Tema 6 - Auditoria Interna

Prévia do material em texto

Auditoria interna
Estudo das etapas para implantação de consultoria e auditoria interna de RH, planejamento das ações,
programação, execução, controle e avaliação do processo.
Prof. Fernando Celso Garcia da Silveira
1. Itens iniciais
Propósito
Compreender os aspectos e benefícios da consultoria e auditoria interna de RH é indispensável para capacitar
profissionais a otimizar a gestão de pessoas, identificar falhas e agregar valor estratégico à organização.
Objetivos
Descrever o mapeamento de riscos e prioridades para a auditoria interna e os tipos de consultoria.
 
Identificar os procedimentos adotados em uma auditoria e o papel do auditor.
 
Identificar as não conformidades quanto a riscos e gravidades.
 
Compreender como as ações corretivas contribuem para a melhoria dos processos organizacionais.
Introdução
Cada vez mais, as organizações estão obrigadas a adotar técnicas de monitoramento das ações de controle
para evitar, mitigar ou eliminar os riscos relacionados a esses processos de consultoria e auditoria interna que
têm o potencial de expor a imagem da organização perante acionistas, funcionários, clientes, sindicatos
representantes de funcionários e demais partes interessadas (stakeholders) com quem ela se relaciona. Essa
nova forma de atuação das organizações tem levado à utilização de mecanismos para detectar problemas
reais ou potenciais, além da aplicação de ações que garantam a conformidade dos processos. Como
mecanismos utilizados pelas organizações, podemos destacar a gestão de riscos, os controles internos e a
auditoria interna.
 
Enquanto a auditoria externa tem como finalidade fornecer pareceres contábeis, a auditoria interna avaliará os
processos de gestão em relação a sua conformidade com a governança
corporativa, o quanto esses processos atendem à legislação vigente e como é feita a gestão de
riscos, apontando, ao final, as oportunidades e vulnerabilidades detectadas.
 
Diante desses cenários e das novas exigências regulatórias que seguem um modelo mundial, é percebido nas
organizações um movimento de estruturação de áreas de auditoria interna para atender a essas contínuas
demandas. 
 
Para que a auditoria interna funcione adequadamente, há também a exigência de auditores com alto grau de
especialização e competência, com uma visão multidisciplinar que atue de forma coordenada, buscando
sempre ser um assessor da alta direção no exame e avaliação da adequação dos controles internos, da
confiabilidade das informações geradas para a gestão, da observância das políticas e dos procedimentos
estabelecidos, assim como da mensuração dos riscos, oferecendo alternativas de solução.
 
Não se sabe exatamente quando a atividade de auditoria começou, já que os registros históricos não são
precisos, mas ela se tornou elemento indispensável na gestão das organizações. Então, vamos explorá-la?
• 
• 
• 
• 
1. Mapeamento de riscos e prioridades para a auditoria interna
Definição conceitual e aplicação
Neste vídeo, você vai compreender o conceito de risco, conhecer seus diferentes tipos e descobrir como o
mapeamento pode ajudar a prevenir perdas e identificar oportunidades.
Conteúdo interativo
Acesse a versão digital para assistir ao vídeo.
Risco é algo com alta probabilidade de acontecer, podendo ser positivo ou negativo. Segundo a ISO
31000:2018 - Gestão de riscos - Diretrizes, risco é o efeito da incerteza nos objetivos. Por exemplo, podemos
ter o risco de a venda de um produto aumentar no mercado em que a organização está inserida e ficarmos
sem matéria-prima para fabricá-lo, o que seria um risco de perda de oportunidade de receita e de mercado
pela falta do produto.
 
Nesse caso, a consequência positiva é o aumento da receita, porque a demanda aumentou, mas o risco é a
organização não poder atender essa demanda, pois não analisou o mercado, sendo essa a consequência
negativa do risco analisado devido à falta de análise e acompanhamento do mercado.
A gestão de risco é caracterizada pela busca constante de ações fora dos padrões estabelecidos
por ela ou pelos órgãos de controle que possam afetar seus lucros atuais e futuros, causando danos
à imagem, paralisia ou disrupção em suas operações. Esses riscos podem ter origem em erros de
operação, acidentes ou desastres naturais.
Quando falamos de mapeamento de riscos, queremos dizer que a empresa deve avaliar constantemente as
condições em que os processos organizacionais são executados, mapeando e registrando os eventuais riscos
detectados, tal como se os riscos analisados em algum ciclo de revisão anterior continuam válidos, se
evoluíram para algo mais grave ou se permaneceram sob controle ou se reduziram.
 
Podemos classificar os riscos em categorias distintas, veja!
Estratégico
É um risco que pode afetar a competitividade da organização. Por exemplo, um produto ou serviço
que a organização possui e que pode ser facilmente copiado, aumentando a concorrência.
Conformidade com as regras (compliance)
Envolve riscos relacionados ao não cumprimento de uma regulamentação. Por exemplo, a introdução
de nova legislação de saúde e segurança ocupacional ou relacionada à Consolidação das Leis do
Trabalho (CLT).
Financeiro
É um risco que pode afetar diretamente o caixa ou a disponibilidade e a capacidade de pagamentos
da organização. Por exemplo, se a análise de crédito não for bem executada, pode acontecer de o
cliente não pagar, o que refletirá na capacidade da empresa honrar seus compromissos.
Operacional
Envolve os riscos ligados diretamente à operação diária da organização e profundamente conectada
aos processos. Por exemplo, se não usarmos senhas nos computadores, permitimos que as
informações dos clientes sejam roubadas.
Tecnológico
É o risco mais tratado pelas organizações atualmente, já que todos os membros de uma organização
estão conectados. Há uma constante preocupação quanto à invasão dos sistemas de informação e
subtração de informações sensíveis ao negócio ou aos clientes. Já existem leis específicas que tratam
desse risco e das consequências de não o tratar. 
É importante que todos os envolvidos nos processos que possam originar riscos estejam atentos a eles e
saibam quais são e como tratá-los. 
 
A melhor forma de fazer isso é ilustrar de forma gráfica para que todos tenham conhecimento de sua
existência e do grau de probabilidade de ocorrência. Isso facilita a tomada de decisão frente às prioridades
apontadas.
Matriz de riscos
A matriz de riscos é uma importante ferramenta de visualização de informações para comunicar riscos
identificados que uma organização pode enfrentar. Uma matriz de risco permite que as organizações
identifiquem e priorizem os riscos associados aos seus negócios.
 
O objetivo é facilitar a compreensão quanto aos riscos do negócio, permitindo que a organização possa
gerenciar seu apetite ao risco, esclarecer a natureza dele e seu impacto, contribuindo para melhorar a forma
como a organização os avalia. 
Em geral, a matriz
de riscos é
mostrada como uma
figura
bidimensional,
usando, por
exemplo, o eixo x
para probabilidade 
de ocorrer um risco,
enquanto o eixo y
mostra o impacto 
desse risco.
 A matriz de riscos é uma ferramenta que
estimula um diálogo mais produtivo e
colaborativo entre os departamentos de
uma organização, enriquecendo a
identificação e a gestão dos riscos. Ao
permitir a visualização de riscos
compartilhados entre setores ou unidades,
ela contribui para uma compreensão mais
ampla de como esses riscos podem afetar
as operações da empresa. Isso favorece a
construção de avaliações mais eficazes e
estratégias mais assertivas para lidar com
os riscos e suas possíveis consequências.
 Como a
matriz se
baseia nos
critérios de
probabilidade
e impacto,
vamos agora
entender o
que cada um
desses
elementos
representa.
Probabilidade
Refere-se à chance de um risco ocorrer, expressa geralmente em percentual (%). É uma estimativa de quão
provável é que determinado evento de risco se concretize. Para isso, é importante avaliar o quão fácil ou difícil
seria a ocorrênciaa um requisito constitui uma não conformidade. Indique uma não conformidade encontrada na auditoria interna.
	4. Ações corretivas para a melhoria dos processos organizacionais
	Contribuição do auditor interno nos processos
	Conteúdo interativo
	Política de gestão de pessoas
	Condições ambientais internas
	Independência
	Acompanhamento
	Conferência
	Os desdobramentos provocados por ações corretivas
	Conteúdo interativo
	Primeiro
	Segundo
	Exemplo
	Resposta 1
	Resposta 2
	Dificuldades na implantação das ações corretivas
	Conteúdo interativo
	Resistência à mudança
	Falta de clareza nas responsabilidades
	Recursos limitados
	Comunicação ineficiente
	A periodicidade do acompanhamento da adoção das ações corretivas
	Ação corretiva e a não conformidade
	Conteúdo interativo
	D0
	D1
	D2
	D3
	D4
	D5
	D6
	D7
	D8
	Verificando o aprendizado
	O auditor interno contribui para a melhoria dos processos. Quanto à sua atuação, é correto afirmar que
	Em relação às ações corretivas, é correto afirmar o seguinte:
	5. Conclusão
	Considerações finais
	Podcast
	Conteúdo interativo
	Explore+
	Referênciasdesse risco, com base em dados históricos, conhecimento técnico e contexto operacional.
 
Vemos e ouvimos muito isso em previsão do tempo na TV: probabilidade de chuva de 30%, por exemplo, em
tal lugar. Quando falamos de probabilidade, devemos medi-la em níveis, por exemplo: muito baixo, baixo,
moderado, alto e muito alto, ou podemos convertê-las em números (porcentagens) para facilitar o
entendimento. Entenda melhor!
Muito baixo = 1 A 10%
Não é provável que aconteça.
Baixo = 11% A 30%
Pode ser que aconteça uma vez dentro de um ano.
Moderado = 31% A 50%
Pode ser que aconteça mais de uma vez em um ano.
Impacto
Quando falamos deste aspecto, estamos nos referindo a consequências ou prejuízos que esse risco, caso
ocorra, trará.
Note que o impacto pode ser negativo ou positivo.
No cenário negativo, pode ser um prejuízo financeiro, a perda de clientes ou a quebra de um equipamento. No
caso positivo, podemos falar em novas oportunidades de mudança para uma nova tecnologia ou uma redução
de um imposto ou taxa.
 
No impacto, tal como na probabilidade, também usamos medidas em níveis:
Muito baixo
Os riscos possuem consequências pouco significativas.
Baixo
Os riscos possuem consequências reversíveis em curto e médio prazo, com custos pouco
significativos.
Moderado
Os riscos possuem consequências reversíveis em curto e médio prazo, com custos baixos.
Alto
Os riscos possuem consequências reversíveis em curto e médio prazo, com custos altos.
Muito alto
Os riscos possuem consequências irreversíveis ou com custos inviáveis.
Podemos definir quantos níveis queremos utilizar na relação de probabilidade versus impacto, não havendo
limitação para isso, apenas o bom senso.
 
Agora acompanhe um exemplo teórico usando as definições anteriores de impacto e probabilidade.
Matriz de Probabilidade X Impacto.
Para criar uma matriz de riscos, o primeiro passo é identificar os riscos, que podem ocorrer dentro da
organização. Esses riscos podem ser classificados em diferentes categorias, como: risco estratégico, risco de
conformidade (compliance), risco operacional, risco financeiro e risco tecnológico.
As organizações podem criar suas próprias listas de riscos, considerando fatores específicos que
podem impactá-las de forma mais direta — especialmente do ponto de vista financeiro ou
estratégico. Um exemplo disso é a inclusão do risco à reputação, que embora nem sempre esteja
nas categorias tradicionais, pode trazer sérias consequências para a imagem da organização e,
assim, afetar seus resultados.
Depois de identificar os riscos, é fundamental compreender quais eventos internos ou externos podem
desencadear esses riscos.
 
A próxima etapa no mapeamento é a avaliação dos riscos: estimar a frequência ou probabilidade (como
explicamos anteriormente), o impacto potencial e identificar os possíveis processos de controle para mitigar
esses riscos.
 
Os riscos com maior impacto podem ser gerenciados por meio da aplicação de processos de controle que
ajudem a reduzir sua ocorrência potencial. Esses controles devem ser reavaliados periodicamente,
considerando a evolução das ameaças e mudanças nas vulnerabilidades, além de identificar eventuais lacunas
no processo de gerenciamento de risco.
 
Com a probabilidade e o impacto identificados, podemos então preencher a matriz de riscos, como no
exemplo a seguir (observe a linha tracejada).
Matriz de Probabilidade X Impacto.
Mapeamento de risco
Neste vídeo, vamos conferir alguns exemplos ocorridos em empresas na utilização da ferramenta de matriz de
risco.
Conteúdo interativo
Acesse a versão digital para assistir ao vídeo.
Cenário organizacional e identificação de fragilidades nos
processos
Neste vídeo, você vai entender como a análise do cenário organizacional e o apoio de diferentes tipos de
consultoria contribuem para identificar fragilidades nos processos, prevenir riscos e fortalecer a auditoria
interna.
Conteúdo interativo
Acesse a versão digital para assistir ao vídeo.
Após a identificação dos riscos, é importante analisar pontos de atenção no cenário organizacional e as
possíveis fragilidades nos processos relacionados aos riscos que precisem ser melhorados, modificados ou
alterados.
 
No cenário global, várias mudanças estão ocorrendo, as organizações precisam redefinir as condições de
trabalho, o ambiente em que estão inseridas e o mercado em que atuam, além do perfil adequado para cada
cargo, o emprego e a renda.
Flexibilidade, competitividade, inovação, conhecimento e redução de custos devem ser prioridades
dentro de uma organização!
Na análise do cenário organizacional, o mais importante é ver em que momento a organização se encontra em
relação à sua estratégia. Pode ser que determinado risco, apesar de ter impacto
na organização, seja parte de uma estratégia maior para a mudança de rumo ou cenário de
atuação.
 
Vamos imaginar que um risco identificado tenha relação direta com a baixa aceitação de um produto pelo
mercado, pela falta de atualização em relação à concorrência, com alta probabilidade de acontecer, mas baixo
impacto no faturamento.
Esse exemplo pode ser de um carro que não sofre atualizações, porque
a empresa quer, dentro de um prazo estabelecido, colocar um novo
modelo no mesmo segmento ou classe atual, porém com mais
tecnologia e mais atratividade de público, aumentando o valor unitário
de forma significativa sem aumentar seus custos na mesma proporção.
Quando um risco é influenciado pelo cenário organizacional, a gestão dele torna-se estratégica e a
alta direção precisa estar envolvida, tanto no gerenciamento como na solução, orientando as ações
a serem tomadas.
Analisar o risco também é pontuar seu alcance dentro da organização, quais áreas, pessoas ou processos
podem ser impactados por ele e, a partir daí, avaliar a ação necessária.
 
Como a organização é feita de processos, pessoas e tecnologia, é importante que cada uma dessas partes
seja avaliada concomitantemente, já que elas se complementam na evolução e nas alterações.
 
Fragilidades identificadas nos processos organizacionais ou operacionais nascem da revisão sistemática que
deve ser feita pela área de auditoria interna da organização e tratada de acordo com seu impacto. Essas
fragilidades de processo originam-se de duas formas: o não uso do processo, como foi originalmente
desenhado; e a inadequação do processo frente a uma mudança estrutural na organização — ou as duas
coisas juntas. 
 
Na sequência, vamos entender melhor cada um desses aspectos.
Não uso do processo
Pode se originar por desatualização do processo, por conta de mudanças que podem ser tanto uma
defasagem tecnológica como uma mudança na forma de fazer, ou por falta de treinamento e atualização de
quem está envolvido. Muda-se a forma de fazer a atividade, mas o processo não é atualizado e pode ter
impacto em outros processos que se relacionam à frente ou que o antecedem.
 
A causa pode ser de origem interna, quando há uma falha no processo causada por outra área ou mudança
interna, ou externa, causada por um agente externo que impacta a forma como é realizada a tarefa.
Exemplo de processo desatualizado de causa externa
No processo de contas a pagar, as contas de serviço de luz eram recebidas em papel, e alguém na
organização digitava essas informações no sistema para controlar as datas de vencimento.
 
No entanto, a empresa fornecedora mudou seu processo interno e passou a enviar as contas eletronicamente,
por e-mail. Agora, a organização que recebe a conta de luz precisará ajustar seu processo, reduzindo as horas
dedicadas a essa tarefa, o que pode gerar descontrole se o processo real não for alinhado com o processo
descrito.
 
Embora pareça um exemplo simples, essa mudança pode causar problemas sérios, como o corte do
fornecimento de energia ou o pagamento de multas por atraso — ambos capazes de resultar em prejuízos
para a organização.
Inadequação do processo
Quando falamos de inadequação do processo, a causa é sempre por ele ter sido mal desenhado ou mal
proposto,não refletindo a realidade quando observamos a operação.
 
A falha é de origem interna, sem intervenção externa. Nesse caso, quem está responsável por fazer a
atividade percebe, por experiência ou pela impossibilidade de concretizar a tarefa, que não há como realizá-la.
Observa-se, na prática, uma recorrência de falhas que podem ser evitadas quando se revisam os
processos de forma periódica e são feitas as eventuais alterações, aprovações, publicações e
treinamento dos envolvidos nas atividades.
A questão do treinamento e retreinamento em processos nas empresas é um elemento-chave de grande
importância na prevenção de riscos e facilitador na definição de prioridade de ações preventivas.
Tipos de consultoria no mapeamento de riscos e na auditoria interna
A consultoria é imprescindível no processo de mapeamento de riscos e na auditoria interna, pois contribui
para a identificação de ameaças e oportunidades que impactam o desempenho e a sustentabilidade das
organizações. Ao diagnosticar riscos que podem comprometer a estabilidade financeira, a reputação e a
eficiência operacional, a consultoria permite decisões mais seguras e alinhadas aos objetivos da organização.
 
Existem diferentes tipos de consultoria que atuam em conjunto com o mapeamento de riscos. Vamos
conhecê-las!
1
Consultoria estratégica
Ajuda a organização a definir metas e prioridades, promovendo o alinhamento entre os riscos
identificados e os objetivos estratégicos.
2
Consultoria operacional
Analisa os processos internos para detectar falhas e propor melhorias, aumentando a eficiência e
reduzindo vulnerabilidades operacionais.
3
Consultoria de conformidade (compliance)
Assegura a conformidade da organização com leis, normas e regulamentos, evitando sanções
legais e prejuízos à imagem institucional.
4 Consultoria em tecnologia
Propõe soluções para proteger dados e sistemas, avaliando os riscos relacionados à segurança
digital e à infraestrutura tecnológica.
Os diferentes tipos de consultoria complementam-se e são fundamentais para uma gestão de riscos eficaz e
integrada.
Verificando o aprendizado
Questão 1
Em relação aos impactos que um risco pode causar, assinale a alternativa correta.
A Um risco com impacto muito baixo significa que as consequências são significativas.
B Um risco de impacto moderado possui consequências reversíveis em curto e médio prazo, com
custos baixos.
C Um risco de alto impacto possui consequências irreversíveis em curto e médio prazo, com custos
baixos.
D Um risco sem impacto é o mais fácil de se resolver.
E Um impacto deve ser classificado apenas pelas consequências.
A alternativa B está correta.
Todo risco identificado, caso ocorra, trará um impacto na organização, e suas consequências podem ser
custos altos ou baixos, reversíveis ou não. Um risco pode ser considerado de impacto moderado por ser
revertido porque suas consequências ainda estão sob controle.
Questão 2
Os processos da empresa devem apresentar baixa probabilidade de desatualização.
Considerando isso, assinale a alternativa que apresenta a forma correta de garantir esse
aspecto.
A Os processos da empresa devem ser revisados periodicamente, mas eventuais alterações só precisam
ser comunicadas à direção da empresa.
B
Uma forma de evitar que o processo fique desatualizado é, sempre que houver uma mudança em uma
atividade, manter a documentação original.
C Processos atualizados e revisados aumentam os custos.
D Processos necessitam de constante atenção às mudanças e revisão das novas rotinas.
E Um processo informal evita riscos e agiliza a definição de prioridades.
A alternativa D está correta.
Processos são a alma da empresa e garantem que todos saibam como executar suas atividades. Porém,
para que isso aconteça de forma eficaz, é fundamental manter uma atenção constante às mudanças e
realizar revisões periódicas sobre sua aplicação.
2. Procedimentos adotados em uma auditoria e papel do auditor
Diretrizes de atuação
Para que a auditoria interna seja bem conduzida, é fundamental definir claramente os objetivos a serem
alcançados, sempre alinhados com os objetivos estratégicos da organização.
 
Entre as responsabilidades da auditoria interna está a de auxiliar a organização a atingir suas metas, por meio
de uma abordagem sistêmica e disciplinada, que permita verificar e, quando necessário, aprimorar a eficácia
dos processos de gestão de riscos.
Uma orientação amplamente validada em diversas organizações e segmentos de mercado é a
adoção da NBR ISO 19011:2018 – Diretrizes para auditoria de sistemas de gestão, que “[...] fornece
orientação sobre a auditoria de sistemas de gestão, incluindo os princípios de auditoria, a gestão de
um programa de auditoria e a condução de auditoria de sistemas de gestão, como também
orientação sobre a avaliação de competência de pessoas envolvidas no processo de auditoria. Estas
atividades incluem as pessoas que gerenciam o programa de auditoria, os auditores e a equipe de
auditoria” (ABNT, 2018a).
Quanto às diretrizes, as principais envolvem o objetivo da auditoria que será realizada, como se dará a gestão
da auditoria, quais as responsabilidades, como será feita a coordenação das atividades e disponibilização de
recursos, orientações gerais sobre a realização de auditorias e a seleção de pessoal envolvido.
O estabelecimento das diretrizes de atuação
Acompanhe neste vídeo as principais diretrizes da auditoria interna em recursos humanos, ilustradas com
exemplos reais vivenciados em empresas.
Conteúdo interativo
Acesse a versão digital para assistir ao vídeo.
Agora vamos explorar as diretrizes!
Objetivos da auditoria
É a mais importante diretriz, já que orienta as ações que envolvem a auditoria. Esses objetivos devem
ser endereçados ou, ao menos, validados pela alta direção antes do início da auditoria.
Podemos ainda estabelecer pontos de auditoria que tenham a ver com os objetivos organizacionais
ou apenas uma revisão de rotina para garantir a excelência das atividades e, ao final, verificar o
quanto cada ponto planejado foi atingido. O objetivo ou os objetivos da investigação podem ser tanto
quantitativos como qualitativos ou ambos.
Por exemplo, pode-se ter uma auditoria que queira avaliar a adequação e a conformidade dos
processos, mas também queira ver se, em termos quantitativos, está aumentando ou diminuindo
custos.
Gestão da auditoria
É importante garantir que os pontos colocados inicialmente para a auditoria sejam atingidos, que haja
um facilitador e validador das atividades e pontos de atenção encontrados, se eles estão alinhados
com os objetivos e se há necessidade de maior aprofundamento ou não nas questões levantadas.
A gestão deve ser feita por um representante da auditoria com capacidade e autoridade para manter
sob controle datas, recursos, papéis e responsabilidades.
Responsabilidades
Neste ponto, é importante destacar que, independentemente do grau hierárquico dentro do grupo, as
responsabilidades devem ser distribuídas conforme a necessidade da auditoria.
Por exemplo, podemos ter vários integrantes da equipe fazendo levantamentos inicialmente, e depois
apenas alguns para análise dos dados e estudos complementares.
Por ser uma atividade analítica, muito do que se encontra deve ser aprofundado para garantir a lisura,
a confidencialidade e a integridade.
Coordenação das atividades
Apesar de existir a gestão e as responsabilidades definidas, é importante que as atividades sejam
coordenadas entre a equipe de auditoria e os clientes internos, para não atrapalhar o bom andamento
dos trabalhos das demais áreas, já que elas possuem sua própria carga de trabalho e rotina.
A melhor forma de fazer com que os trabalhos sejam conduzidos é criar uma agenda com cada uma
das áreas e pessoas envolvidas, para que elas possam se preparar para atender a equipe de auditoria
sem transtornos de horário e disponibilidade.
Disponibilização dos recursos
Antes de iniciar os trabalhos, o gestor responsável pela auditoria deve avaliar quais recursos humanos
e materiaisserão necessários. Essa definição deve partir dos objetivos estabelecidos para a auditoria,
garantindo que os recursos estejam alinhados às demandas do processo.
Por exemplo, se vamos fazer uma auditoria em campo ou no local de trabalho, pode ser importante
ter um equipamento fotográfico para registrar as constatações (conformidades e não conformidades)
encontradas.
São detalhes como esses, surgidos a partir de um bom planejamento, que auxiliam na condução dos
trabalhos.
Orientações gerais
Em alguns casos, por força das políticas e da cultura da empresa, existem algumas orientações que
devem ser passadas à equipe que conduzirá os trabalhos.
Podemos citar, como exemplos, a obediência quanto à segurança em áreas operacionais e o desejo
do gestor de auditoria de que a equipe se reúna todos os dias ao final dos trabalhos para revisar o
andamento e fazer os ajustes necessários.
Seleção do pessoal envolvido
Do lado da auditoria, cada evento pode ser feito com equipes diferentes, já que os objetivos e as
diretrizes podem mudar. Daí a necessidade de envolver mais ou menos pessoas, bem como
selecionar os participantes que tenham os conhecimentos técnicos necessários.
Do lado do cliente (auditado), também é importante que se defina quais pessoas ou cargos são
importantes para o trabalho que será feito, tanto em conhecimento técnico como dos processos e
das atividades que serão auditadas.
O estabelecimento das responsabilidades do auditor
interno
Neste vídeo, você vai conhecer os princípios e as responsabilidades do auditor interno, pontos fundamentais
para garantir integridade, imparcialidade e confiança nos processos de auditoria da organização.
Conteúdo interativo
Acesse a versão digital para assistir ao vídeo.
O auditor interno deve seguir alguns princípios e responsabilidades para que a auditoria interna possa ter a
confiança que a caracteriza dentro da organização, fazendo bom uso de sua autonomia como ferramenta
confiável e competente para apoiar as políticas de gestão e controles. Dessa forma, fornecerá informações
para que a organização possa melhorar seu desempenho.
 
Com base nos princípios de auditoria definidos pela ISO 19011:2018 – Diretrizes para auditoria de sistemas de
gestão, os princípios e as responsabilidades do auditor interno podem ser descritos da seguinte forma:
Integridade
Trata as questões de idoneidade da equipe de auditores, assim como as competências de cada um
deles. O objetivo é que seu trabalho seja executado sempre de forma ética, honesta e com
responsabilidade, sendo totalmente imparcial e cuidadoso quanto a possíveis influências por parte
dos auditados.
Apresentação justa
Ressalta a importância de as constatações, conclusões e relatórios de auditoria refletirem com
veracidade e precisão todas as atividades realizadas, incluindo o registro formal de eventuais
discordâncias de opinião, que são comuns durante o processo.
Além disso, a comunicação entre o auditor, o cliente auditado e a equipe de auditoria deve ser
objetiva, clara, sem ambiguidades e realizada em tempo hábil.
Cuidado profissional
O auditor deve ter cuidado quanto a julgamentos sem a devida comprovação, já que será responsável
por seus resultados e conclusões. Toda auditoria precisa ser conduzida com cautela para conquistar a
confiança e não ferir a relação com o cliente interno e as outras partes interessadas que são os
demais níveis envolvidos.
Confidencialidade
Todo o material coletado deve ser mantido em sigilo, principalmente para que não haja manipulação
por pessoas não autorizadas, nem sejam utilizadas de forma fraudulenta para obter vantagens
pessoais tanto do auditor como do auditado, mantendo discrição no uso e na proteção das
informações obtidas durante a auditoria.
Independência
Relacionada à imparcialidade e objetividade diante das conclusões da auditoria, de modo que todas
as questões levantadas sejam abordadas de forma não tendenciosa. Para manter essa
independência, no caso de os auditores serem oriundos de áreas internas da organização e não
contratados externamente, é importante que as auditorias não sejam realizadas nos mesmos locais
de onde vieram, garantindo que as conclusões sejam independentes e baseadas apenas nas
evidências identificadas.
Atuação baseada em evidências
É responsabilidade do auditor planejar a forma como fará a auditoria, seja no local físico, seja por meio
de comparação dos processos e procedimentos em relação às melhores práticas, e realizá-la de
forma objetiva, racional e sem traumas. Ao coletar as evidências, que podem ser qualitativas ou
quantitativas, deve haver segurança quanto às fontes de informação, já que elas podem ser passíveis
de verificação e, por isso, deve ser coerente com a auditoria. Deve ser baseada em amostras da
informação disponível, levando em conta que a auditoria é realizada durante um período finito e com
recursos limitados.
Abordagem baseada em riscos
Para que as auditorias sejam focadas em assuntos que sejam significativos para o cliente e para
alcançar os objetivos do programa de auditoria, o auditor deverá utilizar uma abordagem baseada em
risco e buscar continuamente mitigá-los para melhor conduzir as auditorias.
Competências exigidas no papel de auditor
Neste vídeo, vamos apresentar as principais competências que um auditor interno precisa desenvolver —
como pensamento analítico, comunicação, visão de negócio e adaptabilidade — para atuar com eficácia e
gerar valor para a organização.
Conteúdo interativo
Acesse a versão digital para assistir ao vídeo.
Em relação às competências necessárias para desenvolver a função de auditor, podemos citar:
Conhecimento técnico
Preferencialmente, o auditor interno deve ser especialista em algum conhecimento técnico, como:
contabilidade, processos ou tecnologia.
Pensamento analítico
O auditor interno deve ser capaz de decompor o objeto de sua análise em partes mais simples,
facilitando assim a explicação e a solução de cada componente. Dessa forma, torna-se possível
compreender o todo de maneira mais clara e eficaz.
Comunicação
Característica importante do auditor é ter a capacidade de se comunicar independentemente do nível
hierárquico com que esteja lidando.
Mineração e análise de dados
O auditor trabalhará com grande volume e variedade de dados, que devem ser processados e
analisados de forma muito rápida e cuidadosa. Portanto, ter conhecimentos de mineração e análise
de dados é muito importante para o desempenho da função.
Visão multidisciplinar
O auditor interno deverá ter conhecimento sobre várias áreas, pois lidará com vários departamentos e
pessoas diferentes, exigindo que ele possa dialogar sobre vários assuntos e conhecimentos, o que é
essencial para se trabalhar em equipe.
Visão de negócio
É essencial que o auditor tenha a capacidade de entender o negócio em que está inserida a
organização. Não basta ter apenas conhecimentos técnicos, pois se não considerar o ambiente
mercadológico, suas análises e considerações poderão ser equivocadas. Vejamos: se uma
organização atua em um mercado com poucos concorrentes, em que é difícil um novo entrante no
negócio, sugerir que se altere processos voltados para mercados altamente competitivos não seria a
solução adequada.
Proatividade
O auditor deve ser curioso por natureza, estar sempre querendo aprender e ser capaz de se adaptar
às mudanças. Deve antecipar possíveis problemas ou intercorrências que possam atrapalhar o
andamento da auditoria.
Liderança e gerenciamento de projetos
Como o auditor precisa lidar com pessoas, prazos e processos, saber liderar e gerenciar projetos é
fundamental para garantir que eles sejam conduzidos de forma eficiente rumo a um objetivo comum.
Adaptabilidade
Também conhecido como responsividade, esta é uma competência essencial para o auditor. O
ambiente, as políticas, processos, entre outros, estão em constante mudança, e a capacidade de se
adaptar o mais rápido possível a elas é uma questão de sobrevivência para as empresas.
Verificando o aprendizado
Questão 1
Uma auditoriainterna é regida por diretrizes. Quanto a essas diretrizes, é correto afirmar o
seguinte:
A Os objetivos devem ser endereçados, sem a necessidade de validação, para a alta administração antes
do início da auditoria.
B A gestão deve ser feita por um colaborador envolvido nos processos que tenha capacidade e autoridade
para manter sob controle datas, recursos e responsabilidades.
C As atividades devem ser realizadas conforme cronograma estabelecido, mas não podem atrapalhar o
andamento do trabalho das demais áreas.
D Os recursos humanos e os materiais devem ser avaliados para identificar quais serão necessários para a
realização da auditoria interna à medida que o processo evolui.
E
Orientações à equipe que conduzirá os trabalhos, a fim de mantê-la independente da política e da
cultura da organização, são dispensáveis.
A alternativa C está correta.
Os processos e as atividades dos diversos setores envolvidos na auditoria interna não podem ser
paralisados ou prejudicados por ela. Portanto, deverá haver uma flexibilização por parte dos gestores na
conciliação de agendas e horários para realização dos trabalhos da equipe de auditoria interna, sem que
haja prejuízo para os envolvidos.
Questão 2
O auditor interno deve possuir certas competências. Quanto a elas, é correto afirmar que esse
auditor
A deverá ter conhecimento específico sobre a área da organização que passa por auditoria, sem a
necessidade de manter contato com outros departamentos.
B foca os problemas ou intercorrências atuais para não ampliar demais os escopos da auditoria.
C deve ter a capacidade de se comunicar apenas com a direção da organização.
D deve ter um pensamento intuitivo na resolução dos problemas.
E precisa ter conhecimentos técnicos e necessita ter um entendimento do negócio em que a
organização está inserida.
A alternativa E está correta.
O auditor interno, além de ter conhecimentos técnicos, deve transitar por vários departamentos e propor
soluções para os problemas encontrados. Por isso, precisa ter um conhecimento do mercado e da cultura
da organização.
3. As não conformidades quanto a riscos e gravidades
Não conformidade: conceito e relevância para a qualidade
do processo
Neste vídeo, você vai entender o que é uma não conformidade, por que ela é determinante no contexto da
garantia da qualidade dos processos e como a auditoria interna pode corrigir falhas e prevenir riscos nas
práticas de recursos humanos.
Conteúdo interativo
Acesse a versão digital para assistir ao vídeo.
A avaliação de conformidade vem sendo empregada há milhares de anos, desde o surgimento da atividade
comercial. Com o passar dos anos, ela foi sendo aprimorada até chegar à forma atual. Mas o seu conceito
permanece o mesmo.
 
No início do seu uso nas atividades de trocas de mercadorias, a verificação dos produtos entregues era feita
com os pedidos realizados.
Se o que foi entregue estivesse em consonância com o que foi solicitado, considerava-se haver
conformidade. Caso houvesse alguma discrepância entre o solicitado e o entregue, caracterizava-se
uma não conformidade.
A avaliação de conformidade, portanto, era entendida como uma atividade de verificação, que tinha como
referência o pedido que era realizado. Atualmente, segundo a NBR ISO 17000:2021 - Avaliação da
conformidade - Vocabulário e princípios gerais, define-se a avaliação da conformidade como a demonstração
de que os requisitos especificados são atendidos (ABNT, 2021).
Como definido pela ISO 9000:2015 - Sistemas de gestão da qualidade - Fundamentos e vocabulário, a não
conformidade é entendida como o não atendimento a um requisito (ABNT, 2015). 
Resumindo: uma não conformidade é o não atendimento de um requisito.
Na auditoria interna de recursos humanos, a identificação das não conformidades permite que haja correções
e controle das falhas ou distorções encontradas, que se dá pelas ações corretivas.
 
Dependendo da não conformidade encontrada, pode-se evitar multas e processos, como no caso de
contratos de trabalhos errados ou mal elaborados dos colaboradores, e que estão relacionados aos riscos
trabalhistas, ou acidentes (como a não ou má utilização dos equipamentos de proteção individual, os EPIs, que
devem ser auditados pelos recursos humanos), a fim de que os responsáveis pelas áreas que utilizam os EPIs
tenham uma atuação bem forte no controle e na cobrança deles.
 
Os principais itens checados quanto a não conformidade no processo de auditoria interna de recursos
humanos são:
 
Análise e descrição de cargos
 
Recrutamento e seleção
 
Desenvolvimento de competências
 
Saúde e segurança ocupacional
 
Promoções e transferências
 
Controle dos colaboradores
 
 
Para manter a qualidade nos processos — tanto nos exemplificados quanto em outros — a verificação das não
conformidades é extremamente relevante. Isso porque as normas geralmente tratam apenas da forma,
enquanto o “como se faz” fica a cargo dos próprios processos.
 
Assim, a identificação de uma não conformidade permite ajustar ou aperfeiçoar a forma de execução,
promovendo melhorias no processo e contribuindo para a elevação da qualidade.
 
Outra vantagem é que processos atualizados e modernizados propiciam maior valor para o sistema e,
consequentemente, para o negócio.
Processos bem ajustados são aqueles que, além de atender às necessidades da empresa, atendem
também às normas, como a norma certificável ISO 9001:2015 - Sistemas de gestão da qualidade -
Requisitos.
A qualidade dos processos depende da certeza de que eles estão sendo seguidos e executados
corretamente, de forma uniforme por todos os integrantes da organização. Por isso, o conceito de
padronização é um dos pilares fundamentais para garantir a qualidade nos processos.
Dificuldades relacionais e não conformidades identificadas
Neste vídeo, vamos explorar as principais dificuldades na identificação e tratamento das não conformidades,
destacando como o foco no processo, o bom registro e a cultura organizacional impactam a qualidade e os
resultados.
Conteúdo interativo
Acesse a versão digital para assistir ao vídeo.
Como você já sabe, para cada não conformidade encontrada, ao menos uma ação corretiva deve ser tomada
para que o erro ou o problema não aconteça novamente.
Dependendo da não conformidade identificada, pode haver dificuldades para encontrar suas
causas-chave, já que cada ocorrência está inserida em um contexto específico.
As principais dificuldades relacionadas à não conformidade e à busca de soluções por meio de ações
corretivas que serão implantadas em planos de ações são as seguintes:
• 
• 
• 
• 
• 
• 
Foco errado
Na tentativa de encontrar uma solução rápida e simples, muitas não
conformidades acabam sendo atribuídas a erros individuais, resultando
na conhecida “busca por culpados”. No entanto, mesmo quando o erro
tem origem humana, isso indica que houve falha no processo, pois o
sistema permitiu que o erro prosseguisse sem barreiras. Por isso, o foco
da análise deve estar sempre no processo e no sistema, e não apenas
nas pessoas.
Exemplo prático: no processo de admissão de novos colaboradores, se
não houver um mecanismo eficaz de filtragem de informações dos
candidatos, aliado a uma dupla checagem, aumenta-se
significativamente o risco de contratar profissionais não qualificados para
o cargo, comprometendo o desempenho e os resultados da organização.
Falta de entendimento
As pessoas envolvidas na identificação de não conformidades devem
entender o que é uma não conformidade e o que elas estão procurando.
Isso ocorre por falta de esclarecimento por parte dos responsáveis na
condução dos processos, não sendo necessário que todos os envolvidos
sejam experts na linguagem e nas técnicas envolvidas na gestão da
qualidade, mas que saibam o necessário sobre o que deve ser feito (por
exemplo, qual técnica deve ser aplicada no processo que realizam).
Documentação deficiente
O preenchimento incorreto, impreciso e pouco objetivo dos documentos
de identificação das não conformidades é outra dificuldadefrequentemente encontrada. Quando os registros são deficientes,
tornam-se um obstáculo — ou até uma barreira — para a identificação
das causas reais dos problemas, comprometendo a possibilidade de
correção ou ajuste eficaz.
Exemplo: um auditor interno da área de recursos humanos registrou uma
não conformidade com a descrição: “divergências de informações”. Essa
descrição é excessivamente vaga. Quais informações apresentaram
divergência? E em qual processo isso ocorreu? Seria no processo de
recrutamento e seleção, ou no de análise e descrição de cargos? Sem
esses detalhes, a análise da causa torna-se comprometida.
Para facilitar o preenchimento adequado das não conformidades, muitas
organizações adotam checklists com campos previamente definidos,
contendo as respostas mais comuns. Esses formulários em geral
oferecem também um campo para observações complementares,
permitindo registrar detalhes adicionais sempre que necessário.
Ausência de sistema de gestão informatizado
O processo de verificação dos indicadores-chave de desempenho (KPIs)
e do tratamento das não conformidades devem ser realizado de forma
rotineira, no qual o volume de informações e dados, que serão coletados
e tratados, seja grande. Daí a importância de se utilizar um sistema de
gestão informatizado no tratamento das não conformidades, o qual
realizará atividades como o controle do ciclo de vida, tratamento de
recursos e elaboração de relatórios e gráficos de forma automática.
Agora, vamos tratar das não conformidades mais comuns que costumam ser identificadas durante auditorias
internas. São elas:
Documentos inexistentes
Na norma ou no procedimento que está sendo auditado, há indicações de que determinados
documentos devem ser usados, mas eles não existem. Por exemplo, a utilização de mapa de riscos
ambientais a respeito dos riscos ocupacionais e de acidentes em diferentes locais de trabalho, que
deveriam estar colocados em murais de fácil visualização e acesso, mas não foram elaborados.
Documentos desatualizados
Quando é informado na norma ou no procedimento que determinados documentos, planilhas ou
processos devem ser usados ou realizados de certa forma, mas não é o que se encontra no dia a dia.
Isso ocorre por falta de atualização dos manuais. 
Por exemplo, a empresa adquire um novo programa de marcação e tratamento do ponto dos
colaboradores que elimina a necessidade de se preencher uma planilha. No documento que trata do
tema de tratamento de ponto, está escrito que a planilha deve ser preenchida, o que não ocorre mais,
e deveria ter sido substituída pelo uso do novo programa.
Treinamentos não realizados
Quando não há realização de treinamentos em funções ou cargos que exigem certificações de
segurança e qualidade, conforme indicado no plano de qualidade. Por exemplo, quem trabalha na
indústria farmacêutica precisa ter o certificado de treinamento em boas práticas de fabricação (BPF)
de medicamentos, que define os requisitos mínimos que devem ser considerados na fabricação de
medicamentos, bem como os procedimentos técnicos de manipulação, registro e acondicionamento
dos materiais que devem ser seguidos, a fim de garantir a segurança e saúde tanto dos trabalhadores
quanto do cliente final.
Processos não realizados
Ocorre quando os parâmetros de processos não são obedecidos e, em muitos casos, até
descontinuados pelos colaboradores. Isso ocorre por falta de uma supervisão do gestor e é corrigido
por meio da cobrança no cumprimento do processo. Por exemplo, há o processo de integração de
novos funcionários que deve ser realizado pelo pessoal do RH, mas este só é feito para alguns novos
colaboradores, caracterizando que o processo não está sendo realizado adequadamente. Isso pode
gerar uma desmotivação do novo colaborador, pois adquire uma percepção de que não é importante
para a empresa.
Produtos não conforme
É uma não conformidade mais usual em empresas que fabricam produtos manufaturados, nos quais
se encontram especificações diferentes do que o padrão estabelecido. Por exemplo, na produção de
máscaras, o tamanho do elástico está especificado como tendo 15 cm de comprimento, mas, ao fazer
a verificação por amostragem dos lotes de produção, verifica-se vários produtos com tamanhos de 10
cm, 12 cm e 18 cm.
Para evitar a ocorrência de não conformidades — ou, ao menos, reduzi-las significativamente — é
fundamental que as áreas envolvidas sejam consultadas e participem ativamente da análise dessas não
conformidades.
 
As equipes devem ser treinadas para compreender os conceitos envolvidos e manter o alinhamento com os
indicadores e as metas da organização. Além disso, deve-se fortalecer uma cultura organizacional em que
todos entendam que são corresponsáveis pelo sistema de gestão, bem como pela qualidade dos produtos e
processos da empresa.
Não conformidade e impacto no processo e resultado
esperados
Apesar da não conformidade ter um caráter negativo, é também uma oportunidade de evoluir e melhorar os
processos, e assim o desempenho.
O fato é que a forma como as não conformidades são tratadas pode gerar impactos positivos ou
negativos no negócio da empresa. Lidar com não conformidades é, na prática, gerenciar riscos — o
que pode significar a diferença entre o sucesso e o fracasso organizacional.
O gerenciamento de riscos envolve investimentos em avaliação, prevenção e tratamento das falhas ocorridas.
Estudos indicam que os custos dedicados à avaliação e prevenção são significativamente menores do que
aqueles gastos no tratamento e na solução de falhas após sua ocorrência.
 
Mas voltemos ao aspecto positivo: a não conformidade também representa uma oportunidade. A correta
identificação das não conformidades visa à melhoria contínua dos produtos, serviços e processos da
organização.
A não conformidade e o impacto no processo
Neste vídeo, vamos analisar o impacto das não conformidades nos processos organizacionais e identificar as
oportunidades de melhoria que podem surgir a partir delas.
Conteúdo interativo
Acesse a versão digital para assistir ao vídeo.
Quanto ao impacto da não conformidade em um processo, podemos destacar os seguintes pontos:
Melhorias processuais
Toda não conformidade oferece a oportunidade de promover melhorias nos processos, permitindo
que sejam executados de maneira cada vez mais eficaz.
Por exemplo, imagine uma não conformidade recorrente causada pela falta de informações essenciais
no processo de recrutamento, o que dificulta a escolha assertiva do candidato ideal para a vaga.
Nessa situação, será necessário implementar mudanças, como a criação de um novo formulário e a
adoção de novos procedimentos, para corrigir essa falha e aprimorar o processo.
Evitar fraudes
Verifica-se a vulnerabilidade do processo em não permitir que haja atos intencionais de manipulação
de documentos, adulteração de registros, informações e transações. Por exemplo, a utilização de
recursos destinados à realização de eventos de integração social entre os colaboradores, sendo
usados para eventos particulares que não têm relação com a organização, como custear o aniversário
de filhos de diretores da empresa.
Aumento da confiança
Ao se detectar não conformidades, significa que há uma preocupação em se controlar e minimizar os
prejuízos, o que traz segurança para os colaboradores executarem suas atividades e para a empresa
em sua totalidade.
Já os impactos gerados nos resultados do negócio se destacam da seguinte forma:
Maior investimento
Os acionistas e investidores, ao perceberem que existem ações no tratamento das não conformidades
(resultando em melhores processos, controles e informações mais transparentes), criam confiança em
investir na organização e mais recursos são disponibilizados para os seus projetos.
Mitigação de prejuízos
Reduzindo os riscos de não conformidade na condução dos negócios, por meio de ações de 
compliance, por exemplo, permite que haja menores riscos de corrupção e o não cumprimento de leis
e regulamentos, o que traria enormes prejuízos.
Redução dos custos
O não tratamentode uma não conformidade pode resultar em problemas que exigirão um aporte de
recursos não planejados e que serão incorporados aos custos do negócio ou repassados no preço
final do produto ou serviço. Por exemplo, quando há a não conformidade no processo de treinamento
e qualificação dos colaboradores para operar determinado equipamento. Nesse caso, haverá aumento
dos custos com manutenção se um operador danificar o equipamento pelo mau uso dele.
Novos mercados
Ao adotar uma política de conformidade nos negócios, tendo processos robustos e que são auditados
e melhorados de forma contínua, é trazida a possibilidade de se diversificar os negócios da
organização para outros mercados, principalmente aqueles que são mais exigentes em controles dos
processos organizacionais focados na gestão de riscos e governança corporativa.
Verificando o aprendizado
Questão 1
Assinale a alternativa correta que represente uma situação de não conformidade.
A Em um processo de produção de bicicletas, verificou-se que uma delas estava com a pintura arranhada
durante a etapa de controle de qualidade.
B
Durante o processo de auditoria no departamento de contabilidade, verificou-se que o processo de
lançamento dos gastos no sistema não estava sendo realizado conforme especificado no procedimento
interno.
C O departamento de atendimento ao cliente de uma grande rede de tênis teve que enviar, às pressas,
cadarços que não foram enviados junto com o produto comprado.
D Na auditoria interna realizada no departamento de vendas, foi aberta uma não conformidade pelo fato de
as mesas dos funcionários estarem completamente desorganizadas.
E Na auditoria realizada no departamento de recursos humanos, foram achados documentos fora de
ordem, referentes ao processo de recrutamento dos funcionários.
A alternativa B está correta.
O que caracteriza uma não conformidade é o não cumprimento a um requisito estabelecido. Portanto,
deverá existir norma, procedimento ou qualquer outro documento que diga exatamente como as coisas
devem ser feitas. Não cabe margem a interpretações do auditor.
Questão 2
O não atendimento a um requisito constitui uma não conformidade. Indique uma não
conformidade encontrada na auditoria interna.
A A realização de reuniões semanais por parte dos gerentes conforme informado no plano de boas
práticas gerenciais da organização.
B No processo de pagamento de contas de consumo, houve uma mudança na forma de inserir os dados
no sistema que estavam atualizados no procedimento.
CAs descrições de cargos estão atualizadas e alinhadas com as atividades desempenhadas pelos
colaboradores, mas não há um histórico dos cargos ocupados por todos os colaboradores.
D A equipe de RH realizou o controle de ponto dos colaboradores utilizando apenas um sistema
homologado pela empresa.
E Durante a auditoria foi observado o uso de planilhas que já estavam obsoletas conforme descrito no
procedimento interno.
A alternativa E está correta.
As não conformidades mais usuais encontradas em uma auditoria interna são referentes a documentos
faltantes ou desatualizados, processos modificados que não foram atualizados, produtos com não
conformidades e treinamentos não realizados.
4. Ações corretivas para a melhoria dos processos organizacionais
Contribuição do auditor interno nos processos
Neste vídeo, você vai entender como o auditor interno contribui para a melhoria dos processos, promovendo
ajustes contínuos com foco em eficácia, conformidade e valorização das pessoas.
Conteúdo interativo
Acesse a versão digital para assistir ao vídeo.
Como já vimos, um personagem fundamental na identificação de falhas e na proposição de melhorias nos
processos é o auditor interno. Ele tem como atribuição apoiar a gestão, atuando de forma colaborativa e
estratégica, ao auxiliar e envolver os responsáveis pelos processos na busca por soluções e ações corretivas
eficazes.
O objetivo do profissional de auditoria é avaliar os processos de uma empresa, seus procedimentos
e determinar quais são mais eficazes, efetivos e produtivos de acordo com cada área verificada.
Entre as principais contribuições do auditor interno na melhoria dos processos, destacamos:
1
Política de gestão de pessoas
O auditor interno contribui no estudo para se implantar uma cultura organizacional que enxergue o
colaborador como parceiro, direcionando instrumentos, processos e práticas em conformidades com
a legislação vigente e as boas práticas em gestão de pessoas.
2
Condições ambientais internas
O auditor interno verifica se as condições necessárias para a realização do trabalho dos empregados
estão conforme a legislação e as normas trabalhistas, como a estrutura física, os equipamentos e as
condições psicossociais dos trabalhadores.
3
Independência
O auditor interno, apesar de ser um colaborador da organização, não deve estar subordinado
àqueles cujos trabalhos examina, para que não seja influenciado ao emitir seus relatórios.
4
Acompanhamento
Diferentemente do auditor externo, que realiza sua atividade e depois perde o vínculo com a
organização, o auditor interno vive o dia a dia, conhece sua cultura e pode fazer o acompanhamento
mais sistemático e em períodos mais curtos do que será auditado.
5 Conferência
O auditor interno verifica se os processos modificados estão de fato sendo realizados e se
resultaram na melhoria esperada.
A partir do trabalho realizado pelos auditores internos, quando são constatadas não conformidades, é
necessário implementar medidas para corrigi-las. Essas medidas são denominadas ações corretivas, e têm
como objetivo eliminar as causas das não conformidades e prevenir sua recorrência.
Os desdobramentos provocados por ações corretivas
Neste vídeo, mostramos como as ações corretivas devem ser planejadas, executadas e acompanhadas para
eliminar não conformidades e superar os desafios na sua implantação.
Conteúdo interativo
Acesse a versão digital para assistir ao vídeo.
As ações corretivas são ações planejadas a fim de eliminar as causas de uma não conformidade, sendo que
pode haver mais de uma ação corretiva para cada não conformidade encontrada.
 
Por exemplo, verifica-se que há o descumprimento no uso de equipamentos de proteção individual (EPIs) em
determinada unidade fabril de uma organização de grande porte, o que caracteriza uma não conformidade.
Estabelece-se que dois planos de ação serão realizados:
Primeiro
A realização de um treinamento para todos os
funcionários da unidade.
Segundo
A criação de um documento (protocolo) em que
todos terão que se responsabilizar em usar os
EPIs de forma correta e durante todo o tempo
em que estiverem nas instalações da
organização.
As ações corretivas devem indicar os responsáveis pela sua realização, quais recursos serão necessários para
iniciar o seu processo e o que deve ser entregue no final. Deve seguir uma sequência lógica respeitando a
relação com outros processos, tendo sido devidamente registrado a fim de permitir sua verificação.
 
Culturalmente, as empresas não lidam bem com as ações corretivas, pois o fato delas existirem significa uma
anomalia não planejada, e que houve falhas nos procedimentos elaborados.
Há uma dificuldade em aceitar que algumas vezes as coisas não acontecem conforme o esperado, e
pode haver resistências em admitir que ocorreu um erro, acarretando ações corretivas indefinidas,
infundadas e até não registradas.
As ações corretivas são essenciais para solucionar problemas identificados e evitar que novas ocorrências
semelhantes aconteçam. Para que sejam eficazes, essas ações devem ser implementadas o mais rápido
possível após a identificação da não conformidade, garantindo uma resposta ágil e direcionada à causa do
problema.
Exemplo
Há reclamações de que não estão sendo recarregados os cartões de vale-transporte dos funcionários. A
solução imediata será a de fornecer um novo cartão devidamente carregado para que o trabalhador não
falte, e como ação corretiva, um novo processo de carregamento e checagem da carga dos cartões será
implantadopara que o problema não volte a ocorrer. 
Importante observar se há a necessidade de se criar uma ação corretiva para toda não conformidade
encontrada. Há situações que ações de contenção e correção são suficientes, como o recebimento do kit de
uniformes pelos trabalhadores em que se verifica a ausência de um item. Nesse caso, a entrega do item
faltante em caráter temporário será uma contenção e, caso haja a troca do kit incompleto por um completo,
será uma medida de correção.
 
Quais são as duas situações em que há a obrigatoriedade de se criar ações corretivas para cada não
conformidade encontrada?
Resposta 1
Quando a auditoria interna é quem identifica a
não conformidade e, dessa forma, há que se
executar ações corretivas apropriadas dentro
de um período satisfatório que será acordado
entre as partes.
Resposta 2
Quando há reincidência da não conformidade, o
que demonstra que o problema não foi
solucionado em sua fonte.
Os principais desdobramentos provocados pela implantação das ações corretivas são:
 
Checagem sobre a existência da não conformidade relatada ou similar, ou a que poderia
potencialmente acontecer.
 
Análise crítica da eficácia da ação corretiva implantada.
 
Realização de mudanças no sistema de gestão da qualidade, se for o caso.
 
Verificação do impacto nos objetivos estratégicos da organização após a implantação das ações
corretivas.
 
Custos relacionados com a implantação das ações corretivas trouxeram os resultados esperados.
 
Revisão do planejamento realizado, verificando se os resultados planejados foram alcançados.
 
Atualização dos riscos e das oportunidades durante o planejamento.
 
Atualização de documentos e procedimentos existentes.
 
• 
• 
• 
• 
• 
• 
• 
• 
Vale observar que as organizações atualmente têm um foco maior em ações preventivas do que em ações
corretivas, pois são realizadas para prevenir a ocorrência, sem que haja a abertura de uma não conformidade
real, mas sim potencial. Assim, uma ação corretiva trata de uma não conformidade que já ocorreu, enquanto
uma ação preventiva trata de identificar e excluir possíveis não conformidades que possam acontecer.
 
Como sabemos, erros acontecem por melhor planejamento e procedimento criado, portanto, lidar com ações
corretivas será uma atividade corriqueira realizada na auditoria interna de recursos humanos.
Dificuldades na implantação das ações corretivas 
Neste vídeo, você vai entender os principais desafios na implantação de ações corretivas e descobrir
estratégias práticas para superá-los com planejamento, comunicação e engajamento da equipe.
Conteúdo interativo
Acesse a versão digital para assistir ao vídeo.
Implantar ações corretivas identificadas durante uma auditoria interna nem sempre é simples. A transição dos
achados de auditoria para a efetivação de mudanças na rotina organizacional pode ser complexa. Existem
desafios inerentes a esse processo que podem atrapalhar ou até impedir que as ações sejam colocadas em
prática de forma eficaz, comprometendo o valor da auditoria. 
 
Conheça a seguir os principais obstáculos e as respectivas estratégias para superá-los!
1
Resistência à mudança
Os colaboradores e gestores costumam resistir a modificações em rotinas e processos já
estabelecidos. Essa resistência geralmente acontece pela falta de entendimento claro sobre os reais
benefícios que as mudanças propostas trarão para suas atividades e para a organização como um
todo, ou pelo medo de que a alteração complique ainda mais suas tarefas do dia a dia, gerando
insegurança e desconforto com o novo.
2
Falta de clareza nas responsabilidades
A ausência de uma definição precisa sobre as tarefas de cada um é um dos maiores entraves.
Quando as responsabilidades não são claramente atribuídas a indivíduos ou equipes, as ações
corretivas podem atrasar ou até mesmo ser negligenciadas, pois ninguém se sente efetivamente
encarregado por sua execução e seu acompanhamento.
3
Recursos limitados
A implantação das ações corretivas é muitas vezes desafiada pela limitação de recursos essenciais.
Pode haver falta de tempo suficiente dedicado ao projeto, ausência de pessoal capacitado para
executar as novas tarefas ou implementar os novos processos, ou ainda um orçamento disponível
insuficiente para custear ferramentas, treinamentos ou adaptações necessárias.
4Comunicação ineficiente
Os colaboradores e gestores podem não compreender a importância ou a urgência das mudanças se
os resultados da auditoria e, consequentemente, a necessidade das ações corretivas não forem bem
comunicados. Uma comunicação falha prejudica o engajamento e o alinhamento da equipe,
dificultando obter o comprometimento necessário para que as ações sejam priorizadas e
implementadas com sucesso.
A chave para o sucesso na superação dos desafios reside em um planejamento robusto e no envolvimento
ativo de todos os envolvidos no processo. Uma estratégia eficaz envolve:
 
Primeiramente a elaboração de um plano de ação detalhado, que contemple prazos realistas,
claramente definidos para cada tarefa e alocação precisa dos recursos necessários. 
 
Além disso, é fundamental promover treinamentos e campanhas de conscientização que expliquem, de
forma clara e envolvente, o porquê de cada ação corretiva, destacando os benefícios para a
organização e para os próprios colaboradores, a fim de mitigar a resistência. 
 
Por fim, o acompanhamento contínuo da execução é indispensável; o monitoramento próximo ajuda a
identificar desvios rapidamente, promover a realização das ações e, mais importante, que os erros
identificados não se repitam no futuro, consolidando uma cultura de melhoria contínua e eficácia na
gestão dos riscos.
A periodicidade do acompanhamento da adoção das
ações corretivas
A questão a ser levantada agora é com que frequência deve-se realizar o acompanhamento das ações
corretivas adotadas, visto que já entendemos a sua importância e o seu desdobramento.
 
Como as ações corretivas estão relacionadas a não conformidades em que há algum risco envolvido, será
exigido um acompanhamento mais minucioso e em períodos curtos a fim de garantir a sua eficácia. Claro que
isso irá variar em função da urgência, do método e da ferramenta escolhida no seu tratamento.
Ação corretiva e a não conformidade
Neste vídeo, falaremos sobre a relação entre a não conformidade e as ações corretivas, ilustrando com
exemplos vivenciados em consultorias realizadas.
Conteúdo interativo
Acesse a versão digital para assistir ao vídeo.
Vejamos o estudo de caso de uma empresa do setor metal mecânico que adotou a metodologia de solução de
problemas 8D, que significa 8 disciplinas, na execução de ações corretivas (RISTOF, 2008). As etapas eram as
seguintes:
• 
• 
• 
D0
Constatar o problema.
D1
Definir um time multidisciplinar e seu respectivo líder, ambos com treinamento em resolução de
problemas. Trata-se de uma etapa fundamental no enfrentamento eficaz da não conformidade
identificada.
D2
Especificar o problema e sua origem.
D3
Realizar medidas de contenção imediata para minimizar ou estancar o efeito do problema até que
sejam definidas as ações corretivas.
D4
Analisar a causa do problema.
D5
Escolher a ação corretiva a ser implantada.
D6
Implementar e certificar-se da eficácia da ação corretiva.
D7
Implantar ações preventivas para que não haja não conformidade.
D8
Compartilhar lições aprendidas com a equipe.
A equipe formada continha representantes das seguintes áreas: compras, inspeção e recebimento, montagem,
qualidade e auditoria do produto.
 
Após as não conformidades serem classificadas como as mais críticas, elas eram registradas em um sistema
no qual também se dava o registro das ações corretivas que seriam adotadas. Decidida a ação corretiva a ser
executada, partia-se para a definição dos recursos necessários e as datas para cada etapa da ação corretiva.
 
Todo o processo era revisado a cada 15 dias, e os resultados apresentados na reunião da equipe era a cada
duas semanas. Os apontamentos eramrealizados diariamente, bem como a alimentação dos dados no
sistema.
A periodicidade no acompanhamento das ações corretivas é variável, mas, de forma geral, são
realizadas semanalmente, nos casos em que há uma necessidade de um acompanhamento mais
rigoroso, e mensalmente, nos casos em que não há urgência, pois, caso ocorra a não conformidade,
o seu impacto será baixo.
Enfim, finalizamos nosso estudo sobre as ações corretivas, abordando a importância do auditor interno, o
desdobramento das não conformidades, as ações corretivas implantadas e o período necessário para seu
acompanhamento e monitoramento. E agora, você consegue perceber a importância desse processo para a
melhoria contínua e para a eficácia da gestão organizacional?
Verificando o aprendizado
Questão 1
O auditor interno contribui para a melhoria dos processos. Quanto à sua atuação, é correto
afirmar que
A contribui de forma imparcial, apesar de ser funcionário da organização, e deve seguir seus
direcionamentos.
B não precisa respeitar as normas e leis vigentes para manter a independência.
C não contribui na política de gestão de pessoas, pois não faz parte de seus objetivos.
D necessita fazer o acompanhamento sistemático e em períodos iguais àqueles da auditoria externa.
E realiza o processo de conferência dos resultados obtidos com as mudanças implantadas de forma
semelhante ao auditor externo.
A alternativa A está correta.
O auditor interno, apesar de fazer parte da organização, deve ter uma atuação independente e imparcial,
devendo responder à alta gerência para que não tenha influência dos gestores no resultado e na
proposição das soluções.
Questão 2
Em relação às ações corretivas, é correto afirmar o seguinte:
A Toda ação corretiva não é uma ação planejada, pois o problema já ocorreu, portanto, teria que ser uma
ação planejada.
B Para cada não conformidade encontrada, é necessário criar uma única ação corretiva.
C As ações corretivas solucionam um problema ocorrido e evitam que outros aconteçam.
D Uma ação preventiva trata de uma não conformidade que já ocorreu, enquanto uma ação corretiva trata
de identificar e excluir possíveis não conformidades.
E As ações corretivas devem usar recursos e pessoas que estiverem disponíveis sem que haja a
obrigatoriedade de um planejamento, sendo o foco a resolução do problema.
A alternativa C está correta.
Uma ação corretiva é diferente de uma correção, uma vez que a correção é feita para resolver o problema
de forma imediata, sem levar em conta as causas do problema. Já a ação corretiva busca resolver o
problema de forma imediata e de uma maneira que não ocorra novamente, portanto, deve ser planejada e
gerenciada.
5. Conclusão
Considerações finais
No estudo sobre auditoria interna em recursos humanos, compreendemos sua relevância no contexto atual de
globalização e competitividade dos mercados, que exigem informações precisas, decisões bem
fundamentadas e processos alinhados à qualidade. Também analisamos as competências essenciais e o perfil
adequado que o auditor interno deve possuir para atuar com eficácia.
 
Além disso, identificamos os procedimentos necessários, baseados nos riscos e nas prioridades definidas a
partir das não conformidades, e exploramos a forma correta de lidar com as ações corretivas, garantindo o
tratamento adequado das falhas detectadas no processo de auditoria interna.
Podcast
Agora acompanhe um bate-papo sobre os principais desafios e aspectos envolvidos na implantação da
auditoria interna em recursos humanos.
Conteúdo interativo
Acesse a versão digital para ouvir o áudio.
Explore+
Não pare por aqui. Confira as indicações que separamos para você!
 
Visite a plataforma Idreamed e baixe planilhas gratuitas de matriz de risco. 
 
Leia o livro Auditoria de recursos humanos, de Angela Maria Fagnani Busse e Simone Luiza Manzoki,
publicado pela editora InterSaberes.
Referências
ABNT. NBR ISO 19011. Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental. Rio de
Janeiro: ABNT, 2002.
 
ABNT. NBR ISO 19011: Diretrizes para auditorias de sistemas de gestão. Rio de Janeiro: ABNT, 2018a.
 
ABNT. NBR ISO 31000: Gestão de riscos - Diretrizes. Rio de Janeiro: ABNT, 2018b.
 
ABNT. NBR ISO 9000: Sistemas de gestão da qualidade - Fundamentos e vocabulário. Rio de Janeiro: ABNT,
2015.
 
ABNT. NBR ISO 9001: Sistemas de gestão da qualidade - Requisitos. Rio de Janeiro: ABNT, 2015.
• 
• 
 
ABNT. NBR ISO 17000: Avaliação da conformidade - Vocabulário e princípios gerais. Rio de Janeiro: ABNT,
2021.
 
CONFEDERAÇÃO NACIONAL DA INDÚSTRIA. CNI. Normalização: conhecendo e aplicando na sua empresa. 1.
ed. Brasília: CNI, 2002.
 
RISTOF, K. D. Desenvolvimento e implantação de um método para o gerenciamento de ações corretivas
através de times de melhoria da qualidade em uma empresa do setor metal mecânica. Dissertação (Mestrado
em Engenharia Mecânica). Santa Catarina: Universidade Federal de Santa Catarina, 2008.
	Auditoria interna
	1. Itens iniciais
	Propósito
	Objetivos
	Introdução
	1. Mapeamento de riscos e prioridades para a auditoria interna
	Definição conceitual e aplicação
	Conteúdo interativo
	Estratégico
	Conformidade com as regras (compliance)
	Financeiro
	Operacional
	Tecnológico
	Matriz de riscos
	Probabilidade
	Muito baixo = 1 A 10%
	Baixo = 11% A 30%
	Moderado = 31% A 50%
	Impacto
	Muito baixo
	Baixo
	Moderado
	Alto
	Muito alto
	Mapeamento de risco
	Conteúdo interativo
	Cenário organizacional e identificação de fragilidades nos processos
	Conteúdo interativo
	Não uso do processo
	Exemplo de processo desatualizado de causa externa
	Inadequação do processo
	Tipos de consultoria no mapeamento de riscos e na auditoria interna
	Consultoria estratégica
	Consultoria operacional
	Consultoria de conformidade (compliance)
	Consultoria em tecnologia
	Verificando o aprendizado
	Em relação aos impactos que um risco pode causar, assinale a alternativa correta.
	Os processos da empresa devem apresentar baixa probabilidade de desatualização. Considerando isso, assinale a alternativa que apresenta a forma correta de garantir esse aspecto.
	2. Procedimentos adotados em uma auditoria e papel do auditor
	Diretrizes de atuação
	O estabelecimento das diretrizes de atuação
	Conteúdo interativo
	Objetivos da auditoria
	Gestão da auditoria
	Responsabilidades
	Coordenação das atividades
	Disponibilização dos recursos
	Orientações gerais
	Seleção do pessoal envolvido
	O estabelecimento das responsabilidades do auditor interno
	Conteúdo interativo
	Integridade
	Apresentação justa
	Cuidado profissional
	Confidencialidade
	Independência
	Atuação baseada em evidências
	Abordagem baseada em riscos
	Competências exigidas no papel de auditor
	Conteúdo interativo
	Conhecimento técnico
	Pensamento analítico
	Comunicação
	Mineração e análise de dados
	Visão multidisciplinar
	Visão de negócio
	Proatividade
	Liderança e gerenciamento de projetos
	Adaptabilidade
	Verificando o aprendizado
	Uma auditoria interna é regida por diretrizes. Quanto a essas diretrizes, é correto afirmar o seguinte:
	O auditor interno deve possuir certas competências. Quanto a elas, é correto afirmar que esse auditor
	3. As não conformidades quanto a riscos e gravidades
	Não conformidade: conceito e relevância para a qualidade do processo
	Conteúdo interativo
	Dificuldades relacionais e não conformidades identificadas
	Conteúdo interativo
	Foco errado
	Falta de entendimento
	Documentação deficiente
	Ausência de sistema de gestão informatizado
	Documentos inexistentes
	Documentos desatualizados
	Treinamentos não realizados
	Processos não realizados
	Produtos não conforme
	Não conformidade e impacto no processo e resultado esperados
	A não conformidade e o impacto no processo
	Conteúdo interativo
	Melhorias processuais
	Evitar fraudes
	Aumento da confiança
	Maior investimento
	Mitigação de prejuízos
	Redução dos custos
	Novos mercados
	Verificando o aprendizado
	Assinale a alternativa correta que represente uma situação de não conformidade.
	O não atendimento