Qual o maior desafio que as empresas enfrentam na gestão de auditorias? Inicialmente, poderíamos pensar que o maior desafio é conhecer a fundo o negócio. Mas não. Segundo uma pesquisa recente, realizada com 832 membros de comitês de auditoria, 41% dos entrevistados afirmaram que a eficiência dos seus programas de gestão de risco é o que o mais os preocupam. Entre eles, apenas 38% disseram que suas empresas contam com um sistema de gerenciamento de risco robusto, e 42% ressaltaram que seus sistemas exigem muito esforço.
A maior parte dos entrevistados está tentando compreender melhor o funcionamento de suas empresas e os riscos associados, sendo que 39% afirmaram que esse conhecimento melhoraria a eficiência do comitê. Além disso, 31% disseram que suas tarefas poderiam ainda ser melhor executadas se os comitês contassem com expertise em segurança cibernética e tecnologia, principalmente para o gerenciamento dos riscos cibernéticos.
Pessoas e habilidades corretas, na hora certa
As equipes de gestão de auditorias geralmente não contam com uma única pessoa que reúna todas as habilidades necessárias – capacidade analítica, conhecimento do negócio, boa comunicação, integridade, coragem, capacidade de gerenciar conflitos, entre outros. E como realmente é difícil encontrar um recurso que reúna todas essas habilidades e capacidades, a melhor estratégia é formar uma equipe onde todas essas características sejam contempladas, seja oferecendo treinamento ou recrutando reforços.
Voltando à pesquisa, para os comitês de auditoria, expertise é um valor em alta e pouco mais da metade disse ter tempo e conhecimento suficientes para lidar com os crescentes riscos ao mesmo tempo em que executam outras tarefas essenciais de supervisão. Esses riscos incluem conformidade, relações com terceiros, segurança cibernética, mercados emergentes e governança de TI.
Os maiores riscos cibernéticos
Entre os maiores desafios enfrentados na gestão de auditorias, em relação à segurança cibernética, os entrevistados destacaram:
- Cultura organizacional e conscientização do usuário – 31%
- Manter os sistemas atualizados – 31%
- Gestão das vulnerabilidades de terceiros/parceiros – 24%
- Expertise – 22%
- Monitoramento e reporte de ameaças cibernéticas (dashboards) – 21%
- Riscos internos (usuários) – 2-%
- Resposta e remediação a violações – 19%
O uso da tecnologia na gestão de auditorias
A pesquisa aponta que os comitês estão direcionando as auditorias internas para os riscos críticos para o negócio, como segurança cibernética, e seus controles – e não apenas focando na conformidade e riscos financeiros.
Atualmente, não é mais possível pensar na gestão de auditorias sem o uso de ferramentas que coletem, integrem e analisem dados e os apresentem em dashboards amigáveis, de fácil compreensão mesmo por pessoas não especialistas em TI.
Mas, como apontado anteriormente, nem sempre é fácil encontrar recursos com expertise em segurança cibernética e governança de TI e também na análise de dados. E contratar cientistas de dados requer um alto investimento.
A melhor estratégia é contar com parceiros que ofereçam a tecnologia e expertise necessárias para oferecer uma visão real do grau de exposição do seu ambiente de TI. Uma plataforma de SOAR (Security Operations, Analytics and Reporting), como o GAT, oferece suporte à gestão de auditorias, automatizando o fluxo de segurança e gerando relatórios, fornecendo insights personalizados para o negócio, o que permite uma melhor tomada de decisão.
