Auditoria: Maquiando as aparências, disfarçando as evidencias

Li um artigo sobre o tema e como auditor e como consultor encontro empresas que atuam para atender a auditoria única e exclusivamente.

Quantas empresas aguardam a proximidade da data de auditoria para revisar todos os controles e evidencias para resolver problemas e mascarar os problemas recorrentes da organização.

Algumas empresas alinham a revisão de documentação como politicas, processos e procedimento para a data da auditoria, a execução do teste de PCN ou DR, entre outras atividades sempre em função da auditoria.

Quando me deparo com essas situações logo penso e se a empresa não necessitar continuar com a auditoria?

Isso diz muito sobre como enxergamos o mundo a nossa volta, fazemos alguma coisa apenas porque somos obrigados a fazer, isso em qualquer situação, pessoal, profissional ou corporativamente.

O termo ética e compliance está muito em evidencia no momento atual.

Não estou dizendo que essa atividade de força tarefa para revisar e corrigir algum problema é ruim ou que não deve ser feito, até porque o investimento é relativamente alto, principalmente quando se trata de certificação como PCI, ISO, SOX, entre outras, nenhuma empresa deseja ser penalizada ou mesmo perder uma certificação.

O que estou dizendo e crítico, são as empresas que criam a cultura de apenas realizar a faxina em pré-auditoria isso acomoda os funcionários e colaboradores a responderem apenas de acordo com a agenda de auditorias.

O processo de encerramento da auditoria não deve ser visto como uma conquista simplesmente, na verdade todos os problemas encontrados na força-tarefa pré-auditoria deveriam ser analisado como a incidência de um problema de continuidade de uma operação e analisar a causa raiz do problema e discutir como não deixar acontecer novamente.

Já falamos diversas vezes, mudança de cultura da organização, mudança de pessoas, conscientizar a todos que trabalhamos para continuidade da operação da organização e não para apenas para atender a auditoria.

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *