Casa / Gestão de Risco / Uma Abordagem Colaborativa para Auditorias com Base em Risco

Uma Abordagem Colaborativa para Auditorias com Base em Risco

Auditorias com base em risco, muitas vezes usadas sob os cuidados de auditorias de TI, conformidade de TI, segurança de TI ou gestão de risco de TI, é um modelo relativamente recente no mundo da auditoria, de acordo com este post de blog escrito por Dr. Jack Freund. Através da partilha de uma breve revisão da história da auditoria de TI, desde os primórdios até a publicação do COBIT, Dr. Freund explica como as auditorias de TI têm sido formadas — e configuradas — pela Tecnologia da Informação no negócio e como ela tem sido usada para avaliar riscos.

O blog explica como uma função de gerenciamento de risco madura é capaz de informar os tomadores de decisão sobre a importância de suas conclusões (não apenas de suas conclusões isoladas). Isto significa que uma função de auditoria adequada deve, segundo o autor, identificar desvios de padrões e condições acordadas, identificar a frequência de desvios e identificar o quão importante os desvios são para a operação do sistema em geral. A maioria das organizações tenta uma abordagem “horizontal”, concentrada em áreas que correspondem a atividades de negócio de alto risco:

Esta abordagem pode ser benéfica à organização, pois substitui a prioridade de ação do auditor pela das empresas… No entanto, esta abordagem não melhorará a tomada de decisão na aplicação de normas as quais o negócio não concordou em aderir. Por exemplo, examinar rigorosamente uma organização pelo ISO/IEC 27001:2005 que não se comprometeu em segui-lo, não ajudaria a informar a gestão sobre a conformidade de sua organização com esse padrão. Um auditor ISO deveria pedir pela Declaração de Aplicabilidade ou evidência de compromisso da gestão e o resultado iria imediatamente interromper a auditoria. Como resultado, a lição principal é garantir que a melhor prática seja a de informar a decisão de quem está escrevendo as políticas e normas da organização, ou aqueles que têm a autoridade para comprometer uma organização a aderir a elas.

O artigo conclui enfatizando os objetivos das funções de gestão de risco e quais os benefícios que podem ser esperados. Para ler o artigo completo (em inglês), clique aqui: http://riskdr.com/2013/09/18/a-cooperative-model-for-security-audit-and-risk-a-collaborative-approach-to-risk-based-audits/

Sobre Matthew Kabik

Matthew Kabik is the former Editor of Computer Aid's Accelerating IT Success. He worked at Computer Aid, Inc. from 2008 to 2014 in the Harrisburg offices, where he was a copywriter, swordsman, social media consultant, and trainer before moving into editorial.

veja também

4 Razões Por Trás do Crescente Interesse em Risco de TI

Risco é o que Está Na Mesa Para Discussão Se todo mundo parece estar comentando sobre os riscos de TI, existe uma boa razão para isto. Na verdade, existem quatro, segundo John Wheller, da Gartner.com. A primeira, é falta de

Sorry, but this content
is for our subscribers only!

But subscribing to ACCELERATING IT SUCCESS is FREE and only one click away!
Join more than 40,000 IT Professionals and get the best IT management articles to your mailbox with Accelerating IT Success!

Unsubscribe at any time