ACL Analytics é uma ferramenta de auditoria muito conhecida para os profissionais de Auditoria Contínua. Como criar um script padrão?

ACL Analytics: Como Criar Um Script Padrão

ACL Analytics é uma ferramenta de auditoria muito conhecida para os profissionais de Auditoria Contínua. Trata-se de um software para a auditoria de dados. O ACL permite a análise atualizada e eficiente das informações da estrutura de uma gestão e a automatização de processos.

Todo trainee de BIG4 faz algum tipo de treinamento sobre essa ferramenta ou outra semelhante para compilar grande quantidade de dados. Dependendo das atividades diárias, deixamos de utilizá-la, acabamos esquecendo e perdendo um poderoso aliado de análise.

Mas, o ACL é grande aliado na auditoria de base de dados de todos os processos: fiscal, contábil, TI. Ele é especialmente útil em dados estruturados como relatórios extraídos do SAP ou SQL Server.

Atualmente o ACL é fornecido pela Galvanize e faz parte de uma plataforma maior de Governança Corporativa chamada Highbond.

Principais Comandos do ACL Analytics

Abaixo listei os comandos essenciais para criar um script básico no ACL Analytics:

  • COMMENT;
  • SET;
  • IMPORT;
  • OPEN;
  • DEFINE;
  • EXTRACT;
  • SUMMARIZE;
  • EXPORT;

Comando COMMENT

O COMMENT cria comentários no script. São trechos que serão ignorados durante a execução. Utilize para explicar o que está sendo feito e com qual objetivo.

Eles permitem que outras pessoas estejam habilitadas a entender, executar e alterar os seus scripts.

 COMMENT
** Criado por: Daniel Oyama
** Data: 04/12/2019
** Script: Script Padrão
** Objetivo: Testar o controle XYZ
**

Comando SET

O comando SET define parâmetros globais da ferramenta como: formato numérico, padrão de datas, ligar e desligar a geração de logs.

É interessante começar todo script com os seguintes comandos:

SET SAFETY OFF
SET FOLDER /RESULTADOS

O primeiro comando desliga a “segurança” do ACL. Durante a execução ele não irá confirmar se o as arquivos podem ser excluídos, ou sobrescritos. Isso evita que o script pare no meio e fique aguardando alguém responder a pergunta “Este arquivo já existe. Deseja realmente sobrescrever o arquivo?”

O segundo comando, SET FOLDER, cria uma pasta chamada RESULTADOS, e guarda as tabelas geradas dentro desta pasta. Isto é util para organizar o projeto, principalmente quando você tem muitos scripts e muitas tabelas que não podem ser apagadas.

Comando IMPORT

O Comando IMPORT traz as informações externas para dentro do ACL. Ele faz uma cópia dos dados originais para a pasta do projeto ACL. A tabela importada é salva com a extensão “.fil”.

 IMPORT ... NomeDaTabela 

Considerando o arquivo de exemplo TabelaProdutos.csv, com as seguintes linhas:

codigo;produto;categoria;preço
1;"Produto A";"Categoria 1";10,00
2;"Produto B";"Categoria 1";10,00
3;"Produto C";"Categoria 1";10,00
4;"Produto D";"Categoria 2";15,00
5;"Produto E";"Categoria 2";15,00
6;"Produto F";"Categoria 3";18,00
7;"Produto G";"Categoria 3";18,00
8;"Produto H";"Categoria 4";20,00

Após a importação no ACL, o comando ficaria assim:

IMPORT DELIMITED TO TabelaProdutos "TabelaProdutos.fil" FROM "C:\ACL_EXEMPLO\TabelaProdutos.csv" 0 SEPARATOR ";" QUALIFIER '"' CONSECUTIVE STARTLINE 1 KEEPTITLE FIELD "codigo" N AT 1 DEC 0 WID 1 PIC "" AS "" FIELD "produto" C AT 2 DEC 0 WID 9 PIC "" AS "" FIELD "categoria" C AT 11 DEC 0 WID 11 PIC "" AS "" FIELD "preço" N AT 22 DEC 2 WID 5 PIC "" AS "" 

Comando OPEN

O comando OPEN é o início de tudo. Só é possível executar um comando, se antes você abrir uma tabela pré existente (já importada).

 OPEN NomeDaTabela 

Comando DEFINE

O comando DEFINE é utilizado para definir parâmetros no layout da tabela. É possível criar um campo calculado – uma nova coluna baseada nos dados originais. O campo calculado utiliza fórmulas semelhantes ao Excel para tratar o dado original, e transformá-lo, facilitando a análise do auditor.

DEFINE FIELD CC_Campo_Calculado_1 COMPUTED

ALLTRIM(NomeDaColuna)

Comando EXTRACT

O EXTRACT serve para criar uma nova tabela. Depois de filtrar algo, você pode separar esse grupo menor em uma nova tabela, para análise posterior.

OPEN NomeDaTabela

EXTRACT RECORD TO TabelaFiltrada IF CC_Campo_Calculado_1 <> "" OPEN

OPEN TabelaFiltrada

Comando SUMMARIZE

O SUMMARIZE é usado para agrupar linhas por categorias. Tem um efeito semelhante ao GROUP BY se você está familiarizado com a linguagem SQL.

OPEN TabelaFiltrada

SUMMARIZE ON CC_Campo_Calculado_1 TO TabelaSumarizada OPEN PRESORT

Comando EXPORT

O comando EXPORT leva os dados para fora do ACL. Use por exemplo para gerar uma planilha Excel com os resultados do teste.

EXPORT FIELDS ALL XLSX TO PlanilhaResultado WORKSHEET Planilha

Criando um Script Padrão do ACL Analytics

Sugestão de script padrão:

COMMENT
** Criado por: Daniel Oyama
** Data: 04/12/2019
** Script: Script Padrão
** Objetivo: Testar o controle XYZ
**

SET SAFETY OFF
SET FOLDER /RESULTADOS

IMPORT ... NomeDaTabela

OPEN NomeDaTabela

DEFINE FIELD CC_Campo_Calculado_1 COMPUTED ALLTRIM(NomeDaColuna)

EXTRACT RECORD TO TabelaFiltrada IF CC_Campo_Calculado_1 <> "" OPEN

OPEN TabelaFiltrada
SUMMARIZE ON CC_Campo_Calculado_1 TO TabelaSumarizada OPEN PRESORT

OPEN TabelaSumarizada
EXPORT FIELDS ALL XLSX TO PlanilhaResultado WORKSHEET Planilha

Altere os trechos em negrito conforme a sua necessidade.

Dicas

É importante seguir uma padronização ao criar scripts, como em qualquer linguagem de programação:

  • Procure usar identação para facilitar a leitura;
  • Use letras maiúsculas e minúsculas como forma de organização do código: OPEN (upper case), open (lower case), TabelaProdutos (camel case);
  • Crie comentários para relembrar o objetivo de cada trecho;
  • Separe os scripts por assunto, ou por etapa;
  • Use variáveis para coisas que se repetem e podem ser alteradas no futuro;

Scripts ACL agendados no windows podem ser utilizados para a auditoria contínua de riscos e controles. Basta que o script seja estruturado em sequência lógica e padronizada.

Auditoria Contínua e Data Analytics na Auditoria Interna

Auditoria Contínua ou Monitoramento Contínuo de Riscos é um tema relativamente recente para profissionais de auditoria interna, governança corporativa e análise de dados.

Assim sendo, o assunto é pertinente em qualquer uma das linhas de defesa (Gestão, Auditoria Interna, Auditoria Externa, Gerenciamento de Riscos, Controles Internos, Compliance, Prevenção de Fraudes, etc.).

O que é Auditoria Contínua?

A metodologia de auditoria interna já é muito bem consolidada:

  • Mapeamento de processo e controle interno;
  • Criação do mapa de risco;
  • Análise de probabilidade e impacto;
  • Programa de testes para auditar;
  • Documentação dos papéis de trabalho;
  • Emissão de relatório ou parecer.

Auditoria Contínua é o processo de criação de rotinas automatizadas e periódicas de análise de dados e monitoramento contínuo. Gatilhos e critérios são pré-definidos em scripts (código-fonte/programação) para identificar exceções ou outliers (situações não usuais). São “robôs” que utilizam sistemas e ferramentas de análise de dados. Os robôs auxiliam na identificação de riscos, prevenção de fraudes, avaliação da segurança da informação, auditoria preventiva e testes de conformidade.

Uma atividade estreitamente relacionada aos auditores de TI, a Auditoria Contínua, ou Monitoramento Contínuo, provavelmente iniciou-se com as técnicas de auditoria com auxílio de sistemas, mais conhecidas como CAATs (Computer-Assisted Audit Techniques).

Monitoramento Contínuo

Usando ferramentas de análise de dados, como ACL (Audit Command Language) – agora chamado de Galvanize ACL Analytics, este profissional, aplica os conhecimentos de auditoria com o auxílio da ferramenta.

Consistindo relatórios, sumarizando campos, relacionando bases de diferentes sistemas, e criando amostras aleatórias com facilidade.

Há ainda outras ferramentas de análise de dados como Arbutus, SAS, IDEA e até mesmo o SQL Server pode ser utilizado com esta finalidade.

Transformando essas análises em scripts ACL, pode-se criar rotinas automatizadas de:

  • Monitoramento contínuo de riscos inerentes ao processo;
  • Testes de controles;
  • Simulação de controles;
  • Identificação e prevenção de fraude;
  • Gerar alertas de eventos ou comportamentos não usuais de acordo com o objetivo da auditoria.

Estes podem estar relacionados à segurança da informação, controle efetivo de inventário, quebra de alçada, pagamentos duplicados ou suspeitos e etc..

A automatização traz muitos benefícios:

  • Otimizar o plano de auditoria;
  • Implantar uma metodologia ágil;
  • Ganhar eficiência;
  • Evitar o retrabalho;
  • Reduzir custos;
  • Ampliar o escopo;
  • Novos métodos de visualização do parecer de auditoria;
  • Execução recorrente;
  • Análise em larga escala;
  • Alinhar interesses da auditoria e das áreas de negócios;
  • Fazer mais com menos.

Segurança dos Dados

Com alguns acessos de leitura ao AD (Active Directory) e relatórios gerenciais em ferramentas como o SCCM (System Center Configuration Manager), testes típicos de ITGC (Information Technology General Controls) podem ser realizados à distância e em tempo real sem a dependência da área de TI.

O monitoramento de transações críticas através de logs de acesso, revisão de perfis e funções pode ser facilmente avaliado comparando os dados eletrônicos e identificando situações em desacordo com as políticas e procedimentos da organização.

Auditoria Contábil

Escandalos recentes de corrupção e lavagem de dinheiro no Brasil demonstraram a importância de fortalecer a Governança Corporativa. Ficou evidente que o combate corrupção está intimamente ligado à identificação da “Contabilidade Criativa”. Movimentações atípicas reportadas pelo antigo COAF demonstraram a efetividade inegável de seguir “a rota do dinheiro do dinheiro sujo”.

A auditoria contabil, antes baseada em amostras aleatórias, evidências fornecidas pelo contador e testes de journal entries. Agora pode ser realizada de forma automática para a base completa com o cruzamento de dados. Isso amplia a cobertura de Riscos analisados.

Mapeando-se os processos, contas contábeis, tipos de documentos e comportamentos esperados podem-se identificar outliers: valores inconsistentes, atípicos, incompatíveis com o restante da série.

A análise de dados é facilitada quando a companhia utiliza dados estruturados em um sistema de ERP (Enterprise Resource Planning) como por exemplo o SAP. Neste tipo de sistema, há transações standard para cada processo, e as informações podem ser acessadas e extraídas diretamente na transação.

O ganho de eficiência vêm com conhecimento das tabelas internas do SAP. Pode-se extrair grandes volumes de dados de uma vez. Utilizamos a transação SE16, conectores ou transações ABAP.

Inovação na Auditoria Interna

A inovação é peça chave neste tipo de atividade, e está cada vez mais relacionada às tendências da área de TI: RPA, BI, Big Data, Data Science. Novos cenários se apresentam ao auditor:

  • Cloud Computing;
  • Gamificação;
  • Aplicativos mobile;
  • Internet das Coisas (IOT);
  • Trabalho remoto;
  • BYOD (Bring Your Own Device);
  • Metodologias ágeis e etc.

Exige-se portanto uma visão disruptiva do profissional para novos riscos, novos tipos de auditoria e novas possibilidades de auditar.

Automatização e RPA

O RPA (Robot Process Automation) vêm se destacando no mercado como solução de ganho de eficiência. No RPA, um robô é programado para executar tarefas sequenciais e repetitivas.

Quando associado à Inteligência Artificial, permite ainda a execução de atividades mais sofisticadas com um alto grau de precisão e aprimoramento contínuo.

Os humanos ficam liberados para atividades mais complexas, subjetivas, que exijam planejamento, estratégia e julgamento como conduta e integridade na prevenção de fraudes.

Data Science e Big Data

As Companhias estão estruturando planos de Transformação Digital, e temas como ciência de dados, data warehouse, data lake e os 3 V´s do Big Data já são corriqueiros.

O cientista de dados já um profissional cobiçado no mercado, embora o tema ainda seja bastante novo e esteja em constante aprimoramento.

As empresas de auditoria interna, consultoria, auditoria externa, faculdades, os profissionais – todos querem surfar esta onda cheia de jargões de análise de dados.

Resta ao profissional de gestão de riscos corporativos que deseja acompanhar estas inovações buscar a atualização de conhecimentos. Procure fortalecer a base teórica em matemática, especialmente estatística, desenvolver habilidades de programação e análise de dados.

Um bom começo pode ser o ACL ou ferramenta semelhante de análise de dados. Depois, cabe conhecer a linguagem R, Python e acompanhar os impactos da Inteligência Artificial e Robotização nos processos da Companhia.

Referências sobre Auditoria Contínua

Ficando Um Passo À Frente O Uso da Tecnologia por parte da Auditoria Interna (IIA/Michael P. Cangemi, 2015)

Auditoria Interna no Brasil