Relatório e Entregáveis
Uma auditoria só tem valor se o seu resultado for utilizável. Todos os trabalhos concluem com um conjunto estruturado de entregáveis, desenhados para sustentar a decisão de gestão e orientar a remediação.
O Que a Organização Recebe
O pacote de entregáveis adapta-se à tipologia de auditoria; o relatório de auditoria e a matriz de achados são, contudo, transversais a todos os trabalhos.
Relatório de Auditoria
O documento central. Apresenta o âmbito, a metodologia, as conclusões e a opinião de conformidade, com sumário executivo para a gestão.
Matriz de Achados
Inventário estruturado das não conformidades, cada uma com evidência, critério, severidade e recomendação associada.
Plano de Remediação
Recomendações convertidas em acções priorizadas, com responsável e prazo sugeridos para cada uma.
Mapa de Conformidade
Representação sintética do grau de conformidade por vector e por regime — a leitura rápida para o órgão de administração.
Declaração de Conclusão
Documento formal que atesta a realização da auditoria, o seu âmbito e a data — útil perante terceiros e autoridades.
Relatório de Seguimento
Após o prazo de remediação, documenta o estado de execução das recomendações e encerra formalmente as não conformidades remediadas.
A Estrutura do Relatório de Auditoria
O relatório segue uma estrutura constante, que assegura leitura uniforme entre trabalhos e ciclos de auditoria.
Sumário Executivo
Síntese das conclusões e da opinião de conformidade, dirigida à gestão e ao órgão de administração.
Âmbito e Objectivos
Delimitação do objecto auditado, dos regimes abrangidos e dos objectivos do trabalho.
Metodologia e Critérios
Descrição do processo seguido, das técnicas de recolha de evidência e dos critérios de auditoria.
Achados e Evidência
Apresentação detalhada de cada achado, com a evidência que o sustenta e o critério violado.
Recomendações e Remediação
Recomendações priorizadas e plano de remediação, com responsáveis e prazos sugeridos.
Conclusão e Opinião
Opinião global de conformidade e, quando aplicável, reservas e limitações de âmbito.
Matriz de Achados — Exemplo Ilustrativo
A matriz de achados é o instrumento operacional do relatório. O exemplo seguinte ilustra o formato; os achados apresentados são fictícios e meramente demonstrativos.
| Ref. | Vector | Achado | Critério | Severidade |
|---|---|---|---|---|
| A-01 | V01 Proteção de Dados | Registo de actividades de tratamento desactualizado e incompleto. | RGPD, art. 30.º | Elevado |
| A-02 | V04 Cibersegurança | Ausência de procedimento formal de notificação de incidentes. | RJCS / NIS2 | Crítico |
| A-03 | V06 Prevenção da Corrupção | Plano de prevenção de riscos aprovado, mas sem evidência de execução do relatório anual. | RGPC, DL 109-E/2021 | Elevado |
| A-04 | V05 Proteção de Denunciantes | Canal de denúncia operacional; falta divulgação interna documentada. | Lei 93/2021 | Médio |
| A-05 | V09 Recursos Humanos | Procedimentos de SST conformes; oportunidade de consolidar registos num único repositório. | Lei 102/2009 | Baixo |
| A-06 | V10 Contratação | Procedimentos de contratação verificados, com evidência suficiente de conformidade. | CCP, DL 18/2008 | Conforme |
O Entregável Mais Importante é a Acção
Um relatório de auditoria que fica na gaveta não reduz risco nenhum. Por isso o desenho dos entregáveis privilegia sempre a operacionalização: cada achado liga-se a uma recomendação, cada recomendação a uma acção com responsável e prazo, e cada acção a uma verificação de seguimento. O ciclo só fecha quando a não conformidade está, comprovadamente, remediada.