Metodologia de Auditoria
Toda a auditoria segue um processo estruturado, documentado e repetível, alinhado com as normas internacionais. A metodologia é o que garante que a conclusão é fundamentada — e não uma opinião.
As Cinco Fases da Auditoria
Cada fase produz resultados próprios e prepara a seguinte. Nenhuma conclusão é emitida sem percorrer integralmente o processo.
Planeamento e Definição de Âmbito
Identificação do objecto da auditoria, dos regimes e critérios aplicáveis, dos perfis de entidade e das áreas de maior risco. Resulta um plano de auditoria com âmbito, calendário, recursos e protocolo de recolha de evidência. É também nesta fase que se acorda o grau de confidencialidade e o ponto de contacto na entidade auditada.
Trabalho de Campo e Recolha de Evidência
Execução do plano: análise documental, entrevistas com responsáveis, observação directa de práticas e teste de procedimentos e controlos. A evidência é recolhida por amostragem adequada e registada em papéis de trabalho que sustentam, de forma rastreável, cada conclusão posterior.
Análise, Avaliação e Classificação
Confronto da evidência recolhida com os critérios de auditoria. Cada desvio é formalizado como achado, descrito com a respectiva evidência e classificado numa escala de severidade. Os achados são validados com a entidade auditada antes do relato, assegurando exactidão factual.
Relato
Elaboração do relatório de auditoria: âmbito, metodologia, conclusões, matriz de achados, recomendações e plano de remediação priorizado. O relatório é apresentado à gestão numa sessão de fecho, com discussão das conclusões e dos prazos de remediação.
Acompanhamento e Fecho
Decorrido o prazo de remediação, verifica-se a execução efectiva das recomendações. As não conformidades remediadas são formalmente encerradas; as remanescentes transitam para o ciclo seguinte. Esta fase converte a auditoria de evento pontual em processo de melhoria contínua.
Normas de Referência
A metodologia não é proprietária nem improvisada: assenta nos referenciais internacionais reconhecidos de auditoria, seleccionados em função da natureza de cada trabalho.
| Referencial | Âmbito de Aplicação |
|---|---|
| ISO 19011:2018 | Linhas de orientação para auditorias de sistemas de gestão — base dos princípios e do processo de auditoria. |
| IPPF — IIA | Quadro de Práticas Profissionais do Institute of Internal Auditors, para a função de auditoria interna. |
| ISSAI — INTOSAI | Normas internacionais das instituições superiores de controlo, relevantes para a auditoria de entidades públicas. |
| ISO/IEC 27007 | Linhas de orientação para auditoria de sistemas de gestão de segurança da informação. |
| ISAE 3000 | Norma para trabalhos de garantia que não auditorias de informação financeira histórica. |
Os referenciais são adoptados como orientação metodológica; a auditoria de conformidade aqui descrita não constitui, por si só, certificação acreditada nem revisão legal de contas.
Critérios de Auditoria
Um achado só existe por referência a um critério. Antes de iniciar o trabalho de campo, fixam-se com clareza os critérios contra os quais a conformidade será medida.
Critérios normativos
Obrigações legais e regulamentares decorrentes dos regimes aplicáveis — diplomas, regulamentos das autoridades, orientações e deliberações vinculativas.
Critérios internos
Políticas, procedimentos, códigos de conduta e compromissos assumidos pela própria organização, que constituem critério adicional de avaliação.
Critérios de boas práticas
Normas técnicas e referenciais de boas práticas reconhecidos, aplicados quando o regime legal remete para o estado da técnica ou para padrões sectoriais.
Critérios contratuais
Obrigações assumidas perante terceiros em contratos, relevantes sobretudo na auditoria jurídica e na auditoria a relações com fornecedores.
Escala de Severidade dos Achados
Cada não conformidade detectada é classificada numa escala de cinco níveis, que orienta a priorização da remediação e a leitura do risco pela gestão.
| Nível | Designação | Significado | Resposta esperada |
|---|---|---|---|
| Crítico | Não conformidade crítica | Incumprimento com exposição sancionatória elevada ou risco iminente. | Remediação imediata. |
| Elevado | Não conformidade maior | Incumprimento relevante de obrigação substantiva do regime. | Remediação prioritária e calendarizada. |
| Médio | Não conformidade menor | Cumprimento parcial ou desvio de menor impacto. | Remediação no ciclo de gestão corrente. |
| Baixo | Oportunidade de melhoria | Conformidade assegurada, mas com margem de optimização. | Ponderação pela gestão. |
| Conforme | Conformidade | Obrigação cumprida, com evidência suficiente. | Manutenção e monitorização. |
Solicitar um Diagnóstico ou Pré-Auditoria
O diagnóstico aplica esta metodologia em modo abrangente, oferecendo um primeiro retrato estruturado da conformidade da organização.
Formulario JotForm — F3
Pedido de Diagnóstico / Pré-Auditoria
Campos: organização, tipo de entidade, sector de actividade, dimensão, áreas de maior preocupação e observações.