O relatório de auditoria é talvez um dos documentos mais analisados dentro de uma entidade que, após um período mais ou menos longo de trabalho num sistema de gestão, vê o seu esforço avaliado por um terceiro externo (ou interno, se a auditoria for desta natureza), num documento que vai querer refletir o seu bom trabalho.
É por isso que as ressalvas são uma seção tão importante dentro do relatório de auditoria.
Sendo construtivas, as ressalvas estabelecem o início da margem necessária para melhoria nas empresas, com maior ou menor vinculação regulatória.
No entanto, a forma como as qualificações devem ser refletidas no relatório de auditoria não é uma questão trivial, porque a qualificação deve ser o reflexo fiel de uma não conformidade objetiva.
Desvios de conformidade
A exceção não deve ser a opinião de um auditor, mas a redação de sua parte do desvio do cumprimento de um preceito por parte da empresa, seja legal (por exemplo, se estivermos falando de um regulamento como o GDPR – General Data Protection Regulation), ou regulatório (por exemplo, se estivermos falando de um padrão internacional como um padrão ISO).
Em outras palavras, se o preceito que está sendo auditado estiver distante da realidade aplicada na empresa, isso deve ser refletido no relatório escrito pelo auditor. Deve haver uma correspondência direta entre o requisito legal ou regulatório e a maneira de “não fazer” as coisas na entidade.
Se o procedimento implementado estiver em conformidade com o exigido pelos regulamentos em questão, será cumprido. Se não o fizer, haverá uma violação e, portanto, uma ressalva será escrita no relatório.
Exemplo de relatório de auditoria em uma empresa
Há dois anos, a AUDITED COMPANY adaptou todos os seus procedimentos de proteção de dados para cumprir o RGPD, estabelecendo que teria de realizar uma auditoria bienal como medida de segurança para todo o seu tratamento, independentemente de conter dados sensíveis ou não.
No dia da auditoria, a equipe de auditoria chega à EMPRESA AUDITADA e se registra como visitante no balcão de acesso às instalações, pegando todos os seus dados e fazendo uma cópia digital do documento de identidade de cada pessoa da equipe para entregar seus passes de acesso aos escritórios. Eles observam que ninguém os informa sobre a captura desses dados e os anotam para não parar de perguntar durante a auditoria.
Quando chega a hora das entrevistas, a equipe de auditoria pergunta sobre o cumprimento do dever de informação aos titulares dos dados, que é exigido pela regulamentação vigente sobre proteção de dados, em relação ao registro de visitas, e solicita evidências dessas informações, mas a EMPRESA AUDITADA confirma que não informa os visitantes de forma alguma sobre a coleta e processamento de seus dados pessoais.
No relatório de auditoria, a equipe de auditoria refletirá esse desvio do cumprimento dos regulamentos como uma ressalva objetiva, sem opinião, simplesmente com a menção expressa da inexistência das informações que um controlador de dados deve fornecer aos titulares dos dados ao lidar com informações pessoais em seus processos de negócios.
A ressalva deve ser totalmente detalhada, não deve dar origem a mal-entendidos ou mal-entendidos, e recomenda-se mesmo que mencione expressamente o artigo da lei, regulamento ou regra contra o qual a auditoria está sendo realizada e para o qual ocorre o descumprimento por parte do auditado.
Tal reduzirá o debate entre as partes (equipa de auditoria e entidade auditada) que poderá conduzir a um mal-entendido sobre o incumprimento ocorrido por parte da entidade auditada se a ressalva não fornecer informações completas ou se for subjetiva.
Revisão do relatório intercalar
Pode acontecer que, durante a revisão do relatório intercalar, a entidade auditada possa alegar que o auditor não compreendeu corretamente as informações fornecidas ou não teve em conta as provas fornecidas. Se for finalmente demonstrado que o auditor não estava correto em suas anotações, por exemplo, e o cumprimento do preceito auditado e, portanto, a ausência de desvio puder ser evidenciado, a ressalva deve ser corrigida ou eliminada.
Outra situação específica que pode ocorrer é que uma ressalva é replicada pela entidade auditada porque entre a entrevista de auditoria e a entrega do relatório intercalar, o desvio foi corrigido e a exceção deve ser eliminada para a entrega do relatório final.
Nestes casos, seria possível manter a ressalva tal como se apresentava desde o início, embora seja na opinião da equipa de auditoria qualificar no relatório de alguma forma a correção imediata da ressalva pela entidade auditada.
Por conseguinte, deve ser salientada a necessidade de uma redação correta das qualificações no relatório de auditoria, para que a entidade auditada não tenha a possibilidade de incorrer em mal-entendidos ou debates abertos sobre as provas encontradas.
Soluções
Na GlobalSuite Solutions contamos com o software GlobalSuite® que garante economia de tempo e custos na realização do trabalho de auditoria em ambiente colaborativo com acompanhamento total. Também temos mais de 15 anos de experiência em Proteção de Dados Pessoais e Segurança da Informação. As nossas equipas de consultoria especializada oferecem o aconselhamento e apoio necessários para ajudar as empresas a realizar as suas auditorias periódicas com a fiabilidade e segurança de uma equipa externa totalmente solvente em qualquer uma das normas que exijam auditoria, desde o RGPD até à UNE 19601, ISO 27001, ISO 22301, etc.
