São Paulo/SP – 25 de novembro de 2022. Os principais objetivos das auditorias internas e externas são identificar possíveis riscos nos processos e garantir que sua gestão esteja contemplando as melhores práticas do mercado conforme a realidade de cada organização, sendo uma das melhores maneiras de monitorar sua maturidade.
*Por Juliana Nunes
A origem da auditoria vem da necessidade da comprovação dos dados financeiros de uma organização. Com o aumento do uso de tecnologia em diversas áreas, inclusive do financeiro, a prática de auditoria em controles de tecnologia da informação vem crescendo e na maioria das empresas, se tornando obrigatórias.
Os principais objetivos das auditorias internas e externas são identificar possíveis riscos nos processos e garantir que sua gestão esteja contemplando as melhores práticas do mercado conforme a realidade de cada organização, sendo uma das melhores maneiras de monitorar sua maturidade. Porém, apesar das auditorias internas e externas serem complementares, seus propósitos são diferentes.
INTERNA
Nas auditorias internas os processos e ambientes são avaliados por um auditor da própria organização ou por um prestador de serviço. Podem ser executadas com uma flexibilidade maior, entretanto é indicado que seja realizada anualmente, antes da auditoria externa.
O objetivo da avaliação na auditoria interna é educar tanto a alta direção quanto seus colaboradores sobre as possíveis melhorias que beneficiariam os processos e controles, trazendo uma melhor maturidade e prevenção dos riscos para a organização. Ademais, garante o cumprimento dos procedimentos, normas e políticas estabelecidas internamente. Portanto, o melhor momento para identificação de gaps e otimização da gestão dos processos é na auditoria interna, onde se tem uma visão ampla e clara do estado atual da segurança da informação na organização.
Para avaliar os processos e ambientes, o auditor realiza entrevistas com as principais áreas de negócio visando entender os processos e o negócio e valida o entendimento com base nas evidências. Também é possível realizar a avaliação de configurações e controles automatizados por meio da utilização de ferramentas específicas.
O relatório final será reportado internamente com intuito de iniciar a criação dos planos de ações para tratamento das melhorias identificadas, anteriormente do início da auditoria externa.
EXTERNA
Nas auditorias externas os processos e ambientes são avaliados por um profissional sem nenhum vínculo com a organização. Além de ser uma camada adicional de avaliação, são realizados para criar transparência da imagem pública da organização.
O objetivo da avaliação na auditoria externa é gerar confiabilidade e credibilidade aos relatórios que serão disponibilizados às partes interessadas da organização como clientes, investidores e fornecedores. Os auditores externos são independentes e possuem a responsabilidade de determinar e expor as não conformidades e os riscos dos controles e processos da organização após uma cuidadosa avaliação.
A avaliação dos processos e ambientes funciona da mesma maneira que a auditoria interna, por meio de entrevistas e evidências, as conclusões da auditoria são documentadas no relatório final que será reportado às partes interessadas tanto interno, quanto externo e os planos de ações devem ser criados para tratamento das falhas e melhorias encontradas.
CONSIDERAÇÕES FINAIS
Ao realizar auditorias periódicas no ambiente de tecnologia da informação, é possível manter um processo de melhoria contínua na organização, analisando criticamente os processos e controles, garantindo melhor maturidade na prevenção e tratamento de falhas de segurança, assim como na identificação de fatores que impactam o nível de desempenho da área de TI e da organização em sua totalidade. Ademais, possibilita que a organização se mantenha atualizada com as melhores práticas do mercado e regulamentos da segurança da informação que estão em constante evolução.
— Juliana Nunes é GRC and Information Security Senior Consultant | [SAFEWAY]
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
