O que é uma auditoria de conformidade?
Uma auditoria de conformidade é uma avaliação imparcial das atividades e registros de uma organização para verificar a adesão a políticas, padrões e regulamentos internos e externos. Pode abranger áreas como cibersegurança, privacidade de dados, relatórios financeiros e saúde e segurança.
As auditorias de conformidade geralmente são conduzidas como parte do sistema de gerenciamento de conformidade de uma organização. Um sistema de gerenciamento de conformidade, ou CMS, é um sistema integrado usado para atender aos requisitos regulatórios, políticas internas e padrões do setor.
Além das auditorias regulares de conformidade, um CMS eficaz também pode incluir um conselho de administração focado na criação de uma cultura de conformidade na empresa; um diretor ou gerente de conformidade para estabelecer ou implementar políticas e procedimentos de conformidade; e monitoramento da conformidade, que envolve a vigilância das operações para identificar áreas de não conformidade.
A prática de auditoria ganhou destaque na sociedade durante a Primeira Revolução Industrial, à medida que as corporações se desenvolviam e os investidores buscavam garantias sobre sua saúde fiscal por meio de auditorias de registros financeiros. Em meados do século XIX, o Reino Unido estabeleceu uma lei que exigia auditorias corporativas, ajudando a iniciar o desenvolvimento de regulamentações de conformidade que continua em vigor até hoje.1
Os requisitos de conformidade atuais vão além do exame das demonstrações financeiras e envolvem uma variedade de áreas, como a proteção de informações confidenciais ou a adesão de uma organização aos regulamentos ambientais.
Para entender a importância das auditorias de conformidade, é útil primeiro considerar o cenário de conformidade contemporâneo.
Em todo o mundo, governos e organizações de setores aplicam uma grande e diversificada gama de requisitos de conformidade para benefício de consumidores, trabalhadores, investidores e outros stakeholders. Violar esses requisitos pode resultar em penalidades maciças, sanções e danos à reputação.
Por exemplo, as empresas que violarem gravemente o Regulamento Geral de Proteção de Dados da União Europeia podem enfrentar multas de até 20 milhões de euros ou 4% de sua receita mundial anual, o que for maior.
As auditorias de conformidade podem ajudar as organizações a atingirem seus objetivos de negócios, evitando consequências tão dispendiosas. Podem capacitar as organizações a determinar se estão seguindo suas próprias melhores práticas, identificando se correm o risco de não conformidade e revelando quando é necessário tomar medidas corretivas. As auditorias também proporcionam garantias aos stakeholders quanto aos esforços de conformidade regulatória da organização.
O termo auditoria de conformidade é frequentemente usado para se referir especificamente a uma auditoria externa, conduzida por auditores externos independentes. No entanto, auditorias internas — executadas por um auditor interno ou equipe de auditoria dentro da empresa — também podem se enquadrar na classificação de auditorias de conformidade.
As auditorias internas de conformidade geralmente se concentram na conformidade da empresa com suas próprias políticas e procedimentos, bem como na melhoria da eficiência dos processos de negócios e das atividades de gestão de riscos. No entanto, as auditorias externas são frequentemente conduzidas com o objetivo de garantir aos stakeholders que uma empresa está cumprindo normas externas, como as regulamentações do governo.
Em ambos os casos, o processo de auditoria deve ser conduzido de maneira imparcial para que seus resultados (descobertas e recomendações compiladas em um relatório de auditoria) possam ser usados para ajudar as organizações e os responsáveis pela conformidade a manter a conformidade contínua e identificar possíveis riscos de conformidade.
Os procedimentos de auditoria podem avaliar a adequação das empresas com os padrões de conformidade em diferentes áreas e disciplinas. São eles:
- Cibersegurança
- Privacidade e proteção de dados
- Relatórios financeiros e segurança
- Ambiental, Social e Governança (ESG)
- Saúde e segurança
Cibersegurança
As auditorias das práticas de cibersegurança das organizações podem ajudar a garantir que tenham as medidas certas para gerenciar e responder a ameaças cibernéticas que variam de phishing a malware.
Um padrão comumente utilizado para auditorias de cibersegurança é o Framework de cibersegurança do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST CSF). Essa norma apresenta orientações e melhores práticas que as organizações do setor privado podem seguir para melhorar a segurança da informação e o gerenciamento de riscos de cibersegurança. O framework abrange uma série de medidas de cibersegurança, incluindo avaliação de riscos, gerenciamento de identidade, controle de acesso, planejamento de resposta e atividades de recuperação.
Outra norma importante que sustenta as auditorias de cibersegurança é a ISO/IEC 27001, também conhecida como ISO 27001. O padrão global de segurança da informação, desenvolvido em conjunto pela Organização Internacional para Normatização e pela Comissão Eletrotécnica Internacional, é um conjunto de requisitos para sistemas de gerenciamento de segurança da informação dentro de uma organização. Uma vez aplicado, proporciona um framework para as organizações gerenciarem e protegerem seus dados confidenciais e outras informações, reduzindo o risco de violações de dados, ataques cibernéticos e outros incidentes de segurança.
Além disso, há uma auditoria de cibersegurança projetada especificamente para prestadores de serviços. Os relatórios do Service Organization Control (SOC) são relatórios independentes de terceiros, emitidos por avaliadores certificados pelo American Institute of Certified Public Accountants (AICPA), que abordam os riscos associados a um serviço terceirizado. Um relatório SOC 2 avalia os controles internos que uma organização implementou para proteger os dados de propriedade do cliente e apresenta detalhes sobre a natureza desses controles internos.
Privacidade e proteção de dados
Embora as auditorias de cibersegurança normalmente incluam um exame das medidas de proteção de dados de uma organização, as auditorias baseadas em determinadas leis e regulamentações se concentram especificamente nessa área. Isso inclui auditorias alinhadas com as leis que protegem as informações do consumidor e a privacidade de dados.
As leis amplamente aplicadas aos consumidores incluem o Regulamento Geral de Proteção de Dados (RGPD) da UE e a California Consumer Privacy Act (CCPA). Para fins de conformidade com o GDPR, as empresas são obrigadas a usar formas legalmente aprovadas para transferir e processar dados pessoais; proteger dados pessoais em repouso e em trânsito; e respeitar os direitos dos residentes da UE (conforme estabelecidos pela lei) sobre coleta, uso e posse de dados pessoais.
Para conformidade com a CCPA, as empresas devem aderir às diretrizes que abrangem vários tipos de dados pessoais para os residentes da Califórnia, incluindo data de nascimento, número do passaporte, informações da conta bancária e números de cartão de crédito ou débito.
Um tipo importante de auditoria de conformidade em privacidade de integridade é a auditoria da Lei de portabilidade e responsabilidade de planos de saúde (HIPAA). As entidades cobertas por essa lei dos EUA, inclusive prestadores de serviços de saúde como médicos e hospitais, bem como seguradoras de saúde e seus parceiros de negócios afiliados são obrigados a implementar e manter um conjunto de controles técnicos, administrativos e físicos projetados para proteger as informações de saúde protegidas (PHI).
Relatórios financeiros e segurança
As auditorias de demonstrações financeiras e controles de segurança das organizações podem avaliar sua conformidade com leis como a Lei Sarbanes-Oxley (SOX) e com as regras do setor, como o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS).
A Lei SOX é uma lei dos EUA cujo objetivo é impedir fraudes corporativas. Ela exige que as empresas públicas implementem controles internos para proteger dados financeiros contra adulteração; apresentem relatórios regulares à Securities and Exchange Commission (SEC) atestando a eficácia dos controles de segurança e a precisão das divulgações financeiras; e passem por uma auditoria independente anual de suas demonstrações financeiras e seus controles.
O PCI DSS é um conjunto de requisitos de segurança para proteger os dados do titular do cartão como números de conta primários (PANs), nomes, datas de validade e códigos de serviço e outras informações confidenciais durante seu ciclo de vida.
A conformidade com o PCI DSS exige relatórios anuais por parte de comerciantes e provedores de serviços, além de relatórios adicionais após mudanças significativas no ambiente de dados do titular do cartão. A validação da conformidade também envolve a avaliação constante da postura de segurança de uma organização e remediação contínua para lidar com quaisquer lacunas na política, tecnologia ou procedimentos de segurança.
Ambiental, social e governança (ESG)
Auditorias ambientais, sociais e de governança (ESG) podem determinar se as empresas estão cumprindo as leis e frameworks relacionados a impactos ambientais e sociais. Elas incluem a Diretiva de Relatórios de Sustentabilidade Corporativa da UE (CSRD), as regulamentações da Agência de Proteção Ambiental dos EUA, a Iniciativa de Relatórios Globais (GRI) e as Normas do Conselho de Normas de Contabilidade de Sustentabilidade (SASB).
Saúde e segurança
As auditorias de segurança avaliam se as organizações estão cumprindo regras e regulamentos criados para proteger a integridade e a segurança dos trabalhadores. Os principais padrões incluem a ISO 45001, padrão global de integridade e segurança desenvolvido pela Organização Internacional para Padronização e, nos EUA, regras de segurança no ambiente de trabalho definidas e aplicadas pela Administração de Segurança e Saúde Ocupacional (OSHA).
A natureza de uma auditoria de conformidade pode variar de acordo com o tipo de auditoria, o programa de conformidade, a organização e o setor. No entanto, há etapas que os auditores de conformidade normalmente seguem durante o processo de auditoria de conformidade. Essas etapas são:
Etapa 1: Planejamento da auditoria
Determine o escopo da auditoria, seus objetivos e os recursos que ela exigirá. Uma lista de verificação de conformidade que acompanhe o processo pode ser útil.
Etapa 2: Revisão dos documentos
Revise as políticas e os procedimentos da empresa, bem como quaisquer outros documentos relevantes, como vários registros e contratos.
Etapa 3: Realização de pesquisas adicionais
Entreviste funcionários e/ou gerentes. Se relevante, observe as operações e os processos internos.
Etapa 4: Compilação de um relatório de auditoria de conformidade
Documente resultados, descobertas e recomendações para melhoria contínua ou ações corretivas.
Etapa 5: Envolvimento no acompanhamento
Monitoramento do progresso na implementação das medidas ou ações recomendadas.
As soluções de software podem ajudar as organizações a monitorar sua adesão aos requisitos de conformidade e a se preparar para auditorias de conformidade. As soluções líderes oferecem recursos como:
Monitoramento em tempo real para segurança de dados e postura regulatória.
Dashboards abrangentes apresentam uma visão unificada das atividades de conformidade.
A captura e a geração de relatórios automatizados de dados ajudam a otimizar as auditorias de conformidade.
Modelos prontos para uso e atualizados regularmente simplificam a configuração das políticas de conformidade.
Recursos
Notas de rodapé
1 "Por que mudar com o passar do tempo o propósito fundamental da auditoria?" International Journal of Business and Management Invention. Setembro de 2023.