Respeitamos a sua privacidade

Para otimizar a experiência durante a sua navegação em nosso site, fazemos uso de cookies. Ao continuar na nossa plataforma, consideramos que você esteja de acordo com nossa política de cookies. Política de Privacidade.

Customize Consent Preferences

We use cookies to help you navigate efficiently and perform certain functions. You will find detailed information about all cookies under each consent category below.

The cookies that are categorized as "Necessary" are stored on your browser as they are essential for enabling the basic functionalities of the site. ... 

Always Active

Necessary cookies are required to enable the basic features of this site, such as providing secure log-in or adjusting your consent preferences. These cookies do not store any personally identifiable data.

No cookies to display.

Functional cookies help perform certain functionalities like sharing the content of the website on social media platforms, collecting feedback, and other third-party features.

No cookies to display.

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics such as the number of visitors, bounce rate, traffic source, etc.

No cookies to display.

Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.

No cookies to display.

Advertisement cookies are used to provide visitors with customized advertisements based on the pages you visited previously and to analyze the effectiveness of the ad campaigns.

No cookies to display.

A importância da auditoria de terceiros e os desafios na gestão de risco

By
107

São Paulo/SP 2/2/2022 – O processo de gestão de riscos e compliance deve contemplar a companhia como um todo, contemplando todos os colaboradores e processos, inclusive terceiros.

O processo de gestão de riscos e compliance deve contemplar a companhia como um todo abrangendo todos os colaboradores e processos. Cada vez mais terceiros estão envolvidos com a cadeia de valor e isso implica em maiores desafios na gestão de riscos.

O processo de gestão de riscos e compliance deve contemplar a companhia como um todo abrangendo todos os colaboradores e processos. Atualmente, cada vez mais terceiros estão envolvidos com a cadeia de valor e isso implica em maiores desafios na gestão de riscos.

Algumas entidades regulamentadoras como BACEN (Banco Central do Brasil) solicitam que as companhias contratantes avaliem os riscos referentes aos terceiros que oferecem serviços considerados críticos para a companhia. Os resultados de tais análises devem ser reportados ao BACEN.

Outro aspecto que preocupa bastante a alta direção é o risco de vazamento de dados sensíveis. Por mais que a companhia tenha implementado uma série de controles, se o terceiro fizer uso de dados sensíveis coletados pela companhia, na prestação de serviços, e tais dados vazarem, a companhia responderá solidariamente perante a LGPD (Lei Geral de Proteção de Dados).

O processo de avaliação de riscos ou auditoria de terceiros pode utilizar como base uma série de frameworks internacionalmente aceitos, como ISO 27001, COBIT (Control Objectives for Information and related Technology), CIS (Center for Internet Security) ou outros mais específicos, como o Manual de Segurança do Pix, emitido pelo BACEN.

Não existe um framework único a ser utilizado para o processo de gestão de riscos de uma companhia. Em geral, cada empresa possui a sua metodologia de Análise de Riscos, adequada a sua realidade e contemplando diversos fatores como nicho de mercado a que pertence, leis e regulamentações específicas, sazonalidades entre outros. Funciona da mesma forma para a gestão de riscos de terceiros.

A execução do trabalho em si pode ser realizada de diversas formas. Uma alternativa é a realização da autoavaliação, onde a área de gestão de riscos elabora um questionário e envia para que o terceiro responda e ofereça evidências referentes aos controles implementados. Outra forma é realizar uma visita in loco, sendo possível entrevistar os gestores envolvidos com os controles e verificar a execução deles pessoalmente. Outro aspecto que se pode calibrar é o nível de escrutínio, ou seja, se apenas uma evidência por controle executado já é considerada suficiente ou se a avaliação buscará a análise da eficácia do controle em si, avaliando uma amostragem de evidências.

Os resultados desse trabalho são um índice de risco, que a depender da metodologia de gestão de riscos da companhia, pode ser aceitável ou não, podendo até mesmo ocorrer o rompimento do contrato com o terceiro avaliado, e o plano de ação acordado com o terceiro, a fim de aumentar a maturidade do ambiente de segurança da informação.

É importante ter em mente que a gestão não se esgota nesse ponto, é necessário manter contato constante com o terceiro a fim de saber a evolução da implantação do plano de ação. Nesse ponto pode também ser oferecido apoio na definição de controles e estabelecimento de melhores práticas de segurança da informação.

Por fim, é importante criar e manter um plano de auditoria, para revisitar os controles dos terceiros periodicamente, de acordo com a criticidade dos serviços prestados e o risco aferido.

Website: http://www.safewayconsultoria.com

você pode gostar também Mais do autor

Deixe uma resposta

Seu endereço de email não será publicado.

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.