Categories: noticias-corporativas

A importância da auditoria de terceiros e os desafios na gestão de risco

São Paulo/SP 2/2/2022 – O processo de gestão de riscos e compliance deve contemplar a companhia como um todo, contemplando todos os colaboradores e processos, inclusive terceiros.

O processo de gestão de riscos e compliance deve contemplar a companhia como um todo abrangendo todos os colaboradores e processos. Cada vez mais terceiros estão envolvidos com a cadeia de valor e isso implica em maiores desafios na gestão de riscos.

O processo de gestão de riscos e compliance deve contemplar a companhia como um todo abrangendo todos os colaboradores e processos. Atualmente, cada vez mais terceiros estão envolvidos com a cadeia de valor e isso implica em maiores desafios na gestão de riscos.

Algumas entidades regulamentadoras como BACEN (Banco Central do Brasil) solicitam que as companhias contratantes avaliem os riscos referentes aos terceiros que oferecem serviços considerados críticos para a companhia. Os resultados de tais análises devem ser reportados ao BACEN.

Outro aspecto que preocupa bastante a alta direção é o risco de vazamento de dados sensíveis. Por mais que a companhia tenha implementado uma série de controles, se o terceiro fizer uso de dados sensíveis coletados pela companhia, na prestação de serviços, e tais dados vazarem, a companhia responderá solidariamente perante a LGPD (Lei Geral de Proteção de Dados).

O processo de avaliação de riscos ou auditoria de terceiros pode utilizar como base uma série de frameworks internacionalmente aceitos, como ISO 27001, COBIT (Control Objectives for Information and related Technology), CIS (Center for Internet Security) ou outros mais específicos, como o Manual de Segurança do Pix, emitido pelo BACEN.

Não existe um framework único a ser utilizado para o processo de gestão de riscos de uma companhia. Em geral, cada empresa possui a sua metodologia de Análise de Riscos, adequada a sua realidade e contemplando diversos fatores como nicho de mercado a que pertence, leis e regulamentações específicas, sazonalidades entre outros. Funciona da mesma forma para a gestão de riscos de terceiros.

A execução do trabalho em si pode ser realizada de diversas formas. Uma alternativa é a realização da autoavaliação, onde a área de gestão de riscos elabora um questionário e envia para que o terceiro responda e ofereça evidências referentes aos controles implementados. Outra forma é realizar uma visita in loco, sendo possível entrevistar os gestores envolvidos com os controles e verificar a execução deles pessoalmente. Outro aspecto que se pode calibrar é o nível de escrutínio, ou seja, se apenas uma evidência por controle executado já é considerada suficiente ou se a avaliação buscará a análise da eficácia do controle em si, avaliando uma amostragem de evidências.

Os resultados desse trabalho são um índice de risco, que a depender da metodologia de gestão de riscos da companhia, pode ser aceitável ou não, podendo até mesmo ocorrer o rompimento do contrato com o terceiro avaliado, e o plano de ação acordado com o terceiro, a fim de aumentar a maturidade do ambiente de segurança da informação.

É importante ter em mente que a gestão não se esgota nesse ponto, é necessário manter contato constante com o terceiro a fim de saber a evolução da implantação do plano de ação. Nesse ponto pode também ser oferecido apoio na definição de controles e estabelecimento de melhores práticas de segurança da informação.

Por fim, é importante criar e manter um plano de auditoria, para revisitar os controles dos terceiros periodicamente, de acordo com a criticidade dos serviços prestados e o risco aferido.

Website: http://www.safewayconsultoria.com

Compartilhe
0
0
DINO Agência de Notícias Corporativas

Agência de notícias corporativas. Conteúdos publicados em rede de parceiros online. Na lista de parceiros estão grandes portais, como os casos do Terra, do Metrópoles e do iG. Agência Estado e Agência O Globo também fazem parte desse time, assim como mais de uma centena de sites e blogs espalhados país afora.

Recent Posts

Burjeel Holdings e Response Plus Medical lançam prêmio de US$ 1 milhão em saúde e bem-estar de energia humana

A Burjeel Holdings, líder em prover cuidados de saúde superespecializados na região do MENA, e…

21 horas ago

O Royalton Chic Barbados Entra para o Autograph Collection Portfolio do Marriott

ST. MICHAEL, Barbados, Nov. 05, 2024 (GLOBE NEWSWIRE) -- Durante o 2024 World Travel Market…

21 horas ago

ABPT realiza pesquisa sobre sedentarismo durante a BTFF

Levantamento vai avaliar o nível de atividade física e o índice de massa corporal dos…

21 horas ago

Brazil ISG avaliará serviços de inovação digital no Brasil

O relatório futuro da ISG Provider Lens™ estudará as capacidades dos serviços de transformação empresarial…

21 horas ago

Agronegócio Estrondo inicia plantio de braquiária ruziziensi

A expectativa é superar a colheita recorde de julho passado, de 1.000 kg por hectare,…

21 horas ago

Hidrelétricas ajudam na segurança energética do país

As mudanças climáticas desafiam a estabilidade hídrica e energética global. As hidrelétricas respondem por mais…

21 horas ago