Suporte Okai

Tudo o que você precisa para tirar dúvidas sobre cursos, certificados, pontuação do CRC e OK.

Índice da coleção

Registrar achados e pontos de atenção

Aplica-se a: Achados de auditoria, revisões internas, pontos de atenção, desvios, não conformidades e observações que precisam de análise, tratamento, acompanhamento e comprovação na Okai.

Um achado começa por um fato, não por uma conclusão

Registrar um achado na Okai é transformar uma observação relevante em um registro rastreável de governança. O objetivo não é apenas apontar que algo parece errado, mas deixar claro o que foi observado, qual evidência sustenta o registro, que requisito, controle ou processo foi afetado, quem responde pelo tratamento e como a correção será comprovada.

Um bom registro separa fato, análise e ação. O fato descreve o que foi encontrado: uma evidência ausente, uma execução fora do prazo, um controle sem aprovação, uma divergência entre procedimento e prática, uma obrigação sem comprovação. A análise explica por que isso importa. A ação define como a situação será tratada, acompanhada e validada.

Pergunta de abertura: Qual condição observável demonstra que existe um desvio, uma fragilidade ou uma atenção necessária, e onde está a evidência que permite revisar essa conclusão depois?

Escolha o tipo de registro pelo grau de confirmação

Nem toda observação deve nascer como não conformidade. A classificação inicial precisa refletir o que já está demonstrado, o impacto potencial e o nível de certeza disponível. Se a evidência confirma descumprimento de requisito, falha de controle ou quebra de procedimento, trate como achado ou não conformidade conforme a taxonomia do workspace. Se há indício relevante, mas ainda falta análise, use ponto de atenção ou observação até fechar o diagnóstico.

  • Use achado quando a revisão identificou uma condição concreta que exige resposta, mesmo que a causa raiz ainda esteja em apuração.
  • Use não conformidade quando houver descumprimento confirmado de norma, política, procedimento, requisito contratual, controle obrigatório ou compromisso assumido.
  • Use ponto de atenção quando existe fragilidade, tendência, exceção recorrente ou sinal de deterioração que ainda não configura descumprimento confirmado, mas merece acompanhamento.
  • Use observação quando a informação ajuda a melhorar o processo, documentar contexto ou orientar próxima revisão, sem exigir plano de correção formal.
  • Use tarefa ou plano de ação diretamente quando o assunto já é uma entrega operacional sem necessidade de registro formal de achado.
  • Use risco quando a preocupação principal é uma exposição futura e incerta, não um desvio observado agora.

Não resolva classificação no rótulo visual: Se o item aparece com tipo incorreto, corrija a origem do cadastro, o vínculo ou a decisão de classificação. Não compense com título, comentário ou etiqueta que diga uma coisa enquanto o campo estruturado diz outra.

Evidência define a força do achado

A evidência é o que permite que outra pessoa revise o registro sem depender de memória, conversa ou impressão pessoal. Ela pode ser um anexo, protocolo, log, captura, relatório, trilha de aprovação, resposta de área, amostra analisada, documento de controle, exportação de sistema ou referência a uma norma. O importante é que a evidência sustente exatamente o fato descrito.

Evite registrar apenas que o processo está inadequado, que a equipe não cumpriu ou que há falha de governança. Prefira indicar período, escopo, população analisada, amostra, critério esperado e resultado encontrado.

  1. Descreva o critério esperado: Informe qual requisito, controle, política, procedimento, obrigação ou decisão deveria ter sido atendido. Sem critério, o achado parece opinião.
  2. Mostre a condição encontrada: Registre o que foi observado de forma objetiva: data, área, item analisado, amostra, evidência ausente, valor divergente, aprovação não localizada ou execução fora do prazo.
  3. Anexe ou referencie a evidência: Inclua o material que demonstra a condição encontrada. Se a evidência estiver em outro item da Okai, use vínculo estruturado em vez de repetir texto solto.
  4. Explique o efeito: Mostre por que o desvio importa: risco regulatório, falha de controle, atraso, perda de rastreabilidade, exposição operacional ou impacto em reporte.

Quando a evidência é negativa: Ausência de evidência também pode sustentar um achado, mas descreva como a busca foi feita: onde foi procurado, qual período foi analisado, quem confirmou a ausência e qual material era esperado.

Prioridade deve refletir impacto e urgência reais

Classificação de severidade ou prioridade não é decoração do registro. Ela orienta prazo, escalonamento, necessidade de validação independente e atenção da liderança. Uma prioridade bem definida combina impacto, urgência, alcance e recorrência. Um achado isolado, de baixo impacto e já contido pode ter tratamento simples. Um desvio que afeta obrigação regulatória, cliente, reporte oficial ou controle crítico exige acompanhamento mais rigoroso.

  • Impacto regulatório: existe prazo legal, comunicação obrigatória, sanção possível, descumprimento formal ou evidência exigida por regulador?
  • Impacto de controle: o desvio compromete controle-chave, segregação de funções, aprovação, reconciliação, monitoramento ou trilha de auditoria?
  • Alcance: o problema é pontual, amostral, recorrente, sistêmico ou presente em várias áreas, produtos, obrigações ou períodos?
  • Urgência: há prazo próximo, ciclo de auditoria em andamento, reporte pendente, risco de repetição imediata ou dependência de outra entrega?
  • Recorrência: o mesmo achado já apareceu antes, foi reaberto, ficou sem evidência de correção ou depende de controles manuais frágeis?

Não reduza prioridade para facilitar fechamento: Se a prioridade parece alta demais, revise os fatos e as premissas. A nota só deve mudar quando a evidência mostra impacto menor, contenção efetiva, erro de escopo ou mitigação real.

Vínculos dão contexto e evitam retrabalho

Um achado raramente existe sozinho. Ele costuma nascer de uma auditoria, revisão de controle, obrigação regulatória, projeto, tarefa, requisito, incidente ou risco já acompanhado. Registrar esses vínculos permite explicar a origem, medir cobertura, acompanhar tratamento e responder rapidamente quando alguém pergunta quais requisitos ou controles foram afetados.

  • Vincule ao requisito quando o achado demonstra descumprimento, dúvida de aderência ou evidência insuficiente para uma obrigação específica.
  • Vincule ao controle quando a falha surgiu na execução, desenho, evidência, aprovação, frequência ou efetividade do controle.
  • Vincule ao risco quando o achado aumenta exposição, confirma fragilidade ou mostra que a mitigação existente não está funcionando como esperado.
  • Vincule a tarefas e planos de ação quando houver trabalho concreto a executar, com responsáveis, prazos, comentários e evidências de conclusão.
  • Vincule a anexos e evidências no ponto correto: prova do achado no registro do achado, prova da correção no tratamento ou na validação.

Rastreabilidade mínima: Ao abrir o achado depois de semanas, deve ser possível seguir a história completa: origem, evidência, impacto, decisão, tratamento, validação e conclusão.

Como registrar sem perder precisão

  1. Comece pelo contexto de origem: Abra o achado a partir da auditoria, revisão, controle, requisito, projeto ou tarefa relacionada quando esse caminho existir. Isso preserva a rastreabilidade e reduz risco de cadastro solto.
  2. Dê um título que mostre o desvio: Use um título curto e específico, como evidência mensal de controle não localizada, aprovação regulatória registrada fora do prazo ou divergência entre procedimento vigente e prática executada.
  3. Registre critério, condição e efeito: Explique o que era esperado, o que foi encontrado e por que isso importa. Essa estrutura deixa o achado compreensível sem virar ata de reunião.
  4. Classifique tipo, prioridade e responsável: Escolha o tipo de registro de acordo com o grau de confirmação. Defina prioridade pelo impacto e atribua responsável por conduzir o tratamento, não apenas por ter percebido o problema.
  5. Inclua evidências e vínculos: Anexe ou referencie o material de suporte e conecte o achado aos itens afetados. Vínculos estruturados sustentam filtros, histórico e reporte.
  6. Abra o tratamento quando houver ação necessária: Se a correção exige execução, crie ou relacione plano de ação, tarefa, revisão de controle ou atividade de validação. Deixe claro o que será entregue e qual evidência comprovará a conclusão.

Se ainda falta diagnóstico: Não invente causa raiz para completar o formulário. Registre o achado com a causa em apuração, crie a ação de diagnóstico e atualize o registro quando houver evidência suficiente.

Tratamento precisa fechar causa, não só pendência

O tratamento deve responder ao achado registrado. Para uma evidência ausente, a ação pode envolver recuperar material, justificar indisponibilidade, redesenhar coleta ou revisar o controle. Para uma execução fora do prazo, pode envolver ajuste de calendário, responsável, alerta ou fluxo de aprovação. Evite concluir com ações que apenas encerram a fila, como reunião realizada, área avisada ou documento atualizado, quando elas não demonstram que o desvio deixou de existir.

  • Defina causa raiz ou causa provável quando houver informação suficiente.
  • Separe ação imediata de contenção e ação definitiva de correção.
  • Atribua responsável capaz de executar ou coordenar a mudança necessária.
  • Use prazos compatíveis com prioridade, dependências e risco de recorrência.
  • Descreva a evidência esperada para cada ação, não apenas o resultado desejado.

Não trate sintoma como causa raiz: Se a evidência faltou porque a área não anexou o arquivo, investigue por que o anexo não aconteceu: ausência de rotina, alerta incorreto, responsável sem acesso, controle mal desenhado ou obrigação sem dono.

Validação de correção é diferente de conclusão operacional

Concluir uma tarefa de tratamento não significa, automaticamente, encerrar o achado. Primeiro confirme se a ação prometida foi executada, se a evidência está anexada, se a causa foi tratada e se o risco residual ficou aceitável. Em achados relevantes, a validação pode precisar de revisão independente, novo teste, amostra complementar, aprovação de liderança ou confirmação da área de compliance.

  1. Compare a correção com o fato original: Volte ao critério, condição e efeito do achado. A evidência de fechamento deve responder ao desvio original, não apenas mostrar uma atividade relacionada.
  2. Confirme cobertura do escopo: Verifique se a correção cobre o período, processo, controle, área, produto ou população afetada. Correção parcial deve ficar explícita, com ação complementar quando necessário.
  3. Registre validação e decisão: Documente quem validou, quando, com qual evidência e qual conclusão foi tomada: encerrado, mantido em monitoramento, reaberto, aceito com risco residual ou convertido em novo item.
  4. Preserve o histórico: Não apague a narrativa inicial para parecer que o problema nunca existiu. Atualize o registro com evolução, evidências e justificativas.

Sinal de fechamento sólido: Uma pessoa que não participou da correção consegue entender o achado, revisar as evidências e concordar com a decisão de encerramento sem conversa adicional.

Diagnóstico quando o registro não avança

Quando um achado fica parado, contraditório ou difícil de encerrar, procure a causa antes de ajustar texto superficialmente. Normalmente o bloqueio está em uma evidência fraca, classificação precipitada, responsável sem alçada, causa raiz mal definida, ação que não trata o desvio ou vínculo errado com requisito e controle.

  • Se a área discorda do achado, volte ao critério e à evidência. Falta demonstrar o fato, delimitar escopo ou corrigir uma interpretação?
  • Se ninguém sabe quem deve tratar, confira qual processo, controle ou obrigação foi afetado. O responsável deve estar perto da capacidade de correção.
  • Se o plano de ação não sai do lugar, verifique dependências, prazo realista, autorização, acesso a sistema e necessidade de dividir a entrega em etapas.
  • Se a correção foi feita mas o achado continua aberto, confira se existe evidência de validação e se a conclusão foi registrada no item correto.
  • Se o achado volta a acontecer, trate como recorrência: revise causa raiz, efetividade do controle e possibilidade de risco residual maior.

Evite encerramento cosmético: Trocar título, suavizar prioridade ou mover status sem resolver a causa só desloca o problema para a próxima auditoria. A correção precisa aparecer na evidência, no controle, no processo ou na decisão formal.