São Paulo/SP – 07 de novembro de 2022. Os colaboradores que serão auditados têm um papel fundamental no processo da auditoria, pois seus procedimentos utilizados no dia a dia e conhecimentos sobre o negócio serão avaliados e julgados, tendo relação direta com o resultado da auditoria.
*Por João Victor Santos
Diante do momento em que vivemos, a responsabilidade e segurança sobre dados é de extrema importância e relevância. A busca por conformidade é alvo de desejo por muitas empresas. Os controles essenciais são implementados e para avaliá-los são realizadas as auditorias internas e externas, onde o comportamento e envolvimento dos auditados tem grande influência no resultado. Com isso, existem diversas boas práticas que devem ser seguidas e ações que devem ser evitadas para que se obtenha sucesso.
EXPLICANDO O QUE É AUDITORIA
A palavra “auditar” vem de julgar/ avaliar. Sua proposta está relacionada com uma listagem onde será avaliado se os controles e requisitos presentes em boas práticas, normas e até mesmo regulações estão mapeados e sendo executados de forma correta adequada. Uma auditoria contábil, por exemplo, tem por objetivo assegurar a exatidão dos registros contábeis e das demonstrações contábeis de determinada instituição. Enquanto uma auditoria de controles de TI ou auditoria baseada em uma norma como a ISO 27001 têm o objetivo de demonstrar o correto desenho e efetividade de controles que compõem o SGSI (Sistema de Gestão de Segurança da Informação)
TIPOS DE AUDITORIAS
Nas organizações normalmente são realizados três tipos de auditoria com aplicações e intuitos diferentes:
Auditoria Interna: é o conjunto de procedimentos para avaliação de controles internos de uma empresa, comprovando a qualidade dos registros e sua segurança. É uma atividade destinada a observar, indagar, questionar, checar e propor alterações e procedimentos. Trata-se da preparação para Auditoria Externa. Neste momento é um termômetro de como está o ambiente, se há Não Conformidades (NC) e/ou Oportunidades de Melhoria (OM).
Auditoria Externa: atividade exercida por uma empresa independente que credita determinada certificação e atesta o correto desenho e efetividade de controles. O objetivo deste tipo de auditoria é o alcance da certificação/recertificação do sistema de gestão da organização, bem como a asseguração de conformidade com requisitos presentes em Leis e regulações (ex. Lei Sarbanes Oxley). A empresa certificadora, irá analisar seu sistema de gestão para averiguar se ele cumpre com todos os requisitos solicitados pela norma a ser certificada.
A Auditoria Interna é uma aliada, que traz maturidade ao nosso ambiente. Devemos olhar para ela com bons olhos e enxergar ricas oportunidades de maior desenvolvimento em nossos processos, e como consequência, um melhor resultado nas Auditorias Externas.
Auditoria de Fornecedores: também chamada de auditoria de segunda parte, trata-se de avaliações realizadas presencialmente nos ambientes dos fornecedores. Seu intuito é assegurar que os fornecedores estão aptos e adequados para desenvolver suas atividades e operações requisitadas.
BOAS PRÁTICAS POR PARTE DO AUDITOR
O auditor é um dos principais pilares de uma auditoria, pois é papel deste realizar as avaliações e entregar os resultados julgados.
Como boas práticas, o auditor deve:
- Evitar conduzir os auditados ao erro;
- Realizar questionamentos mais abertos e não fechados, evitando respostas como sim e não;
- Sempre ser o mais claro possível e não esconder dos auditados quando uma NC (não conformidade) for constatada;
- Ser íntegro, realizando suas tarefas com honestidade, diligência, responsabilidade e imparcialidade;
- As evidências de auditoria devem ser verificáveis. Inferência e “achismo” não podem de forma alguma servir de base para se chegar a uma constatação de auditoria.
BOAS PRÁTICAS POR PARTE DOS AUDITADOS
Os colaboradores que serão auditados têm um papel fundamental no processo da auditoria, pois seus procedimentos utilizados no dia a dia e conhecimentos sobre o negócio serão avaliados e julgados, tendo relação direta com o resultado da auditoria.
Boas práticas que os auditados devem seguir incluem:
- Realizar estudos sobre os processos de negócio de sua área e requisitos da norma ou regulação;
- Não responder além do que foi questionado pelo auditor;
- Responder os questionamentos de forma tranquila e demonstrando segurança sobre o assunto abordado;
- Manter os documentos e evidências organizados para as solicitações durante a auditoria;
- Ser transparente, evitando esconder evidências, omitir informações ou enrolando para ganhar mais tempo;
- Ser aberto a sugestões de melhorias.
— João Victor Santos é Trainee de GRC na [SAFEWAY]
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
