Praticamente todas as organizações estão sujeitas a requisitos de conformidade. As auditorias de conformidade fornecem validação da adesão das organizações às normas, regras e regulamentos aplicáveis. Elas também ajudam a identificar deficiências que podem resultar em violação por não conformidade.
Embora essas auditorias sejam ajustadas para diversas regulamentações, as linhas gerais se aplicam à maioria das organizações.
Este artigo não apenas oferece uma compreensão do que é e do que não é uma auditoria de conformidade, mas também analisa o cenário deste tipo de auditoria em termos de tipos e processos. Ele também inclui referências resumidas de regulamentos específicos e links para outros artigos com informações mais detalhadas.
O que é uma auditoria de conformidade?
Uma auditoria de conformidade é uma avaliação da adesão de uma organização às leis, regras, regulamentos e normas aplicáveis.
Considerada um tipo de medida de segurança capaz de proteger as organizações de erros, ela promove a responsabilidade, a boa governança e a transparência. Também identifica, de modo proativo, pontos fracos e deficiências, bem como ajuda a garantir a probidade ou a descobrir irregularidades.
As auditorias de conformidade seguem diretrizes ditadas pelo tipo de auditoria que detalham a abordagem e os processos a serem seguidos. Elas também estabelecem os critérios necessários para que a conformidade seja alcançada e as expectativas quanto à elaboração de relatórios.
Com frequência, uma auditoria formal de conformidade é precedida de uma auditoria interna que segue essas diretrizes. O objetivo é identificar e eliminar falhas, garantindo um resultado favorável.
Os relatórios de auditoria documentam os pontos fortes e as deficiências de uma organização de acordo com os requisitos de conformidade. Ela engloba tudo, desde políticas de segurança e controles de acesso de usuários até planos de gerenciamento de riscos e atividades de recursos humanos. Um relatório de auditoria de conformidade documenta todos os aspectos das conclusões de um auditor e geralmente segue um sistema estabelecido elaborado para cada tipo de auditoria.
Um auditor independente ou terceirizado realiza auditorias de conformidade. Ele oferece sua experiência com o processo de auditoria, bem como conhecimentos especializados relacionados aos critérios da auditoria. Um auditor que conduz uma auditoria de conformidade deve dar sua garantia pessoal e profissional da precisão das suas conclusões e relatórios.
Ao considerarmos as auditorias de conformidade, uma distinção importante é que elas não são ferramentas de monitoramento. Embora sejam comumente confundidas, uma auditoria de conformidade oferece uma visão instantânea. Em contraste, os sistemas de monitoramento oferecem uma avaliação contínua capaz de identificar problemas à medida que eles surgem, garantindo que os controles continuem a satisfazer os requisitos em constante mudança.
Por que auditorias de conformidade são importantes?
A principal importância das auditorias de conformidade é que elas ajudam organizações a cumprir leis e normas. Outros motivos pelos quais são importantes é que elas sustentam os esforços das organizações na mitigação de riscos, na geração de confiança e na promoção do crescimento sustentável, conforme ilustram os exemplos abaixo.
Conquistar a confiança e garantir uma reputação
Organizações que demonstram conformidade com leis, regras e normas regulatórias, entre outras, conquistam a confiança dos stakeholders, funcionários, clientes e parceiros, bem como do público em geral. Relatórios de conformidade transparentes sinalizam responsabilidade e integridade das operações de negócios.
Garantir conformidade legal e regulatória
As auditorias de conformidade ajudam as organizações a aderir às leis nacionais e internacionais, aos regulamentos do setor e às obrigações contratuais. O descumprimento desses requisitos pode acarretar em sanções severas, ações judiciais e perda de licenças. Auditorias regulares de conformidade garantem que as operações e as práticas das organizações estejam alinhadas aos requisitos regulamentares.
Facilitar a eficiência operacional e a melhoria contínua
A realização de auditorias de conformidade regulares produz insights sobre os processos internos, identificando áreas de melhoria, promovendo um ciclo de melhoria contínua, ajudando as organizações a manter elevados padrões operacionais e competitividade.
Mitigar riscos e aumentar a segurança
Com a realização de auditorias de conformidade, as empresas identificam vulnerabilidades e riscos operacionais. Por exemplo, uma auditoria de segurança cibernética pode revelar pontos fracos na proteção dos dados, ajudando organizações a evitar violações de dados.
As iniciativas de conformidade garantem a implementação de controles de segurança adequados, reduzindo ameaças capazes de interromper operações, danificar ativos ou comprometer dados confidenciais.
Objetivos de uma auditoria de conformidade
Embora diferentes auditorias de conformidade tenham objetivos variados, alguns dos objetivos comuns de todas elas são:
- Avaliar a eficácia dos controles internos de uma organização.
- Evitar multas e outras sanções decorrentes do descumprimento.
- Detalhar o grau de conformidade de uma organização em relação aos critérios de auditoria.
- Avaliar a qualidade da adesão de uma organização às regras, regulamentos e normas.
- Destacar as falhas detectadas durante o processo de auditoria e solicitar ações corretivas para alcançar a conformidade.
Auditorias internas x auditorias de conformidade
São pontos em comum entre uma auditoria interna e uma auditoria de conformidade:
- O auditor e a equipe auditora não devem estar diretamente envolvidos na área que está sendo auditada.
- Ambas identificam deficiências e recomendam ações para corrigi-las.
Apesar dos pontos em comum, as auditorias internas e de conformidade são bastante diferentes.
Auditorias internas
- As auditorias internas são conduzidas por funcionários ou contratados que trabalham em nome da organização.
- Às vezes, organizações de maior porte têm equipes exclusivas para a supervisão e execução de auditorias internas.
- Os auditores internos não são responsáveis por monitorar a conformidade interna ou externa.
- Por vezes, as equipes de auditoria interna contratam especialistas externos para facilitar o planejamento e validar os resultados.
- As auditorias internas de conformidade têm como meta avaliar os riscos de conformidade como um todo e descobrir onde as regras não estão sendo seguidas.
- As auditorias internas ocorrem ao longo de um exercício fiscal.
- Além de avaliar os riscos de não conformidade, as auditorias internas medem o desempenho em relação às metas estabelecidas.
- A condução de auditorias internas tem como meta verificar se os problemas encontrados em uma auditoria de conformidade foram corrigidos ou de algum modo resolvidos.
Auditorias de conformidade
- As auditorias de conformidade concentram-se em garantir a adesão aos códigos, normas e regulamentos estabelecidos por organizações, organismos de normalização e governos.
- Exigem um conhecimento avançado das leis e regulamentos aplicáveis, bem como da governança interna.
- São auditorias formais conduzidas por terceiros independentes.
- Seguem um formato específico determinado pelas regras aplicáveis [por exemplo: a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS), ou a Lei Gramm-Leach-Bliley (GLBA)].
- Os relatórios da auditoria de conformidade fornecem avaliações a respeito do cumprimento das regras, regulamentos e normas aplicáveis por uma organização.
- Muitas vezes são obrigatórias, conforme estabelecido pelas regras específicas de uma norma ou regulamento.
- A não conclusão de uma auditoria de conformidade e a sua desaprovação podem acarretar em sanções (financeiras ou legais).
Tipos de auditorias e requisitos de conformidade
Auditorias e requisitos de conformidade enquadram-se em diversas categorias amplas com base na área de foco. A seguir estão os principais tipos de auditorias de conformidade.
1. Segurança cibernética e privacidade de dados
Esta categoria aborda como as organizações protegem os ativos digitais e ajudam a garantir a privacidade dos dados. As áreas que essas auditorias de conformidade englobam são proteção e privacidade dos dados, segurança de rede, criptografia, além de gerenciamento e resposta a incidentes.
São exemplos de auditorias de conformidade de segurança cibernética e privacidade dos dados:
- CCPA (California Consumer Privacy Act): direitos de privacidade de dados para residentes da Califórnia.
- RGPD (Regulamento Geral sobre a Proteção de Dados): regulamento sobre a privacidade dos dados em toda a UE.
- ISO/IEC 27001: normas de gestão de segurança da informação.
- Estrutura de segurança cibernética do NIST: diretrizes para aprimorar a postura de segurança cibernética (exigida para agências do governo federal dos EUA).
2. ESG (questões ambientais, sociais e de governança)
As auditorias de conformidade ESG exigem que as organizações demonstrem responsabilidade nas práticas ambientais, sociais e de governança. Estas auditorias de conformidade têm como foco a criação de valor a longo prazo, a gestão ambiental, o impacto social, a transparência da governança e a governança ética. São exemplos de auditorias de conformidade de ESG:
- Produção de relatórios de ESG: medir e divulgar impactos ambientais, sociais e de governança.
- Objetivos de Desenvolvimento Sustentável (ODS) das Nações Unidas: sistema de iniciativas voltadas à sustentabilidade.
3. Meio ambiente e sustentabilidade
Auditorias de conformidade com regulamentações ambientais e sustentabilidade destinam-se a ajudar a garantir que as organizações cumpram os seus compromissos de redução da pegada de carbono no meio ambiente. Estas auditorias de conformidade têm como foco o impacto ambiental, a redução de resíduos, a eficiência energética, a neutralidade de carbono e a produção de relatórios de sustentabilidade. São exemplos de conformidade ambiental e de sustentabilidade:
- CDP (Carbon Disclosure Project): método para relatar o nível de emissão de gases do efeito estufa.
- Pacto Ecológico Europeu e regulamentação climática: metas para atingir a neutralidade de emissões .
- Padrões GRI (Global Reporting Initiative): métricas de sustentabilidade que incluem os impactos ambientais.
- ISO 14001: requisitos do sistema de gestão ambiental.
4. Financeira e regulatória
Estas auditorias ajudam a garantir que as organizações cumpram as regulamentações legais e os padrões de relatórios financeiros, concentrando-se na integridade financeira, na precisão contábil, na prevenção de fraudes e na transparência. São exemplos de auditorias de conformidade financeira e regulatória:
- IFRS (International Financial Reporting Standards, normas internacionais de informações financeiras): para a produção consistente de relatórios financeiros entre países.
- PCI-DSS (Payment Card Industry Data Security Standard, padrão de segurança de dados do setor de cartões de pagamento): segurança na gestão de dados de cartões de crédito.
- SOX (Lei Sarbanes-Oxley): transparência financeira e controles em empresas de capital aberto.
5. Saúde e segurança
As auditorias de conformidade de saúde e segurança têm como objetivo proteger funcionários, clientes e o público em geral. As principais áreas de foco dessas auditorias são a segurança no local de trabalho, a saúde pública, a segurança dos produtos e o bem-estar dos funcionários.
São exemplos de auditorias de conformidade de saúde e segurança:
- Regulamentações da FDA dos EUA: segurança e eficácia em alimentos, medicamentos e dispositivos médicos.
- ISO 45001: sistema de gestão de saúde e segurança ocupacional.
- OSHA (Occupational Safety and Health Administration, administração de segurança e saúde ocupacional): normas de saúde e segurança no local de trabalho norte-americanas.
6. Auditorias setoriais
Alguns setores têm sistemas de conformidade específicos voltados para a sua natureza especializada. São exemplos de auditorias de conformidade setoriais:
- Aeroespaciais e de defesa
- ITAR (International Traffic in Arms Regulations, regulamentos sobre o tráfico internacional de armas): regulamenta a exportação de artigos de defesa nos EUA.
- CMMC (Cybersecurity Maturity Model Certification): estrutura de segurança cibernética para prestadores de serviços de defesa dos EUA.
- Setores de energia e serviços públicos
- ISO 50001: sistemas de gestão de energia.
- NERC CIP (North American Electric Reliability Corporation Critical Infrastructure Protection): normas de segurança cibernética para a rede elétrica norte-americana.
- Saúde
- HIPAA (Lei de Portabilidade e Responsabilidade de Seguros de Saúde): protege informações confidenciais de saúde.
- Regulamentações da FDA dos EUA: segurança de produtos farmacêuticos e dispositivos médicos.
7. Social e trabalhista
Esta categoria de auditoria de conformidade ajuda a garantir que as organizações sigam práticas trabalhistas justas, respeitem os direitos humanos e a diversidade, equidade e inclusão (DEI). São exemplos de auditorias de conformidade social e trabalhista:
- EEO (Equal Employment Opportunity, igualdade de oportunidades de emprego): práticas de não discriminação nas práticas de contratação e no local de trabalho.
- GRI (Global Reporting Initiative): sistema de divulgação de impactos sociais e práticas trabalhistas.
- ISO 26000: diretrizes de responsabilidade social.
- SA8000: normas para segurança no local de trabalho, salários justos e condições de trabalho.
8. Conformidade social
Uma auditoria de conformidade social avalia as operações gerais e os códigos de conduta de uma organização e o seu desempenho em relação à responsabilidade social.
9. Conformidade com a sustentabilidade
Uma auditoria de conformidade com a sustentabilidade analisa as iniciativas de uma organização para implementar práticas e procedimentos em apoio a operações sustentáveis.
Auditorias de conformidade governamental
A Declaração de Lima (assinada durante o IX INCOSAI em 1977 e realizada em Lima, Peru) é considerada o padrão ouro da auditoria governamental. A Declaração de Lima descreve os componentes básicos das auditorias e o que é necessário à emissão de pareceres de auditoria de conformidade objetivos e independentes.
A Assembleia Geral das Nações Unidas refere-se aos princípios estabelecidos na Declaração de Lima como a “promoção da eficiência, responsabilização, eficácia e transparência da administração pública através do fortalecimento das instituições superiores de auditoria”.
Exemplos de auditorias de conformidade regulatória
A seguir estão exemplos de normas, regras, diretrizes e leis que exigem auditorias internas e de conformidade.
Lei CAN-SPAM (Controle do Ataque de Pornografia e Marketing Não Solicitados): Esta é uma lei federal norte-americana implementada pela Comissão Federal de Comércio dos EUA (FTC) que estabelece regras para e-mails comerciais. Ela define requisitos para o teor das mensagens e os direitos dos destinatários de cancelar o recebimento de futuras mensagens de e-mail.
Centros de Serviços Medicare e Medicaid (CMS) (antiga Administração de Financiamento de Cuidados de Saúde, Health Care Financing Administration dos EUA): Parte integrante do Departamento de Saúde e Serviços Humanos (HHS) norte-americano, o CMS (Centers for Medicare and Medicaid Services) supervisiona o financiamento do Medicare e do Medicaid e aplica regulamentos com auditorias que confirmam se os fundos são usados e rastreados corretamente.
EPA (Environmental Protection Agency, agência de proteção ambiental): Nos EUA, a EPA trabalha com autoridades estaduais, tribais e outras autoridades federais para garantir a conformidade com as leis ambientais, como a Lei da Água Limpa (CWA, Clean Water Act), a Lei do Ar Limpo (CAA, Clean Air Act) e a Lei de Substâncias Tóxicas (TSCA, Toxic Substances Act ). As auditorias de conformidade que ajudam a fazer cumprir essas exigências incluem inspeções e testes.
FINRA (Financial Industry Regulatory Authority, autoridade reguladora do setor financeiro): Embora a FINRA, nos EUA, não seja uma organização governamental, ela trabalha em estreita colaboração com a Comissão de Valores Mobiliários (SEC, Securities and Exchange Commission) norte-americana para fazer cumprir uma série de regras, incluindo aquelas relacionadas ao combate à lavagem de dinheiro e à governança da segurança cibernética. A FINRA está autorizada a realizar auditorias anuais de conformidade que analisam áreas como licenças, anúncios e operações diárias.
FISMA (Federal Information Security Modernization Act, lei federal de modernização da segurança da informação): Nos EUA, a conformidade com a FISMA é exigida de qualquer agência federal, estadual ou afiliada contratada que interaja com sistemas federais. Ela avalia a conformidade com padrões de segurança que protegem as informações confidenciais.
RGPD (Regulamento Geral sobre a Proteção de Dados): A auditoria do RGPD avalia a conformidade das organizações com as regras estabelecidas na lei para regular e proteger os dados e a privacidade dos indivíduos, incluindo como os dados pessoais são coletados, armazenados, acessados e processados.
HIPAA (Healthcare Insurance Portability and Accountability Act, lei de portabilidade e responsabilidade de seguros de saúde): As organizações de saúde devem passar por auditorias com a HIPPA para confirmar se as informações de saúde protegidas (PHI, protected health information), incluindo registros eletrônicos, documentos físicos e procedimentos, estão suficientemente protegidas contra o uso ou o acesso não autorizado.
As auditorias de conformidade de recursos humanos são realizadas para fins de benchmarking interno e para atender a normas e regulamentações externas. As áreas consideradas incluem a adesão às leis e regulamentos trabalhistas federais, estaduais e locais em diversas frentes, como trabalhadores não isentos, arquivos de pessoal inadequados e remuneração.
IRS (Receita Federal) dos EUA: O IRS realiza auditorias de conformidade para ajudar a garantir que entidades corporativas e sem fins lucrativos sigam as regras e paguem os impostos devidos no vencimento.
OSHA (Occupational Health and Safety Act, lei de saúde e segurança ocupacional): As auditorias de conformidade da OSHA avaliam se as organizações atendem aos padrões de saúde e segurança exigidos para a proteção de todos os trabalhadores (por exemplo, aqueles em escritórios e instalações de produção e em canteiros de obras).
PCI DSS (padrão de segurança de dados do setor de cartões de pagamento): Nos EUA, a conformidade com o PCI DSS (Payment Card Industry Data Security Standard) é imposta por um órgão de padrões do setor, e não por uma agência governamental; o Conselho do PCI é composto de líderes do setor (ou seja, American Express, Discover, JCB International, MasterCard e Visa).
SALT (State and Local Tax, imposto estadual e local): Auditores estaduais e locais realizam auditorias SALT para confirmar se empresas e indivíduos pagaram o valor correto dos impostos estaduais e locais, como o imposto de renda e imposto sobre vendas.
SOX (Lei Sarbanes-Oxley): A auditoria de conformidade com a SOX concentra-se em registros financeiros e controles operacionais e responsabiliza os executivos por declarações feitas nas demonstrações financeiras de suas organizações.
Processos de auditoria de conformidade
Todos os tipos de auditorias de conformidade dependem de documentação, comunicação e controle de qualidade claros.
Independentemente do tipo de auditoria necessária, aplicam-se alguns processos básicos, e os auditores precisam ser independentes e ter acesso total a todos os materiais relevantes.
As variáveis têm como base o tipo de auditoria de conformidade, incluindo as áreas abrangidas, os departamentos envolvidos e os requisitos de prestação de contas.
As principais etapas de uma auditoria de conformidade incluem:
Planejamento
Coleta de provas
Avaliação das provas
Conclusões
Comunicação dos resultados da auditoria
Planejando a auditoria de conformidade
O planejamento de uma auditoria de conformidade garante a qualidade dos resultados e a condução do processo de maneira eficiente, eficaz e no tempo certo. As principais áreas a serem consideradas ao se planejar a auditoria são:
- Alertar quem estará envolvido.
- Definir os objetivos e o escopo.
- Determinar a localização do assunto principal.
- Estabelecer os principais critérios da auditoria.
- Sinalizar problemas que possam ser encontrados.
- Identificar as principais áreas a serem abrangidas.
Realizar uma auditoria de conformidade, reunindo as provas
A documentação é o cerne de uma auditoria de conformidade. Os auditores coletam e registram provas de conformidade ou de não conformidade de acordo com os critérios de auditoria. Essa documentação é usada para elaborar a avaliação final na conclusão da auditoria.
As provas coletadas variam de acordo com o tipo de auditoria e a organização, mas o processo é o mesmo. Os auditores devem documentar provas suficientes utilizadas para chegar às suas conclusões.
As principais áreas a serem consideradas ao coletarmos provas durante uma auditoria de conformidade são:
Conduzir e gravar entrevistas formais, conforme necessário, como parte da coleta de provas.
Inspecionar a infraestrutura e os espaços de trabalho, acompanhando funcionários, conforme necessário.
Atender aos critérios de suficiência (ou seja, quantidade) e qualidade das evidências necessárias para explicar os resultados da auditoria.
Obter provas relevantes e convincentes relativas às áreas incluídas na auditoria.
Usar uma lista de verificação de auditoria a fim de garantir que todos os materiais relevantes tenham sido coletados.
Realizar uma auditoria, avaliando as provas e tirando conclusões.
Uma vez reunidos os registros e documentos, o auditor deve analisá-los e decidir se a organização está atendendo aos requisitos de conformidade. Durante esta fase da auditoria, os auditores também identificam deficiências que resultam em não conformidade. Entre os critérios considerados nesta fase estão a autenticidade e a validade das provas.
Comunicando os resultados da auditoria
Uma auditoria de conformidade termina com a comunicação dos resultados. Se for constatado que a organização cumpre com os critérios de auditoria, as provas devem ser citadas e incluídas como referência no relatório.
Caso uma organização não esteja em conformidade em nenhuma das áreas, o relatório deve detalhar a natureza e a extensão, a causa, a materialidade e o efeito da não conformidade. O relatório da auditoria também deve indicar se as questões são isoladas ou sistêmicas.
Ao elaborar um relatório de auditoria de conformidade, os fatores a seguir são importantes:
Fornecer detalhes sobre ações corretivas para alcançar a conformidade.
Organizar as provas incluídas no relatório para facilitar o acesso.
Confirmar as conclusões do auditor por meio de provas.
Detalhar a trilha completa dos procedimentos de auditoria realizados.
Explicar os motivos das conclusões com informações suficientes, que possam ser compreendidas por um auditor experiente, que não tenha qualquer ligação com a auditoria.
Atribuir responsabilidade aos indivíduos responsáveis pelas deficiências que levaram ao descumprimento e o grau de envolvimento deles.
Provar que a auditoria foi executada de acordo com as normas aplicáveis e atendeu aos critérios para o tipo de auditoria.
Oportunidades da auditoria de conformidade
Embora uma auditoria possa ser onerosa, ela também fornecerá insights valiosos à empresa. Isso ajuda a organização a cumprir regras e regulamentos, evitando multas e outras sanções.
Ela também ajuda a identificar falhas que podem resultar em violações de segurança ou outros problemas graves. Além disso, os resultados da auditoria orientam a correção. Ter uma visão positiva em relação a uma auditoria de conformidade permite maior tranquilidade no processo e a melhoria dos resultados como um todo.
