Das pilhas de papel à auditoria 4.0

*Por Paulo Gomes 

No anos 80 falar em auditoria de sistema significava quebra de tabu. A internet, que acaba de celebrar 30 anos, era ainda embrionária. Nessa era, as auditorias internas atuavam praticamente no ambiente operacional, focadas em análises de atividades financeiras e administrativas.

Nessa época o Instituto dos Auditores Internos do Brasil – IIA Brasil, publicou normas internacionais que continham recomendações para as melhores práticas da profissão e frisava: o auditor para executar seus trabalhos com enfoque sistêmico deveria examinar os processos de planejamento e desenvolvimento em aplicação de sistemas, o que era um enorme desafio já que a maioria dos computadores disponibilizados para os usuários não tinha disco rígido necessário para a missão, eram usados apenas na edição de textos e planilhas.

Com o passar dos anos houve uma democratização ao acesso a computadores mais complexos, mas as informações coletadas por auditores, muitas vezes, ficavam isoladas e eram perdidas por falta de backup. Linguagens de programações como Cobol, Fortran e principalmente Easytrieve Plus eram as mais usadas para extração de relatórios, porém, feitas apenas por profissionais experientes.

Apesar do surgimento de software específicos, a cultura da segurança era incipiente. Além disso, acessar banco de informações era impossível para quem atuava longe do Centro de Processamento de Dados (CPD). Era restrito a programadores, sendo ambiente hostil para auditores com formação contábil e econômica.

Os auditores começaram a perceber que não bastava auditar apenas a entrada e saída das operações, mas era preciso ter certeza que os cálculos seriam feitos corretamente e que os ambientes eram seguros para armazenar dados dos processos. A solução era investir em treinamento para avaliação de CPD, chamada de ‘auditoria de segurança física e lógica’. Verificava-se o acesso físico às instalações, estruturas elétricas e até climatização. Era rotina encontrar deficiências como a imprudência de deixar portas abertas, dando acesso a pessoas não autorizadas e senhas às aplicações compartilhadas entre os usuários.

Cada nova solução gerava curiosos desafios e problemas. Vieram as redes, e se havia facilidade de acessar determinada pasta, criava-se também excessos de arquivos nos servidores, além da facilidade de espalhar vírus, ou baixar software ilegal.

Eis que surge o ERP – Sistema Integrado de Gestão Empresarial – um novo ambiente que parecia que seria a solução para todas falhas apontadas pelas auditorias. Não foi bem assim. Ferramentas como SAP, Oracle e Microsoft Dynamics 365 vieram para dominar o mercado, com módulos específicos para atender as auditorias internas, mas as informações armazenadas nas nuvens não permitiam que auditores validassem as informações nelas contidas.

É inegável que a evolução tecnológica tenha trazido mais agilidade aos processos de auditoria, contudo, ironicamente, cresceram também o número de informações a serem checadas o que tornou o trabalho de burilar dados ainda mais técnico e complexo.

Entramos na era do Big Data e Analitics – com softwares como os famosos ACL e IDEA presentes no mundo inteiro – com a inteligência artificial batendo à porta das mais diversas áreas de auditoria de empresas públicas e privadas. Vivemos, hoje, a integração plena e ágil, que forma a chamada auditoria contínua. Tornou-se possível detectar irregularidades de forma automática, permitindo que o auditor use sua expertise para agir como um profissional capaz de passar uma visão holística da empresa, tendo amplo conhecimento dos negócios, e podendo apoiar a alta administração na tomada de decisões.

Ele não precisa conhecer com profundidade a linguagem de programação – hardware e software, mas tem que ter controle de como as informações são armazenadas e protegidas. E precisa trabalhar integrado com a área de tecnologia. Os chamados algaritmos na ‘auditoria 4.0’, nunca foram tão íntimos do auditor. Hoje, as máquinas se transformaram nos investigadores internos que levantarão possíveis fraudes e desvios de conduta. Mas caberá ao auditor monitorar esses sistemas e contribuir para o fortalecimento da ética e governança da empresa em que atua. Se assim o fizer, os robôs buscarão fraudes, mas encontrarão apenas uma empresa transparente e eficiente.

Paulo Gomes Web
Paulo Gomes é diretor-geral do IIA Brasil

Anúncios

Comunicar para melhor auditar

*Por Paulo Gomes

Auditar é a arte de comunicar. Poucos relacionam o perfil de um auditor interno como um profissional capaz de mostrar predicados no papel estratégico de transmitir informações. Mas entre as inúmeras revelações desvendadas pela Lava Jato, umas das mais importantes – e quase não abordada pela mídia – é o binômio falta de integração e redundância nas ações dos organismos de controle e fiscalização.

Há um imenso paradoxo entre os maciços investimentos realizados nas últimas duas décadas, em controles e regulações para evitar fraudes, com a enxurrada de barbaridades reveladas pela icônica investigação. A conta não fecha, mas há explicações: temos muitos organismos não falando a mesma língua e com lampejos perigosos de atuarem ao redor de fogueiras de vaidade.

Há um emaranhado de infelizes atropelamentos burocráticos, aliado a absurdos retrabalhos que resultam na ineficácia de diversos sistemas de fiscalização e controle, gerando custos além do necessário. Qualquer grande empresa está sujeita a avaliação de inúmeros órgãos de revisão, sendo que se for estatal, a checagem quase dobra. Transações, processos, compras e vendas, quase tudo passa por gestores da área, pelo controle interno, compliance e pela própria auditoria interna, que testa o que foi fiscalizado anteriormente, além de fazer uma avaliação abrangente de toda a empresa. Ela deve interagir com todos esses organismos citados, inclusive pelo comitê de ética e pela ouvidoria.

Entram agora no time de combatentes contra desvios de condutas, organismos externos como: auditoria  externa, órgãos reguladores e as controladorias municipal, estadual e federal, representadas pela CGU (no âmbito federal) e por tribunais dos municípios (TCM), dos estados (TCE) e da federação (TCU). Há ainda o Ministério Público, a Polícia Federal, o Conselho de Controle de Atividades Financeiras (COAF), entre diversos outros.

Com todo esse aparato para combater irregularidades, parece que vivemos em um cenário seguro, só que não. No país onde o termo miscelânea é  fator cultural, não se torna surpresa perceber que a falta de comunicação e integração entre cada poder, dificulta o efetivo combate a corrupção. Os atributos com a definição de quem é responsável por determinada ação precisam ser mais claros e objetivos.

Em meio a tantos coadjuvantes envolvidos nos processos de análise e investigação, surgem brechas que são usadas estrategicamente por fraudadores. Apesar da competência técnica dos órgãos fiscalizadores, a falta de comunicação cria uma colcha de retalhos, repleta de falhas que retratam um sistema de controle amplo, mas incapaz de dar o resultado que a sociedade espera.

O excesso de burocracia também surge como um dos culpados pela fraqueza dos sistemas de controles de riscos. Enquanto áreas ficam travadas, outras se aproveitam do vácuo deixado por atuações incoerentes para cometer os mais criativos e danosos atos ilícitos, desde fraudar licitações até maquiar resultados e balanços.

O retrabalho é tônica cultural em nossa sociedade. Falta agilidade em dar respostas positivas em operações e é preciso evitar que os organismos de controle se esbarrem em processos de avaliações idênticos, reduzindo atropelos e disputas de ‘egos’.

Se não houver qualidade em comunicação, processos e procedimentos importantes ficarão sem fiscalização, formando um limbo, um terreno vazio que criará margem para oportunidades de desvios de conduta. Em um jogo equivocado, quem perde, claro, é a sociedade que já não aguenta mais tanta ineficácia.

Após a Lava Jato os órgãos fiscalizadores deverão rever a forma de atuar, em busca de uma fórmula que evite sacrificar as áreas produtivas, com excesso de pedidos redundantes e retrabalho. Se não houver um projeto macro e coeso de comunicação, com treinamento adequado, com uso de tecnologia e integração entre esses órgãos de controle, a ducha de limpeza da Lava Jato terá apenas retirado um pouco da sujeira do caos ético que atinge o país. Temos que clamar por auditorias integradas, para que sejam efetivas e que não sejam vistas apenas como geradoras de custos, incapazes de evitar graves enfermidades concebidas por fraudes corporativas.

Paulo Gomes

*Paulo Gomes é diretor do Instituto dos Auditores Internos do Brasil – IIA Brasil