O escândalo da Equifax, que deixou expostos os dados pessoais de quase metade da população dos EUA, continua servindo de lição para os profissionais de auditoria interna, outros profissionais de gerenciamento de riscos e partes interessadas (Stakeholders) das organizações.

O acordo recente entre a Equifax e oito estados americanos, que entraram em Juízo após a enorme violação de dados da agência de informações de crédito, sinaliza o fim desses processos legais. Mas acredito que seus detalhes também sirvam como uma enfática declaração da importância da auditoria interna: um sistema sólido de gerenciamento de riscos e controles internos deve incluir uma função de auditoria interna independente e com recursos adequados, que aborde todo o portfólio de riscos da organização.

Na verdade, escândalos desde a Volkswagen até o Wells Fargo e a Equifax aumentaram a conscientização de que todos os participantes do gerenciamento de riscos devem igualmente trabalhar de forma coletiva para atingir o sucesso. No fim das contas, sempre há consequências quando os principais componentes dos sistemas de gerenciamento de riscos fracassam.

O termo de ajuste de conduta da Equifax reflete essas consequências, que serão encaradas pela agência de informações de crédito, resolvendo as deficiências da auditoria interna e da supervisão por parte do conselho e da administração. Uma rápida leitura do acordo sugere que os representantes bancários e o público consumidor preocupam-se com a possibilidade de que a Equifax não tenha feito o suficiente para auditar seus controles de TI.

Seu pedido de rápida ação – dentro de 30 dias –, para que o comitê de auditoria supervisione o estabelecimento de um programa de auditoria "capaz de avaliar de forma efetiva os controles de TI", reflete uma clara falta de confiança no que estava sendo feito antes. E seu apelo pela melhoria da supervisão do programa de segurança da informação por parte do conselho e da administração, dentro de 90 dias, também retrata de forma indiscutível condições inferiores ao desejável.

Em ambos os casos, o termo de ajuste de conduta lista ações específicas a serem tomadas dentro dos prazos, tão detalhadas quanto em qualquer plano anual de auditoria. Seções adicionais do termo exigem ações quanto à gestão dos fornecedores, de patches e das operações de TI no que tange à recuperação de desastres e à continuidade dos negócios.

O que podemos concluir a partir disso?

Sinais para os Profissionais

A auditoria dos controles de TI, embora possa intimidar, não pode ser negligenciada pela auditoria interna ou pelo comitê de auditoria. No século XXI, falhas nos controles de TI quase certamente terão consequências – financeiras e reputacionais.

O IIA publicou um Global Technology Audit Guide, no início deste ano, que oferece orientações e insights sobre a abordagem da auditoria interna à auditoria da governança de TI. Seu sumário trata da importância da participação ativa da auditoria interna na avaliação e na supervisão de TI.

"A governança efetiva de TI contribui para a eficiência e efetividade dos controles e permite que o investimento da organização em TI traga benefícios financeiros e não financeiros. Muitas vezes, quando os controles são mal projetados ou deficientes, a causa raiz é uma governança de TI fraca ou `não efetiva."

Sinais para os Stakeholders

A participação em um comitê de auditoria ou em um comitê de tecnologia não é um ato passivo. As organizações não podem ter membros no conselho que aguardem respostas da gerência e da auditoria interna. Eles devem estar envolvidos o suficiente para fazer as perguntas difíceis. Se você não entende, se está sobrecarregado por relatórios ou se está simplesmente confuso, peça esclarecimentos à gerência ou à auditoria interna.

O termo de ajuste de conduta fez-me pensar na metáfora muito usada sobre o copo estar meio cheio ou meio vazio. É tentador analisar cada palavra do termo para tentar fazer uma análise pós facto da violação da Equifax. Essa seria a abordagem do copo meio vazio.

Em vez disso, sou mais inclinado à abordagem do copo meio cheio. O mesmo parágrafo que requer um plano de auditoria capaz de avaliar TI com efetividade também requer conformidade com o Estatuto de Auditoria Interna, "que exige conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna". Essa afirmação é um dos sinais mais importantes de todos.

Executivos dos oito estados que assinaram o termo – Alabama, Califórnia, Georgia, Maine, Massachusetts, Nova York, Carolina do Norte e Texas – reconhecem e entendem o valor e a importância das Normas do IIA. Vale enfatizar também que o termo identifica a avaliação dos controles de TI por parte da auditoria interna e a supervisão devida por parte do comitê de auditoria como solução para os problemas de TI da empresa. Esta conclusão corrobora uma das principais mensagens do IIA: a auditoria interna é essencial para a boa governança e a boa governança é essencial para proteger e melhorar o valor da organização.

Não é de surpreender que o reconhecimento da auditoria interna seja a pedra angular da estratégia de promoção do IIA norte-americano. O IIA continua pressionando para que a Comissão de Valores Mobiliários dos EUA facilite para que o público saiba se as empresas de capital aberto têm uma função de auditoria interna em vigor. Em termos mais simples, o IIA acredita que o público é melhor atendido quando sabe que a auditoria interna está em ação, avaliando a eficácia do processo de gerenciamento de riscos da organização.

Espero que isso se torne realidade na Equifax daqui para frente.

Como sempre, aguardo seus comentários.

Divulgação:

Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve um blog semanal para o InternalAuditor.org sobre questões e tendências relevantes para a profissão de auditoria interna.

Tradução: IIA Brasil

Revisão Técnica da Tradução: Antonio Carlos Saraiva, CIA, CCSA, CRMA.