entre a variedade de serviços em nuvem que podem ser usados?
· Existe um entendimento claro da diferença entre a organização e a nuvem e onde o limite da tecnologia começa e termina?
· Foram fornecidas explicações suficientes às principais partes internas, incluindo diretores e comitê de auditoria, para destacar o raciocínio comercial ou o impacto do fornecimento da nuvem?
· Como o trabalho de auditoria complementa as avaliações mais amplas de fornecedores que estão considerando riscos de terceiros e de quarta parte?
· Como as amostras serão selecionadas e existem oportunidades para empregar análises de dados, seja por meio do provedor de serviços ou internamente, para permitir análises complexas que atendem a altos e baixos no fornecimento?
· As equipes de auditoria conhecem bem as diferenças nos serviços de computação em nuvem e aplicam a abordagem correta para fornecer uma cobertura de auditoria eficaz?
· A estratégia da organização para a nuvem está vinculada à estratégia geral de negócios?
Diante disso, alguns riscos e desafios se apresentam, como o fator segurança. A segurança é uma das principais áreas de foco deste serviço e requer conhecimento detalhado. Há uma ampla variedade de controles de segurança que precisam ser considerados, desde o controle de acesso e criptografia até as defesas e monitoramento cibernético. Como o provedor de serviços em nuvem implementa padrões de segurança reconhecidos também será crítico a considerar.
Outro desafio é manter a resiliência operacional de forma eficaz para manter o serviço dos clientes, além de atender aos requisitos legais e regulatórios. A auditoria interna precisará considerar o nível de resiliência necessário e como o provedor de nuvem atende a esses requisitos. Os auditores internos também precisam entender como o modelo operacional funciona, podendo usar métricas de serviço e reuniões com o provedor de serviços, para um melhor entendimento da nuvem.
As políticas e processos de governança também são importantes no processo. É preciso haver uma transição clara, em que a abordagem de negócios como de costume, se incorpore efetivamente à organização. Uma política de nuvem em toda a organização precisa ser estabelecida. Os serviços em nuvem podem ser adquiridos facilmente e existe o risco de que, sem a devida governança, as organizações percam o controle central da TI que está sendo usada.
Por fim, existe a importância em cumprir os aspectos regulatórios e legais. Os reguladores financeiros estarão cada vez mais focados no risco potencial de concentração, quando várias organizações grandes estiverem usando um pequeno número de fornecedores, como Amazon, Google, IBM e Microsoft. Uma falha de serviço em um grande provedor de serviços em nuvem pode resultar em interrupção em massa. À medida que o uso da tecnologia em nuvem amadurece, as organizações adotam novos modelos operacionais com maior automação que se afasta do gerenciamento tradicional de TI e do design de serviços. A auditoria interna precisará considerar como se move para fornecer garantia em tempo real.
Entre em contato com a TATICCA – ALLINIAL GLOBAL, que atua com serviços integrados de auditoria, contabilidade, impostos, corporate finance, financial advisory, risk advisory, tecnologia, consultoria empresarial e treinamentos. Para obter mais informações, acesse www.taticca.com.br ou e-mail taticca@taticca.com.br. Nossa empresa conta com profissionais com ampla experiência no mercado e possui metodologias certificadas para a realização das atividades.
