Gerenciamento de um programa de auditoria

Um programa de auditoria deve incluir todas as atividades necessárias para definir, planejar e organizar a quantidade de auditorias a serem realizadas, e para fornecer os recursos para conduzi-las eficaz e eficientemente dentro do período de tempo especificado, segundo a norma ABNT NBR ISO 19011 (2012). Deve estabelecer também procedimentos para realizar as auditorias previstas no programa.

Esta norma sugere, também, que a Alta Direção da organização conceda a autoridade para gerenciar o programa de auditoria e que aqueles designados com esta responsabilidade:

a. Estabeleçam, implementem, monitorem, analisem criticamente e melhorem o programa; b. Identifiquem os recursos necessários e assegurem que eles sejam providos.

A figura 6 ilustra o fluxo do processo de gestão de um programa de auditoria, sobre o qual são feitos alguns comentários adiante, conforme a norma ABNT NBR ISO 19011 (2012). As Ações Plan, Do, Check e Act, mencionadas nesta figura são abordadas com mais detalhes no tópico 3.5.3, que trata do ciclo PDCA, também conhecido como Roda de Deming.

Conforme visto na figura 6, convém que sejam estabelecidos objetivos consistentes, de modo a, de acordo com a referida norma, direcionar o planejamento e a realização das auditorias, eficazmente, podendo estar baseados nos seguintes pontos: (a) prioridades da direção; (b) intenções comerciais; (c) características de processos, produtos e projetos; (d) requisitos de sistema de gestão; (e) requisitos legais, contratuais e regulamentares; (f) necessidade de avaliação de fornecedor; (g) necessidades de clientes e demais partes interessadas; (h) nível de desempenho auditado (i) riscos

para o auditado; (j) resultados de auditorias anteriores; nível de maturidade do sistema de gestão auditado.

Figura 6. Fluxograma do processo para gerenciamento de um programa de auditoria Fonte: norma ABNT NBR ISO 19011(2012, p.7)

Ao se estabelecer o programa de auditoria, a figura 6 sugere que sejam definidos os papéis e responsabilidades do gerente do programa, contemplando, segundo a norma ABNT NBR ISO 19011 (2012): (a) o estabelecimento e abrangência do programa; (b) a identificação e avaliação dos riscos para o programa; (c) o estabelecimento das responsabilidades de auditoria; (d) o estabelecimento dos procedimentos para o programa; (e) determinação dos recursos necessários; (f) a

Estabelecendo os objetivos do programa de auditoria

Competência e avaliação de auditores Estabelecendo o programa de auditoria

- papéis e responsabilidades do gerente do programa - competência do gerente do programa

- abrangência do programa de auditoria

- identificando e avaliando os riscos do programa - estabelecendo procedimentos para o programa - identificando os recursos para o programa

Implementando o programa de auditoria

- generalidades

- objetivos, escopo e critérios para auditoria - selecionando os métodos de auditoria - selecionando os membros da equipe - atribuindo responsabilidades do líder - gerenciando os resultados do programa - mantendo registros do programa

Monitoramento do programa da auditoria

Realizando a auditoria Análise crítica e melhoria do programa da auditoria Agir (Ad) Fazer (Do) Verificar (Check) Planejar (Plan)

garantia da implementação do programa; (g) a garantia de que os registros apropriados do programa de auditoria sejam gerenciados e mantidos; (h) o monitoramento, analise critica e melhoria do programa de auditoria.

Na figura 6 é proposto, como passo seguinte que o gerente do programa de auditoria tenha competência necessária para exercer sua função, baseado na norma citada, de forma eficiente e eficaz e tenha conhecimento e habilidade nas seguintes áreas: (a) princípios, procedimentos e métodos de auditoria; (b) normas de sistemas de gestão e documentos de referência; (c) atividades, produtos e processos do auditado; (d) requisitos legais aplicáveis e outros requisitos pertinentes; clientes, fornecedores e outras partes interessadas do auditado.

Conforme a norma ABNT NBR ISO 19011 (2012), a abrangência de um programa de auditoria, passo seguinte mostrado na figura 6, pode variar e será influenciada pelo tamanho, natureza e complexidade da organização a ser auditada, como também pelo seguinte: (a) escopo, objetivo, duração e frequência das auditorias a serem realizadas; (b) número, importância, complexidade, semelhança e localizações das atividades a serem auditadas; (c) fatores que influenciam a eficácia do sistema de gestão; (d) requisitos normativos, estatutários, regulamentares, contratuais e outros critérios de auditoria; (e) conclusões de auditorias anteriores ou resultados de análise crítica de um programa de auditoria anterior; (f) questões social, cultural e de idioma; (g) preocupação das partes interessadas; (h) mudanças significativas para o auditado ou suas operações; (i) disponibilidade da tecnologia da informação e comunicação para apoiar as atividades de auditoria; (j) a ocorrência de eventos internos e externos, como falhas de produtos, vazamentos de segurança da informação e incidentes com saúde e segurança ocupacional.

De acordo com a referida norma, como mostrado na figura 6, existem muitos riscos associados com o estabelecimento, implementação, monitoramento, análise crítica e melhoria de um programa de auditoria que podem afetar o alcance dos seus objetivos. É sugerido que estes riscos, associados a planejamento, recursos, seleção da equipe, implementação, manutenção de registros/controles, monitoramento, análise crítica e melhoria do programa, sejam considerados pelo gerente do programa de auditoria no desenvolvimento do mesmo.

Conforme visto na figura 6, é conveniente que o gerente do programa de auditoria estabeleça procedimentos que, segundo a citada norma, contemplem os seguintes pontos, quando aplicáveis: (a) planejamento e programação da auditoria; (b) asseguramento da confidencialidade e segurança da informação; (c) seleção apropriada das equipes, atribuição de suas responsabilidades e

asseguramento das suas competências; (d) realização de auditorias utilizando métodos de amostragem; (e) realização de auditorias de acompanhamentos; (f) relato dos resultados para a Alta Direção; (g) manutenção dos registros do programa; (h) monitoramento e análise crítica do desempenho do programa de auditoria.

Quando da identificação de recursos para o programa de auditoria, passo subsequente mostrado na figura 6, convém que seja dada, segundo a citada norma, consideração a: (a) recursos financeiros para desenvolver, implementar, gerenciar e aperfeiçoar as atividades de auditoria; (b) técnicas de auditoria; (c) disponibilidade de auditores e especialistas, com competência adequada aos objetivos particulares do programa de auditoria; (d) abrangência e os riscos do programa de auditoria; (e) tempo de viagem, custos, acomodação e outras necessidades para se auditar; (f) disponibilidade das tecnologias da informação e comunicação.

Segundo a norma ABNT NBR ISO 19011 (2012), convém que a implementação de um

programa de auditoria, grupo de atividades mostrados na figura 6, contemple: (a) comunicar o

programa às partes pertinentes; (b) definir os objetivos, escopo e critérios para cada auditoria; (c) coordenar e programar auditorias e outras atividades pertinentes ao programa; (d) assegurar a seleção de equipes de auditoria com a necessária competência; (e) fornecer os recursos necessários para as equipes de auditoria; (f) assegurar a realização de auditorias de acordo com o programado; (g) assegurar o controle de registros das atividades de auditoria.

Como visto na figura 6, na implementação do programa de auditoria, o passo seguinte é a definição dos objetivos, escopo e critérios de auditoria documentados. De acordo com a citada norma convém que estes sejam definidos pelo gerente do programa de auditoria e sejam consistentes com os objetivos globais do mesmo. Os critérios de auditoria são usados como uma referência contra a qual a conformidade é determinada e podem incluir políticas, procedimentos, normas, requisitos legais, requisitos de sistema de gestão, requisitos contratuais, códigos de conduta setoriais ou outros.

O próximo passo, como mostra a figura 6, é a seleção dos métodos de auditoria. Conforme a norma ABNT NBR ISO 19011 (2012), convém que o gerente do programa de auditoria selecione e determine os métodos para realizar de forma eficaz uma auditoria, dependendo dos objetivos, escopo e critérios definidos de auditoria.

Na sequência, de acordo com a figura 6, vem a seleção dos membros da equipe de auditoria que, segundo a referida norma, convém que seja feita levando-se em consideração a competência necessária para atingir os objetivos de uma auditoria individual dentro do escopo definido. Se existir

apenas um único auditor é conveniente que o mesmo desempenhe todas as responsabilidades aplicáveis a um auditor-líder. Caso toda a competência necessária não seja coberta pela equipe de auditoria, convém que especialistas nas competências faltantes sejam incluídos na equipe, sob a orientação dos auditores, mas sem atuarem como tais.

O passo seguinte, visto na figura 6, é a atribuição de responsabilidades para uma auditoria individual ao líder da equipe de auditoria.Para assegurar a realização eficaz de auditorias individuais convém, conforme a norma citada, que as seguintes informações sejam fornecidas ao auditor líder: (a) objetivos e critérios de auditoria juntamente com documentos de referência; (b) escopo da auditoria abrangendo unidades organizacionais e processos a serem auditados; (c) procedimentos e métodos de auditoria; (d) recursos humanos e materiais para a auditoria; (e) contados do auditado, localização e programa de atividades da auditoria; (f) informações para avaliação dos riscos da auditoria; (g) idioma da auditoria (entrevistas e relatório); conteúdo distribuição do relatório de auditoria; (h) requisitos de confidencialidade; (i) requisitos de saúde e segurança pessoal para os auditores; (j) coordenação com outras atividades de auditoria (se for auditoria conjunta).

A figura 6 indica, como passo seguinte, o gerenciamento dos resultados do programa de auditoria para o qual a mencionada norma sugere também as seguintes atividades: (a) analise crítica e aprovação dos relatórios da auditoria; (b) analise crítica da causa-raiz e eficácia das ações corretivas e preventivas; (c) distribuição do relatório de auditoria às partes interessadas; (d) definição de auditorias de acompanhamento.

O último passo da implementação do programa de auditoria, como visto na figura 6, é o gerenciamento e manutenção dos registros da auditoria, que demonstrem que os objetivos do programa de auditoria foram alcançados. A norma ABNT NBR ISO 19011 (2012) separa estes registros em 3 grupos para os quais propõe que incluam: (a) registros relacionados ao programa de auditoria tais como objetivos, riscos e análises críticas da eficácia do programa; (b) registros relativos a auditorias individuais tais como planos de auditoria, relatórios de auditoria, relatórios de não-conformidade, relatórios de ação corretiva e preventiva e relatórios de ações de acompanhamento, se aplicável; (c) registros relativos ao pessoal de auditoria, incluindo tópicos tais como avaliação da competência e desempenho da equipe de auditoria, seleção da equipe de auditoria e manutenção e aperfeiçoamento da competência.

Ainda de acordo com a citada norma, convém que a implementação do programa de auditoria seja monitorada, pelo seu gestor, considerando a necessidade de avaliar: (a) a conformidade com o

programa e objetivos da auditoria; (b) o desempenho dos membros da equipe de auditoria; (c) a capacidade da equipe em cumprir o plano de auditoria; (d) a retroalimentação da Alta Direção, auditados, auditores e outras partes interessadas. Alguns fatores podem determinar a necessidade de modificações no programa de auditoria.

A última etapa do fluxo do processo para a gestão do programa de auditoria, mostrada na figura 6, é a análise crítica e melhoria do programa. A norma ABNT NBR ISO 19011 (2012) propõe que o gestor do programa faça esta análise crítica, considerando os tópicos a seguir, a utilize como dado de entrada para o processo de melhoria contínua do programa e a relate para a Alta Direção de organização: (a) resultados e tendências do monitoramento do progrma; (b) conformidade com os procedimentos do programa; (c) evolução de necessidades e expectativas de partes interessadas; (d) registros do programa; (e) alternativas ou novos métodos de auditoria; (f) eficácia de medidas para considerar os riscos associados com o programa; (g) questões de confidencialidade e segurança da informação; (h) desenvolvimento profissional contínuo dos auditores.