A história do Cavalo de Troia, um dos mais famosos contos da mitologia grega, oferece uma poderosa metáfora para entender os perigos da autenticação fraca na era digital. Da mesma forma que o famoso cavalo de madeira permitiu aos gregos penetrar nas defesas de Troia e abrir as portas para a invasão, a exploração de autenticação fraca em sistemas de segurança cibernética pode conceder acesso não autorizado aos invasores, comprometendo a integridade das organizações.

Assim como os troianos confiaram na aparente inocência do presente, as organizações muitas vezes subestimam a importância de implementar medidas robustas de autenticação, abrindo inadvertidamente as portas para intrusões maliciosas. Este paralelo histórico ressalta a necessidade premente de reconhecer e mitigar os riscos associados à autenticação fraca na proteção das informações e ativos das organizações contra ameaças cibernéticas cada vez mais sofisticadas.

Autenticação é o processo de verificar a identidade de um usuário ou dispositivo para garantir que eles sejam quem afirmam ser. É uma etapa crucial na segurança da informação e desempenha um papel fundamental na proteção de sistemas e dados contra acesso não autorizado. A autenticação é importante porque ajuda a garantir a confidencialidade, integridade e disponibilidade dos recursos de uma organização, protegendo-os contra ameaças cibernéticas, como ataques de hackers e violações de dados.

Modelos de autenticação: muito além das senhas

O modelo de autenticação mais conhecido e tradicional é a feita por meio de senha. Para incrementar a segurança e evitar ataques de força bruta, há aprimoramentos como o Captcha, a troca periódica das senhas, a obrigatoriedade de criação de senhas fortes e assim por diante. Porém, há outros mecanismos mais eficientes e com menor fricção ao usuário e que são mais efetivos, tais como:

• Autenticação Multifator (MFA): este método exige que os usuários forneçam duas ou mais formas de autenticação para acessar um sistema. Pode incluir algo que o usuário sabe (senha), algo que o usuário tem (um token enviado em um segundo dispositivo) e algo que o usuário é (biometria, como impressão digital ou reconhecimento facial). A MFA é mais segura do que a autenticação apenas por senha.
• Autenticação de Certificado: Neste método, os usuários possuem um certificado digital único que é usado para autenticar sua identidade. Esse certificado é geralmente armazenado em um token ou dispositivo seguro e é muito utilizado por instituições financeiras.

Aprimorar a autenticação nas empresas pode ser desafiador devido a diversas resistências. Os custos associados à implementação de tecnologias avançadas, a complexidade dos novos processos para os usuários, questões de compatibilidade com sistemas existentes e resistência cultural à mudança são algumas das barreiras enfrentadas. Além disso, preocupações com a privacidade, especialmente em relação ao uso de biometria, e a necessidade de garantir uma experiência do usuário simples e eficiente também contribuem para a dificuldade na adoção de medidas mais robustas de autenticação. Superar esses desafios requer comprometimento da liderança, investimentos adequados em tecnologia e treinamento, além de uma abordagem equilibrada que leve em consideração tanto a segurança quanto a usabilidade.

Para as organizações que utilizam o pacote Microsoft, a solução de gestão de identidades Microsoft Entra ID resolve grande parte desses desafios. As licenças corporativas já possuem o Microsoft Entra ID com a funcionalidade de robustecer os métodos de autenticação. Logo, os custos para melhorar a autenticação são praticamente inexistentes. Além disso, é uma solução nativa e integrada com todo o ambiente Microsoft, reduzindo as necessidades de integração. Para habilitar o MFA, por exemplo, a Microsoft disponibiliza o aplicativo Microsoft Authenticator, que permite validar acessos por meio do dispositivo móvel.  Restam as questões associadas à privacidade e cultura de segurança da informação. Para estes casos, é fundamental aplicar um programa de gestão da mudança gradual para minimizar os impactos de um modelo de autenticação mais robusto.

Ao robustecer os métodos de autenticação das identidades na sua organização, a barreira de entrada dos cibercriminosos passa a ser muito maior. Além de confiar nas defesas do castelo, proteger a porta de acesso é um aprendizado que a história prova ser fundamental.

Com o aumento do acesso a dados de negócios fora dos limites da rede corporativa convencional, a segurança e a conformidade assumem uma importância cada vez maior. Por isso, as organizações devem buscar maneiras de aprimorar a proteção de seus dados, independentemente de sua localização, seja dentro da rede corporativa ou na nuvem. Além disso, é crucial que as organizações atendam aos requisitos regulatórios e do setor para garantir a segurança e a privacidade dos dados. A proteção de identidades e acessos é parte fundamental desse processo.

Mesmo em ambientes hospedados em nuvem, as organizações são responsáveis por proteger os dispositivos (endpoints) e acessos que transitam neste ambiente. E quando falamos sobre gestão e proteção de identidades e acessos, é notável a desatenção com a proteção aos acessos nas organizações.

Camadas de segurança na proteção de identidades e acessos

Em um modelo de defesa por profundidade, a gestão de identidade é uma das primeiras etapas de proteção na cibersegurança. A defesa em profundidade usa uma abordagem em camadas de segurança, em vez de depender de um único perímetro. Uma estratégia de defesa em profundidade usa uma série de mecanismos para reduzir o avanço de um ataque. Cada camada fornece proteção para que, se uma camada for violada, uma camada subsequente impedir que um invasor receba acesso não autorizado aos dados. Camadas de segurança podem incluir:

• Segurança física, como limitar o acesso a um datacenter para apenas o pessoal autorizado
• Controles de segurança de identidade e acesso, como autenticação multifator ou acesso condicional para controlar o acesso à infraestrutura e controle de alterações.
• A segurança de perímetro de sua rede corporativa inclui a proteção contra DDoS (ataque de negação de serviço distribuído) para filtrar ataques em grande escala antes que eles possam causar uma negação de serviço para os usuários.
• Segurança de rede, como segmentação de rede e controles de acesso à rede, para limitar a comunicação entre os recursos.
• A segurança da camada Computação, como a proteção do acesso a máquinas virtuais, local ou na nuvem, fechando determinadas portas.
• A segurança da camada Aplicativo garante que os aplicativos estejam seguros e livres de vulnerabilidades de segurança.
• A segurança da camada Dados, incluindo controles para gerenciar o acesso aos dados de negócios e clientes e à criptografia para proteger os dados.

Os ataques de phishing estão ficando cada vez mais sofisticados e direcionados para pessoas com altas credenciais nas organizações. Inclusive já há um nome para isso: whaling, ou seja, fazer uma campanha de phishing para pegar o peixe grande. Nestas campanhas, o foco é ter acesso aos dados da credencial do usuário. E se a identidade dele não estiver segura, basta um link malicioso para todo castelo de proteção ser derrubado por meio de uma autenticação fraudulenta.

Para as organizações que utilizam soluções corporativas Microsoft, as licenças contemplam o Microsoft Entra. O Microsoft Entra simplifica o gerenciamento de acesso e autenticação para organizações, oferecendo uma plataforma de gestão de identidade unificado para aplicativos locais e na nuvem. Ele pode ser integrado ao Active Directory local já existente, sincronizado com outros serviços de diretório ou implantado em ambientes multinuvem.

Além disso, o Microsoft Entra possibilita às organizações a segura habilitação do uso de dispositivos pessoais, como smartphones e tablets, e promove a colaboração com parceiros comerciais e clientes.

Em licenças mais avançadas, o Microsoft Entra permite identificar comportamentos suspeitos no acesso e bloqueá-los antes de algo pior acontecer. Além disso, é possível integrar os logs de acesso do Microsoft Entra em ferramentas de SIEM (Security Information and Event Management) para monitoramento e reporte de acessos.

Configurar corretamente o Microsoft Entra ID é um caminho de ganho rápido para aumentar a postura de segurança da sua organização, evitando que ataques simples à identidade sejam bem-sucedidos.

Acaba de ser divulgada a edição 2024 do ranking Leaders League, com os resultados do ciclo Dispute Resolution. 43 rankings compõem o ciclo de pesquisa Dispute Resolution, Investigations & Insurance, reunindo as melhores empresas de consultoria, escritórios de advocacia e empresas do setor. A organização é uma editora fundada em Paris, em 1996, focada em produzir relatórios e pesquisas voltadas para executivos e C-levels ao redor do mundo.

Em 2024, a Protiviti Brasil foi novamente reconhecida entre as Melhores Consultorias de Compliance, mantendo a categoria Líder – a mais alta do ranking.

Além disso, a empresa foi premiada como Excelente entre os Melhores Especialistas em Forensics e Complex Investigations, mantendo o reconhecimento do último ano, e também entre os Melhores Especialistas em Privacidade de Dados, pelo terceiro ano consecutivo. A empresa também figura como Altamente Recomendada entre as Melhores Consultorias de Gestão de Risco, Melhores Consultorias para Auditoria e Melhores Consultorias em Segurança Cibernética, citada pela primeira vez nesta categoria.

Os rankings produzidos pela editora são reconhecidos ao redor do mundo e reconhecidos por sua metodologia de pesquisa imparcial, compreensiva e transparente. Confira as premiações no site.

Sobre a Leaders League

A Leaders League é uma empresa de serviços empresariais sediada em Paris e uma agência de classificação com presença global. Além disso, a organização organiza eventos para executivos, rankings abrangentes e análises detalhadas projetadas para unir os mercados globais. Fundada em 1996, em Paris, a Leaders League é uma agência de classificação internacional e serviços empresariais com foco nas seguintes indústrias:

• Jurídica • Private Equity e Serviços Financeiros • Capital Humano • Inovação e Marketing • Gestão de Patrimônio e Gestão de Ativos A empresa organiza mais de 20 eventos de alto nível em capitais globais como Paris, Nova York e São Paulo, além de produzir classificações internacionais e conteúdo de notícias para as indústrias jurídica, financeira, tecnológica e de RH.

A Leaders League é composta por 150 profissionais distribuídos em vários locais ao redor do mundo, incluindo a sede em Paris e escritórios em Londres, Madri, Lima, Milão, Rio de Janeiro e São Paulo.

A auditoria interna é uma função essencial nas organizações, desempenhando um papel crítico na avaliação dos processos de governança em diferentes ambientes econômicos, legais e culturais; entre companhias com missões, tamanhos, complexidades e estruturas distintas; e por pessoas dentro ou fora da organização.

Para garantir a eficácia dessa prática, é fundamental a adoção de padrões e de uma linguagem que seja comum à empresa e ao mercado. Nesse sentido, aderir e estar em conformidade com as normas IPPF (International Professional Practices Framework) do IIA (Institute of Internal Auditors) se torna essencial por se tratar de um framework que abrange áreas vitais, incluindo ética, independência, competência, planejamento, execução e relatórios, além de estabelecer um conjunto de princípios e padrões que servem como base para a prática da auditoria interna em todo o mundo.

Por isso, estar em conformidade com as normas IPPF não só assegura a qualidade do trabalho de auditoria interna, mas também contribui para a credibilidade e a confiança dos stakeholders. Além disso, demonstra um comprometimento com a integridade e a excelência da auditoria interna, garantindo que as operações sejam conduzidas com transparência e responsabilidade.

E, não menos importante, o modelo define um padrão básico para a entrega dos documentos de trabalho, permitindo uma leitura objetiva, comparativa com auditorias anteriores e com os trabalhos de outros auditores do time, o que facilita o caminho para o desenvolvimento dos entregáveis da equipe.

Isso se traduz em maior confiabilidade e utilidade dos resultados da auditoria, além de facilitar a comunicação com a administração e outros órgãos de governança. Portanto, o IPPF desempenha um papel crítico na garantia da qualidade e da relevância da auditoria interna.

Contudo, o avanço da indústria 4.0 apresenta novos desafios para a prática de auditoria interna. A globalização, multinacionalização, conectividade, trabalho remoto e cloud computing são temas que obrigam os auditores a buscar novas técnicas que possam abranger todos os riscos que estão surgindo.

Dessa forma, além de estar em conformidade com as normas da profissão, os auditores precisam desenvolver novas habilidades para expandir seus conhecimentos em ferramentas que irão apoiar o trabalho. Dentre essas ferramentas, pode-se citar: ACL Analytics, Alteryx e Power BI, entre outras que suportam o auditor a trabalhar com bases de dados complexos e pesados.

Além disso, cada vez mais é necessária a avaliação completa dos dados em detrimento da avaliação amostral. Por essa razão, um método que vem ganhando muito destaque no mercado é a auditoria continua.

Basicamente, ela pode auxiliar nas seleções amostrais, tratando os dados e buscando padrões incorretos para que o auditor possa selecionar sua amostra de forma direcionada, aumentando a chance de encontrar oportunidades de melhoria. Além disso, auxilia o time de auditoria a desenvolver indicadores que serão gerados tempestivamente, trazendo resultados e monitoramentos contínuos.

Por exemplo, não é necessário auditar todo o ciclo de contas a pagar para identificar duplicidades de pagamentos. Ao desenvolver um script no ACL ou um fluxo no Alteryx, pode-se gerar mensalmente resultados para que a correção seja muito mais ágil e em certos casos preventiva.

Outra funcionalidade muito importante que o método de auditoria contínua traz é a capacidade de acessar o ERP (Enterprise Resource Planning) diretamente de conectores, garantindo a completude dos dados, tendo em vista que não é necessário solicitar que alguém da área auditada ou da área de TI extraiam uma determinada base. Além disso, após gerado o fluxo dentro das ferramentas de análise, caso seja identificada alguma inconsistência na base de dados, não é preciso alterar todo o script, pois a substituição ocorre na base desde o início da operação, rodando novamente o fluxo para gerar o resultado esperado.

Fica claro que fazer trabalhos de auditoria baseados em riscos e suportado por normativos segue sendo fundamental, mas já não é o suficiente. As equipes precisam estar adequadamente equipadas com ferramentas modernas de análise de dados para promover a melhoria organizacional das empresas.

*Felipe Silva Pinheiro e Bruno Maia são consultores de Auditoria Interna & Assessoria Financeira (IAFA) da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

A Controladoria-Geral da União (CGU) divulgou recentemente as 84 organizações reconhecidas na edição 2022-2023 do Empresa Pró-Ética, programa que incentiva as companhias a combaterem a corrupção.  

O recebimento deste selo é um reconhecimento valorizado no mercado, uma vez que identifica empresas que possuem programas de Compliance efetivos, e que trabalham promovendo a cultura de integridade nos negócios. No entanto, para recebê-lo, a organização precisa realizar planejamento e investimentos, além de dedicação de anos de trabalho de diversos profissionais.  

Entretanto, a dúvida que fica entre as empresas que buscam se adequar a esses parâmetros e, mesmo assim, não conseguem conquistar o reconhecimento, está relacionada ao que faltou para estar entre as organizações reconhecidas.  

Em primeiro lugar, para conquistar o reconhecimento de Empresa Pró-Ética, a empresa deve atender dez áreas de avaliação, alcançando pontuação igual ou superior a 70 pontos e, cumulativamente, atingir o mínimo de 40% em todas as áreas.  

Destas áreas, três se destacaram negativamente no grupo de empresas participantes, e contabilizaram menos de 45% de índice de sucesso, ou seja, são pontos que merecem atenção das organizações. São elas “VI – Controles para assegurar a Precisão e a Clareza dos Registros Contábeis e a Confiabilidade dos Relatórios e Demonstrações Financeiras”, “IX – Monitoramento do Programa de Integridade” e “X – Transparência e Responsabilidade Social”.  

O item VI, de controles internos, foi o que as empresas obtiveram as piores notas gerais, dado que apenas 41% das empresas conseguiram demonstrar o atendimento aos requisitos. Neste tópico são abordados a avaliação do processo de gerenciamento de riscos das organizações, independência da atividade da auditoria interna, objetividade, proficiência e devido zelo profissional dos auditores internos. 

Fica claro, portanto, a necessidade de as organizações comprometidas com a ética e o combate a fraudes e à corrupção estabelecerem estruturas de gerenciamento de riscos que contemplem a auditoria interna, seja na abordagem de avaliação ou de consultoria.  

Independentemente do porte e perfil da empresa, mostra-se determinante ter uma estrutura de auditoria interna cada vez mais empoderada e estratégica, atuando em sinergia com os objetivos de Compliance das corporações. Inclusive, para obter o reconhecimento de Empresa Pró-Ética. 

Nesse contexto, os resultados também mostraram o que impediu as organizações de conseguirem o selo, que foi o não tratamento adequado de questões relacionada à segregação de funções e aos limites de alçada. Neste item, apenas 26% das empresas atenderam os requisitos, sinalizando espaço para evoluir a maturidade dos controles internos. Na mesma linha, menos de 40% das organizações demonstraram capacidade de identificar receitas ou despesas fora do padrão, ou identificar sinais suspeitos. 

Contudo, por mais que os temas supracitados possam parecer complexos de serem corrigidos, atualmente existem softwares de análises de dados para apoiar nestas questões. Dentre essas ferramentas, podemos mencionar os softwares de analytics, que são capazes de suportar a atividade de auditoria interna e controles internos como um todo e, em alguns casos, eliminar a abordagem amostral, avaliando a população.  

Ações como essas, que trabalham com bases de dados cada vez mais complexas e pesadas, podem auxiliar na criação de um ambiente de controles internos, oferecendo garantia razoável de eficácia e eficiência do processo de gerenciamento de riscos. 

Por exemplo, não é necessário auditar todo o ciclo de contas a pagar para identificar pontos fora da curva (outliers), como compras por valores muito acima da média para o período. Do mesmo modo que não é mais necessário contratar um especialista em TI apenas para avaliar se há segregação de funções e alçadas de aprovação nos ciclos financeiros das empresas.  

Com as bases de dados corretas e completas é possível desenvolver fluxos no software de analytics e gerar mensalmente indicadores que ajudam, após analisados, na correção das lacunas identificadas de forma assertiva e tempestiva. 

Por fim, lembramos que o processo de melhoria contínua deve ser adotado, uma vez que as não conformidades identificadas pela Auditoria Interna devem ser tratadas, tendo responsáveis e prazos. Dessa maneira, corrigir lacunas de forma tempestiva é fundamental para mitigar os riscos de fraude e corrupção. 

*Jefferson Kiyohara é diretor de Forensics & Integrity | Compliance e ESG, e Gustavo Ferreira é gerente na área de Internal Audit & Financial Advisory, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

A importância da temática ESG (ambiental, social e governança, em português) é indiscutível entre executivos do mundo todo. E os números provam essa afirmativa: segundo estudo colaborativo que contou com a Universidade de Oxford, executivos da América do Norte, Europa e Ásia-Pacífico avaliaram essa agenda como extremamente relevante ou, de alguma forma, importante para o sucesso dos negócios na próxima década. A relação entre auditoria interna e ESG também ganha espaço.

Nesse contexto, a pesquisa revela uma crescente compreensão por parte das organizações sobre a necessidade de ajustes de procedimentos, de acordo com as melhores práticas de responsabilidade ambiental, social e de governança. No entanto, como as empresas podem se enquadrar aos desafios das diretrizes ESG em plena era do “Cisne Verde”, analogia que se refere a uma crise financeira causada pelas mudanças climáticas? 

Em primeiro lugar, precisamos considerar os serviços de auditoria interna e ESG nestas empresas. De acordo com o Instituto dos Auditores Internos (IIA), esta função ajuda a organização a “atingir seus objetivos, trazendo uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controle e governança”.  

Desse modo, há uma convergência natural entre a perspectiva dos auditores internos e os objetivos que permeiam o gerenciamento de riscos e os controles relacionados às dimensões ESG. Porém, há alguns percalços a serem superados para se ter sucesso nessas operações. 

De acordo com a AuditBoard, plataforma de gerenciamento de risco inteligente, entre os principais obstáculos está a chamada “síndrome de desamparo ESG”, que causa a inércia entre os auditores internos em relação ao tema. Essa síndrome representa uma resposta lenta e inadequada, semelhante à paralisação observada em muitos animais diante de uma ameaça iminente. 

Nesse contexto, o compartilhamento de objetivos, conhecimento e comunicação são elementos importantes para uma auditoria interna de alto valor agregado. Isso, com profissionais desempenhando o posto de provedores de garantia e consultores, capazes de mitigar riscos e criar cenários para o futuro da organização, adaptando-se aos contextos em constante mudança. 

Em vista disso, a gestão de riscos e os controles ESG emergem como um território pioneiro e desafiador, que conta com uma auditoria interna que enfrenta um ambiente complexo e caótico. Mas que, ao mesmo tempo, oferece a oportunidade para que esses profissionais ampliem suas funções convencionais, contribuindo para a construção de um programa ESG abrangente, que pode antecipar futuras auditorias independentes.  

Entretanto, os auditores internos ainda carecem de apoio e orientações adequadas em relação ao ESG, o que gera um ponto preocupante para mitigar riscos neste sentido. Com isso, algumas ações são desenvolvidas por organizações profissionais que estão dedicadas à padronização e à normatização de práticas em conjunção com as diretrizes ESG.  

Nesse âmbito, as empresas precisam estar preparadas para uma nova realidade, já que, em breve, enfrentarão cobranças ao buscarem crédito no mercado, ao contratarem seguros e ao serem analisadas por investidores, tendo em vista que essa é uma era repleta de riscos e oportunidades, a qual sinaliza o início da “Era do Cisne Verde”. 

Consequentemente, a demanda para os auditores internos tende a crescer rapidamente. Esse movimento oferece uma oportunidade única para o setor se posicionar como um agente de transformação. Com uma abordagem proativa, os profissionais podem não só garantir a conformidade com as práticas ESG, mas também moldar ativamente diferentes processos e estratégias que levem em consideração essa nova realidade. 

Nessa jornada, a auditoria interna tende a desempenhar um papel fundamental na minimização dos riscos associados ao ‘Cisne Verde’. Por meio da incorporação das perspectivas ESG, o setor é capaz de ajudar a antecipar e mitigar os efeitos disruptivos desses eventos, tornando-se não apenas um verificador de conformidade, mas também um catalisador para a resiliência e a adaptação. 

*Bruno Vaz é consultor pleno de Auditoria Interna & Assessoria Financeira da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

O vazamento de informações é uma das principais pautas entre gestores de TI e um dos maiores riscos que as empresas podem enfrentar e precisam tratar. Dados estratégicos, de clientes e de funcionários são exemplos de informações que, se vazadas, podem gerar prejuízos materiais, reputacionais e legais para organizações de qualquer porte. 

Sabendo que a mais significante das ameaças tecnológicas é a violação cibernética, que pode causar a exposição dos conteúdos, é muito comum ouvir falar de vazamentos de dados que ocorreram devido a algum ataque cibernético, viabilizado por meio da permissão de acesso externo às informações. Porém, a grande parte destes casos ocorrem internamente nas empresas e são protagonizados por pessoas mal-intencionadas que visam obter alguma vantagem com essa informação.  

Os dados pessoais têm se tornado cada vez mais valiosos porque, ao coletar informações, uma empresa ganha mais assertividade para oferecer os produtos certos ao cliente que tem mais afinidade em adquiri-los. E esse valor, que é de conhecimento interno, incentiva os mal-intencionados a vazarem os dados, prejudicando a organização.  

Como consequência desse cenário, medidas foram tomadas, como a criação, na Europa, da GDPR (General Data Protection Regulation), e, no Brasil, da Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020, que protege, por meio de regulamentos, os dados pessoais, e aplica sanções como advertências, multas simples ou diárias e até a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. 

Isso fez com que os processos se tornaram mais rigorosos dentro das empresas e medidas foram tomadas para aumentar o controle de acessos, a fim de evitar vazamento de informações, que são relacionados à ‘Segurança da Informação’.  

E para que estas práticas sejam bem aplicadas, algumas etapas podem ser executadas, tal como criar processos de atualizações para softwares e sistemas, definir políticas de segurança, não permitir a utilização de programas pirateados ou não confiáveis, monitorar a infraestrutura; treinar os profissionais com boas práticas de segurança da informação e monitorar frequentemente e-mails, documentos, nuvem e demais informações.  

Entretanto, é importante destacar que quando o acesso a essas informações é permitido, a responsabilidade pela prevenção ao vazamento passa a ter mais um dono: a ‘Gestão de Acessos’.  A prática acontece quando empresas concedem os acessos sem mapear as funções dos profissionais, espelhando perfis de outros usuários, ou ainda sem examinar se o exercício concedido pode gerar algum risco para o negócio. Como resultado dessa ação, colaboradores podem ter permissões incompatíveis com as funções que desempenham e, eventualmente, tirarem vantagem disso. 

Dessa forma, a aderência à LGPD envolve muito mais do que apenas ter políticas de privacidade e consentimento apropriados. É essencial que as empresas também foquem na implementação de controles internos, incluindo a gestão de acessos e  a segregação de funções (SoD), a fim de minimizar ações indevidas e, consequentemente, aumentar a proteção e conformidade destas informações. 

Em suma,  a SoD e a LGPD estão intrinsecamente relacionadas quando se trata da proteção dos dados sensíveis, uma vez que essa integração eficaz traz diversos benefícios para as empresas. Além de contribuir com a conformidade legal, essa abordagem fortalece a segurança dos dados, aumenta a confiança dos clientes e parceiros, evita danos à reputação e demonstra compromisso em proteger a privacidade das informações, oferecendo uma vantagem competitiva no mercado regulamentado. 

*Eduardo Maia gerente sênior de IT Risk Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

A Organização para a Cooperação e Desenvolvimento Econômico (OCDE) é uma associação intergovernamental que promove a cooperação entre países e parceiros estratégicos em áreas como comércio, investimento, inovação e governança corporativa, entre outras, buscando o desenvolvimento econômico e o bem-estar social. A adesão do Brasil à OCDE é um assunto de grande importância pelo potencial intrínseco de recebimento de investimentos internacionais, facilitação de exportações e aumento da confiança de investidores.

Porém, para que seja realizada, há uma série de exigências a serem cumpridas, como a adoção de instrumentos jurídicos e pré-requisitos estabelecidos pela própria OCDE, tendo como destaque a Governança Corporativa, um conjunto de valores, princípios e processos que visam garantir o funcionamento das organizações de forma ética e eficiente.

Para implementar tal prática, é necessária a supervisão das atividades da empresa, principalmente no âmbito interno, onde pequenas mudanças podem impactar enormemente o resultado. Dentro deste escopo está a auditoria interna, que pode ser pode ser composta por uma equipe própria ou terceirizada, e é responsável por avaliar processos de negócios e controles internos estabelecidos, identificar novos riscos e garantir a conformidade das atividades com as leis e regulamentações. Portanto, se apresenta como um elemento chave, tendo em vista que é ela quem gerencia os riscos das organizações de forma independente, objetiva e confidencial, gerando bases sólidas que servem para atender as expectativas de investidores.

As nações que adotam boas práticas de governança corporativa têm a necessidade de ter um sistema de auditoria interna desenvolvido e independente. E isso se faz presente no Brasil por meio de alguns órgãos, como a AGU (Advocacia-Geral da União), CGU (Controladoria-Geral da União), TCU (Tribunal de Contas da União) e outros, que buscam seguir as Normas do IIA (Institute of Internal Auditors).

A auditoria interna realizada por estes entes pode exercer um papel protagonista na avaliação da conformidade das políticas e dos procedimentos com as normas da OCDE, além de aprovisionar apontamento de oportunidades de melhoria. Isso porque essas organizações fiscalizadoras realizam atividades relacionadas à defesa do patrimônio público e ao incremento da transparência da gestão por meio de ações de auditoria pública, correição, prevenção e combate à corrupção e ouvidoria, sempre visando os cinco princípios da administração pública: legalidade, impessoalidade, moralidade, publicidade e eficiência.

Dessa forma, com uma prática madura de auditoria interna, a adesão do Brasil à OCDE pode contribuir para o fortalecimento da cultura de conformidade no país, sendo um bom caminho de redução de índices de corrupção e fraudes, uma vez que, ao identificar pontos críticos nas organizações, é possível recomendar planos de ações para reparar vulnerabilidades.

*Luiz Antonio Guedes da Silva é consultor de Auditoria Interna e Assessoria Financeira da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

Pesquisa Next-Gen IA 2023: os desafios que a Auditoria Interna enfrenta são claros para os executivos do setor: diante da escassez de novos talentos e de uma demanda cada vez maior para apoiar a transformação digital das empresas, o cenário exige da área um posicionamento cada vez mais estratégico. A pesquisa foi realizada pela Protiviti Inc.

A relevância da próxima geração de Auditoria Interna

Os desafios que a Auditoria Interna enfrenta são claros para os executivos do setor: diante da escassez de novos talentos e de uma demanda cada vez maior para apoiar a transformação digital das empresas, o cenário exige da área um posicionamento cada vez mais estratégico. Em meio a esse contexto, os Chief Audit Executives (CAEs) estão focados: é preciso aumentar a relevância da Auditoria Interna com o Conselho, Executivos e outras partes interessadas.  

Nas funções de Auditoria Interna, elevar a relevância e o valor entregue pelos times requer evolução e melhorias contínuas por meio de inovação e transformação. Os resultados da Next-Generation Internal Audit Survey (Next-Gen IA) de 2023 da Protiviti revelam também desafios paralelos, tais como a aquisição de novos talentos e a necessidade de avançar na capacitação tecnológica da área. Navegue a seguir pelos destaques da pesquisa, que ouviu mais de 550 executivos e C-levels do setor de Auditoria Interna.