Posts sobre Big Data - Auditoria Interna, Auditoria Contínua e Data Analytics

Big Data é um termo utilizado para se referir aos métodos de estruturação, armazenamento e disponibilização de grandes dados.

Essa é uma definição simplista e para quem busca começar a entender o assunto. Tenha em mente o tema é muito mais complexo e abrangente.

O termo Big Data pode ser melhor entendido analisando-se os seus três atributos principais, mais conhecidos como: os 3 V´s do Big Data.

Volume e Armazenamento

O atributo principal do Big Data é o volume. Aliás, vem daí o big (grande em inglês). A quantidade de dados gerados hoje é impressionante! A cada segundo, os sistemas de informação geram milhões e milhões de registros.

Veja um exemplo cotidiano: imagine-se uma viagem de carro utilizando o aplicativo Waze no celular. Seu aparelho está registrando tudo:

Campo magnético (bússola);
Acelerômetro (posição do celular);
Geolocalização, ponto de partida, distância, ponto de chegada;
Velocidade média, mínima, máxima, tempo de parada, mudanças de rota, desaceleração, aceleração e sentido.

Agora imagine todos os usuários que estão fazendo o mesmo trajeto (ou parte dele)! A correlação de todas essas informações permite a predição do melhor caminho e do tempo estimado com uma pequena margem de erro. Onde ficam todos estes dados? Qual o tamanho deles?

A capacidade de armazenamento dobra em pouquíssimo tempo comprovando a lei de Moore. Você viu isso com os pendrives: Megabytes, Gigabytes, Terabytes e por aí vai…

Variedade

Nem sempre os dados estão estruturados, isto é, em bancos de dados relacionais com chaves primárias e relacionamento entre tabelas.

No ambiente corporativo, as informações importantes também trafegam fora dos sistemas e em meios diversos como: arquivos diversos, vídeos, áudios, imagens, planilhas, e-mails e mensagens em aplicativos.

Com a popularização da tecnologia móvel, os smartphones estão repletos de sensores e ávidos por dados: campo magnético, acelerômetros, dados biométricos, geolocalização, temperatura, altitude – vale tudo! Tudo! Inclusive dados pessoais, muitas vezes sensíveis como: preferências de compra, históricos de pesquisas e acessos, contatos e etc.

Velocidade dos Dados

A demanda por velocidade está tanto na coleta quanto no consumo da informação. Dados são gerados, coletados, processados e monitorados em tempo real ou com uma pequena defasagem de tempo. A evolução dos padrões de rede, protocolos de comunicação, computação em nuvem e novos meios de transmissão permitem tudo isso. Além disso, quanto mais rápido a informação chega até a gestão, mais rápida é a tomada de decisões.

Ferramentas comuns em Big Data: Hadoop, Spark, Tensorflow, Databricks, Presto, S3, Python.

O Big Data traz novos desafios para a Auditoria Interna na TI e o monitoramento contínuo de riscos:

Computação distribuída: balanceamento de servidores, barramento ethernet de rack, disponibilidade, tolerância à falhas;
Arquitetura: on premise, nuvem (cloud), nuvem híbrida;
Otimização: indexação, pré-ordenação, compressão, normalização, desnormalização;
Modelos: relacionais, não relacionais, hierárquicos;
Estrutura de Dados: colunares, alinhados;
Privacidade: mascaramento, anonimização, “forget my data”, portabilidade, compliance com a lei de dados – LGPD / GPRD.

Referências sobre Big Data

Big Data – Técnicas e tecnologias para extração de valor dos dados (Rosangela M.)

Auditoria Contínua ou Monitoramento Contínuo de Riscos é um tema relativamente recente para profissionais de auditoria interna, governança corporativa e análise de dados.

Assim sendo, o assunto é pertinente em qualquer uma das linhas de defesa (Gestão, Auditoria Interna, Auditoria Externa, Gerenciamento de Riscos, Controles Internos, Compliance, Prevenção de Fraudes, etc.).

O que é Auditoria Contínua?

A metodologia de auditoria interna já é muito bem consolidada:

Mapeamento de processo e controle interno;
Criação do mapa de risco;
Análise de probabilidade e impacto;
Programa de testes para auditar;
Documentação dos papéis de trabalho;
Emissão de relatório ou parecer.

Auditoria Contínua é o processo de criação de rotinas automatizadas e periódicas de análise de dados e monitoramento contínuo. Gatilhos e critérios são pré-definidos em scripts (código-fonte/programação) para identificar exceções ou outliers (situações não usuais). São “robôs” que utilizam sistemas e ferramentas de análise de dados. Os robôs auxiliam na identificação de riscos, prevenção de fraudes, avaliação da segurança da informação, auditoria preventiva e testes de conformidade.

Uma atividade estreitamente relacionada aos auditores de TI, a Auditoria Contínua, ou Monitoramento Contínuo, provavelmente iniciou-se com as técnicas de auditoria com auxílio de sistemas, mais conhecidas como CAATs (Computer-Assisted Audit Techniques).

Monitoramento Contínuo

Usando ferramentas de análise de dados, como ACL (Audit Command Language) – agora chamado de Galvanize ACL Analytics, este profissional, aplica os conhecimentos de auditoria com o auxílio da ferramenta.

Consistindo relatórios, sumarizando campos, relacionando bases de diferentes sistemas, e criando amostras aleatórias com facilidade.

Há ainda outras ferramentas de análise de dados como Arbutus, SAS, IDEA e até mesmo o SQL Server pode ser utilizado com esta finalidade.

Transformando essas análises em scripts ACL, pode-se criar rotinas automatizadas de:

Monitoramento contínuo de riscos inerentes ao processo;
Testes de controles;
Simulação de controles;
Identificação e prevenção de fraude;
Gerar alertas de eventos ou comportamentos não usuais de acordo com o objetivo da auditoria.

Estes podem estar relacionados à segurança da informação, controle efetivo de inventário, quebra de alçada, pagamentos duplicados ou suspeitos e etc..

A automatização traz muitos benefícios:

Otimizar o plano de auditoria;
Implantar uma metodologia ágil;
Ganhar eficiência;
Evitar o retrabalho;
Reduzir custos;
Ampliar o escopo;
Novos métodos de visualização do parecer de auditoria;
Execução recorrente;
Análise em larga escala;
Alinhar interesses da auditoria e das áreas de negócios;
Fazer mais com menos.

Segurança dos Dados

Com alguns acessos de leitura ao AD (Active Directory) e relatórios gerenciais em ferramentas como o SCCM (System Center Configuration Manager), testes típicos de ITGC (Information Technology General Controls) podem ser realizados à distância e em tempo real sem a dependência da área de TI.

O monitoramento de transações críticas através de logs de acesso, revisão de perfis e funções pode ser facilmente avaliado comparando os dados eletrônicos e identificando situações em desacordo com as políticas e procedimentos da organização.

Auditoria Contábil

Escandalos recentes de corrupção e lavagem de dinheiro no Brasil demonstraram a importância de fortalecer a Governança Corporativa. Ficou evidente que o combate corrupção está intimamente ligado à identificação da “Contabilidade Criativa”. Movimentações atípicas reportadas pelo antigo COAF demonstraram a efetividade inegável de seguir “a rota do dinheiro do dinheiro sujo”.

A auditoria contabil, antes baseada em amostras aleatórias, evidências fornecidas pelo contador e testes de journal entries. Agora pode ser realizada de forma automática para a base completa com o cruzamento de dados. Isso amplia a cobertura de Riscos analisados.

Mapeando-se os processos, contas contábeis, tipos de documentos e comportamentos esperados podem-se identificar outliers: valores inconsistentes, atípicos, incompatíveis com o restante da série.

A análise de dados é facilitada quando a companhia utiliza dados estruturados em um sistema de ERP (Enterprise Resource Planning) como por exemplo o SAP. Neste tipo de sistema, há transações standard para cada processo, e as informações podem ser acessadas e extraídas diretamente na transação.

O ganho de eficiência vêm com conhecimento das tabelas internas do SAP. Pode-se extrair grandes volumes de dados de uma vez. Utilizamos a transação SE16, conectores ou transações ABAP.

Inovação na Auditoria Interna

A inovação é peça chave neste tipo de atividade, e está cada vez mais relacionada às tendências da área de TI: RPA, BI, Big Data, Data Science. Novos cenários se apresentam ao auditor:

Cloud Computing;
Gamificação;
Aplicativos mobile;
Internet das Coisas (IOT);
Trabalho remoto;
BYOD (Bring Your Own Device);
Metodologias ágeis e etc.

Exige-se portanto uma visão disruptiva do profissional para novos riscos, novos tipos de auditoria e novas possibilidades de auditar.

Automatização e RPA

O RPA (Robot Process Automation) vêm se destacando no mercado como solução de ganho de eficiência. No RPA, um robô é programado para executar tarefas sequenciais e repetitivas.

Quando associado à Inteligência Artificial, permite ainda a execução de atividades mais sofisticadas com um alto grau de precisão e aprimoramento contínuo.

Os humanos ficam liberados para atividades mais complexas, subjetivas, que exijam planejamento, estratégia e julgamento como conduta e integridade na prevenção de fraudes.

Data Science e Big Data

As Companhias estão estruturando planos de Transformação Digital, e temas como ciência de dados, data warehouse, data lake e os 3 V´s do Big Data já são corriqueiros.

O cientista de dados já um profissional cobiçado no mercado, embora o tema ainda seja bastante novo e esteja em constante aprimoramento.

As empresas de auditoria interna, consultoria, auditoria externa, faculdades, os profissionais – todos querem surfar esta onda cheia de jargões de análise de dados.

Resta ao profissional de gestão de riscos corporativos que deseja acompanhar estas inovações buscar a atualização de conhecimentos. Procure fortalecer a base teórica em matemática, especialmente estatística, desenvolver habilidades de programação e análise de dados.

Um bom começo pode ser o ACL ou ferramenta semelhante de análise de dados. Depois, cabe conhecer a linguagem R, Python e acompanhar os impactos da Inteligência Artificial e Robotização nos processos da Companhia.

Referências sobre Auditoria Contínua

Ficando Um Passo À Frente O Uso da Tecnologia por parte da Auditoria Interna (IIA/Michael P. Cangemi, 2015)

Auditoria Interna no Brasil