Escrito por Brian Tremblay, em 11 de janeiro de 2023

A regra proposta pela SEC sobre divulgação de cibersegurança tem implicações tanto para o conselho quanto para a auditoria interna.

A Comissão de Valores Mobiliários dos EUA tem uma proposta de regra de divulgação de cibersegurança para empresas públicas e, se você não a leu (deveria!), há uma ótima folha informativa a respeito no site da SEC.

Embora certamente haja muito a cobrir, quero me concentrar estritamente neste requisito: "Experiência em cibersegurança do conselho de administração, se houver, e sua supervisão do risco de cibersegurança".

Mas por que começar por esse item? Simplificando, se o conselho (e a alta administração) não tiver os recursos ou o acesso aos recursos necessários nesse ambiente, o restante pode estar fadado ao fracasso. E, olhando para os outros requisitos (divulgação de incidentes cibernéticos materiais, papel da gestão em políticas e procedimentos adequados, etc.), não sei como a auditoria interna pode se sentir confortável se o conselho não estiver devidamente equipado neste tópico.

De uma forma mais complexa, essa regra provavelmente coloca (ou deveria colocar) a auditoria interna na posição de prestar avaliação sobre essa divulgação e, por padrão, sobre o requisito de expertise do conselho. Isso gera mais perguntas a serem consideradas.

Pergunta 1: Como a auditoria interna prestará avaliação sobre esses tópicos, se também não tiver o conhecimento adequado de cibersegurança?

Vamos apenas reconhecer que a cibersegurança é um tópico complexo. Embora eu certamente nunca peça ou espere que um auditor interno seja especialista em cibersegurança, acho que entender o risco tecnológico é um mandato para todos os auditores internos atualmente. Basicamente, o risco tecnológico é bem consistente em qualquer dispositivo ou sistema. Seja seu iPhone, seu termostato da Nest, sua campainha inteligente da Ring ou qualquer uma das dezenas (ou centenas) de tecnologias em sua empresa, todas elas estão sujeitas a um conjunto consistente de riscos. Aprender e entender esses riscos permitirá que você os aplique a praticamente qualquer tecnologia. Embora seja um assunto para outro dia, uma visão rápida desses riscos inclui configurações, código, interfaces e mais. Cada risco, em última análise, tem o mesmo resultado: acesso inapropriado e/ou alterações não autorizadas na tecnologia.

O IIA tem muitos recursos e treinamentos para ajudar e, é claro, também há muitos outros recursos e consultores. Um lugar muito simples para começar é o Departamento de Segurança Interna dos EUA, que tem uma série de informações e recursos disponíveis.

Pergunta 2: Como a auditoria interna, em particular o CAE, questionará o conselho, para garantir que tenham o conhecimento adequado, ou o acesso a ele?

Embora ser capaz de responder à primeira pergunta seja um excelente ponto de partida, não é suficiente para um CAE e sua equipe. Conforme o CAE se envolve com o conselho neste tópico, inevitavelmente (espero) obterá muitas respostas e informações para processar. Não aceite apenas a palavra do conselho. Valide. Questione. Não tenha medo de pedir mais informações, se algo não estiver claro.

Eu também sugeriria estar pronto para certo nível de escalonamento para o CISO, CIO ou talvez até para um terceiro a quem o conselho recorra neste tópico. Embora uma interpretação da regra proposta pela SEC seja que o próprio conselho deve ter um certo nível de expertise, parte dessa expertise divulgada pode vir do envolvimento com verdadeiros especialistas em cibersegurança, para garantir que quaisquer déficits de conhecimento sejam resolvidos. Os conselhos podem não ser capazes de lidar com isso de outra forma, a menos que a maioria dos membros venha do campo da tecnologia e segurança.

Pergunta 3: O que acontece se surgirem conflitos sobre a expertise do conselho?

Há momentos em que os auditores internos precisam ser corajosos, e esse pode muito bem ser um deles. Quando falo com os membros do conselho em minha rede, aqueles que considero engajados costumam me contar sobre momentos em que seus CAEs não estão sendo corajosos e não estão se expressando. E, embora levantar preocupações sobre as qualificações do conselho possa deixar um CAE nervoso, os melhores conselhos podem esperar que você faça justamente isso. O CAE deve ter tato ao fazê-lo. Em meu tempo como CAE, uma das minhas melhores práticas foi trazer soluções sugeridas para desafios como esse, mas um conselho engajado provavelmente também espera que o CAE levante preocupações. Por quê? Porque sabem o valor da auditoria interna. Se o conselho brigar com você, não parecer engajado ou nem mesmo se importar, eu pensaria muito não apenas sobre a expertise cibernética de seu conselho, mas também se eles próprios são um risco para o sucesso de sua organização.

A expertise cibernética do conselho é apenas uma pequena parte da proposta da SEC. No entanto, o "tone at the top" é extremamente importante e define o cenário de como sua organização provavelmente estará preparada para o conjunto de outros requisitos desta proposta. É uma área na qual a auditoria interna pode e deve desempenhar um papel importante. As implicações da proposta da SEC também servem como lembrete do que deveríamos fazer mais como auditores internos — construir relacionamentos, ser objetivos e, o mais importante, ser corajosos.

Copyright © 2023 de The Institute of Internal Auditors, Inc. (“The IIA”).  
Todos os direitos reservados.  
   
Foi obtida permissão do detentor dos direitos autorais, The IIA, 1035 Greenwood Blvd., Suíte 401, Lake Mary, FL 32746, EUA, para publicar esta reprodução, que é igual ao original em todos os aspectos materiais, a menos que aprovada como alterada. 
   
Este documento foi traduzido por INSTITUTO DOS AUDITORES INTERNOS DO BRASIL em 18 DE JANEIRO DE 2022.