Tabela de Conteúdo
Na atual era digital, externa, auditorias de conformidade e de terceiros atestados (por exemplo, SOC 2) tornaram-se cada vez mais crucial no B2B decisões de compra. Eles não apenas fornecem uma verificação objetiva de terceiros da postura de segurança/conformidade de um fornecedor, mas também fornecem informações úteis sobre os pontos fracos ou fracos no ambiente de controle interno de uma organização. Em outras palavras, as descobertas de uma auditoria formal podem servir como uma receita para reduzir os riscos. Embora as auditorias externas formais tenham seu lugar, elas não devem ser consideradas como o único meio de aprender sobre as lacunas de segurança da sua organização. No ambiente de risco em rápida evolução de hoje, as organizações precisam de uma combinação de métodos para se protegerem adequadamente. Além das auditorias formais programadas, as organizações devem realizar auditorias internas continuamente para identificar vulnerabilidades e entender sua postura de conformidade e segurança.
não abordar riscos em uma base contínua é uma prática perigosa, porque as organizações estão expostas a riscos e ameaças em uma base contínua.
com ambientes de risco em rápida evolução, as organizações precisam de uma combinação de métodos para se protegerem adequadamente. Além das auditorias formais programadas, as organizações devem realizar auditorias internas para que possam identificar vulnerabilidades e entender sua postura de conformidade e segurança de forma contínua.
de fato, uma pesquisa realizada pela Globalscape e pelo Ponemon Institute descobriu que as empresas que se envolveram em auditorias de Conformidade frequentes reduziram seus custos de conformidade em uma média de US $2,86 milhões. Por outro lado, a pesquisa descobriu que as empresas que não realizam auditorias de Conformidade experimentam os mais altos custos de Conformidade.
realizar auditorias internas permite que sua empresa entenda as lacunas/pontos fracos em seu ambiente de controle interno — para que você possa fechar essas lacunas antes que auditores externos apareçam em seu escritório e tenha certeza de que você passará por essa auditoria externa. Neste artigo, discutiremos as diferenças críticas entre auditorias internas e externas, o que os auditores internos fazem, os diferentes tipos de auditorias internas que sua organização pode realizar, bem como as principais etapas para conduzir uma auditoria interna bem-sucedida.
- Função de Auditoria Interna
- papel do Auditor Interno& responsabilidades
- avaliando controles
- Avaliação de riscos
- trabalhando com outros provedores de garantia
- 5 Tipos de Auditorias Internas
- auditoria de Conformidade de TI
- auditoria de TI
- Auditoria Financeira
- Auditoria Operacional
- auditoria investigativa
- Como uma Auditoria Interna é Feita
- planejamento
- trabalho de campo (também conhecido como “coleta e teste de evidências”)
- relatórios
- acompanhamento
- o que a Auditoria Interna não deve fazer
- Hyperproof torna as Auditorias Internas &externas mais eficientes
Função de Auditoria Interna
funcionários da Empresa, realizar auditorias internas para avaliar riscos gerais para segurança e conformidade e determinar se a empresa está seguindo as normas internas. Auditorias internas devem ocorrer ao longo do ano. As equipes de gerenciamento podem usar os relatórios gerados a partir de auditorias internas para identificar áreas que exigem melhorias. As auditorias internas medem os objetivos da empresa em relação à produção e aos riscos estratégicos.Auditorias internas e externas têm propósitos diferentes, mas, em última análise, ambas têm o mesmo fim: garantir que sua empresa esteja em conformidade com os regulamentos, bem como com os padrões internos/externos, para que você possa evitar interrupções nos negócios e multas, penalidades ou danos à reputação que podem ser o resultado de violações de Conformidade.As auditorias externas são auditorias formais realizadas por um terceiro independente. Uma auditoria externa mede os processos e controles da organização em um ponto no tempo contra algum tipo de padrão externo, como ISO 27001 ou NIST 800-53. Mas eles também podem ser obrigatórios se uma empresa tiver uma violação de dados ou outro evento de segurança que não conformidade com um padrão legalmente exigido.Por outro lado, as auditorias internas são conduzidas por funcionários treinados dentro de sua organização. O escopo de uma auditoria interna pode ser bastante estreito ou relativamente amplo.
papel do Auditor Interno& responsabilidades
os auditores internos têm um papel único: eles devem ser completamente objetivos sobre os processos e equipes que estão avaliando e não podem estar diretamente conectados aos departamentos que estão auditando. Os auditores internos geralmente se reportam diretamente à alta administração ou aos membros do Conselho. Seu trabalho é avaliar objetivamente departamentos ou funções de negócios e como eles atendem aos padrões estabelecidos. É importante lembrar que o trabalho de um auditor é, em última análise, ajudar o negócio, e seu feedback informa como construir um negócio mais forte.
o Instituto de Auditores Internos (IIA) é a maior e mais amplamente reconhecida associação que atende e estabelece padrões para auditores internos. Eles fornecem certificações em diferentes áreas de auditoria interna e desenvolveram as normas & Guidance – international Professional Practices Framework, que fornece aos auditores internos orientações Obrigatórias e recomendadas sobre seu papel e a missão dos auditores internos.
o tipo de atividades que um auditor realiza varia um pouco dependendo do tipo de auditoria que está realizando. Ainda assim, existem algumas atividades cruciais para qualquer tipo de auditoria interna.
avaliando controles
se um auditor está avaliando o processo do Departamento de contabilidade para finanças de final de ano ou a conformidade do Departamento de marketing com a CCPA, eles revisarão e avaliarão os controles em vigor que se destinam a mitigar riscos e prevenir incidentes indesejáveis. Quase todos os processos de negócios precisam ter algum tipo de controle e responsabilidade para garantir que não haja oportunidades de cortar cantos ou criar problemas. Os auditores analisam os controles documentados e os controles realmente implementados para garantir que sejam executados e funcionem conforme o planejado.
Avaliação de riscos
Enquanto o gerenciamento em todos os níveis, precisa usar seus conhecimentos exclusivos para identificar os riscos para sua equipe e organização maior, é um auditor de trabalho para avaliar os riscos, antecipar problemas futuros com esses riscos, e encontrar formas de controlar ou remover esses riscos para a organização.Os auditores internos precisam entender os objetivos estratégicos de uma organização e como as coisas funcionam no nível tático. Eles trabalham com gerentes em níveis mais baixos, analisam as operações e determinam se essas operações se encaixam nos Objetivos Estratégicos da empresa.
trabalhando com outros provedores de garantia
os auditores internos trabalham ao lado de profissionais de gerenciamento de riscos, diretores de conformidade e outros para garantir aos executivos de sua empresa que os riscos são gerenciados de forma eficaz e eficiente. Embora muitas outras funções de Provedor de garantia implementem processos e desenvolvam controles para mitigar riscos, os auditores internos avaliam esses controles e processos para garantir que eles estejam trabalhando e atendam aos padrões de que precisam, sejam eles definidos interna ou externamente.
5 Tipos de Auditorias Internas
Existem alguns tipos diferentes de auditorias internas, e cada um oferece valor. Se você está apenas começando a desenvolver sua função de auditoria interna, não precisa pular para executar tudo isso de uma vez. No entanto, é uma boa ideia definir suas visões sobre a realização desses tipos de auditorias internas, pois cada uma delas permite que você otimize uma parte diferente das operações de seus negócios.
auditoria de Conformidade de TI
uma auditoria interna de Conformidade de TI analisa as práticas de segurança de dados de uma empresa para determinar se elas estão em conformidade com as estruturas e padrões de segurança de dados necessários ou escolhidos e os requisitos legais que uma empresa pode enfrentar em relação à segurança e privacidade de dados. Uma auditoria interna pode ser usada como um teste para ver como essa empresa se sairia em uma auditoria externa formal. Como as consequências da queda da conformidade podem ser caras para uma empresa, as auditorias de conformidade devem ser feitas com frequência. Processos de menor risco e menos complexos podem ser auditados uma ou duas vezes por ano, enquanto processos mais complicados e de maior risco devem ser auditados com mais frequência (por exemplo, semanalmente).
auditoria de TI
uma auditoria de TI é focada em controles e processos de tecnologia da informação. Embora isso tenha alguma sobreposição com uma auditoria de Conformidade, existem algumas funções de TI que não estão incluídas nas auditorias de conformidade que ainda devem ser avaliadas. Além de garantir que os controles de TI em vigor estejam protegendo as informações, uma auditoria interna de TI também analisa se os processos e ativos de TI (hardware e software) estão operando com eficiência. Ao contrário de uma auditoria de Conformidade, os processos de TI não são comparados a um padrão externo em uma auditoria de TI. Em vez disso, a auditoria analisa se eles estão cumprindo seu propósito e ajudando a empresa a atingir seus objetivos.
Auditoria Financeira
uma auditoria financeira analisa as finanças de uma empresa para garantir que as atividades financeiras sejam registradas corretamente e que as práticas contábeis corretas sejam usadas. É imperativo que esses tipos de auditorias sejam conduzidos por alguém imparcial e desconectado das funções contábeis e financeiras do negócio; se eles encontrarem algo ilegal ou fraudulento, eles precisam ser capazes de ir à administração com suas preocupações imediatamente.
Auditoria Operacional
uma auditoria operacional está focada no desempenho de um departamento ou função de negócios. O auditor examinará os processos e resultados do departamento e avaliará como eles contribuem para os principais objetivos da empresa. O auditor considerará a equipe, gerenciamento de ativos no departamento, Saídas, produtividade e estrutura organizacional.
auditoria investigativa
uma auditoria investigativa acontece em resposta a um relatório ou reclamação sobre comportamento suspeito por um funcionário ou equipe dentro da empresa. Nesse caso, a auditoria incluiria a saída de um funcionário ou departamento. Então, se o relatório é credível, eles iriam avaliar a extensão dos prejuízos, determinar que fraquezas deixado isso acontecer, e criar recomendações para o que precisa ser feito para impedir que isso aconteça novamente no futuro.
Como uma Auditoria Interna é Feita
Porque cada negócio é diferente e diferentes tipos de auditorias necessitam de várias etapas e considerações, não há um único processo de auditoria que irá trabalhar para cada auditoria em cada empresa. No entanto, você pode seguir uma fórmula básica para suas auditorias para garantir que você coletar todas as informações necessárias e utilizar o que você aprende de forma eficaz. Estas são as quatro fases em cada auditoria interna bem-sucedida:
planejamento
Antes de iniciar uma auditoria, a equipe de auditoria interna deve definir o escopo e o objetivo da auditoria. Abordar uma auditoria sem um objetivo claramente definido leva à fluência do escopo, que é quando o escopo do projeto continua crescendo para incluir problemas ou processos adicionais que a equipe encontra. Decidir o que é e o que não está dentro do escopo de sua auditoria antes de começar permitirá que sua equipe trabalhe com eficiência e tome decisões sobre o que incluir facilmente.
durante esta fase, você também determinará quem são as partes interessadas, quais proprietários de processos estarão envolvidos na auditoria, definirá um cronograma e analisará auditorias anteriores (se houver) para ver se há algum problema que você deve estar preparado para encontrar. Você deve sair dessa fase de planejamento com um plano de auditoria documentado que o guiará na execução da auditoria.
de um modo geral, para criar um plano de auditoria sólido, você deve considerar alguns elementos:
- regulamentos existentes: Entender os requisitos regulatórios da (S) área(s) que você auditará é fundamental para conduzir uma auditoria eficaz.
- preocupações dos funcionários: se os funcionários já expressaram preocupações sobre processos específicos, você deve incorporar perguntas em seu plano de auditoria para analisar os problemas.
- evidências necessárias para testar controles: você deve pensar em quais tipos de evidências você precisará reunir para testar os controles dentro do escopo da auditoria.
trabalho de campo (também conhecido como “coleta e teste de evidências”)
o trabalho de campo geralmente envolve entrevistas com proprietários de processos para que você possa entender o processo e os controles, revisar a documentação do processo, testar os controles atualmente em vigor para o processo e documentar suas descobertas e recomendações.
durante esta etapa, você deve revisar todos os dados disponíveis sobre o processo em auditoria. Os dados gerados antes de sua auditoria devem fornecer uma visão não filtrada de como o processo está funcionando e se há discrepâncias entre o que o entrevistado está dizendo e a realidade. Ele também fornecerá backup para suas recomendações quando você apresentar alterações que você acha que devem ser feitas na alta administração.
relatórios
depois de concluir seu trabalho de campo, você compilará suas descobertas e recomendações em um relatório de auditoria. Um relatório de auditoria resumirá o plano de auditoria, descreverá seus resultados — especificamente, o que você encontrou não estava em conformidade com os padrões internos ou requisitos externos — e discutirá suas recomendações.
lembre-se de que o objetivo de uma auditoria interna é identificar problemas e elaborar um plano para melhorar processos ou funções. O relatório de auditoria não é sobre atribuir culpa ou apontar os dedos; é sobre identificar onde os processos não estão funcionando, quais são as consequências e como esses problemas podem ser corrigidos. Os problemas identificados devem ser levados a sério e não minimizados ou explicados. O relatório de auditoria deve mostrar os pontos fortes da empresa e como eles podem resolver os problemas identificados na auditoria.
acompanhamento
a etapa final de uma auditoria está acompanhando as recomendações para garantir a implementação e como os problemas foram resolvidos. Este acompanhamento deve ser registado juntamente com o resto das informações de auditoria a ter em conta durante futuras auditorias.
o que a Auditoria Interna não deve fazer
os auditores internos não devem projetar ou implementar os controles — as políticas, procedimentos, processos e componentes técnicos colocados em prática dentro de sua organização. Seu trabalho é avaliar objetivamente os controles das equipes de operações (por exemplo, engenharia, vendas, RH, finanças, etc.) foram criados para determinar se os projetos de controle são adequados para o objetivo pretendido dos controles, se os controles foram implementados de forma eficaz e se os controles operaram de forma consistente.
Hyperproof torna as Auditorias Internas &externas mais eficientes
Hyperproof reduz a quantidade de sobrecarga administrativa em processos de auditoria típicos. De fato, o aplicativo é construído especificamente para ajudar auditores internos e profissionais de conformidade a coletar e gerenciar as evidências de Conformidade de que precisam para revisar para entender e verificar o quão bem os processos atuais funcionam e o que não está funcionando. O Hyperproof pode servir como um repositório central para todos os requisitos de Conformidade de uma organização, avaliações de risco, controles (junto com sua descrição, proprietário) e evidências. No Hyperproof, é fácil para um auditor interno fazer solicitações para controlar operadores e proprietários de processos de negócios em uma organização para enviar evidências de que precisam testar. Os proprietários de controle podem vir diretamente no Hyperproof para fornecer prova dos controles pelos quais são responsáveis e essas informações estão vinculadas a uma solicitação específica em seu plano de auditoria.
em vez de enviar e-mails e convites de calendário manual aos colegas para lembrá-los de revisar evidências ou enviar novas evidências, os auditores internos podem usar o Hyperproof para emitir tarefas com datas de vencimento e lembretes. Em seguida, os operadores de controle são notificados automaticamente quando é hora de revisar e enviar novas evidências. Além disso, os auditores internos podem configurar o Hyperproof para extrair automaticamente a prova da eficácia de controles específicos de muitos aplicativos de negócios e ferramentas de desenvolvedor (por exemplo, Pull requests e aprovações do GitHub). Dessa forma, os auditores internos podem se concentrar em testar as evidências em vez de gastar muito tempo apenas tentando coletar os dados.
os colegas das unidades de negócios também ficarão felizes por não precisarem responder às solicitações de auditoria com a mesma frequência. Uma vez que uma equipe de auditoria interna Ou de Conformidade sinta que está preparada para uma auditoria externa, ela pode “compartilhar seu trabalho” com o auditor externo diretamente no Hyperproof e expor apenas as informações que deseja compartilhar. Para saber mais sobre o Hyperproof ou ver uma demonstração de todas as suas capacidades, visite Hyperproof.io hoje.