Nos últimos anos, a evolução do cenário tecnológico tem impactado diretamente as práticas de Governança, Risco e Conformidade (GRC). Com a transição para soluções baseadas em nuvem, revisar a Matriz de Controles Internos de Tecnologia da Informação (ITGC) tornou-se essencial para empresas sujeitas a regulamentações da SEC ou CVM. Neste guia, exploraremos estratégias-chave para otimizar sua abordagem de ITGC em um ambiente de computação em constante evolução.

1. Migração para SaaS e Cloud: Com aproximadamente 85% do mercado de software previsto para estar baseado em SaaS até 2025 (fonte: grandviewresearch.com), a migração para soluções de nuvem é inevitável. Ao revisar sua Matriz de ITGC, é fundamental reconhecer e avaliar os controles de terceiros em plataformas de nuvem para garantir uma cobertura abrangente e eficaz.
2. Terceirização de Infraestrutura e Cloud Computing: A consolidação dos principais provedores de nuvem, como Amazon Web Services (AWS), Google e Microsoft Azure, transformou a paisagem da infraestrutura de TI. Ao revisar a Matriz de ITGC, é essencial considerar como os controles nessas plataformas de nuvem são gerenciados e monitorados para garantir a segurança e a conformidade dos dados.
3. Adaptação aos Padrões de Auditoria: Os padrões de auditoria reconhecem a importância dos controles de terceiros e permitem o uso do "work of others" como parte dos procedimentos de auditoria. Recomenda-se buscar relatórios de auditoria de terceiros, como SOC Reports, emitidos por empresas respeitadas. Esses relatórios fornecem insights valiosos sobre a eficácia dos controles de segurança implementados pelos provedores de serviços de nuvem.

Conclusão: A revisão da Matriz de ITGC em um ambiente de computação em nuvem exige uma abordagem adaptativa e proativa. Ao reconhecer as mudanças no cenário tecnológico e as implicações para os controles internos de TI, as empresas podem garantir uma governança eficaz e mitigar os riscos de segurança da informação. Ao adotar uma abordagem baseada em terceiros e utilizar os recursos disponíveis, como SOC Reports, as organizações podem otimizar seus processos de auditoria e manter-se alinhadas com as melhores práticas de GRC.

Este guia foi elaborado com base nas informações fornecidas pelo autor @carlosgomes10, especialista em GRC e Compliance.

‍