View
1
Download
0
Category
Preview:
Citation preview
UNIVERSIDADE CANDIDO MENDES / AVM
PÓS-GRADUAÇÃO LATO SENSU
AUDITANDO A REVOLUÇÃO DIGITAL
Ana Paula Conceição Teixeira Penna
ORIENTADORA:
Profª. Luciana Madeira
Rio de Janeiro 2017
DOCUMENTO P
ROTEGID
O PELA
LEID
E DIR
EITO A
UTORAL
UNIVERSIDADE CANDIDO MENDES / AVM
PÓS-GRADUAÇÃO LATO SENSU
AUDITANDO A REVOLUÇÃO DIGITAL
Apresentação de monografia à AVM como requisito parcial para obtenção do grau de especialista em Auditoria e Controladoria
Por: Ana Paula Conceição Teixeira Penna
Rio de Janeiro 2017
AGRADECIMENTOS
À minha orientadora Luciana Madeira por suas
valiosas sugestões
DEDICATÓRIA
As minhas tias queridas Jenny & Zuleika
RESUMO
O advento de novas tecnologias no campo da informática, como o
Blockchain, está construindo uma realidade digital para o sistema bancário. Ela
inclui a criação de novos produtos e serviços, cujos riscos ainda não foram
mapeados pela auditoria interna. Esses riscos possibilitam a ocorrência de
novos tipos de fraudes e irregularidades que necessitam ser previstas e
controladas. Logo, os profissionais de auditoria precisam se capacitar para
entender esse novo ambiente e atuar de forma a mitigar os riscos e os eventos
de perda, mesmo que potencial. Ademais, para lidar com os desafios da Era
Digital, é necessária uma mudança de paradigma com a adoção de um
Planejamento de Auditoria Interna estratégico, contínuo, integrado, baseado
em riscos e com foco em sistemas por meio da mineração de dados sob todo o
universo observado. Só assim a auditoria interna bancária garantirá a eficácia e
a eficiência na gestão de riscos, nos controles internos, no processo de
governança e na assessoria à alta administração; agregará valor à empresa;
colaborará na melhoria os processos; e, auxiliará ativamente a organização na
consecução dos seus objetivos.
METODOLOGIA
O presente trabalho será desenvolvido como uma pesquisa teórica-
exploratória-qualitativa posto que o tema em si envolve fundamentos e
princípios sedimentados na Auditoria Interna que serão revisados sob o
enfoque da nova realidade mundial que o advento da Era Digital criou. Nesse
sentido, será realizada uma consulta bibliográfica, juntamente com exame de
sites ligados a matéria, visando a identificar a metodologia de atuação para
Auditoria Interna que seja mais eficiente e eficaz na consecução de seus
objetivos dentro da conjuntura atual do sistema bancário.
SUMÁRIO
SUMÁRIO .............................................................................................................................................. 7
INTRODUÇÃO ........................................................................................................................................ 8
CAPÍTULO I ERA DIGITAL .................................................................................................................... 10
1.1. REVOLUÇÃO DIGITAL ............................................................................................................................ 10 1.2. INOVAÇÃO DISRUPTIVA ......................................................................................................................... 11 1.3. INOVAÇÕES DIGITAIS NO MERCADO FINANCEIRO ....................................................................................... 12
1.3.1. Blockchain ................................................................................................................................ 13 1.3.2. Moedas Virtuais ....................................................................................................................... 14
1.4. ESTÁGIO DA TECNOLOGIA BLOCKCHAIN NO SISTEMA FINANCEIRO ................................................................... 15
CAPÍTULO II AUDITORIA INTERNA ..................................................................................................... 17
2.1 HISTÓRICO ........................................................................................................................................... 17 2.2 EPISTEMOLOGIA .................................................................................................................................... 18 2.3. ABORDAGENS DA AUDITORIA INTERNA ..................................................................................................... 19 2.4. PLANEJAMENTO DE AUDITORIA BASEADA NA GESTÃO DE RISCOS .................................................................. 21 2.5. PLANEJAMENTO ESTRATÉGICO DE AUDITORIA INTERNA ............................................................................... 23 2.6. PROCEDIMENTOS DE AUDITORIA ............................................................................................................. 26
2.6.1 Fraude & Erro ............................................................................................................................ 28 2.7. TÉCNICAS DE AUDITORIA ....................................................................................................................... 29
2.7.1 Ferramentas de Auditoria Auxiliadas por Computador ............................................................ 29 2.7.2. Auditoria Continua ................................................................................................................... 30
CAPÍTULO III AUDITORIA FINANCEIRA NA ERA DIGITAL ...................................................................... 32
3.1 BLOCKCHAIN & O PROCESSO DE AUDITORIA ............................................................................................... 32 3.2. RISCOS DA ERA DIGITAL ......................................................................................................................... 33
3.2.1 Caso Ethereum ......................................................................................................................... 34 3.3 NOVOS RECURSOS & NOVA ABORDAGEM ................................................................................................. 35 3.4. CAPACITAÇÃO...................................................................................................................................... 36
CONCLUSÃO ........................................................................................................................................ 39
BIBLIOGRAFIA ...................................................................................................................................... 41
ÍNDICE ................................................................................................................................................. 43
8
INTRODUÇÃO
Inovation distinguishes between a leader and a follower. Steve Jobs
O advento de novas tecnologias no campo da informática está
construindo uma realidade digital que:
1) inclui a criação de novos produtos e serviços cujos riscos
ainda não foram mapeados;
2) não consegue mais, por meio das metodologias usuais de
auditoria interna, satisfatoriamente, identificar e mitigar os riscos, devido ao
aumento exponencial de dados a serem analisados;
3) possibilita a elaboração de novos tipos de fraudes e
irregularidades que necessitam ser previstas e controladas; e,
4) necessita ser entendida pelos profissionais de auditoria
para que atuem de forma eficaz e eficiente.
Em função disso, os princípios teóricos que fundamentam a atuação
da Auditoria Interna necessitam ser aprimorados. Logo, nessa pesquisa, serão
tratados alguns de seus aspectos basilares como as abordagens da Auditoria,
segundo Moeller (2009); o Planejamento de Auditoria baseado em riscos, na
visão de Pickett (2006); a elaboração do plano estratégico de auditoria Interna,
conforme orientação dos institutos internacionais (Ifaci e IIA, 2012); os
procedimentos de auditoria descritos por Whittington & Pany (2004); e, as
técnicas de auditoria, utilizando softwares e aplicativos, baseadas nos estudos
de Moscatto (1995), para que seja compilada a essência epistemológica da
auditoria interna, até o momento, e reeditá-la com as características
necessárias a superação dos desafios que cenário atual apresenta.
O objetivo principal desse estudo é propor uma metodologia de
atuação da Auditoria Interna que a integre a esse mundo cada vez mais virtual.
9
Assim, pretende-se confirmar que o planejamento da Auditoria
Interna na Era Digital deve ser estratégico, contínuo, integrado, baseado em
riscos e com foco em sistemas por meio de softwares visando a observação de
todo o universo de dados.
Este trabalho não pretende esgotar o tema, nem focar em pontos
específicos do domínio da Auditoria Interna, mas salientar a necessidade de
adaptação de seu cabedal teórico as oportunidades e as ameaças que a Era
Digital apresenta, como o blockchain. Desta forma, será possível evoluir para a
Auditoria Digital como uma vantagem competitiva e, assim, minimizar riscos,
prevenir fraudes, otimizar resultados e agregar valor à organização num nível
holístico, complexo e virtual.
Em função disso, no primeiro capítulo serão apresentados os
conceitos de Revolução Digital e de Inovação Disruptiva, juntamente com as
novas tecnologias que despontam no mercado, como o Blockchain e as
moedas virtuais, incluindo o estágio dessas no sistema financeiro.
No segundo capítulo, focaremos a Auditoria Interna. Iniciaremos,
descrevendo seu histórico, sua epistemologia e suas abordagens de atuação.
Depois, falaremos sobre o planejamento baseado na gestão de riscos e o
planejamento estratégico. Em seguida, enunciaremos os procedimentos de
auditoria mais usuais e os conceitos de fraude e erro. Após, descreveremos as
técnicas de auditoria por meio de softwares, visando análise por base de
dados, e a auditoria contínua.
Finalizaremos, no terceiro capítulo, discorrendo sobre o Blockchain
no processo de auditoria; os riscos da era digital, citando o caso da Ethereum;
e, a importância da capacitação para a compreensão das novas abordagens e
recursos, que surgem nessa nova realidade.
10
All of the books in the world contain no more information than is broadcast as video in a single large American city in a single year. Not all bits have equal value. Carl Sagan1
Segundo Porter (1992), a transformação tecnológica é um dos
principais condutores da concorrência, desempenhando um papel importante
na mudança estrutural da indústria, pois pode acabar com a vantagem
competitiva até mesmo de empresas bem fortificadas. De forma que, um
grande número de empresas surge de transformações tecnológicas e, se forem
capazes de explorá-las, modificam as regras da concorrência. Logo,
organizações precisam de novas tecnologias para manterem-se competitivas
ao longo de sua existência (BARBIERI e ÁLVARES, 2003).
1.1. Revolução Digital
The Digital revolution is far more significant than the invention of writing or even printing. Douglas Engelbart2
A Revolução Digital é comumente definida como a migração da
tecnologia mecânica e analógica para a digital. De acordo com Androile (2005),
1 cientista, astrônomo, astrofísico e escritor norte-americano. 2 Co-inventor do mouse e pioneiro no desenvolvimento do e-mail, dos processadores de texto e da internet.
CAPÍTULO I
ERA DIGITAL
11
esse processo apresenta duas fases. A primeira começou na década de 1950 e
durou até o início dos anos 90, caracterizando-se pela evolução tecnológica
nos negócios. Nessa época, foram criadas diversas empresas pequenas,
médias e grandes no ramo da computação e da comunicação. Após esse
período, houve uma evolução na capacidade e no propósito da tecnologia,
migrando do “back office” para o “front office”. A transição do tático ou
operacional para o estratégico, segundo o autor, marca o início da 2ª
Revolução Digital. Essa nova quebra de paradigma redefine as relações entre
os negócios, a tecnologia, as empresas e as pessoas com diferentes impactos
na sociedade, na economia e nas diversas culturas por todo o mundo. Logo, o
cerne dessa revolução migrou da tecnologia em si para o ser humano, por meio
da criação de novas formas de trabalho e socialização, estabelecidas com o
advento, entre outros, dos circuitos digitais, dos computadores pessoais, dos
“smartphones” e da internet.
1.2. Inovação Disruptiva
Any sufficiently advanced technology is indistinguishable from magic. Arthur C. Clarke3
Segundo Schumpeter (2004), inovação é um processo de mutação
industrial que incessantemente revoluciona a estrutura econômica interna,
destruindo a estrutura antiga e criando uma nova. Na literatura, existem
diferentes tipos de inovação, identificadas e classificadas de acordo com seus
impactos ou alcances, como radical, incremental, arquitetural ou disruptiva. O
termo inovação disruptiva, definido por Christensen em 1995, descreve um
processo no qual uma nova rede de valor na cadeia de trabalho e um novo
mercado rompem o mercado e a estrutura de trabalho existentes
3 Escritor e inventor britânico, autor de obras de ficção científica como The Sentinel, que deu origem ao filme 2001: Uma Odisseia no Espaço.
12
desestabilizando empresas líderes, produtos e parcerias. Esse processo
apresenta três características fundamentais:
• geralmente é feito por empreendedores e / ou “outsiders”, do que
por companhias líderes de mercado;
• pode levar um tempo maior de desenvolvimento do que o de uma
abordagem convencional
• o risco associado é maior do que o de inovações incrementais ou
evolucionárias, mas, uma vez lançado no mercado, alcança uma penetração
mais rápida e com impacto maior nos mercados estabelecidos.
1.3. Inovações Digitais no Mercado Financeiro
The real danger is not that computers will begin to think like men, but that men will begin to think like computers. Sydney J. Harris4
A era digital está apresentando novos desafios às organizações e
aumentando a concorrência no mercado e as expectativas dos clientes. No
ramo das Finanças isso não é diferente. A proliferação de FinTechs5 na última
década está gerando uma transformação nos sistemas bancários
convencionais. Considerada como uma força inovadora e disruptiva, a FinTech
tem uma influência crescente na cadeia de valor dos serviços financeiros e
propicia menores barreiras à entrada. Mas essas inovações vêm em diferentes
formas e tamanhos, usando tecnologias divergentes e sem a adoção de
padrões comuns. Algumas delas são: inteligência artificial, com seus
4 Colunista do Chicago Daily News (1939 – 1978). 5 O termo surgiu da combinação das palavras em inglês financial (finanças) e technology (tecnologia). Sua origem é atribuída a um programa de aceleração de “startups” capitaneado pela Accenture, em parceria com a prefeitura de Nova York. Essas empresas são na sua maioria “startups” tentando competir com empresas de serviços financeiros tradicionais em diferentes áreas, principalmente no setor bancário e nos serviços de pagamento.
13
subconjuntos “deep learning” e “machine learning”, “application programming
interface”, identidade digital, blockchain e moedas virtuais.
1.3.1. Blockchain
Blockchain technology represents nothing less than the second generation of the internet. Alex Tapscott6
Em 1991, Stuart Haber e W. Scott Stornetta apresentaram o primeiro
trabalho sobre segurança criptográfica em cadeia de blocos. Em 1992,
juntaram-se a Bayer para incorporar as árvores Merkle ao “blockchain7”,
conseguindo agregar vários documentos em um único bloco. Em 2008, a
pessoa ou grupo anônimo conhecido como Satoshi Nakamoto, concebeu a
primeira cadeia de blocos distribuídos. No ano seguinte, ele o implementou
como um componente central da moeda digital “bitcoin”.
O Blockchain é uma lista crescente de registros, chamados blocos,
que são, simultaneamente, vinculados e protegidos por meio de criptografia.
Cada bloco normalmente contém um hash na ponta como um link para um
outro bloco e a timestamp8 identificando data, hora e dados de transação. Este
processo iterativo confirma a integridade do bloco anterior por todo o caminho
de volta ao bloco inicial formando uma cadeia. O blockchain é gerenciado
autonomamente por meio de uma rede peer-to-peer e um servidor de
timestamping distribuído, de forma que as autenticações são realizadas por
colaboradores. Uma vez gravados, os dados em qualquer bloco não podem ser
alterados retroativamente sem a alteração de todos os blocos subseqüentes, o
6 CEO da consultoria Northwest Passage Ventures e co-autor do livro Blockchain Revolution. 7 Originalmente, as palavras “block” e ‘chain” foram usadas separadamente. Mas, em 2016, quando o termo se tornou conhecido mundialmente, foi unificado. 8 Processo de monitoramento e controle da criação e modificação de um documento.
14
que requer o conluio da maioria da rede. Em função disso, são inerentemente
resistentes à modificação dos dados.
Atualmente, o Blockchain e as Distributed Ledger Technologies
(DLT) são vistas como uma solução para uma ampla gama de transações no
setor financeiro que independem de moedas virtuais. Muitas instituições
bancárias estão formando consórcios e iniciativas objetivando trazer eficiência
aos processos financeiros. Há estudos para sua aplicação na compensação e
na liquidação automatizada de ativos; na negociação de derivativos; na
identificação e no rastreamento de bens. Além disso, essa tecnologia oferece
um grande potencial para aplicações em contratos inteligentes, registros
distribuídos de propriedade e de identidade e internet de coisas.
1.3.2. Moedas Virtuais
I’m a huge believe in digital currency…but doing it on an anonymous basis I think that leads to some abuses. Bill Gates
Moedas virtuais são representações digitais de valor econômico
também denominadas dinheiro eletrônico. O exemplo mais popular é o Bitcoin.
O Bitcoin é um tipo de moeda digital não regulamentada criada por
Satoshi Nakamoto em 2008. Foi lançada com a intenção de escapar aos
controles monetários governamentais e simplificar as transações on-line,
eliminando os intermediários no processamento de pagamentos.
As transações em Bitcoin são armazenadas e transferidas usando
um livro-razão distribuído em uma rede peer-to-peer que é aberta, pública e
anônima. A tecnologia subjacente que mantém o Bitcoin é o Blockchain.
15
Atualmente, há diversas outras criptomoedas, como Ether da
Ethereum, Litecoin e Zcash / Monero, emitidas por desenvolvedores privados
que apresentam sua própria unidade, características e destinações.
Há estudos para emissão de moedas digitais nacionais por Bancos
Centrais. Nesse caso, não seriam anônimas ou públicas.
1.4. Estágio da tecnologia blockchain no sistema financeiro
No caso de sua falha catastrófica, os membros do LBTRs9 não poderiam enviar (ou receber) fundos de um para o outro, levando a uma parada financeira completa …Neste contexto, o SALT10 é um sistema conceitual para uma solução contingente que poderia substituir imediatamente as principais funcionalidades dos principais RTGS11 brasileiros em caso de colapso total. Bacen
Em abril de 2017, um grupo de trabalho na Febraban12 formado por
16 entidades, entre elas os cinco maiores bancos do país, o Banco Central e a
Bolsa B3, realizou o primeiro teste formal com a tecnologia blockchain por meio
do compartilhamento de cadastro com dados de clientes fictícios.
Ainda nesse ano, o banco espanhol BBVA realizou um teste no qual
enviou euros da sede na Espanha para serem convertidos em pesos
mexicanos na filial do país latino-americano. Já o Santander fez um projeto-
piloto semelhante encaminhando dinheiro de Londres para Nova York. E o
Banco da Inglaterra testou se era possível sincronizar um pagamento que
passasse por seu sistema de compensação e chegasse a outro banco central.
9 Sistemas de liquidação pelo valor bruto em tempo real 10 Sistema Alternativo de Liquidação de Transações 11 Real-time gross settlement = Sistemas de liquidação pelo valor bruto em tempo real 12 Federação Brasileira de Bancos.
16
Em 28 de agosto de 2017, o Banco Central do Brasil publicou um
relatório que analisa os possíveis uso do blockchains e da distributed ledger
technology (DLT)13, incluindo identidade, moeda local e liquidação. Nele
também são descritas as plataformas que poderiam ser usadas para testar
essa tecnologia. O projeto foi desenhado como uma rede de blockchains com
permissão para que as instituições financeiras e o próprio Banco Central
atuassem como os ‘nós’ de validação. Todavia, o objetivo não era projetar uma
plataforma de liquidação primária para o Bacen, mas criar um sistema de
backup mínimo para a transferência de fundos no caso de uma “fusão completa
do sistema de liquidação”.
Em outubro de 2017, a Associação Brasileira de Normas Técnicas
(ABNT) escolheu Yoshimiti Matsusaki, CEO da Finnet, empresa de tecnologia
especializada na criação de softwares de gestão e fluxo de dados financeiros;
e, membro da Comissão de Estudos Especiais da ABNT como representante
da participação brasileira na reunião do Comitê Técnico da International
Organization for Standardization (ISO) - TC 307, realizada em 14 e 17 de
novembro, em Tóquio, Japão.
Em dezembro de 2017, a ABNT anunciou a realização de dois
encontros no dia 07 do mesmo mês, no Rio de Janeiro e São Paulo, para
apresentar um relato sobre a reunião do TC 307; e, discutir a instalação da
Comissão de Estudos Especial de Blockchain e Tecnologias de Registros
Distribuídos (ABNT/CEE-307). O encontro, segundo a ABNT, teve como
objetivo lançar estudos sobre a viabilidade da implementação de tecnologias de
registro distribuídos (DLTs) e definir a agenda dos trabalhos da comissão, o
programa dos trabalhos e os responsáveis pela condução das atividades.
Agora, que já contextualizamos a Revolução Digital com as
oportunidades e ameaças que apresenta para o mercado financeiro, resta-nos,
no Capítulo 2, discorrer sobre a Auditoria Interna, que é o cerne de nosso
trabalho.
13 Um registro distribuído é feito mediante a replicação, o compartilhamento e a sincronização consensual de dados espalhados por sites, países ou instituições.
17
CAPÍTULO II
AUDITORIA INTERNA
2.1 Histórico
Internal auditors wear many hats. We are analysts, controls experts, consultants, teachers, business partners, watchdogs, financial advisers, compliance experts, and more. Richard Chambers14
A auditoria interna se desenvolveu rapidamente durante a década de
1930, como consequência da quebra da bolsa de Nova York em 1929. Isso
ocasionou a fundação do Instituto de Auditores Internos (IIA), que é uma
organização com representações nas principais cidades do mundo. O AII
define a atividade de auditoria interna como independente e objetiva. Desta
forma, almeja: garantir a assessoria e a consultoria à alta administração;
agregar valor à empresa; colaborar na melhoria os processos da organização;
e, auxiliar ativamente na consecução de seus objetivos. Ademais, a auditoria
interna, por meio de uma abordagem sistemática e disciplinada, avalia a
melhoria na eficácia do gerenciamento de riscos, dos controles internos e do
processo de governança (Instituto de Auditores Internos [IIA], 2008)
Os padrões de auditoria do IIA incluem duas partes, a primeira é o
padrão de atributos que estabelece os requisitos básicos para a prática de
auditoria interna. De acordo com este atributo, as organizações devem definir
em um documento formal ou em uma carta de auditoria interna, o propósito, a
autoridade, a responsabilidade da auditoria interna e a natureza dos serviços
de assessoria e consultoria que os auditores internos fornecerão. Além disso, o
capítulo deve incluir o reconhecimento da definição de auditoria interna, o
código de ética e os padrões de auditoria (IIA, 2008).
14 Presidente e CEO do IIA e possuidor das certificações CIA, QIAL, C GAP, CCSA e CRMA.
18
O segundo, é o padrão de performance, que envolve o gerenciamento
da atividade de auditoria interna relacionada aos controles internos, a
governança e ao planejamento estabelecido; a execução do planejamento; a
comunicação de resultados, incluindo o monitoramento; e, o gerenciamento do
risco admitido.
2.2 Epistemologia
Stick to your knitting; dance with the partner who brought you. History shows that great and successful companies go through constant and sometimes difficult self-renewal of the base business. They don’t jump into new pools where they have no sense of the depth or temperature of the water. Louis Gerstner15
A auditoria por anos tem sido considerada como uma técnica
contábil. No entanto, sua aceitação como disciplina acadêmica vem se
fortalecendo na medida em que diferentes autores iniciaram o desenvolvimento
de teorias próprias para a área, como Mautz e Sharaf (1961) no livro “The
Philosophy of Auditing”; Tom Lee (1986) com “Company Auditing”; e, David
Flint (1988) com “Philosophy and Principles of Auditing”.
Os sete postulados declarados por Flint (1988) são:
1. Existe uma relação de responsabilidade contábil que é
pública.
2. A responsabilidade não pode ser demonstrada sem uma
auditoria.
3. Uma auditoria exige independência e liberdade.
4. O assunto de auditoria é susceptível de verificação por meio
de provas.
15 Empresário americano presidente do conselho e diretor executivo da IBM de abril de 1993 a 2002. É considerado o responsável pela recuperação da empresa.
19
5. Os auditores são juízes qualificados que são capazes de
medir e comparar o desempenho real em relação aos padrões
de responsabilidade.
6. O significado, a significância e a intenção das declarações a
serem auditadas devem ser claros.
7. Uma auditoria produz um benefício econômico ou social.
Basicamente, há três tipos de auditorias: a de demonstrações
financeiras, a de conformidade e as operacionais. As auditorias financeiras
determinam se as declarações foram preparadas de acordo com os GAAP16. A
auditoria de conformidade verifica se a empresa cumpriu as leis, regulamentos
ou políticas e procedimentos. Já, as auditorias operacionais analisam a eficácia
e a eficiência de uma unidade específica de uma organização (WHITTINGTON
e PANY, 2004).
2.3. Abordagens da Auditoria Interna
We can audit anything but not everything. Richard Chambers
Ao longo dos últimos 50 anos, diferentes abordagens foram
desenvolvidas nos trabalhos de auditoria interna para atender as necessidades
e as características específicas das empresas na medida em que novos
negócios, novas tecnologias e novas visões administrativas surgiam.
Segundo Moeller (2009), essas abordagens podem ser classificadas
por gerações:
1ª) Baseada em Controle – é feita para determinar a conformidade em
relação a: leis, regulamentos, políticas e padrões específicos; balanços,
demonstrações financeiras, rubricas contábeis; ou, controles e procedimentos
operacionais determinados.
16Princípios de Contabilidade geralmente aceitos (Generally Accepted Accounting Principles)
20
2ª) Baseada em Processo - é feita para determinar a eficácia e a
eficiência dos principais processos operacionais da organização.
3ª) Baseada em Risco – é feita para determinar se os riscos-chaves
estão mitigados de acordo com o nível de tolerância estabelecido.
4ª) Baseada na Gestão de Risco – é feita para determinar a eficácia
das atividades de gestão de risco quanto à manutenção dos riscos-chaves no
nível de tolerância determinado; e, prover, assim, a segurança que os objetivos
estratégicos da organização serão alcançados.
Na tabela 1, apresentada a seguir, há um resumo das principais
abordagens quanto ao objetivo, o foco, os testes e as recomendações, visando
uma comparação objetiva dos diferentes enfoques.
20
Tabela 1 - Principais Abordagens da Auditoria Interna
I - Baseada em Controle II - Baseada em Processo III - Baseada em Risco IV - Baseada na Gestão do Risco O
bje
tivo
Conformidades com as diretrizes fundamentais
Eficácia e eficiência de processos
Eficácia de controles e processos para mitigar os riscos-chaves
Eficácia na gestão do risco para o atingimento dos objetivos e mitigação
dos riscos
Ab
ord
ag
em
Compreensão das diretrizes e da auditoria para
conformidade
Comparação do processo atual com as melhores
práticas
Identificação dos riscos-chave do negócio e avaliação dos
controles para mitigar esses riscos
Compreensão dos objetivos, da identificação dos riscos, do nível de
tolerância, da performance, das medidas de risco e da avaliação da eficácia da
gestão de riscos.
Fo
co
Identificar omissões e erros na conformidade
Identificar desvios entre os processos atuais e as
melhores práticas
Identificar controles e processos que não estão operando
devidamente para mitigar os riscos-chaves
Identificar desvios entre o nível de eficácia da gestão de risco atual e a
esperada.
Ab
ord
ag
em
no
s T
este
s
Preditivos, substantivos e de conformidade com base
estatística
Consultivos e de conformidade focando na
avaliação das práticas atuais em relação as melhores
práticas
Combinação de testes substantivos e de conformidade
focando somente nos riscos-chave
Combinação de testes substantivos e de conformidade focando somente nos
objetivos estratégicos e seus respectivos riscos
Reco
men
da
çõ
es
Relacionadas às omissões ou erros nas diretrizes relevantes
Relacionadas aos desvios em objetivos operacionais
específicos
Relacionadas às omissões ou erros nos riscos-chaves
Relacionadas aos desvios na eficácia da gestão de risco quanto aos riscos
fundamentais e aos objetivos estratégicos dos negócios
Fonte: MOELLER, Robert R. Brink’s Modern Internal Auditing. John Wiley & Sons, 2009, capítulo 3.11
21
2.4. Planejamento de Auditoria Baseada na Gestão de Riscos
Risk Based Internal Auditing is a methodology that links internal auditing to an organization's overall risk management framework. IIA
O Planejamento da Auditoria Baseada na Gestão de Riscos permite
que o auditor interno forneça segurança a Alta Administração que o processo
de gerenciamento de risco é eficiente em relação ao apetite de risco
estabelecido. Trata-se de uma metodologia de vanguarda da prática de
auditoria interna. Em função disso, é uma área que está evoluindo rapidamente
e para a qual ainda não há consenso sobre a melhor forma de implementação.
Segundo Pickett (2006) o modelo apresenta quatro fases:
1) a avaliação da maturidade do risco, que determina a extensão da
análise, gestão e monitoramento dos riscos (ERM - Enterprise
Risk Management), fornecendo os parâmetros para o
planejamento da auditoria;
2) a determinação dos objetivos da auditoria, que é proporcionar
consultoria e análise profissional, independente, sistemática e
segura da eficácia da gestão de riscos, dos controles internos e
do processo de governança, agregando valor a organização e
auxiliando-a no alcance dos resultados esperados.
3) o planejamento de auditoria (Methods), que identifica os
parâmetros de segurança e consultoria para um período
específico (geralmente anual), determina as priorizações
indicadas pela Alta Administração (Message), analisa o processo
de gestão de risco e os processos críticos (Results); e, especifica
os registros e a comunicação de resultados focando nos riscos
(Audience).
4) o plano operacional de auditoria, que compreende os trabalhos
de auditoria, os recursos que serão utilizados, os indicadores
22
chave de desempenho e a estratégia de auditoria para os
próximos três anos, considerando abordagens flexíveis e não
cíclicas com posicionamento proativo.
Na figura 1, há a representação esquemática dos elementos
constituintes da auditoria baseada em riscos e suas fases, segundo Pickett
(2006), juntamente com a demonstração que essa metodologia permite a
migração do formato antigo de auditar, que envolve verificações, checagens e
identificação de fraude e erros, com o novo que agrega assessoria, consultoria,
aconselhamento e informação.
Figura 1 - Auditoria Baseada em Risco
Fonte: Pickett, K. Audit Planning. A Risk-based Approach. John Wiley &Sons, 2006, p.45
Ademais, a Auditoria Baseada na Gestão de Riscos permite a
identificação e a avaliação dos processos críticos e dos riscos acima e abaixo
do apetite de risco estabelecido; a análise da efetividade das medidas
corretivas para os riscos inerentes aos processos críticos e para os riscos
23
residuais, ambos em relação ao apetite de risco; a classificação e a
comunicação apropriada, completa e precisa das medidas corretivas e das
ações adotadas em relação aos respectivos riscos.
Cabe destacar que a estratégia de detecção de fraude é determinada
na fase da identificação dos objetivos da auditoria, para que seja incorporada
em seu planejamento. É fundamental que cada organização estabeleça uma
política antifraude. Afinal, as fraudes corporativas, que levaram a
implementação da SOX, decorreram da ausência ou frouxidão das práticas
antifraude. E, embora o auditor não seja um especialista em investigação de
fraudes, ele pode ajudar a criar uma cultura de aderência as normas e
regulamentos, evitando-a.
2.5. Planejamento Estratégico de Auditoria Interna
Strategic planning is worthless unless there is first a strategic vision. John Naisbitt17
O planejamento estratégico da auditoria interna é realizado conforme
as diretrizes estabelecidas pela administração da organização por meio do
alinhamento de suas missões e objetivos. Ele compreende os exames
preliminares das áreas, atividades, produtos e processos da empresa, como
também a análise do ambiente ético e do sistema de controles internos para
definir a amplitude dos trabalhos e a época em que serão realizados.
Segundo o IIA, trata-se de um processo sistemático e estruturado que
se inicia com a Declaração da Visão de forma a articular a filosofia da atividade
de auditoria interna com sua contribuição para a organização. A visão
transcende objetivos, pois expressa o que é desejado para o futuro. Após,
segue-se a Declaração de Missão, que é construída com base na declaração
de visão e descreve o objetivo principal da atividade de auditoria; o que planeja
alcançar no futuro; seus valores; e, como ele se integra ao plano estratégico da
24
organização. A declaração de missão deve ressoar por todo o pessoal de
auditoria interna e também pelas partes interessadas interna e externamente. É
a partir da declaração da missão que o plano estratégico de auditoria interna é
desenvolvido, determinando essencialmente como a missão será alcançada. A
declaração de missão é comumente a primeira declaração na carta de auditoria
interna.
A seguir, são identificados os fatores críticos de sucesso (CSFs18). De
acordo com o IIA devem ser respondidas as seguintes questões:
• Posicionamento - A atividade de auditoria interna está
estrategicamente posicionada e suportada?
• Processos - Os processos da atividade de auditoria interna são
ágeis e dinâmicos para atender às necessidades do negócio?
• Pessoas - A estratégia de pessoal da auditoria interna está
adequada ao cumprimento de sua missão?
Em seguida, é necessário a avaliar situação da própria auditoria
interna. Uma técnica é o uso da análise SWOT. O objetivo é identificar os
fatores-chaves internos (Forças & Fraquezas) e externos (Oportunidades &
Ameaças) que são fundamentais para o alcance da estratégia a ser
implementada. Nesse caso, o ambiente externo inclui os elementos da
organização além da atividade de auditoria interna, como também os fora da
empresa.
Alguns aspectos que devem ser considerados na SWOT, são: a
estrutura organizacional; as habilidades e os conhecimentos necessários à
execução dos trabalhos; a tecnologia e as ferramentas disponíveis; e, a relação
custo benefício, considerando os recursos e as características da empresa.
O planejamento deve considerar os fatores relevantes na execução
dos trabalhos, especialmente os seguintes:
a) o conhecimento detalhado da política e dos instrumentos de
gestão de riscos da entidade;
17 Alto executivo da IBM e da Eastman Kodak e escritor do best-seller Megatrends . 18 Critical Sucess Factors
25
b) o conhecimento detalhado das atividades operacionais e dos
sistemas contábil e de controles internos e seu grau de
confiabilidade da entidade;
c) a natureza, a oportunidade e a extensão dos procedimentos de
auditoria interna a serem aplicados, alinhados com a política de
gestão de riscos da entidade;
d) a existência de entidades associadas, filiais e partes relacionadas
que estejam no âmbito dos trabalhos da Auditoria Interna;
e) o uso do trabalho de especialistas;
f) os riscos de auditoria, quer pelo volume ou pela complexidade
das transações e operações;
g) o conhecimento do resultado e das providências tomadas em
relação a trabalhos anteriores, semelhantes ou relacionados;
O planejamento deve ser documentado e os programas de trabalho
formalmente preparados, detalhando-se o que for necessário à compreensão
dos procedimentos que serão aplicados, em termos de natureza, oportunidade,
extensão, equipe técnica e uso de especialistas.
Os programas de trabalho (Plano Operacional) devem ser
estruturados de forma a servir como guia e meio de controle de execução do
trabalho, devendo ser revisados e atualizados sempre que as circunstâncias o
exigirem.
Seguindo ainda as orientações do IIA, o Chefe Executivo de Auditoria
(CAE) deve coordenar os trabalhos com outras atividades de gestão de risco e
assessoria, alinhando recursos e prioridades. Ademais, deve estabelecer um
plano de comunicação em que a alta administração e a diretoria permaneçam
informadas sobre a evolução dos trabalhos: os riscos e limitações envolvidos;
os achados; e; as ações corretivas com seus respectivos status.
O plano de desenvolvimento de pessoal também é incluído no
planejamento estratégico. Devem ser especificadas as competências
essenciais, o conhecimento, a experiência e as certificações necessárias à
26
realização dos trabalhos e à ascensão profissional, de forma viabilizar a
prontidão dos auditores.
Para cada trabalho, é importante monitorar o prazo de execução; os
objetivos desejados; as medidas de desempenho (qualitativa e quantitativa); e,
os elementos SWOT associados. Além disso, o CAE e sua equipe podem
realizar auto avaliações em relação a eficiência e a eficácia da execução do
planejamento estratégico e divulgar essas informações por meio dos relatórios
fornecidos as partes interessadas.
2.6. Procedimentos de Auditoria
Quanto maior o risco de distorção relevante, maior será a extensão necessária dos procedimentos substantivos. Whittington & Pany
O produto final do trabalho uma auditoria é a emissão de um relatório
indicando se as demonstrações contábeis auditadas cumprem os GAAP. As
evidências suficientes para apoiá-lo devem ser coletadas e documentadas por
meio de procedimentos rigorosos que, entre outros objetivos, ajudam os
auditores a avaliar o risco de distorção.
De acordo com Whittington e Pany (2004), os procedimentos de
auditoria envolvem: a compreensão do cliente, do negócio e da indústria, para
a elaboração da avaliação de riscos; a compreensão do ambiente de controle
interno; o desempenho e o design do teste de controles, para avaliar a eficácia
dos controles na prevenção ou detecção de distorções materiais; e, o desenho
e o desempenho de procedimentos substantivos.
Os procedimentos substantivos incluem procedimentos analíticos, o
teste de transações e o teste dos saldos finais nas demonstrações. Os
procedimentos analíticos consistem na análise e na avaliação da informação
presente nas demonstrações financeiras; e, uma revisão da relação entre
27
informações financeiras e não financeiras. Técnicas diferentes são usadas
durante os procedimentos analíticos. Da simples verificação de um número,
como a comparação de despesas e receitas acumuladas com anos anteriores
para encontrar diferenças significativas, à modelos matemáticos, como o de
regressão múltipla para estimar as receitas usando dados econômicos e
industriais (WHITTINGTON & PANY, 2004)
O nível de risco estabelecido pelos auditores, durante a avaliação
geral da empresa, orienta a extensão dos procedimentos substantivos de
auditoria. Ademais, pondera-se a relação custo-benefício do aumento dos
procedimentos a serem realizados.
Os testes considerados mais comuns por Whittington e Pany (2004)
num processo de auditoria são:
▪ Sistema de contabilidade - comparação dos registros internos
▪ Evidência documental:
Rastreamento – verificação da completude do processamento
de transações seguindo-a nos registros contábeis.
“Vouching” – verificação do registro da transação por meio da
evidenciação de documentos que a amparem.
Inspeção-Leitura ou revisão ponto-a-ponto de um documento
ou registro
Reconciliação – conferência dos dados de dois conjuntos de
registros independentes, mas relacionados.
Representação de terceiros: confirmação e avaliação de uma
resposta de um devedor, credor ou outra parte em resposta a
um pedido de informações sobre um item específico que afeta
as demonstrações financeiras.
▪ Evidência física:
Exame físico - visualização de evidências físicas de um bem.
Observação – constatação de uma atividade.
▪ Cálculos – repetição das operações de um cliente, incluindo
totalização de colunas, cruzamento de dados e / ou reprocessamento
por multiplicação.
28
▪ Relações entre dados - avaliação da informação financeira feita por
um estudo das relações esperadas entre dados financeiros e não
financeiros.
▪ Representações de clientes - perguntas direcionadas aos
encarregados do relacionamento com os clientes.
Ainda segundo esses autores, os auditores também coletam provas
de algumas áreas subjetivas, como as estimativas contábeis, a medição do
valor justo de mercado e as divulgações e transações com partes relacionadas.
2.6.1 Fraude & Erro
The challenge for capitalism is that the things that breed trust also breed the environment of fraud. James Surowiecki19
Segundo o Portal de Auditoria, a Auditoria Interna deve assessorar a
administração da entidade no trabalho de prevenção de fraudes e erros,
obrigando-se a informá-la, sempre por escrito, de maneira reservada, sobre
quaisquer indícios ou confirmações de irregularidades detectadas no decorrer
dos trabalhos.
O mesmo site define fraude como o ato intencional de omissão e/ou
manipulação de transações e operações, adulteração de documentos,
registros, relatórios, informações e demonstrações contábeis, tanto em termos
físicos quanto monetários. Já o termo erro aplica-se ao ato não-intencional de
omissão, desatenção, desconhecimento ou má interpretação de fatos na
elaboração de registros, informações e demonstrações contábeis, bem como
de transações e operações da entidade, tanto em termos físicos quanto
monetários.
19 Colunista de negócios e finanças da revista New Yorker
29
2.7. Técnicas de Auditoria
A aprendizagem a partir de dados é extremamente poderosa e seu uso está transformando a tomada de decisões nas empresas. John Elder 20
Mineração de dados (Data Mining21) é um processo de exploração de
grandes quantidades de dados com objetivo de encontrar anomalias, padrões e
correlações para suportar a tomada de decisão e proporcionar vantagens
estratégicas.
Há basicamente dois tipos de dados: os estruturados, que
representam cerca de 10%; e, os não estruturados, que são os 90% restantes.
Os dados estruturados são organizados em linhas e colunas, são geralmente
encontrados em banco de dados relacionais; e, são eficientes quanto à
recuperação e processamento. Já os dados não estruturados referem-se a
dados que não podem ser organizados em linhas e colunas, como vídeos,
áudios e e-mails.
2.7.1 Ferramentas de Auditoria Auxiliadas por Computador
We’re entering a new world in which data may be more important than software. Tim O’Reilly22
Computer Aided (or Assisted) Audit Techniques (CAATs) são técnicas
ou programas de computador especializados em gerar amostras, importar
20 Fundador e presidente da Elder Research Inc, empresa de consultoria líder no mercado de ciência dos dados, análise preditiva e mineração de texto. 21 O termo foi inventado em 1990, mas seu conceito vem de longa data e envolve três disciplinas: estatística, com o estudo numérico de dados relacionados; inteligência artificial, exibida por softwares ou máquinas; e, “machine learning”, algoritmos que podem aprender a partir de dados. 22 Popularizou os termos open source (software livre) e web 2.0.
30
dados, sumarizar e testar os controles, as condições e os processos existentes
numa organização por meio de amostras. São classificados em:
Software Especializado em Auditoria – permitem realizar testes em
arquivos e bancos de dados. Exemplos: Shelter EAS, ACL (Audit Command
Language), IDEA
Software de Auditoria Adaptado – geralmente usados por auditores
para desempenhar tarefas específicas não compatíveis aos softwares
especializados por meio de rotinas de programação. Exemplos: Easy Trieve,
SQL+ (Structured Query Language), SAS (Statistical Analysis System), etc.
Cabe destacar que o advento desses softwares de mineração de
dados, como o SAS, juntamente com a evolução na estrutura de TI das
empresas, permite, atualmente, que todo o universo de dados da organização
seja analisado. Ademais, diversos dos testes considerados mais comuns por
Whittington e Pany (2004), agora, podem ser realizados automaticamente.
2.7.2. Auditoria Continua
Continuous Auditing is a methodology that enables independent auditors to provided written assurance on subject matter using a series of auditors’ reports issue simultaneously with, or a short time period of time after, the occurrence of events underlying the subject matter. CICA / AICPA23 (1999)
Auditoria contínua é um método usado para realizar avaliações de
controles e riscos por meio de procedimentos computacionais,
concomitantemente ao funcionamento dos sistemas que estão sendo
verificados, de forma a substituir o trabalho convencional de auditoria e/ou
torná-lo mais abrangente e tempestivo.
23 Canadian Institute of Chartered Accountants / American Institute of Certified Public Accountants
31
Segundo REZAEE; ELAM; SHARBATOGHLIE (2001), a Auditoria
continua é um processo de coleta e avaliação de evidências para determinar a
eficiência e eficácia em tempo real dos sistemas contábeis na proteção de
ativos, mantendo a integridade dos dados e produzindo informações
financeiras confiáveis.
A auditoria contínua não é um novo tipo de auditoria. É uma técnica,
como a entrevista, o exame ou a circularização, que utiliza indicadores e
alertas seletivos automatizados (gatilhos) para identificação de ocorrências
diferentes dos padrões preestabelecidos. Ela é integrada e orientada para a
produção de informação de auditoria por meio da análise de dados24. O termo
contínua tem caráter de evolução. Sua abordagem é dinâmica, pois concentra-
se nas relações dos eventos que compõem o fluxo de trabalho, a partir do
conhecimento da arquitetura dos processos críticos organizacionais, visando
imprimir pro-atividade na detecção e na medição do risco de desvios reais ou
potenciais, incluindo fatores desencadeantes, para evitar a exposição além do
limite tolerado pela empresa.
As principais vantagens da auditoria contínua são exigir menos
custos de funcionamento e ser mais tempestiva, exata e compreensiva.
Cabe destacar que as informações resultantes da Auditoria Continua
retroalimentam a base de conhecimento da mesma forma que as demais
produzidas pela Auditoria Interna; e, que a abordagem antecipada da Auditoria
Continua não prejudica a identificação e o tratamento de achados.
Uma vez descritos os pontos relevantes das abordagens,
planejamentos, procedimentos e técnicas de auditoria interna, cabe apresentar,
no capítulo 3, os benefícios e os riscos que essas novas tecnologias podem
trazer para o mercado financeiro; e, como devemos nos capacitar para obter o
maior proveito desses recursos numa visão de auditoria.
24 Análise de dados é definida como o processo de inspeção, limpeza, transformação, e modelagem de dados com o objetivo de encontrar a informação útil, sugerindo conclusões, e apoiando a tomada de decisão
32
3.1 Blockchain & o Processo de Auditoria
Blockchain is going to have a profound impact not just on financial services, but on the world of business and society as a whole. Alex Tapscott.
Segundo a Psaila (2017), o uso do blockchain permitirá que as
auditorias totalmente automatizadas sejam uma realidade.
Pela sua estrutura, o blockchain é inerentemente resistente à
modificação de qualquer dado armazenado. Essa característica permite seu
uso como fonte de verificação para as transações realizadas. Por exemplo, ao
invés de pedir a clientes seus extratos bancários, ou enviar solicitações de
confirmação a terceiros (circularização25), os auditores podem verificar
facilmente as transações por meio dos registros de blockchain publicamente
disponíveis, nos sítios http://www.blockchain.info ou http: // www.
blockexplorer.com. Seguindo essa tendência os testes substantivos baseados
em amostras em breve serão raros, pois os auditores usarão os blockchains
para testar toda a população de transações dentro do período sob observação.
Assim, a avaliação da existência, ocorrência, precisão e integridade das
informações das demonstrações financeiras poderá ser automatizada.
Ademais, o fato do Blockchain trabalhar em pseudo-tempo real permitirá
avaliações contínuas on-line ao longo de todo o período sob auditoria, ao invés
de avaliações retrospectivas ao final do período. Essa extensa cobertura
melhorará drasticamente a relação entre os riscos e limitações nos trabalhos
de auditoria; e, a automação deste processo de verificação gerará eficiência
nos custos dos procedimentos de auditoria, como também redução no tempo
de execução.
25 É o procedimento substantivo de auditoria realizado junto a fontes independentes externas à empresa auditada, como clientes, fornecedores, bancos, advogados, cujas informações e ou resultados consubstanciam em evidência corroborativa.
CAPÍTULO III
AUDITORIA FINANCEIRA NA ERA DIGITAL
33
3.2. Riscos da Era Digital
Despite the decline in the overall cost, companies in this year’s study are having larger breaches. IBM 12th annual Cost of Data Breach Study
Uma violação de dados pode ocorrer devido a aplicativos na rede,
malware, backdoors, acessos remotos, vírus e muito mais. Quando isso
acontece, não se perde apenas propriedade intelectual, dados financeiros e de
clientes. Há a substituição dos funcionários de TI, a perda de reputação da
empresa e do valor da marca. Ademais, o custo estimado de uma brecha nos
dados de uma organização é de US $ 3,62 milhões.26
Uma opção para evitar isso é o Blockchain, pois suas transações são
altamente seguras. Mas, segundo Psaila (2017) fraudes não podem ser
totalmente erradicadas simplesmente com o seu uso, uma vez que sua adoção
dependente altamente da segurança do ambiente subjacente. Por exemplo, se
um empregado de uma organização acidental, ou deliberadamente, envia um
bitcoin para um endereço / destinatário errado ou não autorizado, atualmente,
não há como reverter essa transação. Se uma empresa sofre um ataque de
phishing27, não há um departamento de fraudes para o qual reportar o
incidente, uma vez que, no Blockchain, não há administração central. Se uma
chave privada for perdida, por um mau funcionamento de software ou
hardware, a companhia perde o acesso a qualquer moeda virtual associada a
essa chave privada. Eles não serão mais acessíveis a qualquer pessoa e
estarão efetivamente fora de circulação para sempre.
Considerando os casos apresentados, primeiramente, os auditores
necessitam avaliar se os controles automatizados são efetivos para validar
transações antes de serem executadas. No segundo, devem determinar se os
controles internos estão operando efetivamente para prevenir e detectar
26 IBM 12th annual Cost of Data Breach Study 27 é uma fraude eletrônica que visa adquirir informações como senhas, dados de cartões de crédito e dados pessoais geralmente por meio de e-mails espúrios, URLs falsas ou envenenamento do servidor DNS.
34
ataques de phishing. No último, devem certificar-se que há procedimentos
eficazes de recuperação de desastres, bem como procedimentos de backup e
restauração. Esses procedimentos de mitigação de perdas também devem ser
avaliados para verificar se os controles que abordam os riscos associados à
cadeia de blocos podem ser invocados.
Logo, de acordo com Psailla (2017), para estar em condições de
fornecer o nível de segurança adequado para o uso do Blockchain e evitar uma
violação de dados, os processos de auditoria precisam avançar para a
avaliação da eficácia operacional dos controles internos de TI.
3.2.1 Caso Ethereum 28
Failure is an amazing data point that tells you which direction not to go. Payal Kadakia29
Em julho de 2017, uma falha na Parity Wallet30 permitiu que 150 mil
ETHs fossem roubados. Na época, algo equivalente a US$ 30 milhões. O
problema foi corrigido no dia 19 do mesmo mês e, no dia seguinte, uma nova
versão dos contratos das carteiras passou a vigorar. Todavia, o novo código
trouxe outra vulnerabilidade. Ela permitiu a um usuário transformar o contrato
da biblioteca da Parity Wallet em uma carteira multi-signatário e, assim, se
tornar proprietário dela. Um desenvolvedor encontrou o problema
“acidentalmente” e o reportou a empresa. Pouco tempo depois, um usuário
realizou o procedimento resultando na eliminação do código de biblioteca da
Parity. Não há relatos de roubos ou perdas, mas o problema tornou as carteiras
multi-sig ativas desde 20 de julho inutilizáveis. Estima-se que 600 mil ETHs
estejam inacessíveis, quantidade equivalente a US$ 150 milhões, mas alguns
cálculos chegam a US$ 280 milhões. Em nota de 08/11/2017, a Parity afirmou
que está investigando o problema e estudando todas as possíveis implicações
e soluções. A companhia não informou a quantidade de usuários afetados.
28 Ethereum (ETH) é, depois do Bitcoin, a criptomoeda mais valorizada que existe atualmente. 29 CEO da fitness startup ClassPass sediada em New York. 30 Parity Technologies (anteriormente Ethcore) é um cliente da Ethereum que opera essa moeda virtual.
35
Cabe frisar que a causa dessa fraude não estava relacionada a
deficiências na tecnologia Blockchain, mas sim numa vulnerabilidade no
software que foi usado para gerenciar as carteiras Ethereum.
3.3 Novos Recursos & Nova Abordagem
Before you become too entranced with gorgeous gadgets and mesmerizing video displays, let me remind you that information is not knowledge, knowledge is not wisdom, and wisdom is not foresight. Each grows out of the other, and we need them all. Arthur C. Clarke
Com o advento da era digital, os mercados, o ambiente de negócios,
a concorrência e as necessidades dos clientes vêm mudando rapidamente. Em
função disso, constata-se que a Auditoria Interna precisa estar integrada a todo
espectro do risco numa abordagem holística. De forma que as auditorias
puramente retrospectivas se tornaram inadequadas. E, as ferramentas para
responder e se adaptar a essa nova realidade estão nessas próprias
tecnologias disruptivas. Portanto, é necessário conhecê-las e usá-las
efetivamente.
Uma delas é a mineração de dados com seus softwares, pois
alcançam resultados robustos, uma vez que permitem a análise de todo o
universo auditável. No caso do sistema financeiro, atualmente, os dados dos
processos críticos concentram-se em ambientes virtuais, pois até os
documentos estão sendo digitalizados. Logo, o setor de TI tornou-se vital, seja
pela concentração de informações em si, seja pela viabilização dos trabalhos
de auditoria continua por meio da extração dos metadados.
Logo, os auditores são obrigados a compreender os riscos específicos
para uma entidade decorrentes de TI e como a entidade está respondendo a
36
esses riscos através da implementação de controles específicos. A ferramenta
mais utilizada para isso é o Cobit.31
Outra é o Blockchain, que está evoluindo para adequar-se ao uso em
sistemas corporativos e privados. Em outubro de 2016, a Accenture divulgou a
criação de um protótipo que permite que o Blockchain seja editado32 em
circunstâncias excepcionais como erros humanos, exigências legais /
regulatórias, falhas ou outras complicações. O projeto visa os blockchains
privados, também denominados permissionados, que são aqueles gerenciados
por administradores designados sob regras de governança pré-estabelecida,
focando, assim, em bancos, seguradoras e mercados de capitais.
Essas são apenas duas novas tecnologias de um ambiente
empresarial cada vez mais complexo e ágil que pressionam os auditores a criar
uma nova mentalidade e uma nova forma de auditar, mais dinâmica e flexível,
com resultados mais imediatos. Como também a capacitarem-se para manter a
qualidade de sua assessoria e consultoria à alta administração quanto a
garantia da eficácia e da eficiência da gestão de riscos; dos controles internos;
do processo de governança; e, quanto ao alcance dos objetivos. Nesse
contexto, a auditoria continua, estratégica, integrada, baseada em risco
apresentasse como a melhor alternativa, no momento, para a análise dessas e
das demais transformações digitais.
3.4. Capacitação
I will spend as much money as I need to make sure my little girls go to Chinese schools, because the best skill I can give to two people born in 2003 and 2008 is to know Asia and to speak Mandarin fluently. Jim Rogers33
31 Control Objectives for Information and related Technology. É um framework focado na governança de TI, mantido pelo ISACA, que apresenta um conjunto de diretrizes baseadas em auditoria para processos, práticas e controles de TI, visando integridade, confiabilidade, segurança e redução de risco. 32 Essa edição, preservando as principais características criptográficas, é possível por meio da utilização de uma nova variação da função hash, de forma a deixar uma indicação que o bloco foi alterado. 33 Empresário americano, investidor, viajante, comentador financeiro e co-fundador do Quantum Fund e criador do Rogers International Commodities Index (RICI).
37
Segundo a pesquisa da Deloitte de 2014, a crise mundial ocasionada
pelas operações de subprime34 tornaram o setor financeiro menos atraente
para a geração milênio. Mas, as inovações nos serviços digitais, nos meios de
pagamento e nos investimentos estão criando novas carreiras no ramo. Em
função disso, os bancos e os fundos, agora, estão procurando estudantes com
experiência e habilidades digitais. Características como visão analítica, trabalho
em equipe, comunicação e liderança permanecem desejáveis. Contudo, além
disso, busca-se candidatos que saibam programar; conheçam processamento
paralelo, agrupamento de dados, análise estatística; e, entendam de
cibersegurança. Nesse novo cenário, a mídia social, especialmente o Linkedin,
vem sendo usada como meio de recrutamento.
Em relação ao treinamento em Auditoria, Moscato e Boekman (2014),
propõem o uso de plataformas virtuais 3-D, pois ponderam que esse método
apresenta as seguintes vantagens:
- o ambiente virtual é visual, interativo, divertido e contém uma
riqueza que não pode ser aprendida com abordagens de estudo de caso
tradicionais.
- um custo significativamente menor que o real, considerando um
simulador projetado para replicar devidamente as características de um
ambiente real de auditoria.
- o aprimoramento das habilidades de observação do auditor, que
são necessárias em qualquer visita que farão no mundo real.
- a apreensão dos principais elementos que compõe uma conclusão
de auditoria pelo uso do modelo do AII35 de apresentação dos resultados da
auditoria
- o aperfeiçoamento de um estilo de escrita conciso e eficiente, que
enfatiza a importância de enquadrar os problemas relevantes de forma
compreensível e consistente.
34 Crise financeira motivada pela concessão de empréstimos hipotecários de alto risco (em inglês: subprime loan ou subprime mortgage) 35 Auditor Internal Institute = Instituo de Auditores Internos
38
- o incremento na habilidade de avaliar o que realmente é um achado
importante, de uma descoberta de menor relevância, por meio da classificação
dos resultados da auditoria conforme a prioridade.
Independente da forma de capacitação, algumas habilidades digitais
já se tornaram fundamentais para a atividade do auditor hoje como computação
cognitiva, analytics-driven insights e processamento de linguagem natural
(PNL).36 Os auditores digitais devem usar a inteligência artificial para aumentar
ou substituir suas habilidades tradicionais; e, devem usar data minnig para
transformar rapidamente dados estruturados e desestruturados em
informações valiosas de auditoria que auxiliem na tomada de decisões. Além
disso, os auditores digitais devem ser capazes de aproveitar o poder do
processamento de linguagem natural para gerar automaticamente relatórios de
auditoria e comunicados em forma legível para os humanos.
36 Sistemas de geração de linguagem natural convertem informação de bancos de dados de computadores em linguagem compreensível ao ser humano e sistemas de compreensão de linguagem natural convertem ocorrências de linguagem humana em representações mais formais, mais facilmente manipuláveis por programas de computador.
39
CONCLUSÃO
It is a capital mistake to theorize before one has data. Arthur Conan Doyle
Nos últimos anos, houve um rápido crescimento no número de
empresas baseadas em tecnologia que entram no setor de serviços
financeiros. Apesar disso, o impacto real dessas empresas ainda é incerto. A
evolução desse cenário pode levar a uma interação bastante colaborativa entre
FinTech e banco tradicional ou pode mudar drasticamente os modelos de
negócios existentes.
Um dos expoentes dessa revolução é o Blockchain. Embora essa
tecnologia ofereça propriedades intrinsecamente seguras, é o ser humano que
codifica o software necessário para integrar e interagir a cadeia de blocos. E,
como salientamos nesse estudo, se o ambiente de TI não for seguro, o
blockchain não o será.
Considerando que focamos nossa pesquisa no sistema financeiro,
onde atualmente os processos críticos concetram-se em ambientes virtuais e
no fato dos seres humanos serem falíveis e corruptíveis, o advento de novos
produtos e serviços digitais expõe os bancos a fraudes e a irregularidades
ainda não totalmente previstas e cujos riscos ainda não foram devidamente
mapeados. Ademais, o ambiente de negócios está cada vez mais ágil e
auditorias retrospectivas não apresentam a tempestividade necessária à
agregação de valor ao trabalho do auditor.
Logo, os auditores precisam entender essa nova realidade e se
capacitar para atuar eficaz e eficientemente. Nesse sentido, devem aprender
programação (principalmente SQL, Phyton e R), computação cognitiva,
processamento de linguagem natural, dataminig, processamento paralelo,
agrupamento de dados, análise estatística, cibersegurança entre outros. E,
utilizar esse novo ferramental na reedição do cabedal teórico da auditoria
interna.
40
Assim, adotando todo o arcabouço epistemológico descrito ao longo
desse trabalho, evidencia-se que o planejamento da auditoria interna na Era
Digital deve ser estratégico, integrado, baseado em riscos e com foco em
sistemas, por meio de softwares visando a observação de todo o universo de
dados (mineração), para que haja a ampliação na cobertura da análise de
risco; a priorização de outliers, juntamente com a identificação de tendências e
predições nas áreas de maior risco; e, a detecção de irregularidades e fraudes.
Pois, embora essas últimas não sejam o foco das atividades de auditoria, sua
prevenção, por meio da utilização de indicadores e alertas seletivos
automatizados, quantifica a perda potencial não incorrida e,
consequentemente, a eficácia do trabalho realizado. Como também mitiga
eventos que possam abalar o sistema financeiro.
Mas a mudança de paradigma da auditoria em direção à auditoria
contínua não é isenta de obstáculos e de dificuldades, como os investimentos
necessários (não sendo pacífica a análise do retorno de um investimento deste
tipo); a necessidade de apoio da gestão; o domínio de novas competências; e,
a disponibilidade de uma infraestrutura tecnológica apropriada.
Daí a necessidade de estar integrada com as demais atividades da
organização e da própria auditoria; e, ser planejada juntamente com a
estratégia da empresa. No ambiente atual, só por meio da técnica de
continuidade a auditoria atuará tempestivamente e garantirá a assessoria e a
consultoria à alta administração, agregará valor à empresa, colaborará na
melhoria os processos da organização e a auxiliará ativamente na consecução
de seus objetivos.
41
REFERÊNCIAS BIBLIOGRÁFICAS
1. ___________. BrainyQuote. Disponível em: https://www.brainyquote.com/ quotes/. Consultado em: 28/01/17.
2. ___________. Ponemon Cost of Data Breach Study. Disponível em: https://www.ibm.com/security/data-breach. Consultado em:27/01/17.
3. ALECRIM, Emerson. Milhões de dólares em Ethereum estão congelados por causa de bug. Disponível em: https://tecnoblog.net/227742/ falha-congela-ethereum/. Consultado em: 08/11/2017
4. ANDOILE, Stephen J. The 2th Digital Revolution. Idea Group Inc, 2005 5. BARBIERI, José C. e ÁLVARES, Antonio C.T. Organizações
inovadoras: estudos e casos brasileiros. FGV, 2003. 6. BRANT, Danielle. Bancos do Brasil testam tecnologia do bitcoin
para baratear os custos. Disponível em: http://www1.folha.uol.com.br/mercado /2017/09/1922103-bancos-do-brasil-testam-tecnologia-do-bitcoin-para-baratear-os-custos.shtml. Consultado em: 01/12/17.
7. CHARTERED INSTITUTE OF INTERNAL AUDITORS. Risk Based Internal Auditing. Disponível em: https://www.iia.org.uk/resources/risk-management/risk-based-internal-auditing/ . Consultado em: 27/01/17.
8. CHRISTENSEN, Clayton M. Disruptive Technologies Catching the Wave. Harvard Business Review, 1995
9. DELOITTE. The Millennial Survey 2014. Disponível em: https://www2.deloitte.com/br/pt/pages/about-deloitte/articles/2014-millennial-survey-positive-impact.html. Consultado em: 12/10/17
10. FLINT, David Philosophy and Principles of Auditing: An Introduction. Palgrave Macmillan, 1988
11. INSTITUT FRANÇAIS DE L’AUDIT ET DU CONTRÔLE INTERNES. Élaborer Le Plan Stratégique de L'audit Interne. Julliet,2012. Disponível em https://chapters.theiia.org/montreal/ChapterDocuments/ guide%20pratique%20-0Elaborer%20le%20plan%20strat%C3%A9gique 20de%20l%27audit%20interne%20%282012%29.pdf. Consultado em 12/10/17.
12. LEE, Thomas A. Company Auditing. Cenage Learning,1986. 13. MAUTZ, Robert K. & SHARAF, Hussein A. The Philosophy of Auditing.
American Accounting Association, 1961. 14. MOELLER, Robert R. Brink’s Modern Internal Auditing. John Wiley &
Sons, 2009. 15. MORENO, Nilton A. Inovações na Organizações Empresariais.
Disponível em: http://www.techoje.com.br/site/techoje/categoria/Detalhe _artigo/428. Consultado em: 27/10/17.
16. MOSCATO, Donald R. Computer Assisted Auditing Techniques: An Illustrative Approach. Rye Brook, 1995.
42
17. MOSCATO, Donald R., BOEKMAN, Diana M.E. Using 3-D Virtual Worlds as a Plataform Experimental Case Study In Information Auditing, 2014.
18. PICKETT, Spencer K. H. Audit Planning: a risk-based approach. John Wiley & Sons, 2006.
19. PORTAL DE AUDITORIA. Procedimentos de Auditoria. Disponível em: https://portaldeauditoria.com.br/procedimentos-de-auditoria-auditoria-interna/. Consultado em: 27/01/17.
20. PORTER, Michael E. Vantagem Competitiva. Campus, 1992 21. PSAILA, Sandro. Blockchain: A game change for audit process.
Disponível em: https://www2.deloitte.com/mt/en/pages/audit/articles/mt-blockchain-a-game-changer-for-audit.html. Consultado em 27/01/18.
22. MARQUES, Diego Banco Central do Brasil projeta uso da Blockchain em várias áreas como teste para a tecnologia no país Disponível em: https://guiadobitcoin.com.br/banco-central-do-brasil-projeta-uso-da-blockchain-em-varias-areas-como-teste-para-a-tecnologia-no-pais/. Consultado em 01/12/17
23. NAKAMOTO, Satoshi. Bitcoin: A peer-to-peer electronic cash system, 2008.
24. REZAEE, Zabihollah; ELAM, Rick; SHARBATOGHLIE, Ahmad. Continuous auditing: the audit of the future. Managerial Auditing Journal, v. 16, n. 3, p. 150-8. 2001.
25. ROCHA, Luciano. ABNT anuncia encontros sobre blockchain em São Paulo e no Rio de Janeiro. Disponível em: https://www.criptomoe dasfacil.com/abnt-anuncia-encontros-sobre-blockchain-em-sao-paulo-e-no-rio-de-janeiro/ Consultado em: 01/12/17
26. SCHUMPETER, Joseph A. 1912. The Theory of Economic Development, tenth printing 2004, Transaction Publishers, New Brunswick, New Jersey
27. THE INSTITUTE OF INTERNAL AUDITORS. Practice Guide: Developing The Internal Audit Strategic Plan. Disponível em: https://na.theiia.org/standards-guidance/recommendedguidance/practice-guides/Pages /Developing-the-Internal-Audit-Strategic-Plan-Practice-Guide.aspx. Consultado em 28/01/2017.
28. UTTERBACK, James M. Mastering the dynamics of innovation. Harward Business School Press, Boston, 1994
29. WHITTINGTON, Ray & PANY, Kurt. Principles of Auditing and Other Assurance Services. McGraw-Hill, 2014
43
ÍNDICE
AGRADECIMENTOS ................................................................................................................................ 3
DEDICATÓRIA ........................................................................................................................................ 4
RESUMO ................................................................................................................................................ 5
METODOLOGIA...................................................................................................................................... 6
SUMÁRIO .............................................................................................................................................. 7
INTRODUÇÃO ........................................................................................................................................ 8
CAPÍTULO I ERA DIGITAL .................................................................................................................... 10
1.1. REVOLUÇÃO DIGITAL ............................................................................................................................ 10 1.2. INOVAÇÃO DISRUPTIVA ......................................................................................................................... 11 1.3. INOVAÇÕES DIGITAIS NO MERCADO FINANCEIRO ....................................................................................... 12
1.3.1. Blockchain ................................................................................................................................ 13 1.3.2. Moedas Virtuais ....................................................................................................................... 14
1.4. ESTÁGIO DA TECNOLOGIA BLOCKCHAIN NO SISTEMA FINANCEIRO ................................................................... 15
CAPÍTULO II AUDITORIA INTERNA ..................................................................................................... 17
2.1 HISTÓRICO ........................................................................................................................................... 17 2.2 EPISTEMOLOGIA .................................................................................................................................... 18 2.3. ABORDAGENS DA AUDITORIA INTERNA ..................................................................................................... 19 2.4. PLANEJAMENTO DE AUDITORIA BASEADA NA GESTÃO DE RISCOS .................................................................. 21 2.5. PLANEJAMENTO ESTRATÉGICO DE AUDITORIA INTERNA ............................................................................... 23 2.6. PROCEDIMENTOS DE AUDITORIA ............................................................................................................. 26
2.6.1 Fraude & Erro ............................................................................................................................ 28 2.7. TÉCNICAS DE AUDITORIA ....................................................................................................................... 29
2.7.1 Ferramentas de Auditoria Auxiliadas por Computador ............................................................ 29 2.7.2. Auditoria Continua ................................................................................................................... 30
CAPÍTULO III AUDITORIA FINANCEIRA NA ERA DIGITAL ...................................................................... 32
3.1 BLOCKCHAIN & O PROCESSO DE AUDITORIA ............................................................................................... 32 3.2. RISCOS DA ERA DIGITAL ......................................................................................................................... 33
3.2.1 Caso Ethereum ......................................................................................................................... 34 3.3 NOVOS RECURSOS & NOVA ABORDAGEM ................................................................................................. 35 3.4. CAPACITAÇÃO...................................................................................................................................... 36
CONCLUSÃO ........................................................................................................................................ 39
REFERÊNCIAS BIBLIOGRÁFICAS ............................................................................................................ 41
ÍNDICE ................................................................................................................................................. 43
Recommended