Auditoria pode ser mais eficiente com um GRC?

por | ago 20, 2019 | Auditoria | 0 Comentários

Em tempos de “lava a jato”, a auditoria tornou-se uma das demandas mais recorrentes nas empresas que buscam segurança e confiabilidade nos processos de negócios. Mas com incidentes de barragens, laudos de auditoria emitidos, é imprescindível entender que não é um relatório de word emitido por um auditor que te garantirá estar em Compliance.
Uma auditoria eficiente é importante que sejam executadas com qualidade as 4 fases abaixo:

  • Planejamento: É primordial fazer uma avaliação pela auditoria de todos os processos críticos da empresa. Se a empresa já possui uma gestão de riscos, é possível realizar uma análise da matriz para identificar os processos mais frágeis ou os que nunca foram auditados. Todos esses itens devem ser mapeados e com base na disponibilidade do seu time, realizar uma priorização adequada dos processos de trabalhos.
  • Preparação: Com as auditorias definidas, é hora de se preparem para analisar o processo, coletar documentação prévia, estruturar um checklist para garantir a avaliação de todo o processo, comunicar os auditados e partir para próxima etapa.
  • Execução: Agora é a hora de “colocar a mão na massa” e executar seu programa. Avaliar os processos de perto, coletar evidências, entrevistar responsáveis pelas atividades, validar e verificar se tudo está sendo realizado, identificando possíveis falhas e/ou pontos de melhorias, visando sempre a integridade, transparência e segurança dos negócios da empresa. É importante que os responsáveis do processo reconheçam tais pontos e seja estabelecido um plano de ação para remediar a situação.
  • Encerramento e follow up: Com a execução concluída, o próximo passo é consolidar tudo que foi realizado ao longo do trabalho, gerando um relatório para todos os responsáveis e envolvidos. Além disso, é imprescindível o follow up dos planos de ações acordados, pois somente a implantação deles garantirá a correção ou melhoria dos processos avaliados.
Com reaproveitamento das informações, eficiência, performance e um time integrado, uma solução de GRC precisará ser robusta o suficiente para apoiar todas as etapas mencionadas. Sendo assim, uma solução tecnológica deve permitir a estruturação das áreas e processos existentes na empresa. Ela deve garantir o registro das auditorias, inclusive com base nas execuções em planos de auditoria anteriores. Os auditores devem conseguir planejar seu programa de trabalho, reaproveitando alguns testes, que são comuns para execução em processos diferentes.

Durante a execução do checklist, o auditor deve coletar todas as evidências (documentos, áudio, vídeo, imagem) e apresentar suas considerações, destacando pontos a partir de uma base comum e padronizada. É importante o responsável pela atividade ter a possibilidade de manifestar-se sobre as considerações de auditoria. Isso o torna parte integrante, já que sua colaboração nas implementações dos planos de ação serão imprescindíveis. A solução deve realizar as cobranças dos prazos de manifestação e follow up do plano de ação, afim de que o auditor dedique seu tempo às atividades mais complexas de análise. Por fim, o relatório deverá ser gerado automaticamente, uma vez que uma solução possui toda a informação, do início ao fim em sua base.

Nas implantações da Murah GRC, destaco alguns benefícios atingidos por nossos clientes:

  • aumento do escopo de trabalho de auditoria com o mesmo time
  • diminuição do custo do time
  • implementação de revisões de trabalhos de auditoria para diminuir falhas de execução
  • padronização e aumento de qualidade dos trabalhos
Essas conquistas foram possíveis em função dos itens abaixo:

  1. Automatização do follow up de plano de ação, pois trata-se de uma atividade crítica e que demanda um volume de horas consideráveis para a administração sem uma solução apropriada.
  2. Padronização dos pontos de auditoria, plano de ação, checklist, através da criação de uma base única, para reaproveitando em qualquer trabalho relacionado.
  3. Extração automática do relatório final, com base no registro de todas as informações ao longo das atividades, eliminando a fase de consolidação dos trabalhos para apresentação.
  4. Possibilidade de execução de trabalhos por meios alternativos como o mobile, facilitando e agilizando o trabalho em campo.
  5. Para clientes que operam Gestão de Riscos, é possível o trabalho integrado, onde a auditoria pode:
    1. associar seus pontos aos riscos já em tratamento
    2. sugerir novos riscos não mapeados ainda, mas que foram identificados durante os trabalhos de auditoria
    3. testar os controles da gestão de riscos, quando esse não tem um time suficiente para fazê-lo, garantindo a atualização do seu risco residual

E você? Tem a necessidade de conquistar algum desses benefícios? Tem alguma dúvida ainda se é possível atingi-los? Procure-nos e vamos te mostrar como!