On the Frontlines: Seus Planos de Ação Corretiva são SMART?
Blogs Gabriel Fabiyi, CIA, CISA, CDPSE, CA ago 06, 2024
As observações e recomendações de auditoria não são muito eficazes sem planos de ação corretiva que abordem as vulnerabilidades de controle identificadas. Colocar esses planos em prática prontamente é fundamental para um gerenciamento de riscos corporativos eficaz. Planos de ação corretiva atrasados, parcialmente implementados ou não seguidos podem causar danos à segurança, perdas financeiras, comprometimento de dados sensíveis, litígios, desgaste da marca e danos à reputação da organização.
Isto já aconteceu com você? Você passa oito semanas concluindo um trabalho de auditoria baseado em riscos que inclui o teste de 10 controles principais e várias entrevistas com stakeholders. No entanto, para sua frustração, você percebe que os clientes da auditoria não estão concluindo os planos de ação corretiva. Como você segue a partir daqui?
Pode ser uma questão de quão SMART (Specific, Measurable, Achievable, Risk-based e Time-bound – Específico, Mensurável, Alcançável, Baseado em Riscos e Temporal) seus planos são. Muitas pessoas usam uma versão do modelo SMART (em outros usos, o “R” é de “relevante”) para suas metas de desempenho, mas nem todos estão familiarizados com o uso desse modelo para criar planos de ação de auditoria para a gestão. O uso do modelo SMART para desenvolver planos de ação corretiva evitará impasses na implementação.
Modelo SMART para Planos de Ação de Gestão
S - Specific (Específico): aborda “o que” deve ser feito. O plano de ação corretiva deve ser identificável, relacionável, não ambíguo e suficiente para resolver a lacuna de controle ou o risco. Por exemplo, “o Diretor de TI criará e comunicará uma política de uso aceitável de dispositivos móveis a todos os funcionários, para evitar usos inaceitáveis de telefones e dispositivos eletrônicos corporativos”.
M - Measurable (Mensurável): abrange os componentes de “como” do plano de ação, que deveriam ser confiáveis, devidamente documentados e facilmente verificáveis pelo auditor e por outros stakeholders. Deve haver uma maneira de mensurar o controle proposto. Trabalho não documentado é trabalho não realizado – e que não pode ser mensurado corretamente.
A - Achievable (Alcançável): é o segundo “como”. Os planos de ação devem ser viáveis e não vagos. Deve-se considerar os recursos disponíveis, o orçamento e a capacidade interna para alcançar a ação de controle. Os recursos são avaliados, os planos de ação são atribuídos a um stakeholder responsável e as expectativas são definidas como parte das funções de trabalho.
R - Risk-based (Baseado em Riscos): poderia ser descrito como “E daí?”. Os planos de ação devem ser proporcionais ao risco identificado e o custo de implementação do controle não deve exceder em demasia o custo do risco. É fundamental aplicar uma abordagem de negócios ágil e considerar a materialidade da observação e dos controles existentes. Também é importante que os planos sejam priorizados com base em abordar os itens de maior risco primeiro.
T - Time-bound (Temporal): é o “quando”. Por exemplo, “o Diretor de Recursos Humanos criará e comunicará informações sobre a política de não divulgação e obterá as declarações dos funcionários até o terceiro trimestre de 2024”. O cronograma do plano deve ser razoável e capaz de abordar o risco.
Cuidado com os Contratempos
Aqui estão algumas variáveis que podem causar contratempos em planos de ação:
Adesão insuficiente da gestão. Um plano de ação corretiva pode ser bastante prejudicado se houver pouca ou nenhuma adesão dos stakeholders estratégicos. Os auditores internos deveriam informar, consultar e buscar a aprovação dos principais stakeholders.
Reuniões de validação inadequadas. É essencial realizar reuniões periódicas de validação para discutir lacunas, controlar fraquezas e riscos potenciais com stakeholders relevantes em cada fase da auditoria. Isso ajuda a esclarecer quaisquer ambiguidades e evita resistências futuras ou desacordos. Também ajuda a identificar obstáculos ou restrições que possam comprometer a conclusão tempestiva dos planos de ação.
Falta de uma mentalidade ágil voltada para soluções. Trabalhar para mitigar os riscos, mesmo antes do fim da auditoria, poderia evitar impactos adicionais sobre os riscos e reduzir a gravidade das perdas, em vez de esperar até a fase de reporte ou acompanhamento.
Observações da auditoria abaixo do ideal. Um plano de ação corretiva desenvolvido para uma observação pode ser ineficaz se a descoberta da auditoria for insuficiente, irrelevante, não confiável ou tendenciosa e não agregar valor ao negócio.
Comunicação e acompanhamento inadequados. Um relatório de auditoria deveria ser enviado aos stakeholders que têm autoridade para influenciar a implementação dos planos de ação. O acompanhamento contínuo do progresso, o envio de lembretes periódicos e a apresentação de relatórios pendentes e atrasados aos stakeholders relevantes (alta administração, comitê de auditoria) ajudarão a eliminar contratempos.
Os profissionais de auditoria interna deveriam adotar uma abordagem com visão de futuro, garantindo que os planos de ação da gestão sejam SMART. Essa abordagem envolve um planejamento detalhado, execução meticulosa, relatórios abrangentes e acompanhamento diligente pós-auditoria. Adotar uma mentalidade ágil durante todo o ciclo de vida do trabalho de auditoria e seguir um modelo SMART para os planos de ação da gestão é crucial para preservar o valor da auditoria interna em uma organização.