“Ao estabelecer o plano anual de auditoria interna, é necessária uma integração efetiva com as áreas de negócio, a área de TI e outras partes interessadas, a fim de manter um ambiente eficaz e resiliente em termos de tecnologia da informação”, ressalta Maikon Silva, gerente sênior de IT Risk da Grant Thornton Brasil.
A auditoria interna tem interações regulares entre as unidades de negócios e departamentos, portanto, “um dos benefícios dos departamentos de auditoria interna é que eles tendem a ser os olhos e os ouvidos das organizações”, disse Chris Saracco, diretor de consultoria de riscos de TI da Grant Thornton EUA. Por essa razão, a auditoria interna precisa estar ciente das ameaças do ambiente de tecnologia da informação (TI), incluindo as referente à segurança cibernética.
A auditoria interna deve ser capaz de conduzir avaliações de governança de dados, infraestrutura em nuvem e avaliações de riscos cibernéticos, incluindo resposta a ataques de ransomware.
As organizações devem estar conscientizadas e preparadas para conduzir um plano sólido de Auditoria Interna de TI, com a capacidade de executar esse plano, mensurar sua eficácia e comunicar suas deficiências.
Desenvolva as habilidades certas
A sua organização deve ser capaz ter as habilidades necessárias para criar, executar, mensurar e comunicar um plano de auditoria interna de TI. A organização precisa de especialistas que possam desempenhar o papel conectando os temas de tecnologia e à uma auditoria interna.
Em um webinar recente da Grant Thornton, os entrevistados indicaram que a escassez de profissionais geralmente limita sua capacidade de conduzir auditorias internas mais específicas em TI, além da revisão regular dos controles gerais de TI.
![]()
Uma auditoria pode encontrar soluções e sistemas que envolvem inteligência artificial, realidade virtual, modelos de gêmeos digitais (“digital twin”) e outras tecnologias que tratam os dados da organização.
Ao mesmo tempo, a auditoria interna deve fazer mais do que desenvolver suas habilidades tecnológicas — ela precisa de pessoas que entendam como aplicar esses conhecimentos. “Estamos descobrindo que as organizações estão tentando contratar pessoas com mais conhecimento técnico, mas elas podem não ter experiência suficiente em auditoria”, disse Scott Peyton, líder da prática de TI e segurança cibernética da Grant Thornton EUA.
Os participantes da pesquisa do webinar indicaram que a dificuldade de recrutar e reter pessoas com as habilidades adequadas é um dos maiores desafios para as auditorias de TI. Conhecimentos tecnológicos insuficientes dentro de um departamento de auditoria interna, combinadas com métodos ou abordagens ineficientes ou ultrapassados, podem dificultar o enfrentamento e a adaptação das organizações, face ao cenário em constante mudança das ameaças à segurança cibernética.
![]()
Para ajudar a superar esses desafios, “os profissionais precisam ser resilientes e, com o patrocínio do comitê de auditoria e a liderança executiva, ter uma abordagem proativa de planejamento, capacitação e treinamento contínuo”, complementa Maikon Silva, gerente sênior de IT Risk da Grant Thornton Brasil.
5 passos para integrar Auditoria Interna de TI
Cinco etapas importantes podem ajudar a sua organização a implementar a integração das áreas operacionais com a TI com sucesso:
1. Adote uma abordagem abrangente e aproveite os standards/frameworks existentes
2. Aproveite as auditorias de TI e identifique a interdependência dos sistemas para garantir uma cobertura adequada
3. Complemente a auditoria interna com conhecimento técnico necessário
4. Treine a equipe para garantir que eles sigam os standards de auditoria
5. Adote uma postura consultiva através de trabalhos específicos de revisões
Essas etapas refletem uma interação contínua entre a Auditoria Interna e toda a organização, compartilhando conhecimentos e recursos que beneficiam todos os envolvidos.
O objetivo é estabelecer um plano regular de auditoria interna de segurança cibernética que se alinhe com seu programa e estratégia de proteção, defesa, governança de dados, privacidade de dados, governança em nuvem e outras auditorias especializadas. Esse tipo de plano abrangente e estruturado pode ser bem-sucedido através de uma abordagem equilibrada.
“O plano deve manter um equilíbrio entre as operações de negócios, TI e interdependência de segurança cibernética que forneça valor máximo para as partes interessadas e a liderança executiva”, disse Vikrant Rai, diretor da prática de segurança cibernética da Grant Thornton.
Para ajudar a manter esse valor ao longo do tempo, as organizações precisam assegurar uma governança eficaz e controles abrangentes à medida que o plano é executado.
Governança eficaz para proteger dados
As organizações devem estabelecer uma governança eficaz para proteger seus dados ao longo do tempo. “Uma auditoria interna pode desempenhar um papel incrivelmente importante na governança de dados, certificando-se de que a governança de dados esteja sendo aplicada e operando de forma efetiva”, disse Matt Cassidy, diretor da Grant Thornton Advisory Services.
Um plano completo de governança de dados tem por objetivo coletar, organizar e proteger as informações da organização. Em última análise, ele pode ajudar a organização a usar as informações de maneira eficaz para fortalecer e alavancar os negócios. O plano deve seguir os regulamentos aplicáveis, ter diretrizes claras e evitar redundância.
A governança de dados e a nuvem devem ser entendidas no contexto das necessidades e do ambiente de sua organização. Uma auditoria interna de TI pode ajudar sua organização a avaliar sua estratégia do ambiente em nuvem, entender sua arquitetura, identificar áreas de melhoria e auxiliar na construção do relacionamento com os seus prestadores de serviços. É essencial que este relacionamento seja forte, incluindo uma comunicação clara, concisa e transparente. Ambos os lados precisam entender suas funções e responsabilidades, quem é o proprietário dos dados e quem é responsável se houver qualquer tipo de violação ou corrupção dos dados, considerando as regulamentações vigentes.
Estruturas abrangentes
Pode ser um desafio considerar todos os domínios e recursos que sua auditoria interna de TI precisa avaliar. Muitos dos entrevistados indicaram que não têm certeza se suas auditorias abrangem todos os domínios e recursos necessários — e alguns dos entrevistados não possuem esta convicção.
![]()
Para que o departamento de auditoria interna seja os olhos e ouvidos da organização, ele precisa de um plano abrangente para enfrentar os desafios tecnológicos, com a capacidade de executar o plano com métricas claras para monitorar e reportar a sua eficácia.
Autores/Colaboradores: Maikon Silva, especialista em IT Risk
Como a Grant Thornton Brasil pode ajudar a sua empresa?
Conte com os nossos especialistas de auditoria, gestão de riscos, e cybersecurity para avaliar as necessidades específicas do seu negócio e orientar sobre as soluções mais adequadas.
