Casa / Gestão de Risco / Uma Abordagem Colaborativa para Auditorias com Base em Risco

Uma Abordagem Colaborativa para Auditorias com Base em Risco

Auditorias com base em risco, muitas vezes usadas sob os cuidados de auditorias de TI, conformidade de TI, segurança de TI ou gestão de risco de TI, é um modelo relativamente recente no mundo da auditoria, de acordo com este post de blog escrito por Dr. Jack Freund. Através da partilha de uma breve revisão da história da auditoria de TI, desde os primórdios até a publicação do COBIT, Dr. Freund explica como as auditorias de TI têm sido formadas — e configuradas — pela Tecnologia da Informação no negócio e como ela tem sido usada para avaliar riscos.

O blog explica como uma função de gerenciamento de risco madura é capaz de informar os tomadores de decisão sobre a importância de suas conclusões (não apenas de suas conclusões isoladas). Isto significa que uma função de auditoria adequada deve, segundo o autor, identificar desvios de padrões e condições acordadas, identificar a frequência de desvios e identificar o quão importante os desvios são para a operação do sistema em geral. A maioria das organizações tenta uma abordagem “horizontal”, concentrada em áreas que correspondem a atividades de negócio de alto risco:

Esta abordagem pode ser benéfica à organização, pois substitui a prioridade de ação do auditor pela das empresas… No entanto, esta abordagem não melhorará a tomada de decisão na aplicação de normas as quais o negócio não concordou em aderir. Por exemplo, examinar rigorosamente uma organização pelo ISO/IEC 27001:2005 que não se comprometeu em segui-lo, não ajudaria a informar a gestão sobre a conformidade de sua organização com esse padrão. Um auditor ISO deveria pedir pela Declaração de Aplicabilidade ou evidência de compromisso da gestão e o resultado iria imediatamente interromper a auditoria. Como resultado, a lição principal é garantir que a melhor prática seja a de informar a decisão de quem está escrevendo as políticas e normas da organização, ou aqueles que têm a autoridade para comprometer uma organização a aderir a elas.

O artigo conclui enfatizando os objetivos das funções de gestão de risco e quais os benefícios que podem ser esperados. Para ler o artigo completo (em inglês), clique aqui: http://riskdr.com/2013/09/18/a-cooperative-model-for-security-audit-and-risk-a-collaborative-approach-to-risk-based-audits/

Sobre Matthew Kabik

Matthew Kabik is the former Editor of Computer Aid's Accelerating IT Success. He worked at Computer Aid, Inc. from 2008 to 2014 in the Harrisburg offices, where he was a copywriter, swordsman, social media consultant, and trainer before moving into editorial.

veja também

Tire Riscos de Divulgação de Marcas de Sua Lista de Desejos

Alguns de nós vê riscos de divulgação de marcas da maneira como vemos um novo …

We use cookies on our website

We use cookies to give you the best user experience. Please confirm, if you accept our tracking cookies. You can also decline the tracking, so you can continue to visit our website without any data sent to third party services.