Programa de auditoria ou plano de auditoria
Um programa de auditoria, também chamado de plano de auditoria, é um plano de ação que documenta quais procedimentos um auditor seguirá para validar se uma organização cumpre os regulamentos de conformidade.
O objetivo de um programa de auditoria é criar uma política que seja suficientemente detalhada para que qualquer auditor externo consiga compreender quais testes oficiais foram executados, quais conclusões foram tiradas e qual o raciocínio por trás de cada uma delas.
Essa política deve explicar os objetivos da auditoria, seu escopo e seu cronograma. O programa de auditoria também deve descrever como os documentos de trabalho - a evidência documentada da auditoria - serão coletados, revisados e relatados.
Objetivos do programa de auditoria
Ao desenvolver um programa de auditoria, o auditor interno e sua equipe devem começar delineando os objetivos, as metas e obrigações.
Os objetivos do programa ajudam no planejamento direto do relatório de auditoria e são baseados nas políticas, procedimentos e diretrizes da empresa. Essas metas podem estar relacionadas e descrever como os auditores manterão a eficiência, o profissionalismo e um código de conduta específico durante o procedimento de auditoria.
Além das políticas de conformidade regulatória relevantes, os objetivos dos programas de auditoria devem considerar aspectos como prioridades de gestão, intenções de negócios, requisitos do sistema, estrutura empresarial, regras legais e contratuais, expectativas dos clientes e de outras partes interessadas, potenciais vulnerabilidades do gerenciamento de risco e quaisquer ações corretivas executadas com base em auditorias anteriores.
Preparação de um programa de auditoria
Os detalhes do programa de auditoria são específicos para as organizações em função de suas necessidades únicas, mas a preparação levará em consideração os cronogramas relevantes para o processo, os requisitos de pessoal, a estrutura dos relatórios e os objetivos gerais. Esses objetivos, especificamente, devem considerar como a empresa manterá a política de conformidade por meio de procedimentos de avaliação e gerenciamento de riscos. O programa de auditoria também deve incluir um cronograma detalhando aspectos específicos do planejamento e como eles devem ser priorizados.
O planejamento do programa de auditoria normalmente é um processo contínuo e iterativo. Durante sua elaboração e o desenvolvimento da auditoria, as empresas podem aproveitar as lições aprendidas nas auditorias anteriores, por meio da implementação de melhores práticas, amenizando o risco e mantendo a conformidade. As diretrizes de desenvolvimento de auditoria e as melhores práticas variam de acordo com o setor, mas as certificações locais e regionais de auditoria estão disponíveis, assim como as reconhecidas internacionalmente. Essas certificações incluem Auditor Interno Certificado e Auditor de Sistemas de Informação Certificado e filiação no Registro Internacional de Auditores Certificados.
Tipos de programas de auditoria
Os diferentes tipos de programas de auditoria incluem os padronizados, os personalizados e os de conformidade. Os primeiros, disponíveis para diferentes indústrias, podem ser usados proativamente para ajudar uma organização a criar a sua própria estrutura de conformidade e seu programa de auditoria interna. A Federação Internacional de Contadores, por exemplo, publica normas de auditoria financeira, denominadas Normas Internacionais de Auditoria. Um programa de auditoria padronizado é diferente de um programa de auditoria fixo, que não pode ser alterado durante o processo.
Os programas de auditoria personalizados diferem dos padronizados na medida em que adequam os procedimentos para que estes correspondam às necessidades específicas da entidade responsável pela auditoria. Esses programas de auditoria são “ajustados” para atender áreas específicas, como procedimentos de negócios, documentos e ativos legais. Ao endereçar esses requisitos específicos por meio de programas de auditoria personalizados, a empresa pode identificar mais rapidamente possíveis falhas de conformidade e desenvolver controles internos para compensar essas vulnerabilidades.
Um programa de auditoria de conformidade descreve como uma organização irá aderir às diretrizes regulatórias. Os detalhes dessa categoria de programa variam dependendo de alguns fatores, como se a empresa é pública ou privada, que tipo de dados ela manuseia e se ela transmite ou armazena informações financeiras confidenciais. Os requisitos da Lei Sarbanes-Oxley, por exemplo, exigem que as comunicações eletrônicas devem ter backup e proteção com infraestrutura de recuperação de desastres, enquanto as empresas de serviços financeiros que transmitem dados de cartão de crédito estão sujeitas aos requisitos do PCI DSS. Nos Estados Unidos, as empresas de capital aberto devem relatar os resultados das auditorias de controle interno à Securities and Exchange Commission (SEC). Em cada caso, o programa de auditoria de uma organização descreve como a empresa cumprirá as normas de conformidade regulatória.
