Paulo Gomes (*)
No anos 80 falar em auditoria de sistema significava quebra de tabu. A internet, que acaba de celebrar 30 anos, era ainda embrionária.
Nessa era, as auditoria internas atuavam praticamente no ambiente operacional, focadas em análises de atividades financeiras e administrativas. Nessa época o Instituto dos Auditores Internos do Brasil – IIA Brasil, publicou normas internacionais que continham recomendações para as melhores práticas da profissão e frisava: o auditor para executar seus trabalhos com enfoque sistêmico deveria examinar os processos de planejamento e desenvolvimento em aplicação de sistemas.
O que era um enorme desafio já que a maioria dos computadores disponibilizados para os usuários não tinha disco rígido necessário para a missão, eram usados apenas na edição de textos e planilhas.
Com o passar dos anos houve uma democratização ao acesso a computadores mais complexos, mas as informações coletadas por auditores, muitas vezes, ficavam isoladas e eram perdidas por falta de backup.
Linguagens de programações como Cobol, Fortran e principalmente Easytrieve Plus eram as mais usadas para extração de relatórios, porém, feitas apenas por profissionais experientes. Apesar do surgimento de software específicos, a cultura da segurança era incipiente. Além disso, acessar banco de informações era impossível para quem atuava longe do Centro de Processamento de Dados (CPD). Era restrito a programadores, sendo ambiente hostil para auditores com formação contábil e econômica.
Os auditores começaram a perceber que não bastava auditar apenas a entrada e saída das operações, mas era preciso ter certeza que os cálculos seriam feitos corretamente e que os ambientes eram seguros para armazenar dados dos processos. A solução era investir em treinamento para avaliação de CPD, chamada de ‘auditoria de segurança física e lógica’.
Verificava-se o acesso físico às instalações, estruturas elétricas e até climatização. Era rotina encontrar deficiências como a imprudência de deixar portas abertas, dando acesso a pessoas não autorizadas e senhas às aplicações compartilhadas entre os usuários. Cada nova solução gerava curiosos desafios e problemas. Vieram as redes, e se havia facilidade de acessar determinada pasta, criava-se também excessos de arquivos nos servidores, além da facilidade de espalhar vírus, ou baixar software ilegal.
Eis que surge o ERP – Sistema Integrado de Gestão Empresarial – um novo ambiente que parecia que seria a solução para todas falhas apontadas pelas auditorias. Não foi bem assim. Ferramentas como SAP, Oracle e Microsoft Dynamics 365 vieram para dominar o mercado, com módulos específicos para atender as auditorias internas, mas as informações armazenadas nas nuvens não permitiam que auditores validassem as informações nelas contidas.
É inegável que a evolução tecnológica tenha trazido mais agilidade aos processos de auditoria, contudo, ironicamente, cresceram também o número de informações a serem checadas o que tornou o trabalho de burilar dados ainda mais técnico e complexo. Entramos na era do Big Data e Analitics – com softwares como os famosos ACL e IDEA presentes no mundo inteiro – com a inteligência artificial batendo à porta das mais diversas áreas de auditoria de empresas públicas e privadas.
Vivemos, hoje, a integração plena e ágil, que forma a chamada auditoria contínua. Tornou-se possível detectar irregularidades de forma automática, permitindo que o auditor use sua expertise para agir como um profissional capaz de passar uma visão holística da empresa, tendo amplo conhecimento dos negócios, e podendo apoiar a alta administração na tomada de decisões.
Ele não precisa conhecer com profundidade a linguagem de programação – hardware e software, mas tem que ter controle de como as informações são armazenadas e protegidas. E precisa trabalhar integrado com a área de tecnologia. Os chamados algaritmos na ‘auditoria 4.0’, nunca foram tão íntimos do auditor.
Hoje, as máquinas se transformaram nos investigadores internos que levantarão possíveis fraudes e desvios de conduta. Mas caberá ao auditor monitorar esses sistemas e contribuir para o fortalecimento da ética e governança da empresa em que atua.
Se assim o fizer, os robôs buscarão fraudes, mas encontrarão apenas uma empresa transparente e eficiente.
(*) – É diretor-geral do IIA Brasil ([email protected]).