Movimento Varejo

A importância da auditoria de terceiros e os desafios na gestão de risco

O processo de gestão de riscos e compliance deve contemplar a companhia como um todo, contemplando todos os colaboradores e processos, inclusive terceiros. Atualmente, cada vez mais terceiros estão envolvidos com a cadeia de valor e isso implica em maiores desafios na gestão de riscos.

Algumas entidades regulamentadoras como Bacen (Banco Central do Brasil) solicitam que as companhias contratantes avaliem os riscos referentes aos terceiros que oferecem serviços considerados críticos para a companhia. Os resultados de tais análises devem ser reportados ao Bacen.

Outro aspecto que preocupa bastante a alta direção é o risco de vazamento de dados sensíveis. Por mais que a companhia tenha implementado uma série de controles, se o terceiro fizer uso de dados sensíveis coletados pela companhia, na prestação de serviços, e tais dados vazarem, a companhia responderá solidariamente perante a LGPD (Lei Geral de Proteção de Dados).

O processo de avaliação de riscos ou auditoria de terceiros pode utilizar como base uma série de frameworks internacionalmente aceitos, como ISO 27001, COBIT (Control Objectives for Information and related Technology), CIS (Center for Internet Security) ou outros mais específicos, como o Manual de Segurança do Pix, emitido pelo BACEN.

Não existe um framework único a ser utilizado para o processo de gestão de riscos de uma companhia. Em geral, cada empresa possui a sua metodologia de Análise de Riscos, adequada a sua realidade e contemplando diversos fatores como nicho de mercado a que pertence, leis e regulamentações específicas, sazonalidades entre outros. Funciona da mesma forma para a gestão de riscos de terceiros.

A execução do trabalho em si pode ser realizada de diversas formas. Uma alternativa é a realização da autoavaliação, onde a área de gestão de riscos elabora um questionário e envia para que o terceiro responda e ofereça evidências referentes aos controles implementados. Outra forma é realizar uma visita in loco, sendo possível entrevistar os gestores envolvidos com os controles e verificar a execução deles pessoalmente. Outro aspecto que se pode calibrar é o nível de escrutínio, ou seja, se apenas uma evidência por controle executado já é considerada suficiente ou se a avaliação buscará a análise da eficácia do controle em si, avaliando uma amostragem de evidências.

Os resultados desse trabalho são um índice de risco, que a depender da metodologia de gestão de riscos da companhia, pode ser aceitável ou não, podendo até mesmo ocorrer o rompimento do contrato com o terceiro avaliado, e o plano de ação acordado com o terceiro, a fim de aumentar a maturidade do ambiente de segurança da informação.

É importante ter em mente que a gestão não se esgota nesse ponto, é necessário manter contato constante com o terceiro a fim de saber a evolução da implantação do plano de ação. Nesse ponto pode também ser oferecido apoio na definição de controles e estabelecimento de melhores práticas de segurança da informação.

Por fim, é importante criar e manter um plano de auditoria, para revisitar os controles dos terceiros periodicamente, de acordo com a criticidade dos serviços prestados e o risco aferido.

Fonte: Jornal Tribuna

Relacionadas
Movimento Varejo

Phygital transforma experiência do cliente e impacta vendas no varejo

Você sabia que 60% dos consumidores gostam de combinar a compra online com a compra física? O dado, divulgado pelo relatório O Amanhecer do Consumidor Phygital, da MindTree, traz à tona a importância da estratégia phygital no cenário comercial pós-pandemia e na implementação de ações que coloquem o consumidor como o centro do empreendedorismo.
Movimento Varejo

A relevância da tecnologia na precificação das vendas de supermercados on-line

Conhelça soluções capazes de monitorar em tempo real centenas de milhares de preços de diversos concorrentes, simultaneamente.
Movimento Varejo

Seminário na Cidade das Artes vai debater as tendências para o varejo

Evento, promovido pela ASSERJ, terá especialistas que vão falar sobre as inciativas que estão movimentando o setor de supermercados, food service e varejo em geral

Deixe um comentário

O seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.