AUDITORIA TI E SEGURANÇA DA INFORMAÇÃO
Estruturação dos controles (políticas, processos e procedimentos) necessários para atender à Auditorias
Empresas com receita bruta anual acima de R$ 300.000,00 precisam contratar auditorias externas para auditar as demonstrações contábeis/financeiras dentro de suas organizações (lei 11.638/07).
Outras organizações podem contratar auditorias externas a fim de demonstrar a conformidade com as boas práticas de mercado.
A PDCA TI possui experiência em atender diversos clientes que passam por auditorias regulares dentro da área de Tecnologia da Informação / Segurança da Informação.
O ponto de destaque é que em 99% destas empresas, as demonstrações contábeis, balanço, apurações de impostos, folha de pagamento entre outros processos são executados por sistemas de informação (ERP, CRM, Banco de Dados, planilhas eletrônicas, entre outros), desta forma, a área de TIC torna-se um elo central para as auditorias externas verificaram os critérios de conformidade com as boas práticas.
A seguir, uma lista resumida das principais análises realizadas dentro do cenário de TIC e Segurança da Informação:
- Política de Segurança da Informação
- Planos de Continuidade de Negócio
- Processo de Gestão de Acessos (modus-operandi de criação de acessos, mudanças e bloqueios)
- Desenvolvimento Seguro
- Estrutura da Gestão de Mudanças e Gestão de Incidentes (como são realizadas as mudanças tecnológicas e sistêmicas dentro da organização e como os incidentes são tratados)
- Relatórios de Gestão dos Riscos de TI / Segurança da Informação
- Estrutura de backup
- Entre outros
Sua empresa está passando por auditoria externa dentro da área de TIC e Segurança da Informação?
Qual(is) atividade(s) a PDCA TI realiza em relação à Auditoria Externa?
A seguir, as principais atividades realizadas pela PDCA TI visando à adequação/conformidade da empresa frente à Auditoria Externa:
1. Entendimento do contexto
O primeiro passo consiste em analisar o tipo de auditoria externa, os controles solicitados (políticas, processos e procedimentos) e o grau de exigência/maturidade solicitada pela auditoria
2. Análise dos controles em conformidade e não conformidade
Com o escopo da auditoria externa em mãos, será possível analisar qual(is) controle(s) a empresa possui em conformidade e qual(is) controle(s) precisarão ser desenvolvidos.
Neste momento, é criado um plano de ação para a conformidade dos controles exigidos e/ou formalização dos controles com o status ‘não aplicável’
3. Acompanhamento da Auditoria Externa
Normalmente, a auditoria externa, envia a baseline de conformidade e, em um segundo momento, após ter o retorno da empresa, marca uma agenda (presencial e/ou remota) para ter um melhor entendimento dos controles respondidos, solicitar evidências e/ou explicar os controles não aceitos pela auditoria.
A PDCA TI pode participar tanto no retorno da baseline, quanto neste momento de conferência e direcionamento dos próximos passos
4. Desenvolvimento dos controles
Nesta última fase, é quando o projeto de adequação dos controles inicia-se, conforme o traçado no plano de ação.
As auditorias externas estruturam seus baseline de Tecnologia da Informação e Segurança da Informação, com base nas boas práticas de mercado, entre elas, ISO 27001; ISO 20000; ISO 22301; ITIL; COBIT; NIST.
A PDCA TI tem como foco, atuar diretamente e exclusivamente com as bosa práticas de mercado; portanto, podemos apoiar sua empresa em todo o ciclo da auditoria externa.
A PDCA TI pode auxiliar sua empresa na estruturação dos controles solicitados por auditoria externa e/ou interna. Entre em contato com a PDCA TI.