O mundo em que vivemos encontra-se em constante mudança. Os objetivos e metas que os serviços financeiros se propõem atingir são cada vez mais desafiantes e isso reflete-se nas estratégias desenhadas, transpostas para uma acelerada implementação de programas de transformação digital. As entidades de supervisão estão, igualmente, cada vez mais atentas às transformações do risco, acompanhando assim esta tendência de evolução e modernização através da emissão de nova regulação para o setor.
À medida que as organizações de serviços financeiros reconhecem a necessidade de responder às rápidas mudanças tecnológicas e do negócio, adotam metodologias de trabalho que viabilizam e incrementam a sua capacidade de resposta às exigências internas e externas.
A adoção de metodologias Agile / DevOps representa uma mudança cultural e organizacional significativa em relação ao ciclo de vida do desenvolvimento de software tradicional (waterfall). Ao adotar princípios Agile pode acelerar-se a entrega de soluções através da colaboração de áreas de negócio e IT, reduzindo ineficiências de equipas em silo. Metodologias DevOps devidamente implementadas podem resultar numa melhoria geral da segurança e prevenção de fraude, redução de incidentes em produção, aceleração de patches e correções de segurança que surgem num cenário de cybersecurity cada vez mais desafiante, automatização da segregação de funções e responsabilização, possibilidade de entregas mais pequenas em vez de uma única entrega big-bang e, uma capacidade de resposta mais tempestiva para o negócio associada a eficiências operacionais dada a repetição e a automação do processo, com elevado nível de rastreabilidade e adjacente redução do tempo consumido na produção de evidências de controlo.
Muito embora estas metodologias possam apresentar uma mudança significativa, os princípios chave do desenho e implementação de controlos para mitigar os riscos inerentes, mantêm a sua pertinência. Como tal, as organizações devem conhecer o seu apetite ao risco e o impacto que qualquer alteração pode ter na sua exposição ao risco. Os controlos dos processos de DevOps podem parecer substancialmente diferentes dos controlos tradicionais, mas devem endereçar os mesmos riscos inerentes.
A implementação de novas metodologias de abordagem ou a introdução de tecnologias emergentes, exige a preparação e adaptação das equipas de Auditoria Interna. Esta adaptação traduz-se em novas abordagens de auditoria, nomeadamente ao alavancar nos dados disponibilizados pela automação DevOps para implementar auditorias continuas, como complemento às auditorias periódicas. As auditorias periódicas, por sua vez, poderão considerar programas de auditoria mais abrangentes cujo âmbito inclua, por exemplo: Formalização de políticas e procedimentos, Inventários e Gestão de Ativos, ferramentas de Application Performance Management, ferramentas de Access and activity logging, ferramentas de Automated software scanning, ferramentas de Automated vulnerability scanning, ferramentas de Software dependency management, entre outros.
Ao aplicar ferramentas e princípios de DevOps para substituir controlos tradicionais por controlos integrados e automatizados, Auditoria Interna pode, não só continuar a cumprir as exigências da Função e do Setor, como também fazê-lo de forma mais sólida, eficiente e compatível com os processos flexíveis de DevOps.
