A maioria das grandes empresas está obrigada a se submeter a auditorias independentes durante as quais normalmente está incluída uma auditoria de sistemas. Lamentavelmente, muitas empresas, especialmente as de pequeno e médio porte não estão obrigadas à auditorias externas, portanto, a área de informática não tem que prestar contas de seus procedimentos e ações além da própria direção.
A auditoria independente é o instrumento que as empresas têm para assegurar aos seus acionistas de que seguem as melhores práticas de governança corporativa. Sem uma auditoria independente não há como garantir a confiabilidade das informações que são disponibilizadas. Assim como não se pode confiar nos demonstrativos contábeis de uma empresa se eles não passarem por um controle independente, também não é possível confiar nos sistemas de informações destas organizações se não estiverem sujeitos a auditorias de sistemas independentes e rotineiras.
Em muitos anos à frente da TI de várias empresas, sempre me defrontava com a suspeita se as informações disponibilizadas pelos sistemas eram confiáveis. Meus problemas terminaram quando passei a ser submetido à auditoria independente. A auditoria independente assegurava à empresa que eu adotava todas as práticas necessárias para garantir a integridade dos sistemas.
Profissionais de TI não devem ver auditorias externas como ameaças ao seu trabalho. Ao contrário, bons profissionais querem demonstrar à empresa que podem confiar em seus sistemas de informação. Em muitas situações, a auditoria externa até mesmo corrobora as solicitações de TI para implantar soluções mais robustas, como por exemplo, relativas à tolerância à falhas, segurança de acessos e outras necessidades que muitas vezes não somos capazes de convencer a alta direção de efetuar os investimentos necessários.
Para as empresas que não estão sujeitas à obrigatoriedade de uma auditoria de sistemas, é extremamente vantajoso que as façam espontaneamente. Os resultados são ainda melhores quando a iniciativa desta auditoria parte da própria área de TI. Muitos profissionais de TI equivocadamente vêem a auditoria de sistemas como uma ameaça. É extremamente preocupante empresas nas quais TI vê a auditoria como uma ameaça e não como uma aliada.
Uma experiência muito interessante é a alta direção propor à TI a utilização de uma auditoria de sistemas. Sem dúvida, naquelas que houver uma rejeição muito grande, ou disserem que é jogar dinheiro fora, deve-se iniciar imediatamente esta auditoria independente. Aquelas que tiverem o apoio de TI, pode-se deixar para um momento mais oportuno.
