Auditoria Interna Archives - Protiviti
Logo Protiviti Logo Protiviti
Fale conosco
Conteúdos » Auditoria Interna

A comunicação é um dos pilares fundamentais para o sucesso de qualquer projeto. Em gestão de projetos, a eficácia da comunicação é essencial para garantir que todos os membros da equipe estejam alinhados com os objetivos, cronogramas e entregas esperadas. Nesse artigo, entenda a importância da comunicação efetiva na gestão de projetos e como ela pode ser aplicada de maneira prática nas equipes, citando pesquisas recentes para orientar as abordagens.  

Importância da comunicação efetiva 

Em gestão de projetos, a comunicação eficaz é vital para o alinhamento e a coordenação das atividades. Segundo o Project Management Institute (PMI), cerca de 90% do tempo de um gerente de projetos é dedicado à comunicação. Isso se deve ao fato de que projetos envolvem múltiplos stakeholders, cada um com suas expectativas e necessidades. A falta de uma comunicação clara pode resultar em mal-entendidos, atrasos e, em última instância, no fracasso do projeto. 

Comunicação como ferramenta de alinhamento 

Uma comunicação clara e consistente ajuda a garantir que todos os membros da equipe compreendam suas responsabilidades e como suas tarefas se inter-relacionam com o todo. Segundo um estudo da Harvard Business Review, equipes que mantêm uma comunicação regular e estruturada apresentam 25% menos atrasos em seus projetos. Esse alinhamento é crucial para evitar retrabalhos e garantir que todos estejam na mesma página. 

Melhoria da moral e do engajamento 

Além de aspectos operacionais, a comunicação eficaz impacta diretamente a moral e o engajamento da equipe. Um ambiente de comunicação aberta e transparente promove confiança e colaboração entre os membros da equipe. Estudos demonstram que equipes com alta qualidade de comunicação têm um índice de satisfação dos funcionários 30% maior. Esse aumento na satisfação pode levar a uma maior produtividade e a melhores resultados do projeto. 

Métodos de comunicação efetiva em projetos 

Para garantir uma comunicação eficaz, é necessário utilizar métodos e ferramentas adequadas, ajustados às necessidades específicas de cada projeto e equipe.  

Reuniões de status regulares são uma prática comum na gestão de projetos. Elas podem ser diárias (daily stand-ups), semanais ou conforme necessário. Essas reuniões permitem que os membros da equipe atualizem uns aos outros sobre o progresso, identifiquem obstáculos e alinhem as atividades. De acordo com o PMI, reuniões eficazes são aquelas que têm uma agenda clara e são conduzidas dentro do tempo estipulado. 

Ferramentas de colaboração digital 

No contexto atual de trabalho remoto e híbrido, o uso de ferramentas de colaboração digital tornou-se essencial. Plataformas como Slack, Microsoft Teams e Trello facilitam a comunicação contínua e o gerenciamento de tarefas. Essas ferramentas permitem a criação de canais específicos para diferentes projetos e equipes, promovendo uma comunicação mais focada e organizada. 

Documentação e relatórios 

Manter uma documentação adequada é crucial para a comunicação eficaz. Isso inclui a criação de relatórios de progresso, atas de reuniões e registros de decisões. A documentação ajuda a garantir que todas as informações relevantes estejam acessíveis e que os membros da equipe possam consultá-las conforme necessário. Um estudo da McKinsey mostra que projetos com boa documentação têm 40% mais chance de serem concluídos dentro do prazo e do orçamento. 

Aplicação prática da comunicação efetiva com as equipes 

Definição de papéis e responsabilidades 

Para uma comunicação eficaz, é fundamental que os papéis e responsabilidades de cada membro da equipe estejam claramente definidos. Isso evita ambiguidades e garante que todos saibam a quem recorrer em caso de dúvidas ou problemas. Um exemplo prático é o uso da matriz RACI (Responsável, Aprovador, Consultado e Informado), que ajuda a clarificar as funções de cada indivíduo no projeto. 

Feedback contínuo 

A prática de fornecer feedback contínuo é essencial para a melhoria contínua. Feedbacks devem ser construtivos e focados em comportamentos específicos, ao invés de características pessoais. Segundo a Gallup, equipes que recebem feedback contínuo têm uma produtividade 12% maior. 

Treinamento em comunicação 

Investir em treinamento de comunicação para a equipe pode trazer benefícios significativos. Isso pode incluir workshops sobre técnicas de comunicação, gestão de conflitos e habilidades de apresentação. Um estudo da Harvard Business School indica que equipes que recebem treinamento em comunicação têm uma taxa de sucesso em projetos 20% maior. 

Comunicação efetiva: indispensável na gestão de projetos

A comunicação eficaz é um componente crítico para o sucesso na gestão de projetos. Ela garante o alinhamento das atividades, melhora a moral da equipe e facilita a resolução de problemas. Utilizando métodos como reuniões regulares, ferramentas de colaboração digital e uma documentação adequada, os gerentes de projetos podem melhorar significativamente a comunicação dentro das equipes. Além disso, definir claramente os papéis e responsabilidades, fornecer feedback contínuo e investir em treinamento de comunicação são práticas essenciais que podem levar ao sucesso do projeto. Assim, a comunicação eficaz não é apenas uma habilidade desejável, mas uma necessidade para qualquer organização que busca alcançar excelência em seus projetos. 

Conteúdos » Auditoria Interna

Descubra como a transformação digital com auditoria interna pode impulsionar sua competitividade e preparar sua organização para o mercado global.

A transformação digital está remodelando a forma como as organizações operam, impulsionando-as a adotar novas tecnologias e a reestruturar seus processos de negócios para aumentar a eficiência e a competitividade. Em um cenário onde a inovação tecnológica é cada vez mais rápida e disruptiva, a auditoria interna desempenha um papel fundamental na avaliação e monitoramento dessas mudanças.

Este artigo explora como a auditoria interna, ao utilizar a análise de dados, pode apoiar iniciativas de transformação digital dentro das organizações, não apenas garantindo conformidade e mitigando riscos, mas também otimizando processos e promovendo melhorias operacionais significativas.

Transformação digital e Auditoria Interna

A transformação digital refere-se à adoção de tecnologias digitais para alterar profundamente a maneira como as organizações operam e entregam valor aos clientes. Ela envolve uma mudança cultural, organizacional e operacional, impactando diretamente áreas como produção, atendimento ao cliente e gestão de dados.

Nesse contexto, a auditoria interna tem um papel crítico, pois ela fornece uma visão independente sobre os riscos e controles relacionados à transformação digital. A Auditoria (tanto o processo quanto as áreas e empresas especializadas) deve estar alinhada com essa mudança, adaptando suas metodologias e ferramentas para garantir que os processos sejam seguros, eficientes e conformes com a regulamentação.

A importância da Análise de Dados na Auditoria Interna

A análise de dados, ou Data Analytics, tem se tornado uma ferramenta essencial para a auditoria interna. O uso dessa técnica e suas ferramentas permite que os auditores lidem com grandes volumes de dados em tempo real – algo que as auditorias tradicionais, pela necessidade de trabalharem com análises amostrais, não conseguiam –, possibilitando uma avaliação mais detalhada dos processos e a identificação precoce e mais apurada de irregularidades. É importante destacar que, com o uso das ferramentas mais avançadas de análise de dados, é possível à Auditoria analisar a totalidade dos dados referentes a um escopo de trabalho, possibilitando o entendimento preciso de quais são os pontos de melhoria e desenhar planos de ação que possam, de fato, mitigar os riscos e fatores de risco encontrados na análise e no cenário.

Com a análise de dados, os auditores internos podem identificar padrões, tendências e anomalias que não seriam detectados por métodos tradicionais de auditoria. Essa capacidade de gerar insights detalhados melhora a eficiência da auditoria, permitindo que a organização tome decisões informadas com base em evidências sólidas e em tempo hábil.

Integração da Análise de Dados com a Auditoria Interna

A análise de dados pode ser integrada à auditoria interna de várias maneiras. Um dos principais usos é a auditoria contínua, na qual os dados operacionais são analisados em tempo real, permitindo que os auditores monitorem constantemente a conformidade e identifiquem possíveis fraudes ou falhas nos processos de forma proativa.

Além disso, a análise de dados pode ser utilizada para revisões específicas, como na avaliação de eficiência de processos financeiros, operacionais e de conformidade. Através de ferramentas analíticas, a auditoria interna pode comparar o desempenho atual com padrões históricos ou setoriais, detectando possíveis problemas ou oportunidades de melhoria.

Softwares para Análise de Dados na Auditoria Interna

Vários softwares podem ser utilizados para apoiar a análise de dados na auditoria interna, facilitando a integração de grandes volumes de dados e a extração de insights úteis. A seguir, dois exemplos amplamente utilizados:

Alteryx

O Alteryx é uma ferramenta poderosa de análise de dados que permite a automação de processos repetitivos, a integração de dados de diferentes fontes e a geração de insights através de análises avançadas. Sua interface intuitiva e a capacidade de modelagem de dados facilitam a criação de workflows que otimizam o tempo e a precisão da auditoria.

Power BI

O Power BI, da Microsoft, é uma das ferramentas de visualização de dados mais populares, permitindo que as empresas transformem dados brutos em dashboards interativos e relatórios de fácil compreensão. Ele se integra a diversas fontes de dados e oferece uma interface amigável, com forte capacidade de visualização gráfica e análises em tempo real.

Benefícios da Análise de Dados na transformação digital

Melhoria na eficiência operacional

A análise de dados permite uma revisão mais ágil e eficaz dos processos operacionais. Com a automatização de análises e a geração de relatórios precisos, a auditoria interna pode identificar gargalos, desperdícios e falhas que impactam a produtividade. Isso permite que a organização implemente soluções rápidas, otimizando a eficiência e reduzindo custos.

Monitoramento contínuo

Com a análise de dados, é possível implementar auditorias contínuas que oferecem uma visão em tempo real sobre a saúde dos processos de negócios. Isso não só ajuda na detecção precoce de problemas, mas também permite que a organização se adapte rapidamente a mudanças regulatórias ou de mercado, mantendo a conformidade e minimizando riscos.

Tomada de decisão baseada em dados

Um dos principais benefícios do uso de dados na auditoria interna é a possibilidade de a Auditoria fornecer recomendações embasadas em evidências quantitativas. Isso fortalece a posição da Auditoria como uma função estratégica dentro da organização, uma vez que suas descobertas são fundamentadas em análises detalhadas e resultados mensuráveis.

Desafios na implementação da Análise de Dados em Auditorias Internas

Apesar dos benefícios, a adoção da análise de dados na auditoria interna não é isenta de desafios. Muitos auditores internos enfrentam dificuldades técnicas, como a falta de treinamento adequado em análise de dados ou a necessidade de integrar sistemas legados com novas ferramentas digitais.

Outro desafio comum é a resistência à mudança. A cultura corporativa muitas vezes pode ser um obstáculo para a transformação digital, especialmente quando os funcionários estão acostumados com métodos tradicionais de trabalho. Para superar esses desafios, as empresas devem investir em capacitação, fomentar uma cultura de inovação, possibilitar o acesso dos colaboradores a ferramentas adequadas ao dia a dia da organização e garantir o suporte adequado para a integração de novas tecnologias.

Tendências futuras

Com o avanço da tecnologia, o papel da auditoria interna continuará a evoluir. O uso de inteligência artificial e machine learning nas auditorias promete uma maior capacidade preditiva para as análises, permitindo que os auditores identifiquem e tratem riscos antes que eles se materializem.

Além disso, a automação de tarefas repetitivas permitirá que os auditores internos se concentrem em análises mais estratégicas, tornando-se parceiros ainda mais valiosos para a alta gestão e para as áreas de negócios.

A transformação digital está alterando profundamente a forma como as organizações operam, e a auditoria interna precisa se adaptar para continuar relevante nesse novo ambiente. Ao adotar ferramentas de análise de dados como Alteryx, Power BI, dentre outros, a auditoria interna pode não apenas garantir a conformidade e a mitigação de riscos, mas também atuar como um facilitador da inovação e da otimização operacional.

No futuro, as organizações que investirem em auditorias internas capacitadas tecnologicamente estarão melhor posicionadas para aproveitar os benefícios da transformação digital e manter sua competitividade em um mercado global cada vez mais dinâmico.

Mayara Andrade, Consultora de Riscos e Auditoria Interna da Protiviti Brasil | [email protected] 

Conteúdos » Auditoria Interna

A segregação de funções (SoD) é um conceito importante para estruturas de controle interno, relatórios financeiros e conformidade regulatória, incluindo a Lei Sarbanes-Oxley (SOX). É um componente de um ambiente de controle eficaz. A eficácia geral da gestão dos controles internos depende em grande parte de uma divisão adequada de responsabilidades.

O fundamento básico da SoD é que nenhum funcionário ou grupo de funcionários deve estar em posição de executar incorretamente ou com má intenção uma atividade e ocultar erros por fraude no curso normal de suas funções. Em geral, as principais funções incompatíveis a serem segregadas são:

Os sistemas tradicionais de controle interno dependem da atribuição de certas responsabilidades a diferentes indivíduos, ou seja, da segregação de funções incompatíveis entre colaboradores de uma mesma equipe ou equipes distintas. A premissa geral da SoD é impedir que uma pessoa tenha, simultaneamente, autorização para gestão de ativos (por exemplo, cadastro de dados mestres) e a contabilização destes. Porém, é importante ter em mente para que a SoD não impede o conluio entre colaboradores com estas funções.

Por que a SoD é importante?

A SoD ajuda a minimizar o risco e a possibilidade de uma organização não atingir seus objetivos, fornecer dados financeiros confiáveis e/ou cumprir leis e políticas definidas. Erros administrativos ou outros erros de registro podem não ser detectados em tempo hábil, se não houver uma rotina estabelecida de revisão independente/objetiva das transações. Desta forma, transações inadequadas, ou não autorizadas (fraudulentas) são permitidas, uma vez que o indivíduo controla a maior parte da receita, despesa, folha de pagamento ou outras funções.

A SOX e outras questões regulatórias estão forçando as empresas a aumentarem sua conscientização e responsabilidade sobre as ações de seus funcionários dentro da empresa. As recentes leis de privacidade e processos judiciais contra violações de segurança estão trazendo uma nova conscientização para monitorar e controlar a segurança e o acesso aos dados dentro das organizações.

Qual é o risco?

Segregações inadequadas de funções podem dificultar a prevenção, detecção e investigação de fraudes resultando em demonstrações financeiras distorcidas, punições regulatórias, danos à reputação da empresa e redução da confiança dos investidores.

Há também o risco de apropriação indébita de ativos, que envolve terceiros ou funcionários de uma organização que abusam de sua posição para furtá-la por meio de atividades fraudulentas.

Se os controles internos não são confiáveis, faz-se necessário o aumento dos testes substantivos da auditoria interna e do auditor externo, traduzindo-se em custos adicionais para a organização. Diante de descobertas mais graves, o auditor externo poderá concluir que a empresa possui uma deficiência significativa ou uma fraqueza material.

Veja também: IAM Tech Day – Cadeia de Valor de IAM e SoD

Por fim, na ausência da SoD, é questionada a confiabilidade das informações e evidências obtidas – livres de erros ou distorção relevante. Como resultado, o auditor pode aumentar o tamanho da amostra, reduzir o limite de testes substantivos ou aumentar os procedimentos de auditoria em geral.

A SoD deve ser proporcional ao tamanho, complexidade e risco geral das operações de uma empresa e das demonstrações financeiras. É importante sempre priorizar os riscos para a organização. As empresas continuam a aumentar a dependência da TI, tornando a SoD cada vez mais importante nos esforços para reduzir fraudes e aumentar a eficácia operacional.

Em última instância, diante da inviabilidade de aplicação da SoD, deve-se implementar controles para mitigar os riscos resultantes da falta de segregação adequada de funções. Esses controles incluem trilhas de auditoria, reconciliações, alçadas de aprovação preventivas configuradas em sistemas e/ou revisões detectivas de registros, revisão de aprovadores e outros.

Originalmente publicado em KnowledgeLeader por Protiviti Inc. Traduzido e adaptado por Solimar Maia, Consultora Sr. em Tech Governance da Protiviti Brasil.

Conteúdos » Auditoria Interna

De assistentes digitais pessoais a veículos autônomos, a Inteligência Artificial (IA) está revolucionando a forma como interagimos com a tecnologia e uns com os outros. Nesse cenário,  o Microsoft Copilot e o ChatGPT da Open AI estão na vanguarda, aproveitando tecnologias transformadoras como Generative Pretrained Transformers (GPT) e Large Language Models (LLM). Essas ferramentas avançadas aproveitam o processamento de linguagem natural para entender e gerar respostas semelhantes às humanas a partir de grandes quantidades de dados, executando uma ampla gama de tarefas, como análise de sentimentos, resposta a perguntas, resumo e geração de imagens e textos. À medida que continuamos a explorar as fronteiras na inovação da IA, as tendências sugerem um futuro cada vez mais guiado por essas plataformas poderosas que não apenas aprimoram nossas habilidades, mas também moldam um futuro em que a influência da IA irá permear todos os aspectos de nossas vidas.

IA e LLMs oferecem benefícios importante para empresas que desejam aproveitar o poder da linguagem natural para seus negócios. Essas ferramentas podem ajudar as empresas a aperfeiçoarem seu atendimento ao cliente, aumentar a produtividade, otimizar processos, gerar insights e agregar valor aos negócios. No entanto, IA e LLMs também representam desafios significativos para empresas que desejam usá-los de forma eficaz e responsável.

Isso porque elas exigem muitos dados, poder de computação e experiência para treinar, implantar e manter. Tanto a IA quanto os LLMs também levantam questões sobre questões éticas, legais e sociais, como privacidade de dados, segurança, preconceito, justiça, responsabilidade e transparência. É importante observar que os LLMs não são necessariamente treinados para precisão: em vez disso, eles são treinados para fornecer a próxima melhor resposta de conversação a uma consulta. A quantidade de dados que precisam ser gerenciados e governados está crescendo exponencialmente e, com o início da IA generativa, a geração de novos dados não estruturados está impactando significativamente a como os dados são registrados, descobertos, protegidos, monitorados, auditados e principalmente terem sua veracidade confirmada.

Governança e gestão dos ativos de IA

O Microsoft Purview é o conjunto de soluções de segurança de dados da Microsoft que fornece um único local para descobrir, proteger e gerenciar dados em todo o ambiente corporativo para privacidade de dados, conformidade regulatória e segurança cibernética. Esta ferramenta permite que os usuários descubram, protejam e monitorem prompts e respostas, usando dados de IA generativa em ferramentas internas e externas.

Essas soluções são essenciais para que a IA opere de maneira gerenciada e controlada, mas também são relevantes para as empresas que estão adotando rapidamente a tecnologia sem os devidos controles de uso, compartilhamento e exportação de dados. A Microsoft anunciou recentemente o Microsoft AI Hub, que aproveita os recursos do MS Purview para identificar, proteger e gerenciar o uso de IA de uma organização em um único dashboard de indicadores.

Entre os principais recursos do MS Purview AI Hub estão a capacidade de inventariar atividades de IA generativa, incluindo o uso de dados confidenciais em uma ampla variedade de aplicativos e sites. A ferramenta permite proteger as interações do Copilot impedindo o acesso não autorizado confidencial de dados confidenciais e, mais especificamente, o Hub de IA do MS Purview pode monitorar, alertar ou até mesmo impedir que os usuários enviem informações confidenciais para sites de IA generativa. Além disso, ele também permite detectar e mitigar riscos de negócios e violações regulatórias enquanto o uso do AI Hub generativo no Purview, que permite a análise de riscos e impacto do uso de algoritmos de IA, ajuda os usuários a superarem esses desafios de e maximizar os benefícios de sua utilização nas empresas.  

O Hub de IA do Microsoft Purview e as políticas que ele monitora estejam vinculadas ao DLP, exigindo que os dispositivos sejam integrados a esta plataforma. O AI Hub disponibiliza políticas integradas que podem ser ativadas e personalizadas para definir o escopo para usuários/grupos específicos e adaptá-las aos requisitos organizacionais. As políticas internas incluem:

Os administradores e as equipes de proteção de dados também podem usar o Gerenciador de Atividades do Microsoft Purview para monitorar as interações de IA dos usuários e ser alertados quando uma regra DLP corresponder à interação de um usuário com um site de IA generativa. As principais preocupações dos líderes de segurança incluem riscos éticos, legais e regulatórios da utilização da IA.

À medida que as organizações aumentam a adoção de recursos de IA, regulamentações adicionais serão promulgadas para apoiar a utilização responsável e, ao mesmo tempo, proteger dados pessoais confidenciais. Embora o AI Act Europeu, juntamente com as estruturas com o NIST AI e a ISO 42.001, forneçam orientação para adoção, identificação e mitigação de riscos, é fundamental desenvolver uma estrutura de governança para IA que considere as implicações em seu modelo de negócios e do funcionamento de segmento de atuação.

Microsoft Purview: suporte à AI

Para assegurar a integração entre o monitoramento proativo e a necessidade de governança de IA, os novos modelos de IA Premium do Microsoft Purview Compliance Manager oferecem uma solução estratégica para gerenciar e relatar o risco de conformidade de IA, garantindo que utilização ética e legal da IA esteja alinhada com os padrões organizacionais e os regulamentos futuros. O Gerenciador de Conformidade do Microsoft Purview dá suporte à conformidade de IA por meio de quatro novos modelos de IA Premium para ajudar a avaliar, gerenciar e relatar os riscos de conformidade de IA. Esses modelos identificam as melhores práticas, monitoram as interações de IA, evitam o compartilhamento inadequado de dados confidenciais em aplicativos de IA e gerenciam políticas de retenção e exclusão para interações de IA. O Gerenciador de Conformidade inclui monitoramento em tempo real em aplicativos Multicloud e Software as a Service (SaaS), podendo ser revisado como parte de um programa completo de governança de IA.

O Copilot para Microsoft 365 permite otimizar o acesso a dados não estruturados em toda a organização, visto que a implantação e a utilização exigem acesso a dados atuais e relevantes. No entanto, a maioria das organizações têm dificuldades em evitar a proliferação, o gerenciamento e a proteção de dados. À medida que as organizações avançam para adotar a IA, o foco crítico deve ser aplicado para garantir um forte gerenciamento de dados em toda a empresa. Isso inclui a remoção de dados obsoletos e desatualizados, a proteção de dados críticos e confidenciais e a identificação proativa do uso inadequado.

Os recursos de Gerenciamento de Registros e Ciclo de Vida de Dados do Microsoft Purview permitem que as organizações descartem de forma defensável os dados que não são mais necessários. Ao aproveitar políticas e rótulos nessas ferramentas, as organizações podem permanecer em conformidade com os regulamentos de retenção de dados, reduzir sua superfície de ataque descartando dados que não são mais necessários e permitir que o Copilot para Microsoft 365 acesse as informações mais relevantes e atualizadas para fornecer as respostas mais relevantes e úteis.

O Microsoft Purview eDiscovery Premium permite que as equipes jurídicas e de descoberta eletrônica descubram quais tipos de informações os usuários estão inserindo nos prompts do Copilot para Microsoft 365 e quais tipos de respostas estão recebendo. Esse é um recurso essencial ao investigar o possível uso mal-intencionado de IA em organizações ou realizar avaliações de conformidade sobre como as informações estão sendo compartilhadas por meio da IA generativa.

O AI Hub no Purview, juntamente com os recursos de proteção de dados do Purview, fornece uma nova maneira de gerenciar ativos de IA com responsabilidade, com foco na segurança e na conformidade.

Baseado no artigo original escrito por: Patrick Anderson, MD Protiviti; Patrick Anderson, MD Security & Privacy; Antonio Maio, MD Microsoft.

Conteúdos » Auditoria Interna

Em um mundo cada vez mais digital, a proteção de dados se tornou um dos principais desafios para as organizações. A exfiltração de dados, ou seja, a transferência não autorizada de informações, é uma ameaça real que pode causar prejuízos financeiros, danos à reputação e problemas legais.

Imagine um cenário onde um funcionário, prestes a se demitir, tenta exfiltrar dados confidenciais da empresa. Sem um sistema robusto de proteção de informações, ele pode imprimir documentos sensíveis, enviar informações para aplicações externas ou clouds pessoais, ou até mesmo utilizar dispositivos USB para copiar dados. Esse tipo de incidente pode resultar em sérios riscos.

Para prevenir incidentes como este, as organizações adotam soluções de Data Loss Prevention (DLP). DLP é um conjunto de ferramentas e processos usados para garantir que dados confidenciais não sejam acessados, compartilhados ou retirados indevidamente. Essas soluções monitoram, detectam e bloqueiam a transferência de dados sensíveis para fora do ambiente corporativo, seja intencional ou acidentalmente. Implementar um sistema de DLP eficaz é essencial para proteger a propriedade intelectual, manter a conformidade com regulamentações e proteger a reputação da empresa.

Quando não há um sistema de proteção de informações implementado, a empresa se torna vulnerável a várias formas de exfiltração de dados. Um funcionário pode:

O Microsoft Purview é uma solução abrangente não só de DLP (proteção de dados), mas também de governança dos dados, projetada para ajudar as organizações a gerenciar, proteger e governar seu patrimônio de informações. Como dito anteriormente, ele combina capacidades de DLP, conformidade e governança em uma plataforma unificada, oferecendo uma visão holística da segurança e conformidade das informações em toda a organização.

O Purview está embarcado em licenças Microsoft mas pode não estar sendo usado na sua organização. Por isso, configurá-lo e aplica-lo pode ser um meio rápido e barato para classificar e proteger os dados da sua empresa.

O conceito e a aplicação da governança e proteção de dados do Microsoft Purview é ampla e completa, considerando 3 pilares principais:

A Protiviti é parceira da Microsoft, com foco na designação de segurança. Temos equipe capacitada não só para otimizar o uso e custo das suas licenças Microsoft, mas também habilitar e configurar as ferramentas de privacidade e segurança de informações. Adotar o Microsoft Purview pode ser um atalho rápido e econômico para a sua organização proteger seus dados de forma eficiente e segura, garantindo a continuidade dos negócios e a proteção contra ameaças internas e externas.

Conteúdos » Auditoria Interna

A história do Cavalo de Troia, um dos mais famosos contos da mitologia grega, oferece uma poderosa metáfora para entender os perigos da autenticação fraca na era digital. Da mesma forma que o famoso cavalo de madeira permitiu aos gregos penetrar nas defesas de Troia e abrir as portas para a invasão, a exploração de autenticação fraca em sistemas de segurança cibernética pode conceder acesso não autorizado aos invasores, comprometendo a integridade das organizações.

Assim como os troianos confiaram na aparente inocência do presente, as organizações muitas vezes subestimam a importância de implementar medidas robustas de autenticação, abrindo inadvertidamente as portas para intrusões maliciosas. Este paralelo histórico ressalta a necessidade premente de reconhecer e mitigar os riscos associados à autenticação fraca na proteção das informações e ativos das organizações contra ameaças cibernéticas cada vez mais sofisticadas.

Autenticação é o processo de verificar a identidade de um usuário ou dispositivo para garantir que eles sejam quem afirmam ser. É uma etapa crucial na segurança da informação e desempenha um papel fundamental na proteção de sistemas e dados contra acesso não autorizado. A autenticação é importante porque ajuda a garantir a confidencialidade, integridade e disponibilidade dos recursos de uma organização, protegendo-os contra ameaças cibernéticas, como ataques de hackers e violações de dados.

Modelos de autenticação: muito além das senhas

O modelo de autenticação mais conhecido e tradicional é a feita por meio de senha. Para incrementar a segurança e evitar ataques de força bruta, há aprimoramentos como o Captcha, a troca periódica das senhas, a obrigatoriedade de criação de senhas fortes e assim por diante. Porém, há outros mecanismos mais eficientes e com menor fricção ao usuário e que são mais efetivos, tais como:

Aprimorar a autenticação nas empresas pode ser desafiador devido a diversas resistências. Os custos associados à implementação de tecnologias avançadas, a complexidade dos novos processos para os usuários, questões de compatibilidade com sistemas existentes e resistência cultural à mudança são algumas das barreiras enfrentadas. Além disso, preocupações com a privacidade, especialmente em relação ao uso de biometria, e a necessidade de garantir uma experiência do usuário simples e eficiente também contribuem para a dificuldade na adoção de medidas mais robustas de autenticação. Superar esses desafios requer comprometimento da liderança, investimentos adequados em tecnologia e treinamento, além de uma abordagem equilibrada que leve em consideração tanto a segurança quanto a usabilidade.

Para as organizações que utilizam o pacote Microsoft, a solução de gestão de identidades Microsoft Entra ID resolve grande parte desses desafios. As licenças corporativas já possuem o Microsoft Entra ID com a funcionalidade de robustecer os métodos de autenticação. Logo, os custos para melhorar a autenticação são praticamente inexistentes. Além disso, é uma solução nativa e integrada com todo o ambiente Microsoft, reduzindo as necessidades de integração. Para habilitar o MFA, por exemplo, a Microsoft disponibiliza o aplicativo Microsoft Authenticator, que permite validar acessos por meio do dispositivo móvel.  Restam as questões associadas à privacidade e cultura de segurança da informação. Para estes casos, é fundamental aplicar um programa de gestão da mudança gradual para minimizar os impactos de um modelo de autenticação mais robusto.

Ao robustecer os métodos de autenticação das identidades na sua organização, a barreira de entrada dos cibercriminosos passa a ser muito maior. Além de confiar nas defesas do castelo, proteger a porta de acesso é um aprendizado que a história prova ser fundamental.

Conteúdos » Auditoria Interna

Com o aumento do acesso a dados de negócios fora dos limites da rede corporativa convencional, a segurança e a conformidade assumem uma importância cada vez maior. Por isso, as organizações devem buscar maneiras de aprimorar a proteção de seus dados, independentemente de sua localização, seja dentro da rede corporativa ou na nuvem. Além disso, é crucial que as organizações atendam aos requisitos regulatórios e do setor para garantir a segurança e a privacidade dos dados. A proteção de identidades e acessos é parte fundamental desse processo.

Mesmo em ambientes hospedados em nuvem, as organizações são responsáveis por proteger os dispositivos (endpoints) e acessos que transitam neste ambiente. E quando falamos sobre gestão e proteção de identidades e acessos, é notável a desatenção com a proteção aos acessos nas organizações.

Camadas de segurança na proteção de identidades e acessos

Em um modelo de defesa por profundidade, a gestão de identidade é uma das primeiras etapas de proteção na cibersegurança. A defesa em profundidade usa uma abordagem em camadas de segurança, em vez de depender de um único perímetro. Uma estratégia de defesa em profundidade usa uma série de mecanismos para reduzir o avanço de um ataque. Cada camada fornece proteção para que, se uma camada for violada, uma camada subsequente impedir que um invasor receba acesso não autorizado aos dados. Camadas de segurança podem incluir:

Os ataques de phishing estão ficando cada vez mais sofisticados e direcionados para pessoas com altas credenciais nas organizações. Inclusive já há um nome para isso: whaling, ou seja, fazer uma campanha de phishing para pegar o peixe grande. Nestas campanhas, o foco é ter acesso aos dados da credencial do usuário. E se a identidade dele não estiver segura, basta um link malicioso para todo castelo de proteção ser derrubado por meio de uma autenticação fraudulenta.

Para as organizações que utilizam soluções corporativas Microsoft, as licenças contemplam o Microsoft Entra. O Microsoft Entra simplifica o gerenciamento de acesso e autenticação para organizações, oferecendo uma plataforma de gestão de identidade unificado para aplicativos locais e na nuvem. Ele pode ser integrado ao Active Directory local já existente, sincronizado com outros serviços de diretório ou implantado em ambientes multinuvem.

Além disso, o Microsoft Entra possibilita às organizações a segura habilitação do uso de dispositivos pessoais, como smartphones e tablets, e promove a colaboração com parceiros comerciais e clientes.

Em licenças mais avançadas, o Microsoft Entra permite identificar comportamentos suspeitos no acesso e bloqueá-los antes de algo pior acontecer. Além disso, é possível integrar os logs de acesso do Microsoft Entra em ferramentas de SIEM (Security Information and Event Management) para monitoramento e reporte de acessos.

Configurar corretamente o Microsoft Entra ID é um caminho de ganho rápido para aumentar a postura de segurança da sua organização, evitando que ataques simples à identidade sejam bem-sucedidos.

Conteúdos » Auditoria Interna

Acaba de ser divulgada a edição 2024 do ranking Leaders League, com os resultados do ciclo Dispute Resolution. 43 rankings compõem o ciclo de pesquisa Dispute Resolution, Investigations & Insurance, reunindo as melhores empresas de consultoria, escritórios de advocacia e empresas do setor. A organização é uma editora fundada em Paris, em 1996, focada em produzir relatórios e pesquisas voltadas para executivos e C-levels ao redor do mundo.

Em 2024, a Protiviti Brasil foi novamente reconhecida entre as Melhores Consultorias de Compliance, mantendo a categoria Líder – a mais alta do ranking.

via Leaders League

Além disso, a empresa foi premiada como Excelente entre os Melhores Especialistas em Forensics e Complex Investigations, mantendo o reconhecimento do último ano, e também entre os Melhores Especialistas em Privacidade de Dados, pelo terceiro ano consecutivo. A empresa também figura como Altamente Recomendada entre as Melhores Consultorias de Gestão de Risco, Melhores Consultorias para Auditoria e Melhores Consultorias em Segurança Cibernética, citada pela primeira vez nesta categoria.

Os rankings produzidos pela editora são reconhecidos ao redor do mundo e reconhecidos por sua metodologia de pesquisa imparcial, compreensiva e transparente. Confira as premiações no site.

Sobre a Leaders League

A Leaders League é uma empresa de serviços empresariais sediada em Paris e uma agência de classificação com presença global. Além disso, a organização organiza eventos para executivos, rankings abrangentes e análises detalhadas projetadas para unir os mercados globais. Fundada em 1996, em Paris, a Leaders League é uma agência de classificação internacional e serviços empresariais com foco nas seguintes indústrias:

• Jurídica • Private Equity e Serviços Financeiros • Capital Humano • Inovação e Marketing • Gestão de Patrimônio e Gestão de Ativos A empresa organiza mais de 20 eventos de alto nível em capitais globais como Paris, Nova York e São Paulo, além de produzir classificações internacionais e conteúdo de notícias para as indústrias jurídica, financeira, tecnológica e de RH.

A Leaders League é composta por 150 profissionais distribuídos em vários locais ao redor do mundo, incluindo a sede em Paris e escritórios em Londres, Madri, Lima, Milão, Rio de Janeiro e São Paulo.

Conteúdos » Auditoria Interna

A auditoria interna é uma função essencial nas organizações, desempenhando um papel crítico na avaliação dos processos de governança em diferentes ambientes econômicos, legais e culturais; entre companhias com missões, tamanhos, complexidades e estruturas distintas; e por pessoas dentro ou fora da organização.

Para garantir a eficácia dessa prática, é fundamental a adoção de padrões e de uma linguagem que seja comum à empresa e ao mercado. Nesse sentido, aderir e estar em conformidade com as normas IPPF (International Professional Practices Framework) do IIA (The Institute of Internal Auditors) se torna essencial por se tratar de um framework que abrange áreas vitais, incluindo ética, independência, competência, planejamento, execução e relatórios, além de estabelecer um conjunto de princípios e padrões que servem como base para a prática da auditoria interna em todo o mundo.

Por isso, estar em conformidade com as normas IPPF não só assegura a qualidade do trabalho de auditoria interna, mas também contribui para a credibilidade e a confiança dos stakeholders. Além disso, demonstra um comprometimento com a integridade e a excelência da auditoria interna, garantindo que as operações sejam conduzidas com transparência e responsabilidade.

E, não menos importante, o modelo define um padrão básico para a entrega dos documentos de trabalho, permitindo uma leitura objetiva, comparativa com auditorias anteriores e com os trabalhos de outros auditores do time, o que facilita o caminho para o desenvolvimento dos entregáveis da equipe.

Isso se traduz em maior confiabilidade e utilidade dos resultados da auditoria, além de facilitar a comunicação com a administração e outros órgãos de governança. Portanto, o IPPF desempenha um papel crítico na garantia da qualidade e da relevância da auditoria interna.

Contudo, o avanço da indústria 4.0 apresenta novos desafios para a prática de auditoria interna. A globalização, multinacionalização, conectividade, trabalho remoto e cloud computing são temas que obrigam os auditores a buscar novas técnicas que possam abranger todos os riscos que estão surgindo.

Dessa forma, além de estar em conformidade com as normas da profissão, os auditores precisam desenvolver novas habilidades para expandir seus conhecimentos em ferramentas que irão apoiar o trabalho. Dentre essas ferramentas, pode-se citar: ACL Analytics, Alteryx e Power BI, entre outras que suportam o auditor a trabalhar com bases de dados complexos e pesados.

Além disso, cada vez mais é necessária a avaliação completa dos dados em detrimento da avaliação amostral. Por essa razão, um método que vem ganhando muito destaque no mercado é a auditoria continua.

Basicamente, ela pode auxiliar nas seleções amostrais, tratando os dados e buscando padrões incorretos para que o auditor possa selecionar sua amostra de forma direcionada, aumentando a chance de encontrar oportunidades de melhoria. Além disso, auxilia o time de auditoria a desenvolver indicadores que serão gerados tempestivamente, trazendo resultados e monitoramentos contínuos.

Por exemplo, não é necessário auditar todo o ciclo de contas a pagar para identificar duplicidades de pagamentos. Ao desenvolver um script no ACL ou um fluxo no Alteryx, pode-se gerar mensalmente resultados para que a correção seja muito mais ágil e em certos casos preventiva.

Outra funcionalidade muito importante que o método de auditoria contínua traz é a capacidade de acessar o ERP (Enterprise Resource Planning) diretamente de conectores, garantindo a completude dos dados, tendo em vista que não é necessário solicitar que alguém da área auditada ou da área de TI extraiam uma determinada base. Além disso, após gerado o fluxo dentro das ferramentas de análise, caso seja identificada alguma inconsistência na base de dados, não é preciso alterar todo o script, pois a substituição ocorre na base desde o início da operação, rodando novamente o fluxo para gerar o resultado esperado.

Fica claro que fazer trabalhos de auditoria baseados em riscos e suportado por normativos segue sendo fundamental, mas já não é o suficiente. As equipes precisam estar adequadamente equipadas com ferramentas modernas de análise de dados para promover a melhoria organizacional das empresas.

*Felipe Silva Pinheiro e Bruno Maia são consultores de Auditoria Interna & Assessoria Financeira (IAFA) da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.