13 maio
2019

Privacidade de Dados e Segurança da Informação | Auditoria Interna

Já falamos sobre diversos tipos de auditoria (internas, externas, de cliente, de certificação) e, independente de sua natureza, todas devem seguir certos critérios e uma estrutura comum, visando o objetivo de testar a eficácia e a conformidade dos controles avaliados.

No caso de auditorias internas, é comum vermos dificuldades de aceitação e de engajamento do público, uma vez que os executores do processo são pessoas conhecidas, com relações pessoais e que podem levar a um certo descrédito e, consequentemente, os resultados comprometidos.

Uma auditoria que se preze deve levar em conta a cultura da organização, mas manter o distanciamento necessário para que a imparcialidade seja igualmente mantida.

Sua organização, planejamento, comunicação, foco, execução, alinhamento, reporte e suporte são fundamentais e devem ser feitos com precisão e assertividade pelos seus responsáveis.

Desta forma, para uma boa experiência, vamos detalhar estes quesitos:

  • Organização

Antes mesmo dos trabalhos serem iniciados, a organização da equipe quanto ao que deve ser gerado é o pilar inicial. Ter à mão os recursos (pessoas, processos, tecnologia, logística e outros), conhecimento (pessoas capazes de realizarem) e condições (disponibilidade e engajamento do público-alvo) para todo o processo está localizado nesta etapa dos trabalhos.

  • Planejamento

Uma vez definidos os recursos, conhecimentos e condições, devemos seguir para a fase de planejamento, que precisa ser simples, clara e eficaz.

É aqui onde toda a logística, alinhamentos e agendamentos, itens de suporte ao processo, ferramentas de trabalho e toda a visão de como o processo se dará é concretizado, tornando visível seu fluxo e seus entregáveis.

  • Comunicação

Tendo todo o planejamento realizado e as questões resolvidas, deve-se realizar a comunicação do processo, deixando claro o que é, para que serve (àquelas pessoas e à organização, e não à área que a executa), como será feito, quem será impactado e os próximos passos após sua finalização, de modo intuitivo e contínuo, e não institucional.

  • Foco

São as regras do jogo. Não se pode determinar uma auditoria sem delimitar o que será avaliado, pois devemos pender para a objetividade e não à subjetividade.

Um auditado conscientizado se sente respeitado e tende à colaborar de forma natural – O oposto gera revolta e resistência, levando a prejuízos.

  • Execução

De nada adianta um belo planejamento, uma excelente comunicação e foco definido sem que a execução não reflita tudo isso.

Portanto, atenção a esta parte do processo, pois aqui deve-se seguir o plano à risca, com excelência, com pessoas competentes e de modo que os auditados se sinta à vontade, porém, com distanciamento e imparcialidade pelos auditores.

  • Alinhamento

Realizada a auditoria em si, é de bom tom que seja alinhado, antes da divulgação final, os pontos identificados, evitando assim surpresas e eventuais mal-entendidos.

Porém, é uma linha muito tênue entre alinhar e ceder, onde os auditores devem manter-se firmes em sua posição (baseado no que a auditoria pede), não considerando pressões ou argumentos fracos para remoção de itens.

  • Reporte

A forma de relatar diz muito sobre uma auditoria, não sendo nada útil apenas divulgar os resultados, mas sim explicando cada etapa e como se chegou até aquela situação, sempre procurando por conformidades, e nunca por não-conformidades.

Porém, quando elas (as não-conformidades) existem, devemos justificá-las tal como um matemático explicando uma equação, garantindo a lisura e a transparência do processo, sem exageros e sem displicência.

  • Suporte

Após a divulgação dos resultados e demais informações, o time de auditoria deve manter-se ativo e disponível para suportar os impactados no entendimento dos problemas para que estes (e não os auditores) possam ser os agentes solucionadores.

  • Feedback

A experiência diz que também é de bom tom, após a finaliação de todo o ciclo, solicitar feedback aos participantes, com questões simples e que representem como (e se) o processo foi útil e também a avaliação de todos os quesitos colocados aqui (organização, planejamento, comunicação, foco, execução, alinhamento, reporte e suporte).

Com estas informações pode-se melhorar a forma de trabalho e atender de modo qualitativo à organização e às pessoas envolvidas.

Portanto, um bom processo de auditoria interna integra todos os quesitos e deixa claro à organização (às pessoas que fazem parte dela) que se trata de uma ferramenta de melhoria, e não um instrumento de caça às bruxas.

Fonte: Security Information News

1
Olá
Podemos te ajudar?
Powered by