entendendo e auditando o big data - iia brasil · demográficos para determinar o preço correto e...

o Big DataEntendendo e Auditando

GTAG / Entendendo e Auditando o Big Data

2 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org

Tabela de Conteúdos

Sumário Executivo ............................................................................................................... 3

Introdução ............................................................................................................................ 4

Importância para o Negócio ................................................................................................. 5

Aplicações Práticas ....................................................................................................... 6

O Básico do Big Data........................................................................................................... 7

Dados Estruturados e Não Estruturados ....................................................................... 7

Armazenamento de Dados ............................................................................................ 8

Os Três Vs do Big Data ................................................................................................. 9

Elementos do Programa de Big Data ................................................................................ 10

Um Argumento de Negócio Bem Articulado ................................................................ 10

Papéis e Responsabilidades Definidos ....................................................................... 10

Recursos Adequados .................................................................................................. 12

Métricas de Desempenho ............................................................................................ 12

Ferramentas e Tecnologias ......................................................................................... 12

Suporte Contínuo do Programa ................................................................................... 15

Governança de Dados ................................................................................................. 16

Adoção do Consumidor ............................................................................................... 17

Análise e Reporte ........................................................................................................ 17

Processos Consistentes .............................................................................................. 18

Riscos Principais ............................................................................................................... 19

O Papel da Auditoria Interna no Big Data .......................................................................... 22

Anexo A. Principais Normas do The IIA ............................................................................. 24

Anexo B. Orientações Relacionadas ................................................................................. 28

Anexo C. Glossário ............................................................................................................ 29

Anexo D. Planejando um Trabalho de Auditoria de Big Data ............................................ 33

Riscos e Desafios do Big Data .................................................................................... 33

Planejamento do Trabalho .......................................................................................... 33

Objetivo do Trabalho ................................................................................................... 34

Escopo do Trabalho e Alocação de Recursos ............................................................. 34

Programa do Trabalho de Auditoria ............................................................................ 34

Contribuintes ...................................................................................................................... 50



Sumário Executivo

Big data é um termo popular, usado para descrever o crescimento e disponibilidade

exponenciais dos dados criados por pessoas, aplicativos e máquinas inteligentes. O termo

também é usado para descrever conjuntos amplos e complexos de dados que vão além das

capacidades das aplicações tradicionais de processamento de dados. A proliferação de

dados estruturados e não estruturados, combinada com os avanços técnicos do

armazenamento, capacidade de processamento e ferramentas analíticas, permitiu que o big

data se tornasse uma vantagem competitiva para organizações líderes que o utilizam para

obter insights de oportunidades de negócio e promover estratégias comerciais. No entanto,

os desafios e riscos associados com o big data também devem ser considerados.

A demanda crescente, estruturas imaturas e riscos e oportunidades emergentes que não são

amplamente entendidos ou sistematicamente geridos criaram a necessidade de maior

orientação sobre a área. Auditores internos, em especial, devem desenvolver novos

conjuntos de habilidades e obter conhecimentos sobre os princípios do big data para avaliar,

com eficácia, se os riscos estão sendo abordados e os benefícios concretizados.

Os riscos associados ao big data incluem a má qualidade dos dados, tecnologia inadequada,

segurança insuficiente e práticas imaturas de governança de dados. Os auditores internos

que trabalham com big data devem colaborar com o chief information officer (CIO) e outros

líderes principais, para melhor entender os riscos quanto à coleta, armazenamento, análise,

segurança e privacidade dos dados.

Esta orientação oferece uma visão geral do big data: seu valor, componentes, estratégias,

considerações de implementação, governança de dados, consumo e reporte, assim como

alguns dos riscos e desafios que esses aspectos podem apresentar. Este guia também

explica os papéis e responsabilidades dos auditores internos na condução de procedimentos

de avaliação ou consultoria relativos a esforços de big data.



Introdução

O propósito desta orientação é auxiliar os auditores internos a obter os conhecimentos

necessários para apoiar seus serviços de consultoria e avaliação relativos ao big data, em

conformidade com a Norma 1210 – Proficiência e a Norma 2201 – Considerações Sobre o

Planejamento. Este documento oferece uma visão geral do big data, para auxiliar o leitor a

entender conceitos de big data e como alinhar as atividades de auditoria interna em apoio às

iniciativas de big data da organização. Além disso, esta orientação inclui um framework dos

principais riscos, desafios e exemplos de controles que devem ser considerados no

planejamento de uma auditoria de big data (veja a Norma 2100 – Natureza do Trabalho).

Esta orientação não aborda o papel da atividade de auditoria interna no consumo do big data

ou na condução de sua própria análise em apoio às atividades de auditoria e consultoria (leia

o “GTAG: Data Analysis Technologies” para informações adicionais nessa área). Esta

orientação também não inclui controles técnicos específicos ou programas de trabalho que

ofereçam cobertura de auditoria de tecnologias de big data, visto que são dependentes da

organização específica e dos sistemas de big data em uso.

Os auditores internos devem complementar este GTAG com outros GTAGs e programas de

trabalho técnico, para chegar ao modelo mais eficaz de cobertura de big data para a

organização.



Importância para o Negócio

Analisar dados para criar valor para o negócio não é um conceito novo; no entanto, está se tornando cada vez mais importante interpretar dados mais rapidamente e basear decisões de negócio nos insights resultantes. As organizações que adquirem e alavancam o big data com eficácia são capazes de aproveitar mais rapidamente as tendências emergentes de negócio, mudanças nas demandas do consumidor e oportunidades de eficiência operacional. Isso, por fim, aperfeiçoa a oportunidade de melhorar a satisfação do cliente e maximizar o sucesso da organização.

De acordo com o ISACA (Big Data: Impacts and Benefits White Paper, Março de 20131),

“empresas que dominam a disciplina emergente de gestão do big data podem colher frutos significantes e se diferenciar de seus concorrentes”.

Exemplos de benefícios comerciais do big data incluem:

Vantagem competitiva. Maiores receitas. Inovação e desenvolvimento de produto mais ágil. Previsões de demandas do mercado. Decisões de negócio bem informadas. Eficiência operacional.

De fato, benefícios significantes podem ser concretizados a partir de programas de big data, se forem devidamente executados e bem controlados. Esses programas ajudam na consolidação e consumo de grandes volumes de dados estruturados e não estruturados, oferecendo a oportunidade de métricas únicas e insights tempestivos. (Anteriormente, isso não seria possível ou poderia levar dias ou semanas para fazer.) Ao usar insights de big data, a organização pode tomar melhores decisões, buscar novos clientes de formas criativas e diferenciadas, atender os clientes existentes com um modelo de entrega focado e melhorado, único ao indivíduo, e oferecer novos serviços e capacidades que verdadeiramente diferenciem a empresa de seus concorrentes. As organizações que capitalizarem em cima das oportunidades de big data podem desenvolver uma vantagem competitiva duradoura.

Adicionalmente, esforços de big data podem melhorar a transparência da organização,

aperfeiçoar a análise e reporte de gestão e reduzir os custos de apoio aos programas de melhoria contínua. Como os dados são centralizados e consolidados para esforços estratégicos de big data, o custo de realizar análises incrementais usando esses dados é amplamente reduzido, de forma que toda a organização pode se beneficiar dessas iniciativas.

1 http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Big-Data-Impacts-and-Benefits.aspx



No entanto, para explorar totalmente os benefícios comerciais do big data, as organizações precisam investir em criar o ambiente apropriado, contratar e reter pessoas habilidosas, definir e implementar processos replicáveis e utilizar tecnologias adequadas.

Aplicações Práticas

Diariamente, as organizações aplicam formas criativas e inovadoras de usar o big data. Aplicações práticas do big data podem ser encontradas em organizações do varejo, públicas, privadas e sem fins lucrativos, por exemplo.

Varejistas – Varejistas estão construindo perfis de cliente sofisticados, com base no histórico

de compra, navegação online, feedback de produto, localização geográfica e dados demográficos, para criar uma experiência de compra baseada em dados. Os vendedores podem acessar informações sobre as compras passadas do cliente, para oferecer atendimento personalizado e fazer recomendações motivadas pelo perfil do cliente e suas postagens nas redes sociais, em combinação com os últimos dados sobre tendências da moda. Se o cliente gosta de uma roupa que não está disponível na loja no tamanho ou cor preferida do cliente, o vendedor pode usar um dispositivo inteligente para determinar, instantaneamente, se o produto está disponível em outra loja ou solicitar que seja enviado à residência do cliente.

Outro exemplo de uso do big data no varejo para melhorar o atendimento ao cliente é a análise dos endereços residenciais de clientes existentes e potenciais, além de dados demográficos, para identificar a localidade ideal para uma nova loja.

Governos – Governos municipais podem coletar dados de congestionamentos de trânsito, usando múltiplas fontes (como sensores espalhados pela cidade, ônibus, táxis), e analisar os dados para identificar padrões. A análise de trânsito pode ser usada para determinar necessidades de transporte público ou expansão da malha rodoviária, ou para criar sites que ofereçam informações de trânsito em tempo real para assinantes, o que pode ajudá-los bastante a planejar as rotas mais rápidas, evitar congestionamentos e estimar horários de chegada.

Instituições Financeiras – Instituições financeiras podem prever tendências, modelar opções e prever resultados para ampliar sua base de clientes e aumentar a fidelidade de seus consumidores. Por exemplo, instituições financeiras podem oferecer serviços mais personalizados e produtos sob medida, usando o histórico de transações e dados demográficos para determinar o preço correto e estratégias financeiras para um indivíduo.

O big data permite às organizações coletar dados de fontes externas. Por exemplo, um banco pode coletar dados das redes sociais, para identificar clientes que possam estar insatisfeitos com outra instituição financeira e em busca de um novo fornecedor. Essa informação pode ser usada para criar mensagens de Marketing direcionadas para atrair esses clientes insatisfeitos, prometendo produtos e serviços personalizados.



O Básico do Big Data

O big data é gerado dentro das organizações (como dados de transações, dados de reclamações dos clientes), das indústrias (como taxas de adesão do cliente por tipo de produto), da sociedade (como câmeras de trânsito, dados econômicos), da natureza (como porte, localização e frequência de terremotos) e de inúmeras outras fontes. Em alguns casos, as organizações precisam adquirir dados de fontes externas; em outros casos, os conjuntos de dados estão disponíveis gratuitamente para nós. Alguns exemplos de fontes de big data são delineados na Figura 1.

Figura 1 — Exemplos de Fontes de Big Data

Dados Estruturados e Não Estruturados

Historicamente, a maioria dos dados armazenados nas organizações era estruturada e

mantida em bancos de dados relacionais — ou até bancos de dados legacy hierárquicos ou flat-file. Dados estruturados são organizados e permitem queries repetidas, já que muitos dos dados são mantidos em tabelas relacionais. São frequentemente mais fáceis de controlar do que dados não estruturados, devido à propriedade definida e às soluções de bancos de dados oferecidas pelos fornecedores.

No entanto, o uso de dados não estruturados está crescendo e se tornando mais comum nas organizações. Esse tipo de dado não está restrito às estruturas ou limitações tradicionais de dados. É tipicamente mais difícil de gerir, devido à sua natureza evolutiva e imprevisível, e é normalmente obtido de fontes de dados amplas e diversas, frequentemente externas.



Consequentemente, novas soluções foram desenvolvidas para gerenciar e analisar esse tipo de dado. Veja, na Figura 2, um diagrama que mostra a diferença entre dados estruturados e não estruturados.

Figura 2 — Exemplos de Dados Estruturados e Não Estruturados

Armazenamento de Dados

Um grande depósito de dados organizacionais, desenvolvido especificamente para análise e reporte, é conhecido como data warehouse (“armazém de dados”). Data warehouses são, tipicamente, bancos de dados relacionais que armazenam informações de múltiplas fontes. Os dados são transferidos de sistemas operacionais que contenham dados transacionais para os data warehouses, que armazenam informações completas sobre um ou mais assuntos. Ferramentas de ETL (extract, transform e load) ou ELT (extract, load e transform) são configuradas para mover dados do sistema operacional para o data warehouse. Os dados são configurados no formato e estrutura do data warehouse, frequentemente agregado.

Data lakes estão se tornando uma solução cada vez mais popular para apoiar o armazenamento de big data e descoberta de dados. Data lakes (“lagos de dados”) são parecidos com data warehouses, no sentido de que armazenam grandes quantidades de dados de diversas fontes, mas também armazenam atributos adicionais de dados dos sistemas fonte, em um nível de granularidade que, normalmente, se perderia na agregação



dos dados para data warehouses. Isso oferece soluções de big data com todos os elementos de dados disponíveis, em um nível de granularidade suficiente para conduzir uma análise completa. Ainda assim, oferece às organizações a flexibilidade de solucionar problemas imprevistos, porque mantém todos os dados em um formato prontamente disponível.

Os Três Vs do Big Data

As dimensões ou características mais comuns da gestão do big data são volume, velocidade e variedade (os três Vs), mas, conforme os sistemas se tornam mais eficientes e a necessidade de processar dados mais rapidamente continua a aumentar, as dimensões originais de gestão de dados foram expandidas para incluir outras características únicas ao big data. Mark Van Rijmenam propôs quatro dimensões adicionais em seu artigo de blog de Agosto de 2013, chamado “Why the 3 Vs Are Not Sufficient To Describe Big Data” (“Por que os 3 Vs não são suficientes para descrever o Big Data”).2 As dimensões adicionais são veracidade, variabilidade, visualização e valor. A Figura 3 ilustra o “Conjunto expandido de Vs do Big Data”.

Figura 3 — Vs Expandidos do Big Data

2 https://datafloq.com/read/3vs-sufficient-describe-big-data/166

3 Vs do Big Data

Volume: A quantidade dos dados criados é vasta em comparação com as fontes tradicionais de dados.

Variedade: Os dados vêm de todos os tipos de formatos. Isso pode incluir dados gerados em uma organização, assim como dados criados em fontes externas, incluindo dados publicamente disponíveis.

Velocidade: Os dados são gerados com extrema rapidez e continuamente.

Vs Adicionais

Veracidade: Os dados devem poder ser verificados quanto à precisão e ao contexto.

Variabilidade: O big data é extremamente variável e em constante mudança.

Visualização: Os resultados analíticos do big data são frequentemente difíceis de interpretar; portanto, traduzir grandes quantidades de dados para gráficos e diagramas prontamente apresentáveis, que sejam fáceis de entender, é fundamental para a satisfação do usuário final e pode destacar insighs adicionais.

Valor: Organizações, sociedades e consumidores podem se beneficiar do big data. O valor é gerado quando novos insights são traduzidos em ações que criem resultados positivos.



Elementos do Programa de Big Data

Muitas vezes, o conselho e/ou membros da alta administração solicitam à auditoria interna que ofereçam insights e perspectivas sobre programas de big data, conforme eles são implementados (veja a Norma 2010.C1). Para trabalhar com eficácia junto à administração e avaliar programas de big data, os auditores internos devem entender os diversos componentes dos quais consiste um programa de big data, assim como os papéis e responsabilidades relacionados (veja a Norma 2100 – Natureza do Trabalho, a Norma 2200 – Planejamento do Trabalho de Auditoria e a Norma 2201 – Considerações Sobre o Planejamento, assim como seus respectivos Guias de Implantação).

Como os programas de big data são implementados e modificados ao longo do tempo, os auditores internos devem continuar engajados e monitorar esses esforços, de acordo com a Norma 2010 – Planejamento e a Norma 2030 – Gerenciamento de Recursos. Ao fazê-lo, os auditores internos devem manter os conhecimentos e habilidades necessárias e alterar, dinamicamente, sua avaliação de riscos e o modelo de cobertura de auditoria para considerar quaisquer modificações (veja a Norma 1210 – Proficiência). O big data está evoluindo rapidamente e continuará apresentando riscos e oportunidades para as organizações e os auditores internos no futuro próximo.

Um Argumento de Negócio Bem Articulado

Para que os programas de big data sejam bem-sucedidos, um argumento claro de negócio deve ser articulado, em alinhamento com a estratégia da organização. O programa de big data deve ter objetivos definidos, critérios de sucesso e apoio organizacional no nível executivo. O argumento de negócio também deve incluir uma análise de custo-benefício da aplicação de um programa tão significante, em comparação com a alavancagem das ferramentas e tecnologias já existentes na organização.

O forte apoio organizacional é crucial; sem esse apoio, o investimento contínuo dos recursos necessários e a priorização adequada podem não acontecer. O argumento de negócio para um programa de big data também deve incluir suporte tecnológico, com a verificação apropriada das opções e custos apresentados, assim como uma clara propriedade de sustentabilidade do programa após sua implementação. Múltiplas organizações têm, agora, chief data officers (CDOs), que são gerentes seniores com foco em garantir que os programas de big data tenham o apoio necessário.

Papéis e Responsabilidades Definidos

Definir claramente os papéis e responsabilidades pelos principais recursos e funções pode acelerar e simplificar a aplicação dos programas de big data. Por exemplo, se uma organização planeja conduzir análises das atividades e do comportamento dos funcionários (ex., investigações de fraude por funcionários), os recursos humanos e o jurídico podem precisar ser consultados. A equipe de Marketing pode querer liderar ou estar envolvida nas métricas piloto de engajamento do consumidor, para avaliar a reação do público. O setor de TI pode ser incapaz de apoiar os esforços planejados, devido a prioridades concorrentes. As



funções de risco, segurança e privacidade podem querer revisar e avaliar os controles do ambiente de big data.

Sem a adesão das principais partes interessadas e consumidores do negócio quanto às suas responsabilidades no esforço geral, os insights de dados podem não ser usados por longos períodos de tempo após a implementação do programa de big data. Portanto, antes de realizar um investimento significante em esforços de big data, as organizações devem envolver todas as partes interessadas relevantes, para garantir apoio, determinar valor, questionar sobre requisitos, abordar preferências, avaliar a largura de banda para antecipar planos apesar de outras prioridades e promover ações durante e após a implementação. Uma análise formal de partes interessadas pode ser necessária, para identificar todas as partes interessadas relevantes antes da implementação do programa. A Figura 4 mostra exemplos das principais partes interessadas que podem ajudar a promover e apoiar esforços de big data.

Figura 4 — Exemplos das Principais Partes Interessadas do Big Data



Recursos Adequados

As organizações devem ter recursos suficientes para apoiar uma implementação de big data, o que inclui mais do que apenas os fundos necessários para adquirir equipamentos para armazenar dados e processar tarefas analíticas grandes e complexas. O uso de recursos e/ou soluções de terceiros deve ser considerado no desenvolvimento da abordagem geral do programa, porque, dependendo do porte e escala planejados para o programa de big data, terceirizar pode trazer mais opções tempestivas, escaláveis e de bom custo-benefício.

O departamento de recursos humanos das organizações frequentemente auxilia no recrutamento e seleção de profissionais apropriados para os cargos de big data, define a compensação e os benefícios para a equipe de big data e auxilia no treinamento e programas de desenvolvimento de big data. As organizações encaram muitos desafios no recrutamento de profissionais para big data, devido à complexidade técnica dos cargos e à escassez de talento no mercado de trabalho.

Métricas de Desempenho

Os critérios de sucesso estabelecidos durante o desenvolvimento do programa devem ser acompanhados por métricas de desempenho acordadas. Essas métricas devem apresentar um equilíbrio entre o desempenho operacional e organizacional. Devem, também, oferecer à administração insights sobre o custo, nível de adoção, disponibilidade e uso da solução de big data na organização.

O alinhamento das iniciativas de big data ou projetos piloto com as métricas significantes de negócio (ex., aquisição reduzida de consumidores e custos de retenção, crescimento do market share e maiores taxas de click-through) oferece uma demonstração tangível do retorno sobre o investimento. No entanto, benefícios qualitativos também podem ser monitorados, já que podem ajudar a demonstrar o valor do programa.

Frequentemente, surgem riscos quando as métricas não estão designadas clara e completamente, em alinhamento com o argumento de negócio. Alguns indivíduos podem superenfatizar ou subfinanciar um aspecto do programa de big data em detrimento de outros, devido a métricas de desempenho definidas inadequadamente, ou métricas que possam servir como incentivo de compensação. Portanto, a administração deve ser extremamente

diligente quanto ao estabelecimento de critérios de sucesso e à definição de métricas de apoio para qualquer programa principal, incluindo iniciativas de big data, já que as métricas podem promover comportamentos apropriados ou inapropriados.

Ferramentas e Tecnologias

É crítico que as organizações identifiquem as ferramentas e tecnologias mais apropriadas para suas necessidades atuais e futuras. Essas ferramentas devem permitir à organização adquirir, processar, analisar e usar dados de fontes que produzam quantidades crescentes



de dados estruturados e não estruturados. Por exemplo, ferramentas de reporte, análise visual, monitoramento e automação de trabalho podem melhorar a experiência do usuário e reduzir o tempo gasto na manutenção dos ambientes. O armazenamento adequado também é fundamental, visto que o volume de dados pode crescer rápida e significativamente conforme o programa se expande. Soluções tecnológicas devem estar alinhadas com os requisitos comerciais definidos, o que depende de diversas variáveis, incluindo os usos planejados e futuros da organização, o porte da organização e muitos outros fatores.

Soluções de Armazenamento

Historicamente, o maior desafio relativo à quantidade sempre crescente de dados tem sido a

crescente necessidade de armazenamento adicional e capacidades suficientes de backup. Devido às fontes adicionais de dados e ao crescente apetite a dados, a demanda por ferramentas e tecnologias novas e mais poderosas se tornou vital. Dados de novas fontes e gerados por sistemas, em vez de humanos, se tornaram desafios às tecnologias e ferramentas tradicionais, por demandar novas capacidades e soluções para armazenar dados e torná-los prontamente disponíveis.

Ambientes Onsite versus Cloud

As plataformas e ferramentas disponíveis para as organizações mudarão ao longo do tempo; no entanto, as principais considerações tecnológicas frequentemente permanecem consistentes entre as soluções. Por exemplo, as organizações devem escolher entre ambientes de big data onsite ou cloud-based e considerar como estruturarão o desenvolvimento analítico. Soluções onsite requerem instalações capazes de comportar um grande número de servidores e uma equipe de TI para apoiar a infraestrutura. As instalações devem ser grandes o suficiente para apoiar a escalabilidade conforme o big data cresce. A implementação do big data cloud-based serve como uma outra opção, que pode ser de maior custo-benefício e que pode acelerar o tempo de entrega. No entanto, soluções na nuvem também expõem a organização a riscos adicionais, o que deve ser totalmente avaliado antes de decidir usar a nuvem. Soluções de “big data as a service” (BDaaS) na nuvem possibilitam total escalabilidade. Soluções BDaaS podem incluir:

IaaS — Infrastructure as a service (ex., hardware, dispositivos de armazenamento e

componentes de rede para big data).

PaaS — Platform as a service (ex., sistemas operacionais, plataformas de

desenvolvimento e middleware).

SaaS3 — Software as a service (ex., aplicativos para processar big data ou conduzir

análises e reporte).

3 Para mais informações sobre computação na nuvem, veja a publicação especial do National Institute of Standards and Technology (NIST) SP800-145 “The NIST Definition of Cloud Computing”, disponível em http://dx.doi.org/10.6028/NIST.SP.800-145



As organizações podem escolher usar o serviço na nuvem (IaaS, PaaS ou SaaS) para complementar sistemas internos ou integrar todos os três serviços na nuvem, para desenvolver a solução inteira de big data.

Ferramentas de Descoberta de Dados

A grande variedade e volume de dados disponíveis atualmente são resultado do armazenamento exponencialmente mais barato e da coleta onipresente de dados que vieram do rápido crescimento das plataformas de mídias sociais, sensores e multimídia. Infelizmente, os data warehouses e soluções de inteligência de negócios tradicionais não foram desenvolvidos para atender aos requisitos do big data e foram ultrapassados pela onda de requisitos de armazenamento e processamento de dados. Consequentemente, as

organizações que ainda estão usando data warehouses podem estar operando e tomando decisões com base em dados incompletos.

Há três elementos primários à descoberta de big data: (1) entender quais dados estão disponíveis; (2) obtê-los; e (3) aprender com eles, para desenvolver insights significantes que levarão a itens aplicáveis. As organizações estão em níveis variados de maturidade, em termos de sua habilidade de gerenciar e entender dados internos estruturados. É nos dados de terceiros e não estruturados que a tecnologia do big data frequentemente exige pensamento criativo, desenvolvimento ou configuração de application programming

interfaces (APIs) e possíveis taxas para assinaturas de fornecedores de dados. Obter todos os dados disponíveis é uma abordagem, mas, para organizações com recursos limitados, pode ser melhor começar com um piloto de uso específico e ampliar o programa incrementalmente.

O processamento distribuído de dados4 e o aprendizado de máquina melhorado5 aumentam o valor do big data. Esses avanços computacionais podem ajudar as organizações a identificar padrões irreconhecíveis aos humanos e a aplicativos de menor capacidade. Além disso, novas ferramentas de visualização de dados estão sendo incluídas como parte das soluções de big data, para oferecer flexibilidade, interação e capacidades de análise ad-hoc.

Ferramentas de Monitoramento

É importante definir key performance indicators (KPIs) para sistemas e métricas de big data durante a implementação, para permitir o monitoramento contínuo da produção. Ferramentas de monitoramento devem ser usadas para reportar sobre a saúde e o status operacional do ambiente de big data, e para oferecer as informações necessárias para identificar e mitigar, proativamente, os riscos operacionais associados ao big data. As ferramentas de monitoramento devem ser capazes de reportar sobre as anormalidades a partir de vários aspectos da plataforma de big data, assim como processamento de tarefas. Conforme

4 O processamento de dados distribuídos refere-se a múltiplos computadores no mesmo local ou em locais diferentes, compartilhando a capacidade de processamento para acelerar o processamento. 5 O aprendizado de máquina refere-se a programas de computador capazes de aprender algoritmos sem a necessidade de interação humana para a programação.



mencionado anteriormente, os KPIs devem ser criados para o reporte sobre a eficácia e o desempenho dos sistemas de big data.

Aquisição de Software

Atividades de desenvolvimento ou de compra e customização de software para big data são bem diferentes dos sistemas tradicionais. Tecnologias open-source relevantes podem ser baixadas, sem custo, de muitas fontes. Distribuições de produtos adicionais também estão disponíveis sem custo ou para compra em fornecedores de valor agregado. Apesar de serem atraentes, distribuições de download gratuito de fornecedores de valor agregado não oferecem suporte de produto ou técnico.

Há diferenças entre as características e funcionalidades de diversas ofertas de produtos e inúmeras customizações dos fornecedores de diferentes plataformas, o que torna difícil entender e diferenciar as diversas ofertas. Componentes de softwares de query estruturada, por exemplo, não fazem parte de todas as distribuições e alguns fornecedores têm melhores características de segurança do que outros. Entender essas diferenças e alinhá-las aos requisitos do programa de big data é imperativo para selecionar a distribuição apropriada de software. Implementando uma solução onsite ou na nuvem, os departamentos de TI devem avaliar cuidadosamente os requisitos de big data e evitar a aquisição desnecessária de softwares, capacidade de processamento e armazenamento.

Apesar do hardware de big data ser comoditizado para o processamento distribuído, a complexidade subjacente de software aumenta a importância da criação da solução e da fase de desenvolvimento. Plataformas de big data quase sempre têm módulos adicionais de software instalados conjuntamente a eles. Esses módulos adicionais de software oferecem características estendidas de como gerir, interagir e analisar os dados, além de como apresentar os resultados. Cada vez mais, programas de big data têm softwares especializados na visualização de dados, para apresentar resultados em dashboards.

Fornecedores de big data têm ajudado as organizações a navegar o ambiente técnico, a extensão da customização, a abundância das ferramentas de software, as diversas interfaces de dados e a modelagem de dados complexos. Ainda assim, as organizações são desafiadas a identificar recursos internos (ex., gerentes de programas de big data) com conhecimento suficiente para trabalhar e gerir os fornecedores de big data ao longo do ciclo de vida de desenvolvimento. Frequentemente, cientistas de dados são contratados para ajudar a desenvolver os modelos analíticos.

Suporte Contínuo do Programa

Soluções de big data não devem ser construídas e mantidas estáticas, ou ter custos significantes de produção. No entanto, assim como com muitas tecnologias open-source transformacionais, o ritmo acelerado da mudança no cenário do big data cria desafios que frequentemente ultrapassam a habilidade dos arquitetos de big data de acompanhar as dezenas de novas ferramentas, plug-ins e rápidos lançamentos de produtos.



Como resultado, o suporte contínuo de recursos internos ou fornecedores é necessário para garantir o sucesso contínuo do programa. Esse suporte contínuo inclui as operações tradicionais de TI, como planejamento de capacidade (isto é, flexibilidade de escalabilidade), monitoramento de produção e planejamento de recuperação após desastre. Infraestruturas de apoio de armazenamento e integrações relacionadas de dados precisam ser avaliadas e alinhadas com essas atividades. Práticas padrão de mudança de aplicação e gestão de patches também se aplicam (veja o “GTAG: Change and Patch Management Controls: Critical for Organizational Success, 2nd Edition”). Por fim, os modelos analíticos em si devem ser monitorados e mantidos.

Governança de Dados

A adoção do big data em uma organização exige uma governança de dados fortalecida, para garantir que as informações permaneçam precisas, consistentes e acessíveis. Há diversas áreas fundamentais, em que é crítica a governança de dados para o big data; essas incluem a gestão de metadados (isto é, dados sobre dados), segurança, privacidade, integração de dados, qualidade dos dados e gestão de dados mestre. As principais atividades tradicionais de governança de dados para abordar essas áreas incluem identificar os proprietários dos dados, consumidores, critical data elements (CDEs), requisitos especiais de tratamento, linhagem, dados mestre e fontes confiáveis de dados. As organizações devem implementar os controles apropriados para garantir que todas as dimensões necessárias da qualidade de dados (ex., integridade, validade, unicidade) sejam adequadamente mantidas e que tais controles protejam os CDEs da mesma forma. Alguns exemplos de processos de controle relativos à qualidade de dados e proteção de CDEs incluem a identificação de defeitos nos dados e a prevenção de perda/vazamento de dados (data loss/leakage prevention, DPL).

A principal diferença da governança de dados no contexto do big data, em comparação com os programas tradicionais de governança de dados, é relativa à agilidade que as organizações precisam ter ao longo do ciclo de vida dos dados, para atender às demandas de análise. Os riscos associados à necessidade de agilidade das organizações são agravados por características ou requisitos de negócio para cada conjunto de dados, incluindo os de privacidade e segurança, e pelas características únicas que podem ser exigidas de operações específicas do negócio.

Os proprietários dos dados devem assumir responsabilidade pela qualidade e segurança de

seus dados, com um foco intensificado sobre os elementos de dados de maior risco. Os elementos de maior risco devem ser determinados com base nos resultados de um processo de avaliação de riscos, que pode ser liderado pelos proprietários dos dados ou outras funções dentro da organização (ex., segurança da informação). Os proprietários dos dados devem garantir que os systems-of-record sejam apropriadamente definidos e que os processos de atualização dos CDEs estejam claros. Isso deve incluir a identificação de fontes confiáveis de dados (isto é, aquelas que definem quais dados do sistema têm prioridade quando elementos de dados variam ou apresentam conflito entre dois ou mais



sistemas). Algumas organizações escolhem “administradores de dados” para auxiliar nisso e em outros esforços de governança de dados.

Por fim, o objetivo é que as organizações sejam capazes de mover informações rapidamente, mantendo qualidade e segurança altas. Isso exige uma ágil governança de dados, que garanta que os controles apropriados estejam em prática para apoiar a sustentabilidade e a proposta de valor desses programas.

Adoção do Consumidor

Análises de big data podem ser implementadas para uso interno da organização (ex., para

embasar decisões de negócio relativas às operações, marketing, recursos humanos ou TI) ou para atender às necessidades dos consumidores (ex., analisar o comportamento de compra passado do consumidor pode permitir que as organizações recomendem novos produtos ou serviços, quando os consumidores visitarem o site da organização). Independentemente, a meta de qualquer solução de análise de big data deve ser oferecer informações significantes para os consumidores internos de dados (isto é, funcionários) e consumidores externos de dados (isto é, consumidores ou fornecedores) e para melhorar os processos de tomada de decisão. Soluções de big data que criem valor promoverão a adoção contínua dentro da organização.

Assim como em outros projetos de TI, esse processo deve começar pela coleta de requisitos abrangentes, para entender as perguntas que o consumidor está tentando responder ou as questões que o consumidor está tentando prever. Envolver consumidores internos no processo de desenvolvimento e teste os ajuda a desenvolver um senso de propriedade pela solução. Qualquer feedback após a implementação deve ser abordado prontamente, para sustentar e aumentar a adoção. As organizações também devem planejar campanhas de marketing e treinamento, para compartilhar casos de sucesso e educar os consumidores internos quanto ao potencial das análises de big data. Pesquisas com as partes interessadas são uma ferramenta eficaz para obter feedback e lições aprendidas, para melhorar os processos de desenvolvimento das implementações subsequentes.

Análise e Reporte

Devem ser desenvolvidos relatórios com a flexibilidade apropriada dos parâmetros de

entrada (ex., datas de início e fim, segmentos do consumidor e produtos), para permitir que os consumidores detalhem ou ampliem o foco de suas análises. Essa flexibilidade permite aos consumidores fazer perguntas que poderiam não ter sido antecipadas durante a fase inicial de desenvolvimento e também apoia a adoção, ao empoderar os consumidores com capacidades de autosserviço, o que ajuda a minimizar o ciclo de vida tradicionalmente lento e custoso do desenvolvimento de relatórios. A granularidade disponível dos dados de reporte, para apoiar o reporte padrão ou drill-down dos consumidores, deve ser equilibrada com os requisitos do consumidor, capacidades de processamento e preocupações com a privacidade dos dados.



Ferramentas de autosserviço são importantes para atividades que envolvam consumidores, fornecedores ou funcionários que precisem tomar decisões rápidas. Por exemplo, um representante de atendimento ao cliente pode usar o big data e um aplicativo de reporte com autosserviço para visualizar o histórico de produto e serviço do consumidor entre diversas linhas organizacionais em uma tela. Isso reduziria o número de ligações que o consumidor teria que fazer para responder perguntas sobre os produtos. Preocupações de privacidade e segurança podem ser abordadas restringindo o acesso a campos de dados sensíveis apenas aos consumidores que tenham uma necessidade válida de negócio para visualizar esses campos de dados.

Muitas pessoas estão familiarizadas com o conceito de análise preditiva, que busca explicar

o que ocorrerá a seguir com base nos dados históricos. Por exemplo, hospitais utilizam análises preditivas para determinar quais pacientes podem ser readmitidos para tratamento adicional. Cientistas de dados podem aplicar algoritmos de análise de sobrevivência para ajudar departamentos de recursos humanos a prever a insatisfação dos funcionários e essas informações podem ser usadas para apoiar atividades de gestão e planejamento da força de trabalho.

Relatórios de análise também podem ser baseados em alertas, para ajudar os consumidores a identificar quais ações são necessárias para abordar uma situação em especial. Por exemplo, técnicas de análise de sentimento podem ser aplicadas para determinar a satisfação de um consumidor com um produto ou serviço, com base nas informações compartilhadas pelos consumidores via redes sociais. Altos níveis de satisfação podem motivar novas estratégias de distribuição, enquanto níveis baixos de satisfação podem demandar ações corretivas imediatas para conservar a fidelidade do cliente e a reputação da organização.

Outras técnicas avançadas de análise, como análises de ligação, podem ser usadas por auditores internos e investigadores de fraude para melhor entender as relações entre os funcionários, fornecedores e consumidores, para revelar lavagens de dinheiro ou outros esquemas de fraude. Os cenários analíticos são ilimitados, oferecendo oportunidades vastas de agregar valor ao consumidor final, por meio de diversos canais e opções de reporte.

Processos Consistentes

Processos definidos e bem controlados são necessários para o sucesso contínuo de um programa de big data. Sem processos definidos e consistentes, os ambientes podem se tornar instáveis rapidamente e a confiança em seus dados pode ser perdida. Quando relatórios analíticos desenvolvidos para oferecer insights estratégicos usam dados imprecisos ou incompletos, seu valor é imediatamente enfraquecido. Se riscos como esses não forem abordados, programas de big data podem rapidamente perder financiamento e ser eliminados. Portanto, conforme forem empregadas pessoas e tecnologias, deve-se prestar atenção, também, aos processos subjacentes e controles relacionados que apoiam o programa de big data.



Riscos Principais

Riscos relacionados ao big data podem surgir de muitos fatores, tanto internos quanto externos à organização. As seguintes categorias representam as principais áreas de risco:

Governança do programa. Disponibilidade e desempenho da tecnologia. Segurança e privacidade. Qualidade, gestão e reporte dos dados.

Área Risco Principal Atividades de Controle

Governança do programa

A falta de apoio da administração, financiamento e/ou governança apropriados ao programa de big data pode expor a organização a riscos indevidos ou à incapacidade de atingir as metas estratégicas.

O financiamento deve ser adequado para apoiar as necessidades do negócio.

Os objetivos do programa devem apoiar as iniciativas de estratégia organizacional.

A administração deve receber métricas que demonstrem o atingimento das metas.

A organização deve estabelecer uma entidade de governança para gerir a estratégia de big data.

Devem existir SLAs entre o negócio e TI, para descrever e mensurar as expectativas de desempenho.

Requisitos comerciais e técnicos devem ser documentados, analisados e aprovados.

A gerência executiva deve desenvolver uma estratégia de big data que forneça soluções a toda a organização.

Antes da aprovação do argumento de negócio, a administração deve conduzir uma prova de conceito, para validar que o desenvolvimento dos sistemas esteja alinhado com as metas estratégicas.

Papéis e responsabilidades devem estar claros e bem definidos.

A organização deve fornecer os recursos necessários para empregar e manter a estratégia de big data.

Devem ser usadas melhores práticas de gestão de fornecedores terceirizados, para gerir os fornecedores de big data.




A governança dos dados deve fazer parte da governança corporativa geral, para garantir que os objetivos de big data estejam alinhados com as metas estratégicas da organização (veja a Norma 2110 – Governança).

Disponibilidade e desempenho da tecnologia

Soluções e/ou configurações tecnológicas ineficazes podem resultar em uma experiência negativa para o consumidor, disponibilidade reduzida do sistema e/ou pior desempenho.

Operações de TI devem ser estruturadas de forma que apoiem as expectativas de nível de serviço do big data.

Políticas e procedimentos de ciclo de vida dos dados devem ser documentados e seguidos.

Sistemas de big data devem fazer parte da estratégia de manutenção.

Sistemas de big data devem fazer parte da estratégia de gestão de mudanças.

Sistemas de big data devem ser incluídos na estratégia de gestão de patches.

Sistemas de big data devem ser adquiridos, desenvolvidos e/ou configurados em alinhamento com a complexidade e demandas documentadas no argumento de negócio.

Sistemas e ferramentas de apoio devem ser configurados para fornecer notificações automáticas à equipe de suporte.

Ferramentas de reporte devem ser configuradas para ser flexíveis, intuitivas e fáceis de usar; e devem ser oferecidos materiais de apoio para treinamento.

Sistemas de big data devem ser configurados para permitir flexibilidade e escalabilidade sem sacrificar o desempenho.

Testes periódicos de desempenho devem ser conduzidos e as fraquezas devem ser remediadas.

O ciclo de vida dos sistemas de big data deve ser gerido apropriadamente.

Controles gerais de TI devem ser avaliados periodicamente.




Segurança e privacidade

Normas e configurações ineficientes de segurança da informação podem resultar em acesso não autorizado — e roubo — de dados, modificações inapropriadas aos dados e violações de conformidade regulatória.

A gerência de segurança da informação deve fazer parte da estratégia de big data.

A gerência de segurança dos dados deve fazer parte da estratégia de big data.

O acesso de terceiros deve ser gerido apropriadamente.

A privacidade dos dados deve fazer parte da estratégia de big data.

Qualidade, gestão e reporte dos dados

Questões de qualidade dos dados e/ou reporte impreciso podem levar ao reporte impreciso da gestão e à tomada de decisão equivocada.

Políticas e procedimentos devem ser estabelecidos para garantir a qualidade dos dados.

Políticas e procedimentos devem ser estabelecidos para garantir que os dados obtidos de terceiros estejam em conformidade com as normas de qualidade dos dados.

Políticas e procedimentos devem ser estabelecidos para garantir a precisão do reporte.

O acesso aos relatórios deve ser concedido com base nas necessidades do negócio.

Ferramentas e procedimentos de reporte devem permitir flexibilidade e o reporte ad-hoc.

Os usuários devem ser treinados periodicamente, para maximizar a utilidade dos relatórios.

A seleção dos fornecedores que oferecem produtos e serviços de reporte deve estar alinhada às necessidades do negócio.



O Papel da Auditoria Interna no Big Data

A auditoria interna deve considerar o papel do big data nas organizações, como parte da avaliação de riscos e planejamento de auditoria (veja a Norma 2010 – Planejamento e a 2010.A1). Se os riscos forem significantes, a auditoria interna pode determinar um plano apropriado para oferecer cobertura dos riscos e controles de big data. Ao fazê-lo, a auditoria interna tem a oportunidade de educar o conselho sobre as iniciativas de big data da organização, os riscos e desafios resultantes e as oportunidades e benefícios significantes. Normalmente, a auditoria interna faz a cobertura do big data por meio de múltiplas auditorias, versus uma única auditoria de big data.

Conforme os programas de big data são implementados, assim como em outros programas de grande escala, a auditoria interna deve considerar o envolvimento por meio de avaliações formais e/ou informais. Essas podem incluir projetos de consultoria, revisões pré ou pós-implementação e a devida participação em comitês de governança e de direção. Conforme observado na Norma 2130 – Controle, “a atividade de auditoria interna deve auxiliar a organização a manter controles eficazes a partir da avaliação de sua eficácia e eficiência e da promoção de melhorias contínuas”. Dessa forma, a auditoria interna deve avaliar os controles de processos e de tecnologias. A auditoria interna também deve ter foco significante em como os dados estão sendo consumidos e nas ações que a organização está realizando com base nos resultados obtidos pela análise de big data. Os auditores internos devem desempenhar um papel crítico nas iniciativas de big data da organização e esse papel pode ser adaptado ao longo do tempo, conforme as soluções são implementadas, amadurecem e evoluem (veja a Norma 2201 – Considerações Sobre o Planejamento).

Os auditores internos também podem alavancar soluções de big data em apoio aos seus esforços de análise de dados para projetos de auditoria. Porque a organização já adquiriu, consolidou e integrou os dados, a auditoria interna pode contar com uma eficiência significante ao consumir dados de um data warehouse ou data lake, em vez de recorrer a diversos sistemas fonte.

Os programas de auditoria de big data variarão entre organizações e usos. A governança do programa é um componente fundamental de programas de auditoria de big data. Os auditores internos devem verificar que os objetivos de um programa de big data estejam alinhados com a estratégia de negócio da organização. Adicionalmente, os auditores internos

devem conduzir testes para garantir que o programa de big data entregue valor e esteja totalmente apoiado pela liderança apropriada da organização. Embora a tecnologia específica e o nível do fornecedor variem entre organizações, os auditores internos devem garantir que a confidencialidade, integridade, disponibilidade e desempenho dos sistemas de big data estejam alinhados com os requisitos e necessidades de negócio da administração.

Como os sistemas de big data exigem amplas quantidades de dados para análise, os programas de auditoria devem incluir etapas de teste para garantir a qualidade, segurança e privacidade dos dados usados para análises, assim como os resultados das análises. Como



o big data consome dados de muitas fontes diferentes, para fornecer uma visão mais completa sobre um assunto, os programas de auditoria devem garantir razoável certeza de que os dados estejam protegidos de modificações não autorizadas e possam ser visualizados apenas por indivíduos autorizados. Programas de auditoria também devem testar os controles sobre a qualidade das entradas de dados no sistema, assim como a qualidade das saídas de dados e do reporte do sistema; esses esforços podem incluir oferecer uma cobertura significante de testes sobre a qualidade dos principais dados e reporte do sistema.

O Anexo D oferece uma amostra de programa de trabalho, para ajudar os auditores internos a iniciar uma revisão do big data em sua organização. Note que a lista de atividades de

revisão oferecida na amostra de programa de trabalho não é abrangente, já que os programas de trabalho devem ser personalizados para atender às necessidades específicas de cada organização.

Os sistemas de big data e materiais de referência mudam frequentemente. Portanto, a auditoria interna deve manter o foco em usar a orientação mais apropriada para o desenvolvimento e execução dos planos de auditoria e modelos de cobertura de big data em suas organizações.



Anexo A. Principais Normas do The IIA

As seleções a seguir das Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) são relevantes para o big data. É importante notar que as informações das Normas devem ser complementadas pelo respectivo Guia de Implantação de cada norma.

Norma 1210 – Proficiência

Os auditores internos devem possuir o conhecimento, as habilidades e outras competências necessárias ao desempenho de suas responsabilidades individuais. A atividade de auditoria interna deve possuir ou obter coletivamente o conhecimento, as habilidades e outras competências necessárias ao desempenho de suas responsabilidades.

Interpretação:

A proficiência é um termo coletivo que se refere ao conhecimento, às habilidades e a outras

competências requeridas dos auditores internos para que desempenhem eficazmente suas

responsabilidades profissionais. Ela engloba a consideração de atividades, tendências e questões

emergentes da atualidade, para permitir orientações e recomendações relevantes. Os auditores

internos são encorajados a demonstrar sua proficiência obtendo as certificações e qualificações

profissionais apropriadas, tais como o título de Certified Internal Auditor e outras certificações

promovidas pelo The Institute of Internal Auditors (IIA) e outras organizações profissionais

apropriadas.

1210.A3 – Os auditores internos devem possuir conhecimento suficiente sobre os principais riscos e controles de tecnologia da informação e sobre as técnicas de auditoria baseadas em tecnologia disponíveis para a execução dos trabalhos a eles designados. Entretanto, não se espera que todos os auditores internos possuam a especialização de um auditor interno cuja principal responsabilidade seja auditoria de tecnologia da informação.

Norma 2010 – Planejamento

O executivo chefe de auditoria deve estabelecer um plano baseado em riscos para determinar as prioridades da atividade de auditoria interna, de forma consistente com as metas da organização.

Interpretação:

Para desenvolver o plano com base em riscos, o executivo chefe de auditoria considera, primeiro, a

estrutura de gerenciamento de riscos e consulta a alta administração e o conselho, para então tirar

conclusões a partir da avaliação de riscos da auditoria interna. O executivo chefe de auditoria deve

revisar e ajustar o plano conforme necessário, em resposta às mudanças do negócio, riscos,

operações, programas, sistemas e controles da organização.

2010.A1 – O planejamento dos trabalhos da atividade de auditoria interna deve ser baseado em uma avaliação de riscos documentada, realizada pelo menos anualmente. As informações fornecidas pela alta administração e pelo conselho devem ser consideradas neste processo.



2010-A2 – O executivo chefe de auditoria deve identificar e considerar as expectativas da alta administração, do conselho e de outras partes interessadas, acerca dos pareceres e outras conclusões de auditoria interna.

2010.C1 – O executivo chefe de auditoria deveria se basear, ao considerar a aceitação de propostas de trabalhos de consultoria, no potencial destes trabalhos para aperfeiçoar o gerenciamento de riscos, adicionar valor e melhorar as operações da organização. Os trabalhos aceitos devem ser incluídos no planejamento.

Norma 2030 – Gerenciamento de Recursos

O executivo chefe de auditoria deve assegurar que os recursos de auditoria interna sejam apropriados, suficientes e eficazmente aplicados para o cumprimento do planejamento aprovado.

Interpretação:

Apropriado refere-se à combinação de conhecimentos, habilidades e outras competências

necessárias para executar o planejamento. Suficiente refere-se à quantidade de recursos necessários

para cumprir o planejamento. Os recursos são aplicados eficazmente quando são utilizados de forma

a otimizar o cumprimento do planejamento aprovado.

Norma 2100 – Natureza do Trabalho

A atividade de auditoria interna deve avaliar e contribuir para a melhoria dos processos de governança, gerenciamento de riscos e controles, utilizando uma abordagem sistemática, disciplinada e com base em riscos.

A credibilidade e o valor da auditoria interna são aumentados, quando os auditores são proativos e seus avaliadores oferecem novos conhecimentos (insights) e consideram o impacto futuro.

Norma 2110 – Governança

A atividade de auditoria interna deve avaliar e propor recomendações apropriadas para melhorar os processos de governança da organização para:

Tomar decisões estratégicas e operacionais. Supervisionar o gerenciamento de riscos e controles. Promover a ética e os valores apropriados dentro da organização.; Assegurar o gerenciamento eficaz do desempenho organizacional e a prestação de

contas.; Comunicar as informações relacionadas aos riscos e aos controles às áreas

apropriadas da organização; e Coordenar as atividades e a comunicação das informações entre o conselho, os

auditores externos e internos, outros prestadores de avaliação e a administração.

2110.A2 – A atividade de auditoria interna deve avaliar se a governança de tecnologia da informação da organização dá suporte às estratégias e objetivos da organização.



Norma 2130 – Controle

A atividade de auditoria interna deve auxiliar a organização a manter controles eficazes a partir da avaliação sua eficácia e eficiência e da promoção de melhorias contínuas.

Norma 2200 – Planejamento do Trabalho de Auditoria

Os auditores internos devem desenvolver e documentar um planejamento para cada trabalho de auditoria, incluindo os objetivos, o escopo, o prazo e a alocação de recursos do trabalho. O plano deve considerar as estratégias, objetivos e riscos da organização que sejam relevantes para o trabalho de auditoria.

Norma 2201 – Considerações sobre o Planejamento

No planejamento dos trabalhos de auditoria, os auditores internos devem considerar:

As estratégias e objetivos da atividade que está sendo revisada e os meios pelos quais a atividade controla seu desempenho.;

Os riscos significativos para os objetivos, recursos e operações da atividade e os meios pelos quais o impacto potencial dos riscos é mantido em um nível aceitável.;

A adequação e a eficácia dos processos de governança, gerenciamento de riscos e controles da atividade, comparativamente a uma estrutura ou modelo compatível; e

As oportunidades de realizar melhorias significativas nos processos de governança, gerenciamento de riscos e controles da atividade.

2201.C1 – Os auditores internos devem estabelecer um entendimento com os clientes dos trabalhos de consultoria quanto aos objetivos, ao escopo e às respectivas responsabilidades e a outras expectativas do cliente. Para trabalhos significativos, este entendimento deve ser documentado.

Norma 2210 – Objetivos do Trabalho de Auditoria

Os objetivos devem ser estabelecidos para cada trabalho de auditoria.

2210.A1 – Os auditores internos devem conduzir uma avaliação preliminar dos riscos relevantes para a atividade sob revisão. Os objetivos do trabalho de auditoria devem refletir os resultados desta avaliação.

2210.A2 – Os auditores internos devem considerar a probabilidade de erros significativos, fraudes, não conformidades e outras exposições ao desenvolver os objetivos do trabalho.

2210.C1 – Os objetivos dos trabalhos de consultoria devem abordar os processos de governança, gerenciamento de riscos e controles na extensão previamente acordada com o cliente.

2210.C2 – Os objetivos de trabalho de consultoria devem ser consistentes com os valores, estratégias e objetivos.



Norma 2220 – Escopo do Trabalho de Auditoria

O escopo estabelecido deve ser suficiente para alcançar os objetivos do trabalho de auditoria.

2220.A1 – O escopo do trabalho de auditoria deve incluir considerações sobre sistemas, registros, pessoal e propriedades físicas relevantes, incluindo aqueles sob o controle de terceiros.

Norma 2230 – Alocação de Recursos para o Trabalho de Auditoria

Os auditores internos devem determinar os recursos apropriados e suficientes para cumprir com os objetivos do trabalho de auditoria, baseado em uma avaliação da natureza e da complexidade de cada trabalho, das restrições de tempo e dos recursos disponíveis.

Interpretação:

Apropriado refere-se à combinação de conhecimentos, habilidades e outras competências

necessárias para desenvolver o trabalho de auditoria. Suficiente refere-se à quantidade de recursos

necessária para executar o trabalho com zelo profissional devido.

Norma 2240 – Programa de Trabalho de Auditoria

Os auditores internos devem desenvolver e documentar programas de trabalho que atendam os objetivos do trabalho.

Norma 2310 – Identificação das Informações

Os auditores internos devem identificar informações suficientes, confiáveis, relevantes e úteis para cumprir os objetivos do trabalho de auditoria.

Interpretação:

Informação suficiente é fatual, adequada e convincente de forma que uma pessoa prudente e

informada chegaria às mesmas conclusões que o auditor. Informação confiável é a melhor

informação possível de ser obtida através da utilização de técnicas de auditoria apropriadas.

Informação relevante dá suporte às observações e recomendações do trabalho de auditoria e é

consistente com os objetivos do trabalho de auditoria. Informação útil auxilia a organização a atingir

as suas metas.



Anexo B. Orientações Relacionadas

GTAG: Continuous Auditing: Coordinating Continuous Auditing and Monitoring to Provide

Continuous Assurance, 2ª Edição

GTAG: Assessing Cybersecurity Risk: Roles of the Three Lines of Defense

GTAG: Auditing Application Controls

GTAG: Change and Patch Management Controls: Critical for Organizational Success, 2ª

Edição

GTAG: Data Analysis Technologies

GTAG: Developing the IT Audit Plan

GTAG: Identity and Access Management

GTAG: Information Technology Outsourcing, 2ª Edição

GTAG: Information Technology Risk and Controls, 2ª Edição

Guia Prático: Auditing Privacy Risks, 2ª Edição



Anexo C. Glossário

Termos identificados com um asterisco (*) são retirados do “Glossário” do International Professional Practices Framework (IPPF) do The IIA, edição de 2017.

Adicionar Valor (Agregar Valor)* – A atividade de auditoria interna agrega valor à organização (e a suas partes interessadas), quando proporciona avaliação objetiva e relevante e contribui para a eficácia e eficiência dos processos de governança, gerenciamento de riscos e controles.

Ambiente de Controle* – Atitudes e ações do conselho e da administração, em relação à

importância dos controles dentro da organização. O ambiente de controle proporciona a disciplina e a estrutura para se atingirem os principais objetivos do sistema de controle interno. O ambiente de controle inclui os seguintes elementos:

Integridade e valores éticos. Filosofia e estilo operacional da administração. Estrutura organizacional. Atribuição de autoridade e responsabilidade. Políticas e práticas de recursos humanos. Competência do pessoal.

Análise preditiva – O processo de tentar prever o futuro com base nas análises de dados sobre eventos passados. O processo pode usar múltiplas técnicas para criar as previsões (ex., mineração de dados, estatísticas, modelagem e aprendizado de máquina).

Application programming interfaces (interfaces de programação de aplicações - APIs) – Um conjunto de rotinas, protocolos e ferramentas usado no desenvolvimento de softwares.

Authoritative data sources (fontes confiáveis de dados – ADS) – Fontes que ofereçam dados “oficiais” para outros sistemas.

Chief Audit Executive (Executivo chefe de auditoria – CAE)* – Executivo chefe de auditoria descreve a pessoa em uma posição de nível sênior, responsável pelo gerenciamento eficaz da atividade de auditoria interna, de acordo com o estatuto de auditoria interna e os elementos obrigatórios do International Professional Practices Framework. O

executivo chefe de auditoria, ou outros que reportem a ele, deve ter as certificações e qualificações apropriadas. O nome da posição específica e/ou papel do executivo chefe de auditoria pode variar de acordo com as organizações.

Chief Data Officer (Executivo chefe de dados – CDO) – Cargo de nível executivo responsável por governar e gerir os dados em toda a organização.

Conselho (Board)* – O mais alto nível de corpo diretivo da organização (p.ex.: um conselho de administração, conselho de supervisão ou um conselho de gestores ou curadores), encarregado da responsabilidade de dirigir e/ou supervisionar as atividades e responsabilizar



a alta administração. Embora características de governança variem entre jurisdições e setores, o conselho normalmente inclui membros que não fazem parte da administração. Se não existe conselho, a palavra “conselho” nas Normas se refere a um grupo ou pessoa encarregada da governança. Adicionalmente, “conselho”, nas Normas, pode se referir a um comitê ou outro órgão ao qual o órgão de governança tenha delegado certas funções (ex., um comitê de auditoria).

Controle* – Qualquer medida aplicada pela administração, conselho ou outras partes, para gerenciar os riscos e aumentar a probabilidade de que os objetivos e metas estabelecidos sejam alcançados. A administração planeja, organiza e dirige a execução de ações suficientes para prover razoável certeza de que os objetivos e metas sejam alcançados.

Critical data elements (elementos críticos de dados – CDEs) – Elementos de dados que sejam críticos para os usuários ou sistemas, para realização de cálculos ou condução de negócios.

Dados de streaming – Dados que são gerados continuamente por milhares de fontes de dados, que, normalmente, enviam os registros de dados simultaneamente.6

Dados estruturados – Historicamente, a maioria dos dados armazenados nas organizações era estruturada e mantida em bancos de dados relacionais — ou até bancos de dados legacy hierárquicos ou flat-file. Dados estruturados são organizados e permitem queries repetidas, já que muitos dos dados são mantidos em tabelas relacionais. São frequentemente mais fáceis de controlar do que dados não estruturados, devido à propriedade definida e às soluções de bancos de dados oferecidas pelos fornecedores.

Dados mestre – O conjunto de atributos usado para identificar e descrever dados.

Dados não estruturados – Esses dados, que estão crescendo e se tornando mais comuns nas organizações, não estão restritos às estruturas ou limitações tradicionais de dados. São tipicamente mais difíceis de gerir, devido à sua natureza evolutiva e imprevisível, e são normalmente obtidos de fontes de dados amplas e diversas, frequentemente externas. Consequentemente, novas soluções foram desenvolvidas para gerenciar e analisar esses dados.

Data loss prevention (prevenção de perda de dados – DLP) – O conjunto de controles em prática para garantir que os usuários não enviem informações críticas para fora da organização.

Dimensões de qualidade dos dados – O Enterprise Data Management Council definiu sete principais dimensões associadas à qualidade dos dados: integridade, cobertura, conformidade, consistência, precisão, duplicação e tempestividade.7

6 https://aws.amazon.com/streaming-data 7 http://www.edmcouncil.org/dataquality



Elementos de dados – A menor unidade de dados que transmite informações significantes (ex., nome, número da conta).

Escalabilidade – A habilidade de um sistema de modificar seu tamanho para acomodar mudanças na demanda de processamento.

Extract, load and transform (extrair, carregar e transformar – ELT) – O processo de mover dados do sistema fonte para um data warehouse. ELT refere-se à ordem em que os passos de preparação ocorrem: extração, carregamento e transformação. O ELT usa o sistema de destino para a transformação.

Extract, transform and load (extrair, transformar e carregar – ETL) – O processo de

mover dados do sistema fonte para um data warehouse. O ETL refere-se à ordem em que os passos de preparação ocorrem: extração, transformação e carregamento.

Fraude* – Quaisquer atos ilegais caracterizados por desonestidade, dissimulação ou quebra de confiança. Estes atos não implicam o uso de ameaça de violência ou de força física. As fraudes são perpetradas por partes e organizações, a fim de se obter dinheiro, propriedade ou serviços; para evitar pagamento ou perda de serviços; ou para garantir vantagem pessoal ou em negócios.

Gerenciamento de Riscos* – Processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer uma razoável certeza em relação ao cumprimento dos objetivos da organização.

Governança* – Combinação de processos e estruturas implantadas pelo conselho, para informar, dirigir, administrar e monitorar as atividades da organização, com o intuito de alcançar os seus objetivos.

Governança de dados – O exercício da autoridade, controle e tomada de decisão compartilhada (planejamento, monitoramento e aplicação) sobre a gestão dos ativos de dados. A governança de dados é o planejamento e o controle de alto nível sobre a gestão de dados.8 A governança de dados é necessária para melhor gerir os dados, mantendo sua qualidade e precisão.

Key performance indicators (indicadores principais de desempenho – KPIs) – Uma métrica que determina a qualidade do desempenho de um processo quanto a permitir que uma meta específica seja alcançada.

Linhagem dos dados – A visualização do processamento de dados end-to-end. A linhagem dos dados documenta informações sobre a origem dos dados, manipulação, cálculos, transformação e destino final.

8 The DAMA [Data Management Association International] Guide to the Data Management Body of Knowledge (DAMA-DMBOK), 1ª Edição, 2009, p. 4



Objetivos do Trabalho de Auditoria* – Declarações amplas desenvolvidas por auditores internos, que definem os objetivos pretendidos com os trabalhos de auditoria.

Opinião do Trabalho de Auditoria* – Classificação, conclusão e/ou outra descrição dos resultados de um trabalho de auditoria interna, relacionados aos aspectos contidos nos objetivos e no escopo do trabalho.

Prestador Externo de Serviços* – Uma pessoa ou empresa externa à organização, que tenha conhecimentos, habilidades e experiência especiais em uma disciplina em particular.

Programa de Trabalho de Auditoria* – Um documento que relaciona os procedimentos a serem seguidos durante um trabalho de auditoria, desenvolvido para cumprir o planejamento

do trabalho.

Proprietário dos dados – A pessoa ou entidade responsável por salvaguardar os dados, a classificação dos dados e por conceder ou negar acesso.

Radio frequency ID (RFID) – Dispositivos pequenos que contêm uma antena e usam campos eletromagnéticos para marcar e rastrear itens e transmitir informações para dispositivos capazes de ler seus sinais.

Risco* – A possibilidade de ocorrer um evento que venha a ter impacto no cumprimento dos objetivos. O risco é medido em termos de impacto e de probabilidade.

Service Level Agreement (acordo de nível de serviço – SLA) – Um acordo documentado entre um fornecedor de serviços ou produtos e a organização, que descreve os objetivos mínimos de desempenho, o mecanismo de mensuração de desempenho e as consequências do não atingimento das metas de desempenho.

Serviços de Avaliação (Assurance)* – Exame objetivo da evidência, com o propósito de fornecer para a organização uma avaliação independente sobre os processos de governança, gerenciamento de riscos e controles. Exemplos podem incluir trabalhos de auditoria financeira, de desempenho, de conformidade, de segurança de sistemas e de “due

diligence”.

Serviços de Consultoria* – Atividades de aconselhamento e serviços relacionados prestados ao cliente, cuja natureza e escopo são acordados com o cliente e se destinam a adicionar valor e aperfeiçoar os processos de governança, gerenciamento de riscos e

controles da organização, sem que o auditor interno assuma qualquer responsabilidade que seja da administração. Exemplos incluem orientação, assessoria, facilitação e treinamento.

System of record (sistema de registro – SOR) – A fonte confiável para um elemento de dados específico.



Anexo D. Planejando um Trabalho de Auditoria de Big Data

Para auditar ou prestar serviços de consultoria de sucesso em programas de big data, os auditores internos devem ter um entendimento dos riscos e desafios relacionados (veja a Norma 2200 – Planejamento do Trabalho de Auditoria e a Norma 2201 – Considerações Sobre o Planejamento). A severidade do risco variará entre organizações e dependerá da intenção estratégica e da aplicação operacional dessas iniciativas (veja a Norma 2210 – Objetivos do Trabalho de Auditoria e a Norma 2220 – Escopo do Trabalho de Auditoria). As seções a seguir oferecem detalhes adicionais sobre as principais áreas de risco, assim como exemplos de considerações de risco e controle para uso no desenvolvimento de um programa de trabalho de auditoria para big data (veja a Norma 2240 – Programa de Trabalho de Auditoria).

Riscos e Desafios do Big Data

Os potenciais benefícios de implementar um programa de big data vêm com riscos e desafios significantes. A auditoria interna deve ajudar a garantir que os riscos da organização sejam identificados, entendidos e apropriadamente abordados. Ao gerir os riscos de big data a níveis aceitáveis, a administração aumenta a probabilidade de atingir os objetivos de negócio planejados e de concretizar os potenciais benefícios do programa de big data.

Conforme descrito acima, as principais áreas de risco que impactam o big data são:

Governança do programa. Riscos de disponibilidade e desempenho da tecnologia. Segurança e privacidade. Qualidade, gestão e reporte dos dados.

Programas e ambientes de big data também devem estar sujeitos aos controles gerais de TI. (Veja o “GTAG: Information Technology Risks and Controls 2nd Edition” para mais informações sobre os riscos e desafios relativos aos controles gerais de TI.)

Planejamento do Trabalho

A Norma 2200 – Planejamento do Trabalho de Auditoria declara que, para cada trabalho, os auditores internos devem desenvolver e documentar um plano, incluindo os objetivos, o escopo, o prazo e a alocação de recursos do trabalho. Uma das coisas mais importantes que a auditoria interna precisa determinar ao planejar o trabalho de auditoria é se a organização tem uma estrutura de governança unificada e consistente em prática, incluindo políticas e procedimentos, a partir dos quais orientações claras e consistentes possam ser distribuídas para toda a organização. Um modelo sólido de governança oferecerá as políticas, processos e ferramentas necessárias para gerir consistentemente o ambiente e controlar os riscos relativos ao big data, o que é essencial para a proteção adequada das informações da organização. Embora múltiplas funções organizacionais possam ser proprietárias de parte da estratégia de big data, a chave para uma auditoria de big data de sucesso é identificar um



único grupo de partes interessadas principais, que possam oferecer as informações necessárias para minimizar a interrupção do negócio e para melhorar os recursos do negócio e de auditoria.

Objetivo do Trabalho

De acordo com a Norma 2210 – Objetivos do Trabalho de Auditoria, os auditores internos devem estabelecer objetivos para o trabalho de auditoria, para abordar os riscos relativos à atividade sob revisão. Uma avaliação de riscos deve ser conduzida para auxiliar na definição dos objetivos iniciais e identificar outras áreas significantes de preocupação.

O objetivo de auditoria para uma auditoria de big data pode ser definido de formas diferentes. Por exemplo, o objetivo pode ser definido como parte do plano anual de auditoria ou como resultado dos esforços de gerenciamento de riscos corporativos, descobertas antigas de auditoria, requisitos regulatórios ou necessidades específicas de avaliação do conselho ou comitê de auditoria.

Escopo do Trabalho e Alocação de Recursos

Procedimentos a ser conduzidos e o escopo (natureza, prazo e extensão) do trabalho de auditoria devem ser determinados após a identificação dos riscos. De acordo com a Norma 2220.A1, “o escopo do trabalho de auditoria deve incluir considerações sobre sistemas, registros, pessoal e propriedades físicas relevantes, incluindo aqueles sob o controle de terceiros”.

O trabalho de auditoria deve englobar a estratégia e a governança (incluindo políticas, normas e procedimentos), conscientização dos funcionários e treinamento. A auditoria interna deve determinar as habilidades necessárias para concluir o trabalho de auditoria e o número total de recursos necessários. A equipe de auditoria interna deve ter o nível apropriado de expertise, conhecimento e habilidades para conduzir com sucesso o trabalho de auditoria, ou devem ser utilizados recursos externos com as competências necessárias.

Pode ser difícil auditar um programa inteiro de big data. Em vez disso, o escopo do trabalho de auditoria pode ser definido por unidade de negócio, objetivo estratégico ou qualquer outro critério que seja significante para a organização.

Programa do Trabalho de Auditoria

De acordo com a Norma 2240.A1, “os programas de trabalho devem incluir os procedimentos para identificar, analisar, avaliar e documentar as informações durante o trabalho de auditoria”.

A seguir, está uma amostra de programa de trabalho para big data. Os auditores internos podem usar esta amostra como base para criar um programa de auditoria específico que atenda às necessidades de suas organizações.



Objetivo 1: Planejar e Definir Escopo da Auditoria

Atividades da Revisão Comentários

1.1 Definir os objetivos do trabalho. (Norma 2210)

Os objetivos de auditoria/avaliação são de alto nível e descrevem as metas gerais de auditoria.

1.2 Identificar e avaliar riscos. (Norma 2210.A1)

A avaliação de riscos é necessária para avaliar onde os auditores internos devem se concentrar.

1.2.1 Identificar os riscos do negócio associados com big data que sejam motivos de preocupação para os proprietários do negócio e principais partes interessadas.

1.2.2 Verificar que os riscos do negócio estejam alinhados com os riscos de TI considerados.

1.2.3 Avaliar o fator geral de risco da condução da revisão.

1.2.4 Com base na avaliação de riscos, identificar potenciais mudanças ao escopo.

1.2.5 Discutir os riscos com a administração e ajustar a avaliação de riscos.

1.2.6 Com base na avaliação de riscos, revisar o escopo.

1.3 Definir o escopo do trabalho. (Norma 2220)

A revisão deve ter escopo definido. O revisor deve entender a infraestrutura de big data, seus processos e aplicações, e o risco relativo para a organização.

1.3.1 Obter uma lista de documentos relativos ao big data que possam ajudar a definir o escopo. Por exemplo:

Lista de locais que usam big data.

Lista de usuários.

Lista de relatórios gerados usando big data.

Lista dos processos de negócio que dependem do big data para decisões estratégicas.

1.3.2 Determinar o escopo da revisão.

1.4 Definir o sucesso do trabalho.

Fatores de sucesso precisam ser identificados e acordados.

1.4.1 Identificar os drivers de uma auditoria de sucesso.

1.4.2 Comunicar os atributos de sucesso para o proprietário do processo ou parte interessada e obter concordância.



Objetivo 1: Planejar e Definir Escopo da Auditoria


1.5 Definir recursos necessários para conduzir o trabalho de auditoria. (Norma 2230)

Na maioria das organizações, os recursos de auditoria não estão disponíveis para todos os processos.

1.5.1 Determinar as habilidades de auditoria/avaliação necessárias para a revisão.

1.5.2 Estimar os recursos totais de auditoria/avaliação (horas) e cronograma (datas de início e fim) necessários para a revisão.

1.6 Definir os entregáveis. (Norma 2410)

Os entregáveis não estão limitados ao relatório final. A comunicação entre as equipes de auditoria/ avaliação e o proprietário do processo é essencial para o sucesso do trabalho.

1.6.1 Determinar os entregáveis parciais, incluindo descobertas iniciais, relatórios de status, relatórios preliminares, prazos para respostas ou reuniões e o relatório final.

1.7 Comunique o processo. (Norma 2201)

O processo de auditoria/avaliação deve ser claramente comunicado ao consumidor/cliente.

1.7.1 Conduzir uma conferência de abertura para:

Discutir o escopo e objetivos com as partes interessadas.

Obter documentos e recursos de segurança da informação necessários para conduzir a revisão com eficácia.

Comunicar cronogramas e entregáveis.

Objetivo 2: Identificar e Obter Documentos de Apoio (Norma 2310)


2.1 Revisar políticas e normas que governam o big data.

2.2 Revisar a documentação da infraestrutura de TI e identificar os sistemas que apoiam o big data.

2.3 Revisar os documentos de desenvolvimento do sistema.

2.4 Revisar o diagrama de interfaces e identificar os sistemas que compartilham dados com os sistemas de big data.

2.5 Revisar a lista de usuários internos e/ou externos.

2.6 Revisar contratos com prestadores de serviços.

2.7 Revisar SLAs.



Objetivo 2: Identificar e Obter Documentos de Apoio (Norma 2310)


2.8 Revisar métricas de desempenho e planos de correção.

2.9 Revisar o plano de recuperação após desastres e resultados dos testes.

2.10 Revisar o plano de continuidade do negócio e resultados dos testes.

Riscos da Governança do Programa

Para aplicar com sucesso um programa de big data, as organizações devem empregar e

governar apropriadamente as pessoas, processos e tecnologias necessárias. Sem a

governança adequada para o programa, a implementação do big data pode expor a

organização a riscos indevidos, da implementação fracassada e adoção limitada, até

questões de segurança e privacidade. As organizações também encaram dificuldades em

desenvolver métricas para mensurar o custo e valor dos programas de big data. A liderança

executiva pode escolher descontinuar o financiamento de um programa de big data, se o

valor do programa não puder ser demonstrado e comunicado adequadamente.

Encontrar indivíduos habilidosos e competentes para patrocinar, gerir e implementar um

programa de big data em um cenário tecnológico de alta evolução é um desafio que todas as

organizações encaram. O McKinsey Global Institute prevê que, em breve, haverá uma ampla

escassez de analistas de dados, assim como gerentes e analistas com a habilidade de

utilizar o big data para tomar decisões eficazes.9 Faculdades e universidades também estão

tendo dificuldade em manter seus currículos alinhados com as necessidades rapidamente

mutáveis dos negócios, de modo a criar um pipeline de recursos com conjuntos relevantes

de habilidades.

A evolução tecnológica dá maior ênfase às organizações, para que tomem a decisão correta

de desenvolver ou adquirir soluções e serviços de big data. As organizações que terceirizam

alguns ou todos os seus serviços de big data encaram os riscos adicionais da gestão de

fornecedores externos, segurança na nuvem e privacidade.

Mesmo com pessoas e tecnologias habilidosas em prática, as empresas precisam ter

processos suficientes de governança e gestão de dados para garantir que as diversas

dimensões de qualidade dos dados sejam adequadas para apoiar a tomada de decisão

organizacional. Os dados corporativos frequentemente existem em silos, o que aumenta a

9 http://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/big-data-the-next-frontier-for-innovation



complexidade de identificar e inventariar os mais importantes bancos de dados, elementos

de dados e linhagem dos dados.

Objetivo 3: Entender a Governança do Programa de Big Data

Objetivo de Controle Descrição

3.1 O financiamento deve ser adequado para apoiar as necessidades do negócio.

Modelo(s) de financiamento é(são) escolhido(s) para apoiar o desenvolvimento e implementação iniciais, atividades contínuas (ex., recursos sustentáveis de apoio à produção e manutenção tecnológica em todo o ciclo de vida) e projetos recomendados que resultem da implementação de um programa de big data.

3.2 Os objetivos do programa devem apoiar as iniciativas de estratégia organizacional.

Os objetivos do programa e o argumento de negócio estão alinhados com a estratégia e iniciativas da organização, para garantir que a análise de custo-benefício apoie a necessidade de estabelecer um programa de big data.

3.3 A administração deve receber métricas que demonstrem o atingimento das metas.

Métricas – quantitativas e qualitativas – são desenvolvidas, implementadas e monitoradas para demonstrar o valor do programa.

3.4 A organização deve estabelecer uma entidade de governança para gerir a estratégia de big data.

Há uma estrutura de governança interorganizacional para priorizar as atividades de big data (ex., ordem de integrações de sistema fonte, seleção de métricas, desenvolvimento de relatórios) para abordar as preocupações que surgem a partir das prioridades concorrentes.

3.5 Devem existir SLAs entre o negócio e TI, para descrever e mensurar as expectativas de desempenho.

SLAs são desenvolvidos e implementados para garantir que as expectativas do consumidor sejam proativamente geridas (ex., prazo da disponibilidade dos relatórios, frequência da atualização de dados, janelas de downtime).

3.6 Requisitos comerciais e técnicos devem ser documentados, analisados e aprovados.

Requisitos comerciais e técnicos são coletados e analisados para apoiar a decisão de desenvolver ou adquirir (ex., intervalo vs. nuvem) um ambiente de big data e apoiar a seleção final de um prestador de serviços de solução/tecnologia.

3.7 A gerência executiva deve desenvolver uma estratégia de big data que forneça soluções a toda a organização.

O programa de big data inclui todas as principais áreas organizacionais relevantes para limitar a duplicação de esforços e ambientes tecnológicos redundantes na empresa.

3.8 Antes da aprovação do argumento de negócio, a administração deve conduzir uma prova de conceito, para validar que o desenvolvimento

Um projeto piloto (com oportunidades conhecidas e sem complexidade significante) foi selecionado e áreas de prioridade são identificadas para “vitórias” que também apoiem a construção do programa.





dos sistemas esteja alinhado com as metas estratégicas.

3.9 Papéis e responsabilidades devem estar claros e bem definidos.

Um patrocinador executivo, que ofereça forte apoio no nível executivo e patrocínio para o programa de big data, foi identificado.

Os papéis e responsabilidades dos proprietários dos dados, administradores e especialistas (subject matter experts – SMEs) foram estabelecidos e definidos.

Uma matriz de definição de responsabilidade (RACI) foi documentada e mantida para os papéis e responsabilidades da governança de dados na organização.

3.10 A organização deve fornecer os recursos necessários para empregar e manter a estratégia de big data.

A organização identificou e financiou cargos críticos para apoiar o programa de big data e apresentou os talentos apropriados à organização, com as habilidades e experiência necessárias para tornar o programa bem-sucedido. A avaliação de habilidades é periodicamente refeita, em alinhamento com a mudança das necessidades da organização e da tecnologia em uso.

3.11 Devem ser usadas melhores práticas de gestão de fornecedores terceirizados, para gerir os fornecedores de big data.

Os contratos incluem provisões de segurança, disponibilidade, modelos de suporte, precificação, etc. O feedback de parceiros apropriados do jurídico e de controle é incorporado no acordo antes da execução.

Os acordos contratuais são monitorados no caso de fornecedores externos que hospedem e/ou acessem ambientes de big data. Esses contratos dão conta da escalabilidade dinâmica do ambiente, em apoio à maior ou menor demanda.

Os papéis e responsabilidades dos fornecedores são documentados e aprovados em um acordo de serviços mestre.

SLAs são documentados, aprovados e monitorados, para garantir que os terceiros cumpram com os níveis mínimos de desempenho. Penalidades adequadas estão definidas e são aplicadas quando esses SLAs não são seguidos. A administração tem rotinas de governança de fornecedores em prática, para avaliar e realizar ações formalmente quanto aos resultados dos SLAs.

Considerações de transição e desligamento são incluídas no acordo e na avaliação geral de soluções (ex., O que acontece com os dados quando o contrato terminar? Quanto tempo levará para transferir as métricas críticas para a organização?).





Por favor, consulte o “GTAG: Information Technology Outsourcing, 2nd Edition” para orientações adicionais sobre considerações de gerenciamento de riscos de fornecedores terceirizados.

3.12 A governança dos dados deve fazer parte da governança corporativa geral.

Políticas de gestão de dados e procedimentos relacionados (ex., propriedade, compartilhamento, privacidade e requisitos de retenção, etc.) estão definidos, documentados e compartilhados.

A organização identificou um CDO ou cargo equivalente com responsabilidade pela governança dos dados organizacionais.

Um inventário dos mais importantes bancos de dados, tabelas, elementos de dados e linhagem, além de outros metadados, é criado e mantido.

Normas de dados organizacionais são definidas e comunicadas a todos os funcionários relevantes, como parte dos requisitos anuais de treinamento.

Controles de qualidade dos dados são implementados para elementos de dados críticos, com a governança adequada em prática para garantir a correção das questões de dados identificadas.

Systems of record (SOR) e authoritative data sources (ADS) foram identificados e os dados estão devidamente reconciliados entre o SOR e o(s) data warehouse(s).

A equipe de gestão de dados organizacionais monitora e governa a conformidade do negócio com as políticas de governança e gestão de dados.

Riscos de Disponibilidade e Desempenho Tecnológico

Quando plataformas de big data não são escaláveis às rapidamente crescentes quantidades

de dados estruturados e não estruturados necessários para as análises, o desempenho pode

ser prejudicado e os resultados analíticos podem ser imprecisos ou intempestivos. Conforme

mais dados são extraídos e carregados em sistemas de big data, suposições de modelos

analíticos podem precisar ser revistas, para determinar se o modelo ou suas suposições

subjacentes ainda são precisas.

O desempenho e a disponibilidade de sistemas de big data tornam-se cada vez mais

importantes, conforme a dependência da organização em relação a esses sistemas aumenta

para as principais decisões executivas e processos de geração de receita. Sistemas de big



data não podem oferecer resultados analíticos quando os sistemas ou feeds de dados

relacionados estão indisponíveis. Isso pode afetar adversamente a tempestividade das

decisões administrativas, criar uma experiência de consumo negativa e/ou levar à perda de

receitas. Soluções de alta disponibilidade e/ou recuperação após desastres podem mitigar o

risco de downtime do sistema, mas têm maiores custos.

Programas de big data têm requisitos amplamente variáveis de armazenamento e retenção

de dados. Certos dados de streaming, por exemplo, podem nunca precisar ser salvos ou

protegidos por backup nos sistemas da organização, mas podem não ser recuperáveis se os

dados não forem processados e analisados imediatamente. Outras consequências de big

data, no entanto, podem precisar de dados históricos significantes para entender e revelar

padrões ou comportamentos ao longo de maiores períodos de tempo.

Data lakes, sejam internos à organização ou na nuvem, também trazem riscos significantes.

Data lakes representam uma consolidação de dados detalhados de diversos sistemas

organizacionais diferentes em uma localização centralizada, possivelmente servindo como

um único ponto de exposição de dados. Devido ao fato de que data lakes aceitam todos e

quaisquer dados em formato nativo, metadados bem definidos podem não existir. Esses

cenários podem levar a uma confusão sobre o verdadeiro system of record de dados

confiáveis para uso nas análises.

Políticas e procedimentos de backup, armazenamento e retenção devem ser compatíveis

com os requisitos de análise e o valor dos dados, para evitar perda de dados. Programas

como tarefas de backup e tarefas de análise de produção devem ser configurados para

enviar notificações automáticas tempestivas à equipe de suporte à produção sobre o sucesso

da tarefa, assim como falhas em tarefas em lote ou em tempo real. Não resolver rapidamente

as falhas de tarefas pode resultar na perda de dados e/ou resultados analíticos imprecisos, o

que é especialmente crítico para dados de streaming.

Configurações ineficazes de tecnologia podem resultar em uma experiência de consumo

negativa, disponibilidade reduzida do sistema e pior desempenho. Ferramentas de ETL/ELT

que não estejam configuradas devidamente podem resultar na perda de grandes volumes de

dados em plataformas de big data. A largura de banda da rede pode inibir a movimentação

de grandes quantidades de dados quando as configurações não estão otimizadas. Analisar

os impactos upstream e downstream dos upgrades e da manutenção das plataformas pode

ser desafiador, devido à rápida evolução da tecnologia de hardware e software do big data.



Objetivo 4: Entender os Riscos de Disponibilidade e Desempenho Tecnológico


4.1 Operações de TI devem ser estruturadas de forma que apoiem as expectativas de nível de serviço do big data.

Modelos de suporte à produção são definidos e acordados com os parceiros apropriados de negócio, para garantir o suporte adequado à organização (ex., se é necessário suporte 24x7; tempo de resposta a problemas ou perguntas do usuário final).

Soluções de alta disponibilidade e/ou recuperação após desastres são implementadas para sistemas de big data, para apoiar as necessidades de disponibilidade do sistema e minimizar o downtime no caso de interrupção.

Procedimentos estão em prática para a execução, monitoramento e recuperação de backups de dados para sistemas de big data.

Um processo documentado de suporte à produção está em prática, para monitorar tarefas em lote e em tempo real, alertar as pessoas apropriadas e acompanhar incidentes e problemas, desde a notificação até a resolução.

4.2 Políticas e procedimentos de ciclo de vida dos dados devem ser documentados e seguidos.

Requisitos e procedimentos de armazenamento e retenção de dados são documentados e estão em prática para garantir o armazenamento, retenção e destruição apropriados dos dados.

4.3 Sistemas de big data devem ser incluídos na estratégia de gestão de patches.

TI monitora e faz patches em aplicações e bancos de dados de big data, para garantir que se mantenham atualizados e tenham suporte dos fornecedores.

4.4 Sistemas de big data devem fazer parte da estratégia de manutenção.

Um processo documentado de upgrade e manutenção está em prática, para garantir que os ambientes de big data recebam upgrades e manutenção de acordo com as expectativas da empresa e com os acordos de suporte com o fornecedor.

4.5 Sistemas de big data devem ser adquiridos, desenvolvidos e/ou configurados em alinhamento com a complexidade e demandas documentadas no argumento de negócio.

De acordo com uma avaliação documentada, a organização emprega um ambiente ou solução com hardware e desempenho necessários para atender às necessidades da organização, com base no porte e complexidade das métricas antecipadas.

4.6 Sistemas e ferramentas de apoio devem ser configurados para fornecer notificações automáticas à equipe de suporte.

Ferramentas de ETL/ELT são configuradas para oferecer notificações automáticas de tarefas concluídas e falhas. TI examina as contagens dos registros e os totais de controle das tarefas concluídas para avaliar sua razoabilidade. TI resolve falhas nas





tarefas com razoável prontidão e documenta o motivo e resolução de cada falha.

4.7 Sistemas de big data devem fazer parte da estratégia de gestão de mudanças.

Conforme sistemas upstream e downstream são modificados, mudanças nos feeds de dados impactados são apropriadamente incorporadas ao projeto, para limitar quebras de dados e/ou questões no(s) ambiente(s) de big data.

Antes de upgrades/mudanças às tecnologias de big data, TI analisa o impacto sobre sistemas de interface upstream e downstream, para garantir a operação contínua dos sistemas de big data.

Requisitos de camadas de rede para transmissões de big data são documentados e analisados, para garantir que as métricas sejam transmitidas com sucesso entre diversos dispositivos.

4.8 Ferramentas de reporte devem ser configuradas para ser flexíveis, intuitivas e fáceis de usar; e devem ser oferecidos materiais de apoio para treinamento.

Ferramentas e tecnologias de reporte são adequadamente configuradas e integradas com o ambiente de big data, para apoiar as necessidades dos usuários finais. É oferecido treinamento suficiente sobre essas ferramentas de usuário final.

4.9 Sistemas de big data devem ser configurados para permitir flexibilidade e escalabilidade sem sacrificar o desempenho.

Sistemas de big data são desenvolvidos e implementados para permitir a escalabilidade, para garantir que os níveis necessários de transmissão, armazenamento, disponibilidade e desempenho sejam mantidos conforme o uso do sistema aumenta.

4.10 Testes periódicos de desempenho devem ser conduzidos e as fraquezas devem ser remediadas.

Testes de desempenho são conduzidos para métricas novas e modificadas, para garantir que os resultados sejam produzidos em prazos razoáveis e esperados.

4.11 O ciclo de vida dos sistemas de big data deve ser gerido apropriadamente.

A administração continua a reavaliar a solução, devido a mudanças na indústria, tecnologia e cenário externo, para manter serviços competitivos e de alto desempenho (ex., uma mudança recentemente recomendada na arquitetura pode melhorar drasticamente o desempenho com base em novos conhecimentos da indústria).

4.12 O modelo de análise de big data deve fazer parte da estratégia de manutenção.

A manutenção do modelo analítico é feita regularmente, para garantir precisão e confiabilidade contínuas das métricas de big data.





4.13 Controles gerais de TI devem ser avaliados periodicamente.

Por favor, consulte o “GTAG: Information Technology Risk and Controls 2nd Edition” para informações sobre controles de acesso, operações de TI, ciclos de vida de desenvolvimento do sistema (system development life cycle – SDLC) e considerações de gestão de mudança. Esses controles são críticos para o sucesso, sustentabilidade e segurança dos programas de big data.

Riscos de Segurança e Privacidade

A segurança e a privacidade são riscos que a maioria das pessoas pode facilmente identificar e entender. Uma pessoa ou organização pode obter insights incríveis sobre a vida de alguém, combinando informações pessoais com comentários e “likes” das redes sociais, avaliações públicas de produtos e serviços e o histórico de navegação na internet, capturado através de web cookies. As organizações encaram dificuldades em garantir que todos os dados coletados sejam usados para propósitos legítimos e que a organização esteja em conformidade com as leis e regulamentos. Os consumidores podem se sentir desconfortáveis com campanhas de marketing personalizadas, desenvolvidas com a análise de dados pessoais, mesmo quando os dados são usados para motivos comerciais válidos.

Adicionalmente, notícias sobre violações de dados no setor público e privado, que resultaram no roubo de dados pessoais, tornaram-se bem comuns e os custos associados ao fracasso da organização em proteger as informações pessoais de seus funcionários, consumidores e fornecedores estão crescendo constantemente. Sanções e multas de conformidade regulatória, que variam por localidade e jurisdição, podem resultar em prejuízos legais e financeiros significantes para a organização. Além disso, as organizações que vivenciam uma violação de dados podem sofrer danos significantes à sua marca e reputação, levando à redução das receitas e ao aumento dos custos.

As ameaças e vulnerabilidades associadas ao acesso inapropriado de insiders (ex., funcionários, consultores e fornecedores de big data) são frequentemente tão significantes

quanto aquelas associadas a ameaças externas, considerando o conhecimento e benefícios inerentes possuídos por esses grupos. Tais ações de insiders podem incluir o roubo de dados sensíveis e confidenciais, obtenção de segredos comerciais ou execução de ações inapropriadas com base em conhecimento interno. O conhecimento e insights obtidos através de sistemas de big data roubados para uso pessoal passam frequentemente sem detecção, porque as empresas concentram seus esforços de cibersegurança nas ameaças externas e podem ter controles inadequados para prevenir e detectar atividades de insiders. Acessos a contas devem ser estritamente limitados ao acesso necessário para conduzir as



responsabilidades profissionais do indivíduo e controles adicionais devem ser implementados para monitorar e detectar atividade suspeita.

Conforme os sistemas de big data se tornam mais complexos e poderosos e armazenam maiores volumes de dados diversos, torna-se mais desafiador garantir que todos os sistemas estejam apropriada e consistentemente seguros. A realização de patches ou configurações de segurança inadequados pode expor vulnerabilidades que podem ser exploradas para visualizar ou modificar dados sensíveis. Também podem ocorrer interrupções no sistema, resultando na indisponibilidade dos serviços ou perda de produtividade.

Por favor, consulte o Guia Prático do The IIA, “Auditing Privacy Risks, 2nd Edition”, para informações adicionais quanto a riscos e desafios de privacidade, visto que muitos deles são bem relevantes para programas e ambientes de big data. Adicionalmente, por favor, consulte o “GTAG: Assessing Cybersecurity Risk: Roles of the Three Lines of Defense” para riscos e considerações adicionais relacionados a segurança.

Objetivo 5: Entender a Segurança e a Privacidade do Big Data


5.1 A gerência de segurança da informação deve fazer parte da estratégia de big data.

Há um programa de cibersegurança dentro da organização, para combater ameaças internas e externas.

Uma forte configuração base de segurança é estabelecida, para garantir um ambiente operacional consistente e seguro para os sistemas de big data e sua infraestrutura.

Utilidades do sistema capazes de contornar o sistema operacional, a rede e controles de aplicação estão proibidas ou devidamente controladas.

O acesso e uso de ferramentas de auditoria são segmentados e restritos, para prevenir o comprometimento, uso indevido e/ou destruição de dados de log. Os dados de log são revisados, para

identificar atividades suspeitas.

Todos os serviços na nuvem utilizados pela organização são aprovados para uso e armazenamento dos dados da organização.

TI avalia a segurança dos prestadores relevantes de serviços, para abordar as preocupações quanto à infraestrutura compartilhada, sistemas hospedados externamente e acesso de fornecedores aos dados antes da implementação da solução de computação na nuvem ou de outro terceiro.

Processos de gestão de patches são documentados e implementados, para garantir que os sistemas sejam reparados, de maneira tempestiva, com os últimos patches aprovados (veja o





“GTAG: Change and Patch Management Controls: Critical for Organizational Success, 2nd Edition”).

Por favor, consulte o “GTAG: Assessing Cybersecurity Risk: Roles of the Three Lines of Defense” para informações adicionais sobre

riscos de cibersegurança e controles relacionados.

5.2 A gerência de segurança dos dados deve fazer parte da estratégia de big data.

Apenas usuários autorizados do negócio têm acesso aos dados e relatórios dos sistemas de big data. O acesso é alinhado às responsabilidades dos cargos e baseado no conceito de privilégios mínimos.

Apenas um pequeno grupo de usuários técnicos autorizados tem acesso privilegiado aos sistemas de big data, incluindo sistemas operacionais, bancos de dados e aplicações.

Ferramentas de reporte do usuário final estão apropriadamente configuradas, para garantir que apenas funcionários autorizados possam visualizar dados sensíveis.

Os direitos de acesso aos sistemas de big data são revisados periodicamente para garantir sua adequação.

5.3 O acesso de terceiros deve ser gerido apropriadamente.

Requisitos de segurança, contratuais e regulatórios para fornecedores são abordados antes de conceder acesso aos dados e sistemas de informação. A administração avalia a conformidade com essas provisões como parte das rotinas de governança de fornecedores.

Por favor, consulte o “GTAG: Identity and Access Management” para informações adicionais sobre controles de acesso, provisionamento, administração de segurança e aplicação.

5.4 A privacidade dos dados deve fazer parte da estratégia de big data.

Os dados são inventariados e classificados, para garantir que os dados críticos à organização, incluindo informações pessoais que exijam proteção, estejam devidamente salvaguardados.

Informações pessoalmente identificáveis e outros dados sensíveis são sanitizados ou embaralhados antes de serem replicados do ambiente de produção para o ambiente de desenvolvimento ou teste.

Um processo de resposta a incidentes foi documentado, aprovado e implementado, para garantir que violações de dados sejam devidamente abordadas.





Por favor, veja o Guia Prático do The IIA, “Auditing Privacy Risks, 2nd Edition” para informações sobre frameworks e princípios de privacidade para auditorias de privacidade.

Riscos de Qualidade, Gestão e Reporte de Dados

“Entra lixo, sai lixo” é uma frase comum no campo de TI. Significa que colocar os dados ruins em um sistema resultará na saída de dados ruins do sistema. Dados pobres ou questões de qualidade dos dados podem levar ao reporte impreciso da administração e à tomada de decisão equivocada. Os bancos de dados que não são desenvolvidos para garantir a integridade dos dados podem resultar em dados incompletos ou inválidos. As métricas que dependem de dados inválidos mais provavelmente levarão a resultados falhos. Portanto, a análise do big data deve levar em conta esses riscos de qualidade dos dados.

Adicionalmente, os dados que não são obtidos e analisados de forma tempestiva podem levar a resultados analíticos incorretos, decisões falhas de gestão ou perda de receitas. Dados obtidos de terceiros devem ser tempestivos, precisos, completos e de fontes confiáveis. Dados de terceiros que estejam em formato inapropriado podem não ser viáveis para análise e podem atrasar a tomada de decisão da administração.

Depois que os dados são recebidos e analisados, pode ser desafiador garantir que os usuários finais gerenciem e protejam os dados. A falta de controles de computação do usuário final pode levar a relatórios imprecisos e vazamentos de dados. Relatórios de produção do usuário final, relatórios ad hoc e resultados de análises preditivas devem ser revisados e aprovados, para limitar as decisões falhas de gestão. Relatórios de big data também devem aderir às políticas de classificação de dados da organização, para garantir que apenas os dados apropriados sejam compartilhados, tanto interna quanto externamente. Opções de relatórios e seus canais de distribuição podem ser apropriados apenas para dados de tamanhos e formatos específicos. As organizações podem encarar obstáculos ao determinar as opções de relatórios e canais apropriados para cada resultado analítico.

Objetivo 6: Entender a Qualidade, Gestão e Reporte do Big Data


6.1 Políticas e procedimentos devem ser estabelecidos para

Procedimentos são estabelecidos e documentados, para garantir que a qualidade dos dados organizacionais seja consistente com as normas organizacionais de dados.





garantir a qualidade dos dados.

Há processos para acordar formalmente quanto a systems of record para elementos críticos de dados, para apoiar a resolução consistente de diferenças de dados entre os sistemas.

Bancos de dados de big data são desenvolvidos e implementados para garantir a integridade dos dados, incluindo a reconciliação e monitoramento apropriados dos principais elementos de dados para sistemas fonte ou systems of record.

Há processos em prática para garantir o recebimento tempestivo de dados nos sistemas de big data e a entrega tempestiva das métricas aos consumidores do big data.

Para aplicações críticas de end-user-computing (EUC), a administração implementa medidas para preservar e proteger a integridade dos dados e dos cálculos que usaram os dados. Exemplos incluem controles de acesso, identificação de fórmulas, verificação dos totais, etc.

São estabelecidos e documentados requisitos para preparação das entradas de dados para aplicações e análises de big data.

Os dados estão disponíveis de maneira tempestiva, permitindo a pronta tomada de decisão, de acordo com os requisitos e necessidades do negócio.

6.2 Políticas e procedimentos devem ser estabelecidos para garantir que os dados obtidos de terceiros estejam em conformidade com as normas de qualidade dos dados.

Procedimentos são estabelecidos e documentados para garantir que os dados adquiridos de terceiros sejam precisos, completos e de fontes confiáveis.

6.3 Políticas e procedimentos devem ser estabelecidos para garantir a precisão do reporte.

São estabelecidos e documentados procedimentos para revisão e aprovação dos resultados de relatórios analíticos. Análises preditivas que embasem ações recebem maior foco e atenção.

6.4 O acesso aos relatórios deve ser concedido com base nas necessidades do negócio.

Elementos de reporte apropriados para consumo interno versus externo foram definidos e documentados. Os proprietários dos dados aprovaram o consumo desses relatórios e dados por indivíduos autorizados.

6.5 Ferramentas e procedimentos de reporte devem permitir flexibilidade e o reporte ad-hoc.

Há procedimentos para quando o reporte ad hoc é permitido, versus quando é permissível depender de relatórios aprovados de produção que não possam ser alterados sem passar por processos de gestão de mudanças e desenvolvimento de sistema.





6.6 Os usuários devem ser treinados periodicamente, para maximizar a utilidade dos relatórios.

Conforme os dados subjacentes e métodos de reporte são modificados, os usuários finais são treinados quanto às mudanças resultantes e impactos downstream sobre seus relatórios, sistemas de usuário final, etc.

6.7 A seleção dos fornecedores que oferecer produtos e serviços de reporte deve estar alinhada às necessidades do negócio.

Há um processo em prática para selecionar as opções/canais apropriados e preferidos de reporte (ex., Tableau®, Splunk®, Oracle® Business Intelligence Enterprise [OBIEE]) para resultados analíticos.



Contribuintes

Brian Allen, CISA, CISSP

Stephen Coates, CIA, CISA, CGAP

Brian Karp, CIA, CISA, CRISC

Hans-Peter Lerchner, CIA, CISA

Jacques Lourens, CIA, CISA, CGEIT, CRISC

Tim Penrose, CIA, CISA, CIPP

Sajay Rai, CISM, CISSP

O The IIA agradece ao Information Technology Guidance Committee (ITGC) por seu apoio

no desenvolvimento desta orientação.



Sobre o Instituto

The Institute of Internal Auditors (The IIA) é o mais reconhecido advogado, educador e fornecedor de normas,

orientações e certificações da profissão de auditoria interna. Fundado em 1941, o The IIA atende, atualmente, mais

de 190.000 membros de mais de 170 países e territórios. A sede global da associação fica em Lake Mary, na Flórida,

Estados Unidos. Para mais informações, visite www.globaliia.org.

Sobre as Orientações Suplementares

Orientações Suplementares fazem parte do International Professional Practices Framework (IPPF) do The IIA e

oferecem orientações adicionais recomendadas (não obrigatórias) para a condução de atividades de auditoria

interna. Embora apoiem as Normas, as Orientações Suplementares não têm o objetivo de relação direta com o

atingimento da conformidade com as Normas. Elas têm o objetivo de abordar tópicos específicos, assim como

questões específicas de determinados setores, e incluem processos e procedimentos detalhados. Esta orientação é

apoiada pelo The IIA, por meio de processos formais de revisão e aprovação.

Isenção de Responsabilidade

O The IIA publica este documento para fins informativos e educacionais. Este material não tem o objetivo de fornecer

respostas definitivas a específicas circunstâncias individuais e, portanto, tem o único propósito de servir de guia. O

The IIA recomenda que você sempre busque conselhos especializados independentes, relacionados diretamente a

qualquer situação específica. O The IIA não aceita qualquer responsabilidade pela confiança depositada unicamente

neste guia.

Copyright

Copyright ® 2017 The Institute of Internal Auditors, Inc. Todos os direitos reservados. Para permissão para

reproduzir, por favor, contate [email protected].

Abril de 2017

entendendo e auditando o big data - iia brasil · demográficos para determinar o preço correto e...

Documents