Como Mapear Problemas e Chegar à Uma Resolução na Auditoria Interna?

Como mapear problemas e chegar à uma resolução para mitigar riscos?

Este dilema é natural da vida e abrange todos os campos: pessoal, familiar, profissional e até mesmo corporativo.

Se você é auditor interno, auditor externo, consultor de riscos ou profissional de compliance você talvez utilize outros termos: “identificar falhas de controle, mapear GAPS, mitigar riscos materializados”.

Apontamentos são essencialmente problemas.

Na sua companhia, você já deve ter se deparado com projetos, normalmente realizados por consultorias, para adequar processos ou resolver problemas que ninguém conseguiu até agora.

São inúmeras metodologias, que normalmente trazem consigo neologismos e uma sopa de letrinhas: 5W2H, LEAN, KANBAN, Ishikawa, SCRUM, Pareto (8020), SWOT, SMART

Em 1637, o filósofo e matemático René Descartes se propôs a definir um método de raciocínio lógico para a resolução de problemas. Na matemática, seu nome deu origem ao plano cartesiano. Já na filosofia, podemos citar o pensamento cartesiano. Em seus escritos, Descartes propôs 4 passos simples para a resolução de qualquer problema.

Existe um método infalível para resolver problemas?

Trata-se de um algoritimo que é base para a maioria das metodologias citadas anteriormente.

Veja os 4 passos descritos por ele para mapear problemas:

  • Ceticismo
  • Categorização
  • Priorização
  • Revisão

Qual é a aplicação prática disto? Vejamos cada um deles…

1 – Ceticismo

Nem tudo é verdade!

Ao mitigar riscos, toda afirmação é falsa até que se prove o contrário. O ceticismo é uma poderosa ferramenta de análise na identificação de problemas. Ele evita que premissas falsas sejam assumidas como verdadeiras e comprometam toda a análise.

Receber escrupulosamente as informações, examinando sua racionalidade e sua justificação. Verificar a verdade, a boa procedência daquilo que se investiga – aceitar o que seja indubitável, apenas.

René Descartes, Discurso do Método

Ao mapear problemas, procure validar cada argumento, declaração e regra. Mesmo que exista um manual técnico, uma política corporativa, será que no dia a dia essas regras são cumpridas? Existe algum controle que impeça o descumprimento dessa regra? Este controle interno funciona?

Antes de partir para o próximo passo pergunte-se: este problema é realmente um problema? Preciso gastar tempo e recursos para análise? Qual a probabilidade de isso ocorrer? Se ocorrer qual seria o impacto? Isto está claro na minha matriz de riscos?

2- Categorização

Divida o desafio em partes

Dividir para conquistar – você já ouviu isso! Dividir um problemão em probleminhas ajuda a ter uma visão do todo. Fica mais fácil categorizar, definir prioridades, papéis e responsabilidades.

Análise, ou divisão do assunto em tantas partes quanto possível e necessário

René Descartes, Discurso do Método

Qual é a origem? Interna ou externa? Vem de uma obrigação legal (compliance)? Uma nova lei?

Consigo resolver a questão sozinho ou há dependência de mais alguém? A dependência é interna ou externa?

Qual é o grau de complexidade destas atividades? Qual delas atacarei primeiro?

3- Priorização

Do mais simples para o mais complexo

Inicie pelas tarefas mais simples.

Síntese, ou elaboração progressiva de conclusões abrangentes e ordenadas a partir de objetos mais simples e fáceis até os mais complexos e difíceis.

René Descartes, Discurso do Método

Segundo Pareto, em termos simples, 80% do resultado está em 20% do trabalho. Porém iniciar por atividades mais simples e triviais ao identificar falhas, permite que você complete a maior parte do trabalho em pouco tempo.

A resolução traz satisfação pessoal e motivação para resolver os próximos passos necessariamente mais complexos.

4- Revisão

Revisar todos os passos

A revisão meticulosa do que foi feito evita o retrabalho e permite identificar falhas. Nenhuma obra prima saiu de primeira. Aceite! Revise e procure por erros e desatenções no seu programa de testes.

Enumerar e revisar minuciosamente as conclusões, garantindo que nada seja omitido e que a coerência geral exista.

René Descartes, Discurso do Método

Se algo não está funcionando após algumas tentativas: pare! Tome um café, converse sobre um assunto de interesse pessoal.

Quando retomar o assunto, revise sua análise e mude de estratégia. Repetir análises incorretas trazem os mesmos resultados errados.

Parece desnecessário falar isso, mas as vezes entramos em looping ao tentar resolver desafios: executamos insistentemente o mesmo passo a passo esperando resultados diferentes.

Mapear padrões para resolver desafios, corrigir processos e mitigar riscos exige treino e metodologia.

Referências Bibliográficas

O Discurso do Método, René Descartes (E-book Amazon)

Auditoria Contínua e Data Analytics na Auditoria Interna

Auditoria Contínua ou Monitoramento Contínuo de Riscos é um tema relativamente recente para profissionais de auditoria interna, governança corporativa e análise de dados.

Assim sendo, o assunto é pertinente em qualquer uma das linhas de defesa (Gestão, Auditoria Interna, Auditoria Externa, Gerenciamento de Riscos, Controles Internos, Compliance, Prevenção de Fraudes, etc.).

O que é Auditoria Contínua?

A metodologia de auditoria interna já é muito bem consolidada:

  • Mapeamento de processo e controle interno;
  • Criação do mapa de risco;
  • Análise de probabilidade e impacto;
  • Programa de testes para auditar;
  • Documentação dos papéis de trabalho;
  • Emissão de relatório ou parecer.

Auditoria Contínua é o processo de criação de rotinas automatizadas e periódicas de análise de dados e monitoramento contínuo. Gatilhos e critérios são pré-definidos em scripts (código-fonte/programação) para identificar exceções ou outliers (situações não usuais). São “robôs” que utilizam sistemas e ferramentas de análise de dados. Os robôs auxiliam na identificação de riscos, prevenção de fraudes, avaliação da segurança da informação, auditoria preventiva e testes de conformidade.

Uma atividade estreitamente relacionada aos auditores de TI, a Auditoria Contínua, ou Monitoramento Contínuo, provavelmente iniciou-se com as técnicas de auditoria com auxílio de sistemas, mais conhecidas como CAATs (Computer-Assisted Audit Techniques).

Monitoramento Contínuo

Usando ferramentas de análise de dados, como ACL (Audit Command Language) – agora chamado de Galvanize ACL Analytics, este profissional, aplica os conhecimentos de auditoria com o auxílio da ferramenta.

Consistindo relatórios, sumarizando campos, relacionando bases de diferentes sistemas, e criando amostras aleatórias com facilidade.

Há ainda outras ferramentas de análise de dados como Arbutus, SAS, IDEA e até mesmo o SQL Server pode ser utilizado com esta finalidade.

Transformando essas análises em scripts ACL, pode-se criar rotinas automatizadas de:

  • Monitoramento contínuo de riscos inerentes ao processo;
  • Testes de controles;
  • Simulação de controles;
  • Identificação e prevenção de fraude;
  • Gerar alertas de eventos ou comportamentos não usuais de acordo com o objetivo da auditoria.

Estes podem estar relacionados à segurança da informação, controle efetivo de inventário, quebra de alçada, pagamentos duplicados ou suspeitos e etc..

A automatização traz muitos benefícios:

  • Otimizar o plano de auditoria;
  • Implantar uma metodologia ágil;
  • Ganhar eficiência;
  • Evitar o retrabalho;
  • Reduzir custos;
  • Ampliar o escopo;
  • Novos métodos de visualização do parecer de auditoria;
  • Execução recorrente;
  • Análise em larga escala;
  • Alinhar interesses da auditoria e das áreas de negócios;
  • Fazer mais com menos.

Segurança dos Dados

Com alguns acessos de leitura ao AD (Active Directory) e relatórios gerenciais em ferramentas como o SCCM (System Center Configuration Manager), testes típicos de ITGC (Information Technology General Controls) podem ser realizados à distância e em tempo real sem a dependência da área de TI.

O monitoramento de transações críticas através de logs de acesso, revisão de perfis e funções pode ser facilmente avaliado comparando os dados eletrônicos e identificando situações em desacordo com as políticas e procedimentos da organização.

Auditoria Contábil

Escandalos recentes de corrupção e lavagem de dinheiro no Brasil demonstraram a importância de fortalecer a Governança Corporativa. Ficou evidente que o combate corrupção está intimamente ligado à identificação da “Contabilidade Criativa”. Movimentações atípicas reportadas pelo antigo COAF demonstraram a efetividade inegável de seguir “a rota do dinheiro do dinheiro sujo”.

A auditoria contabil, antes baseada em amostras aleatórias, evidências fornecidas pelo contador e testes de journal entries. Agora pode ser realizada de forma automática para a base completa com o cruzamento de dados. Isso amplia a cobertura de Riscos analisados.

Mapeando-se os processos, contas contábeis, tipos de documentos e comportamentos esperados podem-se identificar outliers: valores inconsistentes, atípicos, incompatíveis com o restante da série.

A análise de dados é facilitada quando a companhia utiliza dados estruturados em um sistema de ERP (Enterprise Resource Planning) como por exemplo o SAP. Neste tipo de sistema, há transações standard para cada processo, e as informações podem ser acessadas e extraídas diretamente na transação.

O ganho de eficiência vêm com conhecimento das tabelas internas do SAP. Pode-se extrair grandes volumes de dados de uma vez. Utilizamos a transação SE16, conectores ou transações ABAP.

Inovação na Auditoria Interna

A inovação é peça chave neste tipo de atividade, e está cada vez mais relacionada às tendências da área de TI: RPA, BI, Big Data, Data Science. Novos cenários se apresentam ao auditor:

  • Cloud Computing;
  • Gamificação;
  • Aplicativos mobile;
  • Internet das Coisas (IOT);
  • Trabalho remoto;
  • BYOD (Bring Your Own Device);
  • Metodologias ágeis e etc.

Exige-se portanto uma visão disruptiva do profissional para novos riscos, novos tipos de auditoria e novas possibilidades de auditar.

Automatização e RPA

O RPA (Robot Process Automation) vêm se destacando no mercado como solução de ganho de eficiência. No RPA, um robô é programado para executar tarefas sequenciais e repetitivas.

Quando associado à Inteligência Artificial, permite ainda a execução de atividades mais sofisticadas com um alto grau de precisão e aprimoramento contínuo.

Os humanos ficam liberados para atividades mais complexas, subjetivas, que exijam planejamento, estratégia e julgamento como conduta e integridade na prevenção de fraudes.

Data Science e Big Data

As Companhias estão estruturando planos de Transformação Digital, e temas como ciência de dados, data warehouse, data lake e os 3 V´s do Big Data já são corriqueiros.

O cientista de dados já um profissional cobiçado no mercado, embora o tema ainda seja bastante novo e esteja em constante aprimoramento.

As empresas de auditoria interna, consultoria, auditoria externa, faculdades, os profissionais – todos querem surfar esta onda cheia de jargões de análise de dados.

Resta ao profissional de gestão de riscos corporativos que deseja acompanhar estas inovações buscar a atualização de conhecimentos. Procure fortalecer a base teórica em matemática, especialmente estatística, desenvolver habilidades de programação e análise de dados.

Um bom começo pode ser o ACL ou ferramenta semelhante de análise de dados. Depois, cabe conhecer a linguagem R, Python e acompanhar os impactos da Inteligência Artificial e Robotização nos processos da Companhia.

Referências sobre Auditoria Contínua

Ficando Um Passo À Frente O Uso da Tecnologia por parte da Auditoria Interna (IIA/Michael P. Cangemi, 2015)

Auditoria Interna no Brasil