Das pilhas de papel à auditoria 4.0

*Por Paulo Gomes 

No anos 80 falar em auditoria de sistema significava quebra de tabu. A internet, que acaba de celebrar 30 anos, era ainda embrionária. Nessa era, as auditorias internas atuavam praticamente no ambiente operacional, focadas em análises de atividades financeiras e administrativas.

Nessa época o Instituto dos Auditores Internos do Brasil – IIA Brasil, publicou normas internacionais que continham recomendações para as melhores práticas da profissão e frisava: o auditor para executar seus trabalhos com enfoque sistêmico deveria examinar os processos de planejamento e desenvolvimento em aplicação de sistemas, o que era um enorme desafio já que a maioria dos computadores disponibilizados para os usuários não tinha disco rígido necessário para a missão, eram usados apenas na edição de textos e planilhas.

Com o passar dos anos houve uma democratização ao acesso a computadores mais complexos, mas as informações coletadas por auditores, muitas vezes, ficavam isoladas e eram perdidas por falta de backup. Linguagens de programações como Cobol, Fortran e principalmente Easytrieve Plus eram as mais usadas para extração de relatórios, porém, feitas apenas por profissionais experientes.

Apesar do surgimento de software específicos, a cultura da segurança era incipiente. Além disso, acessar banco de informações era impossível para quem atuava longe do Centro de Processamento de Dados (CPD). Era restrito a programadores, sendo ambiente hostil para auditores com formação contábil e econômica.

Os auditores começaram a perceber que não bastava auditar apenas a entrada e saída das operações, mas era preciso ter certeza que os cálculos seriam feitos corretamente e que os ambientes eram seguros para armazenar dados dos processos. A solução era investir em treinamento para avaliação de CPD, chamada de ‘auditoria de segurança física e lógica’. Verificava-se o acesso físico às instalações, estruturas elétricas e até climatização. Era rotina encontrar deficiências como a imprudência de deixar portas abertas, dando acesso a pessoas não autorizadas e senhas às aplicações compartilhadas entre os usuários.

Cada nova solução gerava curiosos desafios e problemas. Vieram as redes, e se havia facilidade de acessar determinada pasta, criava-se também excessos de arquivos nos servidores, além da facilidade de espalhar vírus, ou baixar software ilegal.

Eis que surge o ERP – Sistema Integrado de Gestão Empresarial – um novo ambiente que parecia que seria a solução para todas falhas apontadas pelas auditorias. Não foi bem assim. Ferramentas como SAP, Oracle e Microsoft Dynamics 365 vieram para dominar o mercado, com módulos específicos para atender as auditorias internas, mas as informações armazenadas nas nuvens não permitiam que auditores validassem as informações nelas contidas.

É inegável que a evolução tecnológica tenha trazido mais agilidade aos processos de auditoria, contudo, ironicamente, cresceram também o número de informações a serem checadas o que tornou o trabalho de burilar dados ainda mais técnico e complexo.

Entramos na era do Big Data e Analitics – com softwares como os famosos ACL e IDEA presentes no mundo inteiro – com a inteligência artificial batendo à porta das mais diversas áreas de auditoria de empresas públicas e privadas. Vivemos, hoje, a integração plena e ágil, que forma a chamada auditoria contínua. Tornou-se possível detectar irregularidades de forma automática, permitindo que o auditor use sua expertise para agir como um profissional capaz de passar uma visão holística da empresa, tendo amplo conhecimento dos negócios, e podendo apoiar a alta administração na tomada de decisões.

Ele não precisa conhecer com profundidade a linguagem de programação – hardware e software, mas tem que ter controle de como as informações são armazenadas e protegidas. E precisa trabalhar integrado com a área de tecnologia. Os chamados algaritmos na ‘auditoria 4.0’, nunca foram tão íntimos do auditor. Hoje, as máquinas se transformaram nos investigadores internos que levantarão possíveis fraudes e desvios de conduta. Mas caberá ao auditor monitorar esses sistemas e contribuir para o fortalecimento da ética e governança da empresa em que atua. Se assim o fizer, os robôs buscarão fraudes, mas encontrarão apenas uma empresa transparente e eficiente.

Paulo Gomes Web
Paulo Gomes é diretor-geral do IIA Brasil

Anúncios

Um novo ciclo de otimismo e muito trabalho para as auditorias

*por Rene Andrich

O final de um ciclo é oportunidade de renovação. Temos o momento de prosperidade, depois vem a recessão, a depressão e pôr fim, a recuperação e a desejada bonança. Nas organizações isso não é diferente. Um ciclo começa quando tudo vai bem e todos estão ganhando. Aí vem a recessão: juros e salários ainda altos, contrastando com uma queda na demanda. É o começo da depressão, caracterizada pela ociosidade e desemprego. É o fundo do poço. O ponto é que essa não é uma ciência exata. Ninguém sabe quanto tempo cada ciclo durará, até que volte o crescimento.

Passamos nos últimos anos por momentos difíceis que contribuíram para mudanças importantes que hoje estamos vivenciando. Começou com o desmantelamento de práticas que corroíam as riquezas produzidas por grandes organizações públicas. Avançamos no fortalecimento de práticas de governança, destacando a importância de fatores como o amplo acesso a informações pelas partes interessadas; a transparência, garantindo a essas partes o mesmo tratamento; a equidade, tornando público os seus atos e assumindo integralmente suas consequências; a prestação de contas e por fim zelando pela viabilidade econômica financeira das organizações; a responsabilidade corporativa.

Temos vivido momentos de renovação, com fortalecimento nas organizações de estruturas de auditoria interna, controles internos, riscos, conformidade e mecanismos de prevenção e investigação de fraude. Tivemos também o início do vigor da Lei 13303/2016, direcionada a empresas públicas e sociedades de economia mista, que ficou conhecida como a “Lei das Estatais”. Ela veio a ditar regras para o fortalecimento da governança dessas organizações, blindando essas empresas contra interferências de cunho político partidário. Temos que permanecer alertas e não permitir nenhum retrocesso nesse aspecto.

E para citar apenas algumas mudanças, tivemos por fim a promulgação da lei 13709/2018, que trata da proteção de dados digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, e o livre desenvolvimento da personalidade da pessoa natural.

As organizações estão passando por intenso processo de transformação digital. Acompanhar essa evolução é condição de sobrevivência para profissionais de contabilidade e auditoria. Na contabilidade, o blockchain está promovendo importantes mudanças. Ao invés de contas e partidas dobradas, temos blocos conectados por um identificador único, em uma cadeia continua.

Na auditoria, a robotização, a inteligência artificial, a utilização da mineração de dados, as análises preditivas e a auditoria contínua, deixaram para trás os métodos tradicionais de se auditar. Serão cada vez mais necessários profissionais com conhecimento em tecnologia e estatística, que entendam o ambiente cultural da organização e que estejam intensamente conectados com o negócio.

Há de se enfatizar também que a figura do auditor policial que foi formada na cabeça dos nossos gestores deve ficar definitivamente no passado. Assim seguiremos em frente, não mais apenas protegendo o valor das organizações, mas muito mais adicionando valor, contribuindo para que atinjam seus objetivos estratégicos e tenham seus ciclos de vida estendidos. É isso que espero para 2019; um ano energizado, repleto de desafios e de muito sucesso para todos nós.

 

redes-sociais.001
Rene Andrich é presidente do Conselho de Administração do Instituto dos Auditores Internos do Brasil – IIA Brasil (Foto: IIA-Brasil/Divulgação)

Auditores Internos: Se virem algo, digam algo

*Richard Chambers, presidente do The IIA Global

Na lista das “5 Resoluções do Auditor Interno para 2019” eu incluiu um ponto importante que é familiar para a maioria em diferentes contextos, mas também para nossa profissão: “se você vir algo, diga algo”. Normalmente usados no contexto da segurança pública, o slogan tem desempenhado um importante – embora às vezes controverso – papel na prevenção de bombardeios e outros ataques terroristas, de acordo com relatos da mídia.

À primeira vista, “se vir algo, diga algo” pode não parecer um problema da auditoria interna. Mas o conceito se aplica a situações que os auditores internos enfrentam todos os dias. Frequentemente, vemos problemas e reportamos sobre eles durante as auditorias, mas “se vir algo, diga algo” também se aplica a problemas que podem não estar no escopo de uma auditoria. É fácil fazer vista grossa quando algo não está formalmente documentado em nossos papéis de trabalho. Mas temos uma obrigação maior – um propósito maior. Como as organizações tem essa consciência, devemos estar constantemente vigilantes.

No início da minha carreira, passei pela situação de receber ordens para fazer vista grossa, porque algo não estava no escopo de uma auditoria. Como auditor interno júnior, estava trabalhando em uma auditoria de administração de contratos em uma base do Exército dos EUA. Estávamos revendo os arquivos de contratos em uma instalação de manutenção de veículos, quando percebi que vários contêineres de materiais de resíduos tóxicos estavam largados em um canto da instalação. Eles não estavam marcados, mas eu tinha certeza de que eles continham derivados de petróleo usados. Mais importante ainda, pelo menos dois dos recipientes de 50 litros estavam vazando. Relatei isso ao meu chefe. Ainda me lembro de sua resposta: “Richard, não é para isso que estamos aqui. Se começarmos a reportar tudo que vemos errado, nunca sairemos daqui.”

Embora meu chefe tenha se recusado a comentar sobre o que eu tinha certeza que era uma violação de conformidade ambiental, tornei-me um forte defensor da inclusão de uma revisão da manutenção de resíduos perigosos no plano de auditoria interna do ano seguinte. Percebi que o dano já havia sido feito, mas sempre acreditei que, quando vemos algo, devemos dizer algo.

Manifestar-se sobre observações que não estão no escopo de nossas auditorias pode exigir luvas de pelica – não luvas de boxe. Quando você encontrar problemas, a forma como você os aponta pode determinar se você é visto como útil ou como um fofoqueiro sabichão; como uma fonte confiável de informações e conselhos, ou como um dedo-duro. Você não precisa gritar aos quatro ventos toda vez que perceber um pequeno problema. Mas se você vê algo errado e você é um auditor interno, você precisa dizer algo, e muitas vezes você precisa dizê-lo rapidamente e com cuidado. Você não precisa usar um tom acusatório e não precisa atribuir culpa a alguém. Se você estiver em uma equipe de auditoria, alerte o líder da equipe (como eu fiz). Se você reportar diretamente ao chief audit executive (CAE), aborde o assunto com ele ou ela. Se você for o CAE, então leve a questão à administração – ou se a administração estiver envolvida ou não for responsiva, leve a questão ao comitê de auditoria.

Como auditores internos, apontar possíveis áreas problemáticas é uma parte fundamental de nossos trabalhos. Devemos estar dispostos a tomar a iniciativa e falar com coragem quando vemos comportamentos potencialmente prejudiciais ou que criem riscos, mesmo quando os principais executivos estiverem envolvidos. Alguns exemplos de coisas que podemos observar que podem justificar dizer alguma coisa são:

  • Segurança física negligente nas instalações que estamos auditando.
  • Proteção inadequada de documentos confidenciais ou proprietários em instalações que estamos auditando.
  • Práticas de gastos extravagantes ou de desperdício na organização.
  • Violações de políticas corporativas ou regulamentos fora do escopo da auditoria (como as violações de armazenamento de petróleo que observei).
  • Comportamento indevido da equipe ou da administração nas instalações onde estamos realizando as auditorias (assédio sexual ou outro tipo de assédio aos membros da equipe de auditoria ou outros funcionários).
  • Utilização de atalhos pelo pessoal ou administração que viola políticas para atingir os objetivos predeterminados (comportamento de “os fins justificam os meios”).
  • Declaração indevida ou deturpação de fatos em uma reunião de equipe ou reunião do conselho, ou informações imprecisas fornecidas a um regulador.

Manifestarmo-nos quando vemos algo impróprio não se limita às ações da gerência organizacional ou da equipe. Nós também devemos nos considerar responsáveis. Por exemplo, se notarmos que os colegas de auditoria interna estão pegando atalhos que podem prejudicar a precisão ou a credibilidade de uma auditoria interna, não devemos hesitar em dizer algo.

Nos últimos meses, tenho escrito e falado sobre os riscos que os déficits de coragem apresentam à nossa profissão. Devemos constantemente checar nossa própria bússola moral para validar se estamos agindo ética e corajosamente na execução de nossas responsabilidades. Quando você observa algo errado (mesmo que não esteja no escopo de sua auditoria), você tem a oportunidade e a obrigação de compartilhar as informações necessárias que possam ajudar sua organização. Algumas pessoas podem ver isso como ser dedo-duro. Mas em muitos casos, aqueles que castigam alguém como um dedo-duro estão com raiva de terem sido pegos em suas transgressões. Para as nossas organizações e outras pessoas que estejam sendo ameaçadas ou feridas pela transgressão, as iniciais SNITCH (“dedo-duro” em inglês) simplesmente significam “Share Needed Information That Can Help” (“compartilhe informações necessárias que podem ajudar).

Aguardo suas opiniões sobre o ato de se manifestar.

maxresdefault

Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve um blog semanal para o InternalAuditor.org sobre questões e tendências relevantes para a profissão de auditoria interna.