É importante que possamos ter um entendimento claro sobre os conceitos e diferenças existentes entre os dois tipos de auditoria (interna e externa). Mais essencial ainda é entendermos em termos práticos como as atividades delas são desempenhadas.
Para isso, resolvi tratar sobre a Auditoria Interna (Processos) trazendo para você quais são as etapas existentes nesse tipo de auditoria.
Com o objetivo de deixar seu entendimento sobre o assunto o mais claro e fácil possível resolvi que seria interessante mostrar o ciclo da auditoria interna através de um infográfico (que eu mesmo desenvolvi!). Confira o mesmo abaixo:
Ciclo da Auditoria Interna
A - Mapear Os Processos
A primeira etapa de um trabalho de auditoria interna consiste em mapear os processos existentes internamente na empresa.
Mas o que significa mapear?
Em termos bem simples, o mapeamento significa desenhar determinado processo existente na empresa demonstrando cada passo dessa operação como entradas, saídas e ações. Podemos visualizar através do exemplo abaixo:
- Crédito: Blog Iprocess
Na ausência de uma área interna especializada em mapeamento de processos o mesmo é realizado pelo próprio auditor ou departamento de auditoria interna, pois este já possui uma visão ampla da empresa em função de seu relacionamento com todas áreas da organização.
B - Identificar os Riscos (R1, R2, R3, ...)
Depois de mapeados, os processos são analisados pelo auditor interno/profissional da auditoria interna para identificar todos os riscos existentes naquele processo.
Mas exatamente como é feita esta identificação de riscos?
Consiste em analisar cada passo do fluxo, cada tarefa desempenhada, cada objetivo existente no processo e tentar encontrar as possíveis falhas existentes que possam por em risco as operações da empresa.
Por exemplo, tomemos o processo ilustrado acima. Este é um processo de compra de mercadorias para a empresa e uma das tarefas identificadas é o de realizar cotação do material a ser adquirido.
Podemos identificar a ausência de algumas atividades essenciais no processo como: Foram realizadas três cotações? Quem verifica? Quem Aprova?
O risco identificado é o de serem aprovadas compras sem terem sido feitas as devidas cotações e acabar sendo escolhida aquela que é a mais custosa para a empresa.
É importante que TODOS os riscos devam ser identificados em cada processo.
C - Identificar Atividades De Controles (AC1, AC2, AC3, ...)
A parte de identificar as atividades de controle consiste em analisar o processo, identificar os riscos que ele possui e identificar se existem controles que diminuam a possibilidade desses riscos acontecerem.
Em nosso exemplo podemos identificar como Atividade de Controle o fato de "avaliar a solicitação de compra" porque este é um controle que minimiza a ocorrência de escolha por produtos que não possuem os preço compatíveis com o mercado.
Deve o auditor ou auditoria interna identificar todos os controles existentes no processo.
D - Elaborar Um Checklist
Com base nos riscos e controles identificados no processo elabora-se um checklist (programa de auditoria interna) para testar os controles existentes no processo fluxo.
Por exemplo, identificamos que existe o controle de avaliar a solicitação de compra. O checklist deve conter um passo para verificar os documentos que comprovam que essa avaliação foi realizada.
É importante salientar que o check list deve contemplar atividades de auditoria para testar todos os controles identificados no processo.
E - Obter Evidências De Que O Processo Está Sendo Seguido
Esta é a parte em que será desenvolvido um trabalho in loco, onde o auditor deve aplicar o checklist na área correspondente com o objetivo de obter o máximo de evidências que comprovem que o processo está sendo seguido da forma que deveria.
Entendemos por evidências todo tipo de material, documentos ou prova gerados através das atividades de um processo como por exemplo: relatórios de conciliação, documentos de aprovação, documentos de baixa (estoques), notas fiscais, contratos, etc.
É importante que o Auditor ou o profissional que está desenvolvendo a auditoria obtenha o maior número possível de evidências. As evidências serão utilizadas pelo auditor como base para formar uma opinião sobre o nível de segurança dos controles internos analisados/auditados.
F - Relatar Não-Conformidade Com O Pessoal Da Área
Após realizado o trabalho de obter todas as evidências possíveis, que comprovem o cumprimento das atividades de um processo, podem ser identificadas etapas do processo que não estão sendo seguidas.
Estas etapas nós chamamos de Não-Conformidade e devem ser levadas até o pessoal da área envolvida para que este tome conhecimento do não cumprimento das atividades do processo.
Para seguir uma linha de entendimento vamos usar como exemplo o mesmo processo de compra já analisado acima. O processo mostra que após a cotação é feita uma avaliação da solicitação da compra, mas quando o auditor verifica in loco como a tarefa é realizada ele identifica que na verdade não é feita nenhuma análise sendo a compra feita imediatamente após o processo de cotação de preço.
Está identificada uma Não-Conformidade, pois foi verificado que o processo que está mapeado e que deveria ser seguido na verdade não está sendo.
Então, quando forem levantadas todas as Não-Conformidades identificadas no processo a auditoria interna deve relatar ao pessoal da área que o processo pertence (no nosso exemplo, o pessoal da área de compras).
G - Receber Plano De Ação (5W2H)
A forma de relatar a Não-Conformidade deve ser principalmente através de envio de um Plano de Ação (5W2H) para o responsável da área auditada.
(Se você não sabe o conceito de 5W2H sugiro que leia um artigo muito interessante sobre o assunto em http://www.sobreadministracao.com/o-que-e-o-5w2h-e-como-ele-e-utilizado/)
O Plano de Ação pode ser um modelo simples como este:
- Plano de Ação (5W2H)
A área deve responder devolvendo o Plano de Ação à Auditoria Interna com os tópicos devidamente preenchidos que são:
O Que Fazer: A área relata o que irá fazer relacionado à não-conformidade apontada. Ex: Instituir uma pessoa para analisar o processo de compra e dar aprovação (gestor da área);
Quem: Que irá fazer essa mudança. Ex: Gestor da área de compras;
Quando: Estipular uma data para dar início a atividade. Ex: A partir do mês X;
Onde: Setor ou Área onde será aplicada a atividade. Ex: Compras;
Porque: Motivo da aplicação dessa atividade. Ex: Propiciar segurança na escolha do melhor preço;
Como: Deve ser relatado como será aplicado o processo. Ex: O profissional realiza o processo de cotação e envia a documentação para o superior da área que irá analisar e dar o aceite ou não.
Quanto: Aqui relata-se o custo que pode estar envolvido para aplicação do método. Ex: Nesse caso não haverá custo.
H - Follow-Up Dos Planos De Ação
O ciclo se encerra com o acompanhamento de cada Plano de Ação, onde após a data informada pela área o auditor retorna ao setor para verificar se as medidas propostas foram implantadas e o processo está sendo seguido da melhor maneira.
O Auditor deve realizar esse acompanhamento do cumprimemento das ações para todos os Planos de Ação que receber das áreas, identificando aqueles que se adequaram e adequaram seus processos e aqueles que passada a data informada ainda estão apresentado as Não-Conformidades apontadas lá no primeiro momento.
Estas são as etapas presentes em um trabalho de Auditoria Interna baseada nos processos da organização. Através deste infográfico que apresentei espero ter explicado de uma forma bem simples e clara o Ciclo da Auditoria Interna para que te ajude a implantá-lo em sua empresa ou apenas sirva de conhecimento e crescimento profissional.
