A cada ano, a maioria dos departamentos de auditoria tira a poeira da avaliação de risco do ano anterior como um ponto de partida para o próximo ano. Com algumas variações, nós todos realizamos basicamente a mesma coisa. Atualize o universo de auditoria, envolva o gerenciamento para discutir os riscos em suas áreas, pontue e classifique o universo de auditoria e, então, escolha as áreas para adicionar ao plano. Nós, então, apresentamos o plano para o comitê de auditoria, e nos comprometemos a concluir tudo no próximo ano. Alguns departamentos revisitarão proativamente o plano de auditoria a cada trimestre, mas nós raramente nos desviamos do plano de auditoria que nós apresentamos.
Nosso processo de planejamento de auditoria é antiquado e falho
Nós realmente desejamos agregar valor às nossas empresas e nos tornamos um parceiro relevante para o gerenciamento, nosso plano de auditoria deve ser ágil. Nós devemos ser capazes de enfrentar as áreas de risco emergente sem sermos envolvidos pela burocracia da modificação do plano. Uma maneira de atingir essa meta é empregar o conceito de auditoria ágil.
A PwC’s 2017 Condição do Estudo de Profissão de Auditoria 1 observou que quando a auditoria interna emprega técnicas de auditoria ágil, 88% dos acionistas da empresa veem a auditoria como agregando valor significativo. Técnicas de auditoria, que permitam que uma empresa seja ágil, podem ser aplicadas em duas fases: abordando riscos críticos identificados e a execução de auditorias individuais. Observe que isso trata de riscos, não a realização de um plano de auditoria.
O que significa Agilidade
A agilidade começa como uma metodologia de desenvolvimento de software. No TeamMate, nós desenvolvemos nosso software de auditoria interna usando técnicas ágeis. Em seu núcleo, a prática de desenvolvimento ágil exige estímulos curtos, focados de atividades que incluam planejamento, teste e avaliação de qualidade, que, então, termina com a apresentação dos resultados. Todas as atividades são projetadas para atingir uma meta geral que tenha sido concluída e revisada no cronograma orçado. Uma vez que o método possa ser aplicado além do desenvolvimento de software, profissionais de diferentes disciplinas estão considerando técnicas ágeis em seus campos, como auditoria interna. Muitos de nós têm dificuldade em pensar em nosso trabalho dessa forma. Nós criamos um plano de auditoria anual e cumprimos. Alguns até mesmo criam um plano para vários anos. Quando ficamos presos à conclusão e em sermos avaliados baseados em planos de auditoria de longo prazo que não possam mudar com facilidade, nossa metodologia de auditoria está longe de ser ágil.
Desenvolvimento de plano de auditoria ágil
Ao iniciar uma avaliação de risco, nós naturalmente priorizamos entidades auditáveis pela exposição ao risco. Em vez de pegar as áreas de alto risco e envolver a equipe em uma lista pré-determinada de auditorias para os próximos anos, nós podemos elaborar um plano mais curto, talvez escolher as áreas de risco mais críticas e realizar um trabalho que abrangerá não mais que o próximo trimestre. O plano trimestral deve passar por teste, análise e apresentação de resultados dentro do tempo alocado. Antes do fim do trimestre, nós devemos já estar desenvolvendo um plano de auditoria para o próximo trimestre, novamente usando uma abordagem baseada em risco, mas agora considerando o resultado do teste anterior e mudanças em nosso perfil de risco de organização.
Em nosso ambiente atual, nós devemos ser capazes de incluir novos riscos e adicionar novas auditorias de uma maneira oportuna. Veja o Questionário de risco anexado para ideias sobre como abordar a adição de novos riscos durante o ano. Com uma metodologia de plano de auditoria ágil, nós podemos atuar em estreita parceria com o gerenciamento para auditar no local correto e na hora certa.
Execução de auditoria ágil
Dentro das auditorias baseadas em risco individual, nós podemos também aplicar técnicas ágeis. Se nós refletirmos sobre a maneira mais comum de organizarmos uma auditoria, nós temos o planejamento, trabalho de campo, conclusão e relatório. Tipicamente enxergamos a auditoria como um cronograma fixo no qual nós concluímos todos os testes antes de iniciar uma análise, e a auditoria termina com o gerente e líder tendo que lidar com o relatório de auditoria antes de apresentarmos o resultado final para o comitê de auditoria. Quaisquer erros que apareçam na análise ou qualquer problema desafiado pelo gerenciamento imediatamente estendem nosso cronograma além da data de término de auditoria orçada. E se nós tivéssemos que estruturar o trabalho de campo em atividades de 1 ou 2 semanas? Cada atividade seria planejada, executada, revisada e reportada para o gerenciamento com uma apresentação curta. Ao fim da auditoria, o trabalho está completo e revisado, o gerenciamento já viu todos os problemas, e a apresentação final será um resumo das reuniões anteriores. O software de auditoria ajuda com esse processo. Nós teremos uma análise em tempo real e relatório automatizado para reduzir o tempo necessário ao mínimo.
Se nós conduzirmos a auditoria em períodos mais curtos de atividade, nós estaremos em melhor posição para o corrigir o curso quando descobrirmos algo que precise ser explorado. Em nosso processo atual, nós frequentemente somos limitados pela estrutura rígida de nosso processo de auditoria e a necessidade de cumprir com o escopo e cronograma pré-definidos.
Isso funcionará?
O tempo dirá. A auditoria ágil é uma nova técnica que pode ou não funcionar para cada departamento. Uma vez que todos nós levamos a sério nossa função como parceiro relevante, agora é o momento de modernizar nossa abordagem para auditoria interna. A rigidez do plano de auditoria tradicional é um aspecto que podemos começar a trabalhar, desfazendo o estereótipo dos auditores como a polícia da política. Quando nós repensamos nosso processo interno para o desenvolvimento do plano de auditoria, e definimos o caminho para uma auditoria mais ágil, nós unimos os departamentos de auditoria que estão agregando valor significativo.
1 Permanecendo no caminho do norte verdadeiro: Interrupção de navegação