quinta-feira, abril 23, 2020

Auditorias remotas

O coronavírus atua como um acelerador de alterações que já estavam em andamento
...
As auditorias remotas são sobre o uso da tecnologia para recolher evidências, recolher informações, entrevistar auditivos, etc., quando os métodos "presenciais" não são possíveis ou aconselháveis.
.
A ISO 19011: 2018 menciona a possibilidade de usar auditorias remotas e auditorias virtuais.
Há uma nota importante: a realização de auditorias remotas depende do maior ou menor risco que coloquem no cumprimento dos objectivos da auditoria, vai depender do nível de confiança entre o a equipa auditora e o auditado, e de quaisquer requisitos regulamentares.

Recomendo a consulta de:
  • Anexo A.1 da ISO 19011: 2018 Aplicando métodos de auditoria; 
  • Anexo A.15, Visitando a localização do auditado; e 
  • Anexo A.16, Auditando atividades e locais virtuais.
A decisão de quando e como usar as técnicas de auditoria remota depende dos objetivos, âmbito e critérios da auditoria, da tecnologia disponível, da competência do auditado e do auditor em usar a tecnologia e do tipo de evidência de auditoria que precisa ser recolhida.

As auditorias remotas podem ser úteis para auditar actividades durante circunstâncias fora do controlo da organização, comumente referidas como "Força Maior". As auditorias remotas podem também ser úteis para reduzir os custos de auditoria e aumentar a eficiência da auditoria.

Actividades de uma auditoria remota:
  • Garantir que, quer auditores quer auditados usam os protocolos de acesso remoto acordados, incluindo dispositivos solicitados e software etc;
  • Se forem feitos print screens de qualquer tipo de documento, há que pedir permissão com antecedência e considerar questões de confidencialidade e segurança
  • Evitar registar indivíduos sem a sua permissão;
  • Se ocorrer um incidente durante o acesso remoto, o líder da equipa de auditoria deve rever a situação; com o auditado e, se necessário, com o cliente da auditoria e chegar a um acordo sobre se o a auditoria deve ser interrompida, reagendada ou continuada;
  • Usar plantas / diagramas de localização remota para referência;
  • Manter o respeito pela privacidade durante as paragens da auditoria.
O meu conselho para os auditores internos é o de começar a praticar auditorias remotas para testar diferentes abordagens, testar diferentes tecnologias, aprender a responder a novos riscos:

  • O equipamento de comunicação falha ou não é confiável;
  • O acesso à Internet falha ou não é confiável;
  • Segurança na Internet - confidencialidade e integridade das informações;
  • Os auditados não seguem os horários agendados das reuniões;
  • Os auditados saem constantemente das reuniões agendadas para tratar de outros assuntos;
  • O auditor aceita evidências de auditoria que não são objetivas nem aleatórias;
  • A maior ou menor capacidade do representante do auditado no uso de tecnologia para que o auditor circule pela organização e entreviste auditados.

Sem comentários: