No decurso de uma auditoria interna em uma instituição federal de educação, a área de auditoria teve acesso a documentos contendo dados pessoais sensíveis de estudantes, tais como histórico acadêmico, dados de renda e documentos de identificação pessoal. Os auditores também acessaram informações estratégicas da instituição, que incluem dados financeiros, planejamento de investimentos e convênios. Após a conclusão do trabalho, um dos auditores da equipe foi realocado para outra área da instituição. Esse auditor mantivera, em seu dispositivo pessoal de armazenamento, (laptop), cópias de relatórios e planilhas com essas informações confidenciais, “para consulta futura”. Posteriormente, esse dispositivo foi danificado e os dados se tornaram potencialmente acessíveis a terceiros.
À luz dos requisitos abordados nas Normas Globais de Auditoria Interna (The IIA, 2024), especificamente no item 5.2 – Proteção das Informações, a evidência de não conformidade diretamente violada pela atuação desse auditor interno é: