Executar sua auditoria

Os documentos de auditoria são a principal evidência documental de testes de auditoria, discussões e observações. O gerenciamento de documentos de trabalho deve ser centralizado, automatizado e em tempo real para que a supervisão contínua da auditoria e a transparência estejam instantaneamente disponíveis. Neste artigo, discutimos como executar uma auditoria usando o aplicativo Projetos.

Este artigo ilustra como executar uma auditoria utilizando um fluxo de trabalho de plano de trabalho, que é útil para funções e equipes de auditoria de pequeno e médio portes. O fluxo de trabalho descrito neste artigo é adequado para auditorias diretas que consistem em um conjunto de etapas ou procedimentos que a equipe de auditoria executará e a documentação do resultado de cada etapa. Esta é uma abordagem, mas você pode obter os mesmos objetivos ou similares usando outros tipos de projeto.

O que significa executar uma auditoria?

A execução de uma auditoria envolve várias atividades, incluindo:

  • Realizar avaliações de risco.
  • Executar procedimentos.
  • Revisar e analisar evidências.
  • Documentar observações e problemas.
  • Elaborar conclusões e recomendações preliminares.
  • Consultoria com clientes e outros membros da equipe.

O resultado da execução de uma auditoria é a identificação e remediação de problemas.

Onde eu executo uma auditoria?

Você pode executar uma auditoria usando o aplicativo Projetos.

O panorama mais amplo

  • Modelos de projetos são usados como ponto de partida para criar uma ou mais auditorias e podem ser modificados conforme necessário.
  • Projetos são usados para documentar objetivos, riscos e procedimentos, documentar execução e capturar problemas.

  • Estruturas são usadas para estruturar e gerenciar as informações entre vários projetos. Você pode usar uma estrutura para sincronizar os mesmos objetivos, narrativas, riscos, controles e planos de teste entre vários projetos.

    Ao fazer alterações nos elementos acima em um projeto, você pode sincronizar essas alterações de volta com a estrutura à qual o projeto está associado, para que possa aplicar essas alterações a todos os outros projetos associados a essa estrutura. Isso é particularmente útil para auditorias que acontecem regularmente. Para obter mais informações, consulte Sincronizando projetos com Estruturas.

Em um projeto, o escopo do trabalho de auditoria é guiado por vários estágios e exibido em uma série de guias sequenciais.

Esses itens incluem:

  • Projetar atividades de planejamento.
  • Documentar execução.
  • Executar análises de garantia de qualidade do trabalho realizado.
  • Reportar resultados de auditoria e fornecer recomendações à administração.
  • Capturar e remediar problemas.

Etapas

Pronto para uma demonstração?

Vamos dar uma olhada mais de perto nesses recursos no contexto.

1. Configure seu projeto

A primeira etapa é compreender o melhor método de configurar dados no sistema, para que você possa gerar relatórios de forma adequada. Você pode criar projetos para definir objetivos, riscos e procedimentos, executar procedimentos e compilar informações para relatar propósitos. Você também pode configurar estruturas de marcação para mapear objetivos, riscos e procedimentos para pontos de dados contextuais relevantes (ativos, proprietários, entidades, etc.) e permitir relatórios sobre essas dimensões.

Dica

O aplicativo Projetos oferece várias bibliotecas de risco e controle (modelos de projeto) com conteúdo preenchido previamente para fluxos de trabalho específicos. Diversos modelos de projeto normalmente são usados para iniciar auditorias e criar modelos reutilizáveis. Esses itens incluem:

  • Modelos de Auditoria Interna (Operacional)
  • Modelos de Auditoria SOC/SSAE 16/ISAE 3402
  • Modelos de Auditoria interna (Controle Interno e Financeiro)
  • o modelo de Auditoria de Sarbanes-Oxley (SOX) (Estrutura COSO 2013)

Configurar um projeto

Você pode escolher entre dois tipos diferentes de fluxo de trabalho de projetos, dependendo de se suas auditorias são operacionais ou mais abrangentes (como SOX ou revisões ICFR). Depois de configurar um projeto, o Projetos automaticamente impõe um fluxo de trabalho simples na auditoria. Isso ajuda você a identificar procedimentos de auditoria relevantes e gerenciar problemas.

Exemplo

Cenário

Você é auditor de equipe responsável por uma auditoria de segurança física e quer começar a centralizar sua documentação de auditoria. O projeto será concentrado na segurança física do estoque de borracha, que é extremamente importante para sua organização, a Vandelay Industries.

Processo

Tópicos da ajuda Usando modelos de projetos

Como ponto de partida para criar seu projeto, você cria um projeto usando o modelo de projeto Revisão de Segurança das Instalações de Látex.

Resultado

O projeto é preenchido com uma lista de objetivos. Cada objetivo contém uma série de riscos e procedimentos.

Modelando a estrutura da sua entidade organizacional

As organizações são formadas por diferentes unidades de negócio, departamentos, locais, regiões e pessoas jurídicas. Você pode modelar sua empresa e estrutura de pessoa jurídica em seu processo de gestão de auditoria. Isso permite que você relate os resultados e problemas dos testes à gerência e ao comitê de auditoria.

Exemplo

Cenário

A Vandelay Industries é composta por diferentes regiões e locais. Você quer ser capaz de criar relatórios a partir de seções cruzadas diferentes da empresa e permitir que partes interessadas de todos os níveis da organização obtenha as informações necessárias. O comitê de Saúde e Segurança também solicitou seus próprios relatórios.

Processo

Tópicos da ajuda Configurando a marcação de entidades

Em Gerenciar Entidades, você modela a estrutura do seu negócio com base nas regiões geográficas e locais aplicáveis ao projeto.

Resultado

Você agora pode marcar projetos, objetivos, riscos, procedimentos e problemas para os pontos de dados contextuais relevantes e habilitar a geração de relatórios sobre essas dimensões.

Realizar uma avaliação de risco de auditoria

As organizações geralmente se envolvem em uma identificação e avaliação sistemática dos riscos. Avaliações de risco de auditoria fornecem o meio de avaliar riscos operacionais que afetam os negócios e de priorizar os riscos que devem ser mitigados primeiro. Você pode desenvolver um conjunto comum de critérios de avaliação que possa ser usado entre os segmentos em operação, entidades ou unidades de negócios e pontuar riscos operacionais com base na estrutura de pontuação definida.

Dica

Para evitar a pontuação manual dos riscos operacionais, você pode usar Drivers de Avaliação para automatizar diferentes avaliações de risco. Você pode vincular uma métrica criada no aplicativo Resultados a uma avaliação de risco no Projetos para informar a avaliação e preencher automaticamente as pontuações de risco inerente com base em intervalos de métrica predefinidos.

Exemplo

Cenário

Sua organização tem um processo de avaliação de risco operacional maduro e refinado e avalia o risco em duas dimensões (Probabilidade e Impacto) em uma escala de três pontos:

  • 1 - Baixo
  • 2 - Médio
  • 3 - Alto

Agora, você precisa avaliar a pontuação de risco inerente para determinar o risco bruto que a organização enfrenta se não houver controles ou outros fatores de mitigação estabelecidos.

Processo

Tópicos da Ajuda

Você captura as seguintes informações no projeto Revisão de Segurança das Instalações de Látex:

Risco 4-A: em caso de emergência, a segurança da instalação e as atividades podem ser interrompidas.

  • Impacto 2 – Médio
  • Probabilidade 2 – Média

Risco 4-B: o não atendimento aos requisitos de segurança durante uma inspeção pode resultar em multas ou outras penalidades, incluindo fechamento.

  • Impacto 1 – Baixo
  • Probabilidade 3 – Alta

Resultado

A avaliação de risco inerente está concluída.

2. Coletar, avaliar e documentar evidências

A coleta, avaliação e documentação de evidências envolve diversas atividades. As revisões de garantia de qualidade podem ser realizadas conforme o trabalho do projeto for concluído. Auditores sênior podem facilmente adicionar notas de orientação e comentários de revisão, além de atribuir outras tarefas para membros júnior da equipe. O Projetos envia e-mails e notifica automaticamente membros da equipe sobre tarefas a serem feitas e os envolve no processo de revisão.

Dica

Usando o Diligent HighBond para iOS ou Android, as equipes de auditoria podem ter acesso ininterrupto e em tempo real aos documentos, independentemente da localização física dos vários membros da equipe.

Procedimentos da Execução

Auditores podem registrar o resultado dos procedimentos que executaram. Conforme os procedimentos são executados, o Projetos agrega automaticamente os resultados de testes e problemas e calcula a garantia em tempo real.

Dica

Usando os aplicativos Projetos e Resultados, você pode vincular documentos de trabalho com análise automatizada para testes de eficiência e de população total. Com avaliações de risco realmente orientadas por análises baseadas nos dados reais da sua organização, a administração pode saber o estado exato do risco da sua organização a qualquer momento, sem precisar compilar vários relatórios e atualizações. As avaliações de risco consideram automaticamente os riscos inerentes e esforços de migração, fornecendo uma estimativa quantitativa do risco residual.

Exemplo

Cenário

Como resultado da avaliação de risco de auditoria, sua equipe identifica a necessidade de concentrar-se em garantir que os controles ambientais estejam disponíveis. Você precisa executar o procedimento associado com o Risco 4-A e com o Risco 4-B:

4-03: as instalações devem passar por inspeções periódicas dos bombeiros. Deficiências descobertas devem ser imediatamente resolvidas. Extintores de incêndio portáteis ou mangueiras fixas de incêndio estão disponíveis.

Processo

Tópicos da ajuda Executando procedimentos e testando controles

Na seção Resultados do Procedimento, você escreve suas observações e faz uma anotação sobre um extintor de incêndio vencido que encontrou. Você especifica Problemas Notados ao lado de Foram identificados problemas ao concluir esse procedimento?.

Resultado

A avaliação do procedimento é capturada:

Identifique Problemas

Auditores podem capturar e atribuir problemas sinalizados para remediação durante todo o processo de auditoria Eles podem delegar problemas aos proprietários para atualizar o status e os planos de ação relacionados. Eles também podem atribuir ações a qualquer parte interessada para facilitar o rastreamento, a captura de evidências e a resolução.

Exemplo

Cenário

Como o procedimento 4-03 falhou, você precisa anotar a exceção registrando um problema. Você quer adicionar o problema e o contexto pelo qual ele foi capturado em seus documentos de trabalho.

Processo

Tópicos da ajuda Registrando problemas

Você documenta o seguinte problema:

  • Título/Cabeçalho Extintor de incêndio vencido
  • Descrição Um extintor vencido foi encontrado ao lado da entrada Oeste da instalação.
  • Proprietário Gerente do Prédio
  • Tipo de Problema Ponto
  • Data de Identificação Data
  • Severidade Baixa
  • Publicado em Publicado em

Quando você terminar a auditoria dos extintores de incêndio, aprove e defina seu gerente como próximo revisor para aprovar seu trabalho.

Resultado

O problema é capturado. Posteriormente, a Auditoria pode revisar o plano de remediação e documentar os resultados do novo teste para determinar se a deficiência foi ou não realmente remediada.

Registrar o tempo

Os gerentes podem usar o aplicativo Quadros de Horário para medir o desempenho de recursos individuais por utilização. Eles podem obter percepções sobre os recursos agendados alocados para um determinado projeto, incluindo o número de horas trabalhadas Eles também podem medir a rentabilidade geral e o retorno sobre o investimento (ROI) de um projeto específico e gerar relatórios.

Exemplo

Cenário

Você precisa registrar o tempo gasto inspecionando os extintores de incêndio no prédio. Você quer adicionar a entrada de horário nos seus documentos de trabalho.

Processo

Tópicos da ajuda Registro do tempo

Você rapidamente captura a seguinte entrada de horário sugerida, baseada em sua atividade recente:

  • Data 07/11/2018
  • Horas 1
  • Descrição Inspeção do extintor de incêndio

Resultado

A entrada de horário é capturada:

Gerenciar solicitações

A qualquer ponto durante o ciclo de projeto, os auditores podem enviar e rastrear todas as solicitações de clientes no Projetos para manter todos os segmentos de comunicação e itens solicitados organizados. Você também pode configurar o Projetos para enviar periodicamente avisos automáticos para lembrar os participantes do projeto sobre solicitações pendentes.

Exemplo

Cenário

Você está pronto para executar o seguinte procedimento:

3-02: nos fins de semana, apenas as principais entradas das instalações (Sul 1 em Denver (DV1)) e Sul 2 em Los Angeles (LA1)) devem permitir a entrada com cartão de chave.

Antes de executar esse procedimento, você precisa revisar os logs de acesso às instalações com cartão de chave. Você quer enviar uma solicitação para os logs de acesso para poder proceder com a execução do procedimento.

Processo

Tópicos da ajuda Adicionando solicitações

Você captura o seguinte item de solicitação no painel de Solicitações:

  • Solicitante seuNome
  • Descrição Envie-me os logs de acesso para que eu possa analisá-los.
  • Proprietário Gerente do Prédio
  • Enviar agora selecionado
  • E-mail e-mail
  • Prazo 27 de julho de 2018

Resultado

O item de solicitação é capturado e uma notificação é enviada para o Gerente do Prédio. O Gerente do Prédio então pode exibir a solicitação e carregar os logs de acesso solicitados.

3. Gerenciar a remediação de problemas

O gerenciamento de problemas, acompanhamento e remediação são o resultado principal das auditorias. A fase de remediação envolve gerenciar o ciclo de vida dos problemas e obter respostas da administração aos problemas. Você pode identificar, catalogar, avaliar e dividir problemas em ações corretivas. Você também pode resumir os problemas em temas maiores para fins de relatório.

Definir planos de remediação

Auditores normalmente trabalham com a gerência para garantir que as respostas aos problemas sejam adequadamente definidas e abordar causas raiz. Ao atribuir problemas ao proprietário apropriado, os proprietários de problemas podem inserir suas próprias respostas de gerenciamento ou planos de ação, declarar quem é responsável, o que farão e o prazo para conclusão.

Exemplo

Cenário

Você precisa registrar um plano de remediação para abordar as questões do plano de segurança contra incêndio e registrar uma ação como medida de acompanhamento.

Processo

Tópicos da Ajuda

Na subguia Acompanhamento e Remediação, você especifica o Status de Remediação como Aguardando Resposta da Administração. Como parte do plano de remediação, você especifica orientações para a administração revisar o plano de segurança contra incêndio e garantir que todos os requisitos sejam atendidos. Finalmente, você cria duas ações para abordar o problema.

Resultado

As ações são capturadas:

Teste novamente e encerre os problemas

Os auditores podem acompanhar o gerenciamento, retestar problemas e registrar quaisquer pontos subsequentes. Eles podem especificar se o problema foi realmente remediado ou não e relatar ao comitê de auditoria sobre o status das atividades de correção.

Exemplo

Cenário

As duas ações são cumpridas. O extintor de incêndio foi substituído e a administração revisou o plano de segurança contra incêndio. Você inspeciona novamente os extintores de incêndio e percebe que foram substituídos e você nota que a administração revisou o plano de segurança contra incêndio e garante a conformidade.

Processo

Tópicos da Ajuda

Você documenta os resultados do novo teste para confirmar que o problema foi realmente remediado:

Visão Geral dos Resultados do Novo Teste

Os extintores de incêndio foram inspecionados e substituídos e o plano de segurança contra incêndio foi revisado.

Então, você encerra o problema e as ações:

Resultado

Os resultados do novo teste são capturados e os itens são encerrados e estão prontos para geração de relatório.

O que fazer em seguida?

Saiba como monitorar e comunicar resultados

O aplicativo Resultados é usado para identificar e gerenciar exceções, coletar informações dos participantes para contextualizar dados e visualizar dados para destacar tendências, padrões ou valores discrepantes. Em seguida, você pode apresentar várias visualizações e conteúdo em rich text em uma única apresentação usando o aplicativo Storyboards.

Para saber mais, consulte Monitorando e comunicando resultados.

Inscreva-se em um curso da Academia

Continue adquirindo conhecimento sobre os conceitos introduzidos neste artigo fazendo o caminho de aprendizado PROJ 100.

A Academia é a central de recursos de treinamento on-line da Diligent. Os cursos da Academia são disponibilizados gratuitamente para qualquer usuário com uma assinatura do Diligent One. Para obter mais informações, consulte Academia.