Privacidade de Dados & Segurança da Informação | Como demonstrar a relevância da Auditoria Interna

Em uma era de regulações, padrões e certificações fica cada vez mais incorporado ao cotidiano do mundo corporativo o termo compliance, que visa estabelecer, manter e demonstrar transparência nos processos executados por uma organização.

Em Privacidade de Dados e Segurança da Informação isso é algo intrínseco á função, uma vez somos norteados por uma gama infinita de componentes que delimitam o quê, quem, como, quando, onde e as medidas devem ser tomadas, monitoradas e melhoradas.

Isso requer uma grande mobilização que envolve - principalmente - a Alta Direção, passando pelo nível tático e chegando até a operação propriamente dita.

Esta mobilização compreende uma série de ações que, dentre as mais importantes, prevê a realização de auditorias internas como parte do processo de excelência para a demonstração do que já fora estabelecido como programas de Privacidade de Dados e Segurança da Informação.

Para isso, o time dedicado a este tema deve ser organizado, capacitado, treinado e fortalecido para que possa elaborar e executar um evento que dê respostas quanto à maturidade das pessoas e da própria corporação em relação a uma ou mais regulações, dando a oportunidade de identificação e correção de problemas, seja de forma preventiva ou mesmo corretiva.

Os meios sobre como isso deve ser feito não podem jamais seguir uma única linha de pensamento, já que cada estrutura requer uma estratégia e todas as suas especificidades devem ser levadas em consideração.

Fatores como a independência e imparcialidade dos auditores internos (que podem ou não ser da equipe de Privacidade de Dados e Segurança da Informação - há organizações que possuem times específicos para isso, o que é uma excelente prática), compatibilidade com as regulações as quais a corporação está submetida (ou seja, a regra do jogo) e ética tanto da parte dos auditores quanto dos auditados devem ser inegociáveis.

Como organizar uma auditoria interna?

Isso requer um trabalho funcional (inerente à área, com conhecimento avançado) e logístico, uma vez que pessoas externas a esta estrutura serão envolvidas.

Para que isso seja viável é necessário que o devido peso seja dado a esta atividade e a primeira coisa a se definir é que não se trata de algo irrelevante e sem consequências, devendo ser levado a sério pelos envolvidos (principalmente pelos convocados) e que as seguintes premissas seja seguidas à risca:

• Disponibilidade: Ponto-chave, obviamente, mas aprofundando este tema, é muito comum que as agendas não batam, que as pessoas estejam ou resistentes ou indisponíveis e o time que organiza a auditoria deve ser firme quanto à realização dentro dos prazos previamente planejados e discutidos, sendo flexíveis na fase de planejamento mas rígidos ao entrar na execução
• Liderança: As pessoas convocadas devem estar nesta condição por algum critério que as façam referências no assunto, o que pede que elas tenham liderança sobre a área ou assunto a ser avaliado
• Prontidão: Os auditados devem apresentar-se de forma que consigam providenciar, de forma ágil e dentro da janela de auditoria definida, as respostas, evidências e o que for solicitado como forma de avaliação
• Conhecimento: É fundamental que os auditados conheçam do assunto, por mais que deleguem funções e tenham pessoas os auxiliando. Em uma auditoria, além dos controles, a aderência ao conhecimento dos processos exigidos também é um elemento a ser observado

Definido o público, deve-se comunicar quais são os critérios de avaliação, que podem ser baseados em regulações, frameworks ou qualquer meio que possibilite uma clara medição de resultados. Alguns dos itens mais utilizados para isso:

• GDPR
• LGPD
• ISO 27001
• ISO 27701
• NIST 800-60
• Políticas
• Comportamento Humano
• Conscientização

É importante também informar qual é o escopo da auditoria, pois na maioria dos casos não é possíveis abranger toda a organização por motivos de capacidade humana para tal e, desta forma, delimitar é necessário, podendo seguir as seguintes formas de realizar isso:

• Geografia
• Divisões Organizacionais
• Áreas Corporativas

O método de avaliação também deve ser comunicado com clareza e, dependendo da regulação utilizada como base, os seguintes métodos podem ser utilizados:

• Entrevistas
• Apresentação / Coleta de Evidências
• Testes / Reprodução de processos
• Walkthroughs

A agenda da auditoria, embora seja algo que envolva várias pessoas, deve seguir um padrão de razoabilidade que atenda, em primeiro lugar, ao cumprimento do processo regulatório, seguido das necessidades da organização, sendo (dentro da medida do possível e no momento adequado) compreensivo com as agendas dos envolvidos e jamais em função das necessidades e limitações do time de auditoria.

Comunicar toda a linha do tempo do que se espera do processo é mais uma oportunidade de demonstração de profissionalismo e transparência que o time de auditoria tem perante seu público e a Alta Direção. Um exemplo disso pode ser visto abaixo:

• [Data]: Reunião de abertura da auditoria interna
• [Datas]: Realização de entrevistas com os times selecionados
• [Data]: Disponibilização do relatório preliminar
• [Data]: Validação do relatório preliminar
• [Data]: Reunião de encerramento da auditoria interna
• [Data]: Disponibilização do relatório executivo
• [Datas]: Gerenciamento das não-conformidades e medidas corretivas junto aos times abordados

O que deve constar no Relatório Executivo de Auditoria Interna?

O relatório deve ser muito objetivo e focado na demonstração do que foi avaliado, o que foi identificado como conformidade e não-conformidade e, no caso desta última, detalhar o que deve ser feito. Uma boa prática para isso consiste em estabelecer os seguintes tópicos no documento:

• Base utilizada para avaliação (regulações, leis, normas, políticas, etc)
• Método de classificação dos riscos
• Escopo avaliado (geografia, áreas corporativas, etc)
• Controles e processos avaliados (detalhamento do primeiro item, mas com viés executivo)
• Método utilizado para identificação de conformidade e não-conformidade
• Equipe de auditoria
• Responsável pela auditoria
• Participantes convocados para a auditoria
• Linha do tempo da auditoria
• Conformidades (controles, áreas, responsáveis, observações relevantes)
• Não-Conformidades (controles, risco associado, prazo para resolução, áreas, responsáveis, plano de ação)

Como gerenciar as não-conformidades?

Uma vez disponibilizado o relatório de auditoria interna aos envolvidos, é função de cada um destes responsáveis tomar as medidas previamente alinhadas (plano de ação e prazo) de forma a proceder com o encerramento de cada não-conformidade.

O acompanhamento disso pode ser feito tanto pelo time de auditoria quanto pelos times de Privacidade de Dados e Segurança (caso não tenham sido estes os responsáveis pelo processo de avaliação), que também devem dar todo o suporte (sem interferir no resultado) para que as correções sejam devidamente efetuadas.

A forma como isso deve ser feito vai variar muito de organização para organização, mas normalmente são seguidos passos semelhantes a estes:

• Registro das não-conformidades em um sistema de gestão de modo que fique visível para quem tem a atribuição necessária
• Gerenciamento de prazos pelo time responsável pela auditoria
• Validação da execução do plano de ação e sua eficácia pelo time responsável pela auditoria
• Comunicação à Alta Direção sobre as ações tomadas e eventuais pendências e escalonamentos

Por que a auditoria interna é importante?

Ela nos dá a oportunidade de detectarmos, por mais maduro que um programa seja, falhas sem os vícios de quem olha para isso de dentro para fora, além de permitir que o risco de sermos pegos de surpresa por uma auditoria externa ou mesmo uma fiscalização seja sensivelmente diminuída.

Portanto, investir neste tema, embora seja trabalhoso e gere uma série de desconfortos, é algo que contribui para a conformidade e o aumento de maturidade de uma organização.