UNIVERSIDADE CANDIDO MENDES / AVM

PÓS-GRADUAÇÃO LATO SENSU

AUDITANDO A REVOLUÇÃO DIGITAL

Ana Paula Conceição Teixeira Penna

ORIENTADORA:

Profª. Luciana Madeira

Rio de Janeiro 2017

DOCUMENTO P

ROTEGID

O PELA

LEID

E DIR

EITO A

UTORAL

UNIVERSIDADE CANDIDO MENDES / AVM

PÓS-GRADUAÇÃO LATO SENSU

AUDITANDO A REVOLUÇÃO DIGITAL

Apresentação de monografia à AVM como requisito parcial para obtenção do grau de especialista em Auditoria e Controladoria

Por: Ana Paula Conceição Teixeira Penna

Rio de Janeiro 2017

AGRADECIMENTOS

À minha orientadora Luciana Madeira por suas

valiosas sugestões

DEDICATÓRIA

As minhas tias queridas Jenny & Zuleika

RESUMO

O advento de novas tecnologias no campo da informática, como o

Blockchain, está construindo uma realidade digital para o sistema bancário. Ela

inclui a criação de novos produtos e serviços, cujos riscos ainda não foram

mapeados pela auditoria interna. Esses riscos possibilitam a ocorrência de

novos tipos de fraudes e irregularidades que necessitam ser previstas e

controladas. Logo, os profissionais de auditoria precisam se capacitar para

entender esse novo ambiente e atuar de forma a mitigar os riscos e os eventos

de perda, mesmo que potencial. Ademais, para lidar com os desafios da Era

Digital, é necessária uma mudança de paradigma com a adoção de um

Planejamento de Auditoria Interna estratégico, contínuo, integrado, baseado

em riscos e com foco em sistemas por meio da mineração de dados sob todo o

universo observado. Só assim a auditoria interna bancária garantirá a eficácia e

a eficiência na gestão de riscos, nos controles internos, no processo de

governança e na assessoria à alta administração; agregará valor à empresa;

colaborará na melhoria os processos; e, auxiliará ativamente a organização na

consecução dos seus objetivos.

METODOLOGIA

O presente trabalho será desenvolvido como uma pesquisa teórica-

exploratória-qualitativa posto que o tema em si envolve fundamentos e

princípios sedimentados na Auditoria Interna que serão revisados sob o

enfoque da nova realidade mundial que o advento da Era Digital criou. Nesse

sentido, será realizada uma consulta bibliográfica, juntamente com exame de

sites ligados a matéria, visando a identificar a metodologia de atuação para

Auditoria Interna que seja mais eficiente e eficaz na consecução de seus

objetivos dentro da conjuntura atual do sistema bancário.

SUMÁRIO

SUMÁRIO .............................................................................................................................................. 7

INTRODUÇÃO ........................................................................................................................................ 8

CAPÍTULO I ERA DIGITAL .................................................................................................................... 10

1.1. REVOLUÇÃO DIGITAL ............................................................................................................................ 10 1.2. INOVAÇÃO DISRUPTIVA ......................................................................................................................... 11 1.3. INOVAÇÕES DIGITAIS NO MERCADO FINANCEIRO ....................................................................................... 12

1.3.1. Blockchain ................................................................................................................................ 13 1.3.2. Moedas Virtuais ....................................................................................................................... 14

1.4. ESTÁGIO DA TECNOLOGIA BLOCKCHAIN NO SISTEMA FINANCEIRO ................................................................... 15

CAPÍTULO II AUDITORIA INTERNA ..................................................................................................... 17

2.1 HISTÓRICO ........................................................................................................................................... 17 2.2 EPISTEMOLOGIA .................................................................................................................................... 18 2.3. ABORDAGENS DA AUDITORIA INTERNA ..................................................................................................... 19 2.4. PLANEJAMENTO DE AUDITORIA BASEADA NA GESTÃO DE RISCOS .................................................................. 21 2.5. PLANEJAMENTO ESTRATÉGICO DE AUDITORIA INTERNA ............................................................................... 23 2.6. PROCEDIMENTOS DE AUDITORIA ............................................................................................................. 26

2.6.1 Fraude & Erro ............................................................................................................................ 28 2.7. TÉCNICAS DE AUDITORIA ....................................................................................................................... 29

2.7.1 Ferramentas de Auditoria Auxiliadas por Computador ............................................................ 29 2.7.2. Auditoria Continua ................................................................................................................... 30

CAPÍTULO III AUDITORIA FINANCEIRA NA ERA DIGITAL ...................................................................... 32

3.1 BLOCKCHAIN & O PROCESSO DE AUDITORIA ............................................................................................... 32 3.2. RISCOS DA ERA DIGITAL ......................................................................................................................... 33

3.2.1 Caso Ethereum ......................................................................................................................... 34 3.3 NOVOS RECURSOS & NOVA ABORDAGEM ................................................................................................. 35 3.4. CAPACITAÇÃO...................................................................................................................................... 36

CONCLUSÃO ........................................................................................................................................ 39

BIBLIOGRAFIA ...................................................................................................................................... 41

ÍNDICE ................................................................................................................................................. 43

8

INTRODUÇÃO

Inovation distinguishes between a leader and a follower. Steve Jobs

O advento de novas tecnologias no campo da informática está

construindo uma realidade digital que:

1) inclui a criação de novos produtos e serviços cujos riscos

ainda não foram mapeados;

2) não consegue mais, por meio das metodologias usuais de

auditoria interna, satisfatoriamente, identificar e mitigar os riscos, devido ao

aumento exponencial de dados a serem analisados;

3) possibilita a elaboração de novos tipos de fraudes e

irregularidades que necessitam ser previstas e controladas; e,

4) necessita ser entendida pelos profissionais de auditoria

para que atuem de forma eficaz e eficiente.

Em função disso, os princípios teóricos que fundamentam a atuação

da Auditoria Interna necessitam ser aprimorados. Logo, nessa pesquisa, serão

tratados alguns de seus aspectos basilares como as abordagens da Auditoria,

segundo Moeller (2009); o Planejamento de Auditoria baseado em riscos, na

visão de Pickett (2006); a elaboração do plano estratégico de auditoria Interna,

conforme orientação dos institutos internacionais (Ifaci e IIA, 2012); os

procedimentos de auditoria descritos por Whittington & Pany (2004); e, as

técnicas de auditoria, utilizando softwares e aplicativos, baseadas nos estudos

de Moscatto (1995), para que seja compilada a essência epistemológica da

auditoria interna, até o momento, e reeditá-la com as características

necessárias a superação dos desafios que cenário atual apresenta.

O objetivo principal desse estudo é propor uma metodologia de

atuação da Auditoria Interna que a integre a esse mundo cada vez mais virtual.

9

Assim, pretende-se confirmar que o planejamento da Auditoria

Interna na Era Digital deve ser estratégico, contínuo, integrado, baseado em

riscos e com foco em sistemas por meio de softwares visando a observação de

todo o universo de dados.

Este trabalho não pretende esgotar o tema, nem focar em pontos

específicos do domínio da Auditoria Interna, mas salientar a necessidade de

adaptação de seu cabedal teórico as oportunidades e as ameaças que a Era

Digital apresenta, como o blockchain. Desta forma, será possível evoluir para a

Auditoria Digital como uma vantagem competitiva e, assim, minimizar riscos,

prevenir fraudes, otimizar resultados e agregar valor à organização num nível

holístico, complexo e virtual.

Em função disso, no primeiro capítulo serão apresentados os

conceitos de Revolução Digital e de Inovação Disruptiva, juntamente com as

novas tecnologias que despontam no mercado, como o Blockchain e as

moedas virtuais, incluindo o estágio dessas no sistema financeiro.

No segundo capítulo, focaremos a Auditoria Interna. Iniciaremos,

descrevendo seu histórico, sua epistemologia e suas abordagens de atuação.

Depois, falaremos sobre o planejamento baseado na gestão de riscos e o

planejamento estratégico. Em seguida, enunciaremos os procedimentos de

auditoria mais usuais e os conceitos de fraude e erro. Após, descreveremos as

técnicas de auditoria por meio de softwares, visando análise por base de

dados, e a auditoria contínua.

Finalizaremos, no terceiro capítulo, discorrendo sobre o Blockchain

no processo de auditoria; os riscos da era digital, citando o caso da Ethereum;

e, a importância da capacitação para a compreensão das novas abordagens e

recursos, que surgem nessa nova realidade.

10

All of the books in the world contain no more information than is broadcast as video in a single large American city in a single year. Not all bits have equal value. Carl Sagan1

Segundo Porter (1992), a transformação tecnológica é um dos

principais condutores da concorrência, desempenhando um papel importante

na mudança estrutural da indústria, pois pode acabar com a vantagem

competitiva até mesmo de empresas bem fortificadas. De forma que, um

grande número de empresas surge de transformações tecnológicas e, se forem

capazes de explorá-las, modificam as regras da concorrência. Logo,

organizações precisam de novas tecnologias para manterem-se competitivas

ao longo de sua existência (BARBIERI e ÁLVARES, 2003).

1.1. Revolução Digital

The Digital revolution is far more significant than the invention of writing or even printing. Douglas Engelbart2

A Revolução Digital é comumente definida como a migração da

tecnologia mecânica e analógica para a digital. De acordo com Androile (2005),

1 cientista, astrônomo, astrofísico e escritor norte-americano. 2 Co-inventor do mouse e pioneiro no desenvolvimento do e-mail, dos processadores de texto e da internet.

CAPÍTULO I

ERA DIGITAL

11

esse processo apresenta duas fases. A primeira começou na década de 1950 e

durou até o início dos anos 90, caracterizando-se pela evolução tecnológica

nos negócios. Nessa época, foram criadas diversas empresas pequenas,

médias e grandes no ramo da computação e da comunicação. Após esse

período, houve uma evolução na capacidade e no propósito da tecnologia,

migrando do “back office” para o “front office”. A transição do tático ou

operacional para o estratégico, segundo o autor, marca o início da 2ª

Revolução Digital. Essa nova quebra de paradigma redefine as relações entre

os negócios, a tecnologia, as empresas e as pessoas com diferentes impactos

na sociedade, na economia e nas diversas culturas por todo o mundo. Logo, o

cerne dessa revolução migrou da tecnologia em si para o ser humano, por meio

da criação de novas formas de trabalho e socialização, estabelecidas com o

advento, entre outros, dos circuitos digitais, dos computadores pessoais, dos

“smartphones” e da internet.

1.2. Inovação Disruptiva

Any sufficiently advanced technology is indistinguishable from magic. Arthur C. Clarke3

Segundo Schumpeter (2004), inovação é um processo de mutação

industrial que incessantemente revoluciona a estrutura econômica interna,

destruindo a estrutura antiga e criando uma nova. Na literatura, existem

diferentes tipos de inovação, identificadas e classificadas de acordo com seus

impactos ou alcances, como radical, incremental, arquitetural ou disruptiva. O

termo inovação disruptiva, definido por Christensen em 1995, descreve um

processo no qual uma nova rede de valor na cadeia de trabalho e um novo

mercado rompem o mercado e a estrutura de trabalho existentes

3 Escritor e inventor britânico, autor de obras de ficção científica como The Sentinel, que deu origem ao filme 2001: Uma Odisseia no Espaço.

12

desestabilizando empresas líderes, produtos e parcerias. Esse processo

apresenta três características fundamentais:

• geralmente é feito por empreendedores e / ou “outsiders”, do que

por companhias líderes de mercado;

• pode levar um tempo maior de desenvolvimento do que o de uma

abordagem convencional

• o risco associado é maior do que o de inovações incrementais ou

evolucionárias, mas, uma vez lançado no mercado, alcança uma penetração

mais rápida e com impacto maior nos mercados estabelecidos.

1.3. Inovações Digitais no Mercado Financeiro

The real danger is not that computers will begin to think like men, but that men will begin to think like computers. Sydney J. Harris4

A era digital está apresentando novos desafios às organizações e

aumentando a concorrência no mercado e as expectativas dos clientes. No

ramo das Finanças isso não é diferente. A proliferação de FinTechs5 na última

década está gerando uma transformação nos sistemas bancários

convencionais. Considerada como uma força inovadora e disruptiva, a FinTech

tem uma influência crescente na cadeia de valor dos serviços financeiros e

propicia menores barreiras à entrada. Mas essas inovações vêm em diferentes

formas e tamanhos, usando tecnologias divergentes e sem a adoção de

padrões comuns. Algumas delas são: inteligência artificial, com seus

4 Colunista do Chicago Daily News (1939 – 1978). 5 O termo surgiu da combinação das palavras em inglês financial (finanças) e technology (tecnologia). Sua origem é atribuída a um programa de aceleração de “startups” capitaneado pela Accenture, em parceria com a prefeitura de Nova York. Essas empresas são na sua maioria “startups” tentando competir com empresas de serviços financeiros tradicionais em diferentes áreas, principalmente no setor bancário e nos serviços de pagamento.

13

subconjuntos “deep learning” e “machine learning”, “application programming

interface”, identidade digital, blockchain e moedas virtuais.

1.3.1. Blockchain

Blockchain technology represents nothing less than the second generation of the internet. Alex Tapscott6

Em 1991, Stuart Haber e W. Scott Stornetta apresentaram o primeiro

trabalho sobre segurança criptográfica em cadeia de blocos. Em 1992,

juntaram-se a Bayer para incorporar as árvores Merkle ao “blockchain7”,

conseguindo agregar vários documentos em um único bloco. Em 2008, a

pessoa ou grupo anônimo conhecido como Satoshi Nakamoto, concebeu a

primeira cadeia de blocos distribuídos. No ano seguinte, ele o implementou

como um componente central da moeda digital “bitcoin”.

O Blockchain é uma lista crescente de registros, chamados blocos,

que são, simultaneamente, vinculados e protegidos por meio de criptografia.

Cada bloco normalmente contém um hash na ponta como um link para um

outro bloco e a timestamp8 identificando data, hora e dados de transação. Este

processo iterativo confirma a integridade do bloco anterior por todo o caminho

de volta ao bloco inicial formando uma cadeia. O blockchain é gerenciado

autonomamente por meio de uma rede peer-to-peer e um servidor de

timestamping distribuído, de forma que as autenticações são realizadas por

colaboradores. Uma vez gravados, os dados em qualquer bloco não podem ser

alterados retroativamente sem a alteração de todos os blocos subseqüentes, o

6 CEO da consultoria Northwest Passage Ventures e co-autor do livro Blockchain Revolution. 7 Originalmente, as palavras “block” e ‘chain” foram usadas separadamente. Mas, em 2016, quando o termo se tornou conhecido mundialmente, foi unificado. 8 Processo de monitoramento e controle da criação e modificação de um documento.

14

que requer o conluio da maioria da rede. Em função disso, são inerentemente

resistentes à modificação dos dados.

Atualmente, o Blockchain e as Distributed Ledger Technologies

(DLT) são vistas como uma solução para uma ampla gama de transações no

setor financeiro que independem de moedas virtuais. Muitas instituições

bancárias estão formando consórcios e iniciativas objetivando trazer eficiência

aos processos financeiros. Há estudos para sua aplicação na compensação e

na liquidação automatizada de ativos; na negociação de derivativos; na

identificação e no rastreamento de bens. Além disso, essa tecnologia oferece

um grande potencial para aplicações em contratos inteligentes, registros

distribuídos de propriedade e de identidade e internet de coisas.

1.3.2. Moedas Virtuais

I’m a huge believe in digital currency…but doing it on an anonymous basis I think that leads to some abuses. Bill Gates

Moedas virtuais são representações digitais de valor econômico

também denominadas dinheiro eletrônico. O exemplo mais popular é o Bitcoin.

O Bitcoin é um tipo de moeda digital não regulamentada criada por

Satoshi Nakamoto em 2008. Foi lançada com a intenção de escapar aos

controles monetários governamentais e simplificar as transações on-line,

eliminando os intermediários no processamento de pagamentos.

As transações em Bitcoin são armazenadas e transferidas usando

um livro-razão distribuído em uma rede peer-to-peer que é aberta, pública e

anônima. A tecnologia subjacente que mantém o Bitcoin é o Blockchain.

15

Atualmente, há diversas outras criptomoedas, como Ether da

Ethereum, Litecoin e Zcash / Monero, emitidas por desenvolvedores privados

que apresentam sua própria unidade, características e destinações.

Há estudos para emissão de moedas digitais nacionais por Bancos

Centrais. Nesse caso, não seriam anônimas ou públicas.

1.4. Estágio da tecnologia blockchain no sistema financeiro

No caso de sua falha catastrófica, os membros do LBTRs9 não poderiam enviar (ou receber) fundos de um para o outro, levando a uma parada financeira completa …Neste contexto, o SALT10 é um sistema conceitual para uma solução contingente que poderia substituir imediatamente as principais funcionalidades dos principais RTGS11 brasileiros em caso de colapso total. Bacen

Em abril de 2017, um grupo de trabalho na Febraban12 formado por

16 entidades, entre elas os cinco maiores bancos do país, o Banco Central e a

Bolsa B3, realizou o primeiro teste formal com a tecnologia blockchain por meio

do compartilhamento de cadastro com dados de clientes fictícios.

Ainda nesse ano, o banco espanhol BBVA realizou um teste no qual

enviou euros da sede na Espanha para serem convertidos em pesos

mexicanos na filial do país latino-americano. Já o Santander fez um projeto-

piloto semelhante encaminhando dinheiro de Londres para Nova York. E o

Banco da Inglaterra testou se era possível sincronizar um pagamento que

passasse por seu sistema de compensação e chegasse a outro banco central.

9 Sistemas de liquidação pelo valor bruto em tempo real 10 Sistema Alternativo de Liquidação de Transações 11 Real-time gross settlement = Sistemas de liquidação pelo valor bruto em tempo real 12 Federação Brasileira de Bancos.

16

Em 28 de agosto de 2017, o Banco Central do Brasil publicou um

relatório que analisa os possíveis uso do blockchains e da distributed ledger

technology (DLT)13, incluindo identidade, moeda local e liquidação. Nele

também são descritas as plataformas que poderiam ser usadas para testar

essa tecnologia. O projeto foi desenhado como uma rede de blockchains com

permissão para que as instituições financeiras e o próprio Banco Central

atuassem como os ‘nós’ de validação. Todavia, o objetivo não era projetar uma

plataforma de liquidação primária para o Bacen, mas criar um sistema de

backup mínimo para a transferência de fundos no caso de uma “fusão completa

do sistema de liquidação”.

Em outubro de 2017, a Associação Brasileira de Normas Técnicas

(ABNT) escolheu Yoshimiti Matsusaki, CEO da Finnet, empresa de tecnologia

especializada na criação de softwares de gestão e fluxo de dados financeiros;

e, membro da Comissão de Estudos Especiais da ABNT como representante

da participação brasileira na reunião do Comitê Técnico da International

Organization for Standardization (ISO) - TC 307, realizada em 14 e 17 de

novembro, em Tóquio, Japão.

Em dezembro de 2017, a ABNT anunciou a realização de dois

encontros no dia 07 do mesmo mês, no Rio de Janeiro e São Paulo, para

apresentar um relato sobre a reunião do TC 307; e, discutir a instalação da

Comissão de Estudos Especial de Blockchain e Tecnologias de Registros

Distribuídos (ABNT/CEE-307). O encontro, segundo a ABNT, teve como

objetivo lançar estudos sobre a viabilidade da implementação de tecnologias de

registro distribuídos (DLTs) e definir a agenda dos trabalhos da comissão, o

programa dos trabalhos e os responsáveis pela condução das atividades.

Agora, que já contextualizamos a Revolução Digital com as

oportunidades e ameaças que apresenta para o mercado financeiro, resta-nos,

no Capítulo 2, discorrer sobre a Auditoria Interna, que é o cerne de nosso

trabalho.

13 Um registro distribuído é feito mediante a replicação, o compartilhamento e a sincronização consensual de dados espalhados por sites, países ou instituições.

17

CAPÍTULO II

AUDITORIA INTERNA

2.1 Histórico

Internal auditors wear many hats. We are analysts, controls experts, consultants, teachers, business partners, watchdogs, financial advisers, compliance experts, and more. Richard Chambers14

A auditoria interna se desenvolveu rapidamente durante a década de

1930, como consequência da quebra da bolsa de Nova York em 1929. Isso

ocasionou a fundação do Instituto de Auditores Internos (IIA), que é uma

organização com representações nas principais cidades do mundo. O AII

define a atividade de auditoria interna como independente e objetiva. Desta

forma, almeja: garantir a assessoria e a consultoria à alta administração;

agregar valor à empresa; colaborar na melhoria os processos da organização;

e, auxiliar ativamente na consecução de seus objetivos. Ademais, a auditoria

interna, por meio de uma abordagem sistemática e disciplinada, avalia a

melhoria na eficácia do gerenciamento de riscos, dos controles internos e do

processo de governança (Instituto de Auditores Internos [IIA], 2008)

Os padrões de auditoria do IIA incluem duas partes, a primeira é o

padrão de atributos que estabelece os requisitos básicos para a prática de

auditoria interna. De acordo com este atributo, as organizações devem definir

em um documento formal ou em uma carta de auditoria interna, o propósito, a

autoridade, a responsabilidade da auditoria interna e a natureza dos serviços

de assessoria e consultoria que os auditores internos fornecerão. Além disso, o

capítulo deve incluir o reconhecimento da definição de auditoria interna, o

código de ética e os padrões de auditoria (IIA, 2008).

14 Presidente e CEO do IIA e possuidor das certificações CIA, QIAL, C GAP, CCSA e CRMA.

18

O segundo, é o padrão de performance, que envolve o gerenciamento

da atividade de auditoria interna relacionada aos controles internos, a

governança e ao planejamento estabelecido; a execução do planejamento; a

comunicação de resultados, incluindo o monitoramento; e, o gerenciamento do

risco admitido.

2.2 Epistemologia

Stick to your knitting; dance with the partner who brought you. History shows that great and successful companies go through constant and sometimes difficult self-renewal of the base business. They don’t jump into new pools where they have no sense of the depth or temperature of the water. Louis Gerstner15

A auditoria por anos tem sido considerada como uma técnica

contábil. No entanto, sua aceitação como disciplina acadêmica vem se

fortalecendo na medida em que diferentes autores iniciaram o desenvolvimento

de teorias próprias para a área, como Mautz e Sharaf (1961) no livro “The

Philosophy of Auditing”; Tom Lee (1986) com “Company Auditing”; e, David

Flint (1988) com “Philosophy and Principles of Auditing”.

Os sete postulados declarados por Flint (1988) são:

1. Existe uma relação de responsabilidade contábil que é

pública.

2. A responsabilidade não pode ser demonstrada sem uma

auditoria.

3. Uma auditoria exige independência e liberdade.

4. O assunto de auditoria é susceptível de verificação por meio

de provas.

15 Empresário americano presidente do conselho e diretor executivo da IBM de abril de 1993 a 2002. É considerado o responsável pela recuperação da empresa.

19

5. Os auditores são juízes qualificados que são capazes de

medir e comparar o desempenho real em relação aos padrões

de responsabilidade.

6. O significado, a significância e a intenção das declarações a

serem auditadas devem ser claros.

7. Uma auditoria produz um benefício econômico ou social.

Basicamente, há três tipos de auditorias: a de demonstrações

financeiras, a de conformidade e as operacionais. As auditorias financeiras

determinam se as declarações foram preparadas de acordo com os GAAP16. A

auditoria de conformidade verifica se a empresa cumpriu as leis, regulamentos

ou políticas e procedimentos. Já, as auditorias operacionais analisam a eficácia

e a eficiência de uma unidade específica de uma organização (WHITTINGTON

e PANY, 2004).

2.3. Abordagens da Auditoria Interna

We can audit anything but not everything. Richard Chambers

Ao longo dos últimos 50 anos, diferentes abordagens foram

desenvolvidas nos trabalhos de auditoria interna para atender as necessidades

e as características específicas das empresas na medida em que novos

negócios, novas tecnologias e novas visões administrativas surgiam.

Segundo Moeller (2009), essas abordagens podem ser classificadas

por gerações:

1ª) Baseada em Controle – é feita para determinar a conformidade em

relação a: leis, regulamentos, políticas e padrões específicos; balanços,

demonstrações financeiras, rubricas contábeis; ou, controles e procedimentos

operacionais determinados.

16Princípios de Contabilidade geralmente aceitos (Generally Accepted Accounting Principles)

20

2ª) Baseada em Processo - é feita para determinar a eficácia e a

eficiência dos principais processos operacionais da organização.

3ª) Baseada em Risco – é feita para determinar se os riscos-chaves

estão mitigados de acordo com o nível de tolerância estabelecido.

4ª) Baseada na Gestão de Risco – é feita para determinar a eficácia

das atividades de gestão de risco quanto à manutenção dos riscos-chaves no

nível de tolerância determinado; e, prover, assim, a segurança que os objetivos

estratégicos da organização serão alcançados.

Na tabela 1, apresentada a seguir, há um resumo das principais

abordagens quanto ao objetivo, o foco, os testes e as recomendações, visando

uma comparação objetiva dos diferentes enfoques.

20

Tabela 1 - Principais Abordagens da Auditoria Interna

I - Baseada em Controle II - Baseada em Processo III - Baseada em Risco IV - Baseada na Gestão do Risco O

bje

tivo

Conformidades com as diretrizes fundamentais

Eficácia e eficiência de processos

Eficácia de controles e processos para mitigar os riscos-chaves

Eficácia na gestão do risco para o atingimento dos objetivos e mitigação

dos riscos

Ab

ord

ag

em

Compreensão das diretrizes e da auditoria para

conformidade

Comparação do processo atual com as melhores

práticas

Identificação dos riscos-chave do negócio e avaliação dos

controles para mitigar esses riscos

Compreensão dos objetivos, da identificação dos riscos, do nível de

tolerância, da performance, das medidas de risco e da avaliação da eficácia da

gestão de riscos.

Fo

co

Identificar omissões e erros na conformidade

Identificar desvios entre os processos atuais e as

melhores práticas

Identificar controles e processos que não estão operando

devidamente para mitigar os riscos-chaves

Identificar desvios entre o nível de eficácia da gestão de risco atual e a

esperada.

Ab

ord

ag

em

no

s T

este

s

Preditivos, substantivos e de conformidade com base

estatística

Consultivos e de conformidade focando na

avaliação das práticas atuais em relação as melhores

práticas

Combinação de testes substantivos e de conformidade

focando somente nos riscos-chave

Combinação de testes substantivos e de conformidade focando somente nos

objetivos estratégicos e seus respectivos riscos

Reco

men

da

çõ

es

Relacionadas às omissões ou erros nas diretrizes relevantes

Relacionadas aos desvios em objetivos operacionais

específicos

Relacionadas às omissões ou erros nos riscos-chaves

Relacionadas aos desvios na eficácia da gestão de risco quanto aos riscos

fundamentais e aos objetivos estratégicos dos negócios

Fonte: MOELLER, Robert R. Brink’s Modern Internal Auditing. John Wiley & Sons, 2009, capítulo 3.11

21

2.4. Planejamento de Auditoria Baseada na Gestão de Riscos

Risk Based Internal Auditing is a methodology that links internal auditing to an organization's overall risk management framework. IIA

O Planejamento da Auditoria Baseada na Gestão de Riscos permite

que o auditor interno forneça segurança a Alta Administração que o processo

de gerenciamento de risco é eficiente em relação ao apetite de risco

estabelecido. Trata-se de uma metodologia de vanguarda da prática de

auditoria interna. Em função disso, é uma área que está evoluindo rapidamente

e para a qual ainda não há consenso sobre a melhor forma de implementação.

Segundo Pickett (2006) o modelo apresenta quatro fases:

1) a avaliação da maturidade do risco, que determina a extensão da

análise, gestão e monitoramento dos riscos (ERM - Enterprise

Risk Management), fornecendo os parâmetros para o

planejamento da auditoria;

2) a determinação dos objetivos da auditoria, que é proporcionar

consultoria e análise profissional, independente, sistemática e

segura da eficácia da gestão de riscos, dos controles internos e

do processo de governança, agregando valor a organização e

auxiliando-a no alcance dos resultados esperados.

3) o planejamento de auditoria (Methods), que identifica os

parâmetros de segurança e consultoria para um período

específico (geralmente anual), determina as priorizações

indicadas pela Alta Administração (Message), analisa o processo

de gestão de risco e os processos críticos (Results); e, especifica

os registros e a comunicação de resultados focando nos riscos

(Audience).

4) o plano operacional de auditoria, que compreende os trabalhos

de auditoria, os recursos que serão utilizados, os indicadores

22

chave de desempenho e a estratégia de auditoria para os

próximos três anos, considerando abordagens flexíveis e não

cíclicas com posicionamento proativo.

Na figura 1, há a representação esquemática dos elementos

constituintes da auditoria baseada em riscos e suas fases, segundo Pickett

(2006), juntamente com a demonstração que essa metodologia permite a

migração do formato antigo de auditar, que envolve verificações, checagens e

identificação de fraude e erros, com o novo que agrega assessoria, consultoria,

aconselhamento e informação.

Figura 1 - Auditoria Baseada em Risco

Fonte: Pickett, K. Audit Planning. A Risk-based Approach. John Wiley &Sons, 2006, p.45

Ademais, a Auditoria Baseada na Gestão de Riscos permite a

identificação e a avaliação dos processos críticos e dos riscos acima e abaixo

do apetite de risco estabelecido; a análise da efetividade das medidas

corretivas para os riscos inerentes aos processos críticos e para os riscos

23

residuais, ambos em relação ao apetite de risco; a classificação e a

comunicação apropriada, completa e precisa das medidas corretivas e das

ações adotadas em relação aos respectivos riscos.

Cabe destacar que a estratégia de detecção de fraude é determinada

na fase da identificação dos objetivos da auditoria, para que seja incorporada

em seu planejamento. É fundamental que cada organização estabeleça uma

política antifraude. Afinal, as fraudes corporativas, que levaram a

implementação da SOX, decorreram da ausência ou frouxidão das práticas

antifraude. E, embora o auditor não seja um especialista em investigação de

fraudes, ele pode ajudar a criar uma cultura de aderência as normas e

regulamentos, evitando-a.

2.5. Planejamento Estratégico de Auditoria Interna

Strategic planning is worthless unless there is first a strategic vision. John Naisbitt17

O planejamento estratégico da auditoria interna é realizado conforme

as diretrizes estabelecidas pela administração da organização por meio do

alinhamento de suas missões e objetivos. Ele compreende os exames

preliminares das áreas, atividades, produtos e processos da empresa, como

também a análise do ambiente ético e do sistema de controles internos para

definir a amplitude dos trabalhos e a época em que serão realizados.

Segundo o IIA, trata-se de um processo sistemático e estruturado que

se inicia com a Declaração da Visão de forma a articular a filosofia da atividade

de auditoria interna com sua contribuição para a organização. A visão

transcende objetivos, pois expressa o que é desejado para o futuro. Após,

segue-se a Declaração de Missão, que é construída com base na declaração

de visão e descreve o objetivo principal da atividade de auditoria; o que planeja

alcançar no futuro; seus valores; e, como ele se integra ao plano estratégico da

24

organização. A declaração de missão deve ressoar por todo o pessoal de

auditoria interna e também pelas partes interessadas interna e externamente. É

a partir da declaração da missão que o plano estratégico de auditoria interna é

desenvolvido, determinando essencialmente como a missão será alcançada. A

declaração de missão é comumente a primeira declaração na carta de auditoria

interna.

A seguir, são identificados os fatores críticos de sucesso (CSFs18). De

acordo com o IIA devem ser respondidas as seguintes questões:

• Posicionamento - A atividade de auditoria interna está

estrategicamente posicionada e suportada?

• Processos - Os processos da atividade de auditoria interna são

ágeis e dinâmicos para atender às necessidades do negócio?

• Pessoas - A estratégia de pessoal da auditoria interna está

adequada ao cumprimento de sua missão?

Em seguida, é necessário a avaliar situação da própria auditoria

interna. Uma técnica é o uso da análise SWOT. O objetivo é identificar os

fatores-chaves internos (Forças & Fraquezas) e externos (Oportunidades &

Ameaças) que são fundamentais para o alcance da estratégia a ser

implementada. Nesse caso, o ambiente externo inclui os elementos da

organização além da atividade de auditoria interna, como também os fora da

empresa.

Alguns aspectos que devem ser considerados na SWOT, são: a

estrutura organizacional; as habilidades e os conhecimentos necessários à

execução dos trabalhos; a tecnologia e as ferramentas disponíveis; e, a relação

custo benefício, considerando os recursos e as características da empresa.

O planejamento deve considerar os fatores relevantes na execução

dos trabalhos, especialmente os seguintes:

a) o conhecimento detalhado da política e dos instrumentos de

gestão de riscos da entidade;

17 Alto executivo da IBM e da Eastman Kodak e escritor do best-seller Megatrends . 18 Critical Sucess Factors

25

b) o conhecimento detalhado das atividades operacionais e dos

sistemas contábil e de controles internos e seu grau de

confiabilidade da entidade;

c) a natureza, a oportunidade e a extensão dos procedimentos de

auditoria interna a serem aplicados, alinhados com a política de

gestão de riscos da entidade;

d) a existência de entidades associadas, filiais e partes relacionadas

que estejam no âmbito dos trabalhos da Auditoria Interna;

e) o uso do trabalho de especialistas;

f) os riscos de auditoria, quer pelo volume ou pela complexidade

das transações e operações;

g) o conhecimento do resultado e das providências tomadas em

relação a trabalhos anteriores, semelhantes ou relacionados;

O planejamento deve ser documentado e os programas de trabalho

formalmente preparados, detalhando-se o que for necessário à compreensão

dos procedimentos que serão aplicados, em termos de natureza, oportunidade,

extensão, equipe técnica e uso de especialistas.

Os programas de trabalho (Plano Operacional) devem ser

estruturados de forma a servir como guia e meio de controle de execução do

trabalho, devendo ser revisados e atualizados sempre que as circunstâncias o

exigirem.

Seguindo ainda as orientações do IIA, o Chefe Executivo de Auditoria

(CAE) deve coordenar os trabalhos com outras atividades de gestão de risco e

assessoria, alinhando recursos e prioridades. Ademais, deve estabelecer um

plano de comunicação em que a alta administração e a diretoria permaneçam

informadas sobre a evolução dos trabalhos: os riscos e limitações envolvidos;

os achados; e; as ações corretivas com seus respectivos status.

O plano de desenvolvimento de pessoal também é incluído no

planejamento estratégico. Devem ser especificadas as competências

essenciais, o conhecimento, a experiência e as certificações necessárias à

26

realização dos trabalhos e à ascensão profissional, de forma viabilizar a

prontidão dos auditores.

Para cada trabalho, é importante monitorar o prazo de execução; os

objetivos desejados; as medidas de desempenho (qualitativa e quantitativa); e,

os elementos SWOT associados. Além disso, o CAE e sua equipe podem

realizar auto avaliações em relação a eficiência e a eficácia da execução do

planejamento estratégico e divulgar essas informações por meio dos relatórios

fornecidos as partes interessadas.

2.6. Procedimentos de Auditoria

Quanto maior o risco de distorção relevante, maior será a extensão necessária dos procedimentos substantivos. Whittington & Pany

O produto final do trabalho uma auditoria é a emissão de um relatório

indicando se as demonstrações contábeis auditadas cumprem os GAAP. As

evidências suficientes para apoiá-lo devem ser coletadas e documentadas por

meio de procedimentos rigorosos que, entre outros objetivos, ajudam os

auditores a avaliar o risco de distorção.

De acordo com Whittington e Pany (2004), os procedimentos de

auditoria envolvem: a compreensão do cliente, do negócio e da indústria, para

a elaboração da avaliação de riscos; a compreensão do ambiente de controle

interno; o desempenho e o design do teste de controles, para avaliar a eficácia

dos controles na prevenção ou detecção de distorções materiais; e, o desenho

e o desempenho de procedimentos substantivos.

Os procedimentos substantivos incluem procedimentos analíticos, o

teste de transações e o teste dos saldos finais nas demonstrações. Os

procedimentos analíticos consistem na análise e na avaliação da informação

presente nas demonstrações financeiras; e, uma revisão da relação entre

27

informações financeiras e não financeiras. Técnicas diferentes são usadas

durante os procedimentos analíticos. Da simples verificação de um número,

como a comparação de despesas e receitas acumuladas com anos anteriores

para encontrar diferenças significativas, à modelos matemáticos, como o de

regressão múltipla para estimar as receitas usando dados econômicos e

industriais (WHITTINGTON & PANY, 2004)

O nível de risco estabelecido pelos auditores, durante a avaliação

geral da empresa, orienta a extensão dos procedimentos substantivos de

auditoria. Ademais, pondera-se a relação custo-benefício do aumento dos

procedimentos a serem realizados.

Os testes considerados mais comuns por Whittington e Pany (2004)

num processo de auditoria são:

▪ Sistema de contabilidade - comparação dos registros internos

▪ Evidência documental:

­ Rastreamento – verificação da completude do processamento

de transações seguindo-a nos registros contábeis.

­ “Vouching” – verificação do registro da transação por meio da

evidenciação de documentos que a amparem.

­ Inspeção-Leitura ou revisão ponto-a-ponto de um documento

ou registro

­ Reconciliação – conferência dos dados de dois conjuntos de

registros independentes, mas relacionados.

­ Representação de terceiros: confirmação e avaliação de uma

resposta de um devedor, credor ou outra parte em resposta a

um pedido de informações sobre um item específico que afeta

as demonstrações financeiras.

▪ Evidência física:

­ Exame físico - visualização de evidências físicas de um bem.

­ Observação – constatação de uma atividade.

▪ Cálculos – repetição das operações de um cliente, incluindo

totalização de colunas, cruzamento de dados e / ou reprocessamento

por multiplicação.

28

▪ Relações entre dados - avaliação da informação financeira feita por

um estudo das relações esperadas entre dados financeiros e não

financeiros.

▪ Representações de clientes - perguntas direcionadas aos

encarregados do relacionamento com os clientes.

Ainda segundo esses autores, os auditores também coletam provas

de algumas áreas subjetivas, como as estimativas contábeis, a medição do

valor justo de mercado e as divulgações e transações com partes relacionadas.

2.6.1 Fraude & Erro

The challenge for capitalism is that the things that breed trust also breed the environment of fraud. James Surowiecki19

Segundo o Portal de Auditoria, a Auditoria Interna deve assessorar a

administração da entidade no trabalho de prevenção de fraudes e erros,

obrigando-se a informá-la, sempre por escrito, de maneira reservada, sobre

quaisquer indícios ou confirmações de irregularidades detectadas no decorrer

dos trabalhos.

O mesmo site define fraude como o ato intencional de omissão e/ou

manipulação de transações e operações, adulteração de documentos,

registros, relatórios, informações e demonstrações contábeis, tanto em termos

físicos quanto monetários. Já o termo erro aplica-se ao ato não-intencional de

omissão, desatenção, desconhecimento ou má interpretação de fatos na

elaboração de registros, informações e demonstrações contábeis, bem como

de transações e operações da entidade, tanto em termos físicos quanto

monetários.

19 Colunista de negócios e finanças da revista New Yorker

29

2.7. Técnicas de Auditoria

A aprendizagem a partir de dados é extremamente poderosa e seu uso está transformando a tomada de decisões nas empresas. John Elder 20

Mineração de dados (Data Mining21) é um processo de exploração de

grandes quantidades de dados com objetivo de encontrar anomalias, padrões e

correlações para suportar a tomada de decisão e proporcionar vantagens

estratégicas.

Há basicamente dois tipos de dados: os estruturados, que

representam cerca de 10%; e, os não estruturados, que são os 90% restantes.

Os dados estruturados são organizados em linhas e colunas, são geralmente

encontrados em banco de dados relacionais; e, são eficientes quanto à

recuperação e processamento. Já os dados não estruturados referem-se a

dados que não podem ser organizados em linhas e colunas, como vídeos,

áudios e e-mails.

2.7.1 Ferramentas de Auditoria Auxiliadas por Computador

We’re entering a new world in which data may be more important than software. Tim O’Reilly22

Computer Aided (or Assisted) Audit Techniques (CAATs) são técnicas

ou programas de computador especializados em gerar amostras, importar

20 Fundador e presidente da Elder Research Inc, empresa de consultoria líder no mercado de ciência dos dados, análise preditiva e mineração de texto. 21 O termo foi inventado em 1990, mas seu conceito vem de longa data e envolve três disciplinas: estatística, com o estudo numérico de dados relacionados; inteligência artificial, exibida por softwares ou máquinas; e, “machine learning”, algoritmos que podem aprender a partir de dados. 22 Popularizou os termos open source (software livre) e web 2.0.

30

dados, sumarizar e testar os controles, as condições e os processos existentes

numa organização por meio de amostras. São classificados em:

Software Especializado em Auditoria – permitem realizar testes em

arquivos e bancos de dados. Exemplos: Shelter EAS, ACL (Audit Command

Language), IDEA

Software de Auditoria Adaptado – geralmente usados por auditores

para desempenhar tarefas específicas não compatíveis aos softwares

especializados por meio de rotinas de programação. Exemplos: Easy Trieve,

SQL+ (Structured Query Language), SAS (Statistical Analysis System), etc.

Cabe destacar que o advento desses softwares de mineração de

dados, como o SAS, juntamente com a evolução na estrutura de TI das

empresas, permite, atualmente, que todo o universo de dados da organização

seja analisado. Ademais, diversos dos testes considerados mais comuns por

Whittington e Pany (2004), agora, podem ser realizados automaticamente.

2.7.2. Auditoria Continua

Continuous Auditing is a methodology that enables independent auditors to provided written assurance on subject matter using a series of auditors’ reports issue simultaneously with, or a short time period of time after, the occurrence of events underlying the subject matter. CICA / AICPA23 (1999)

Auditoria contínua é um método usado para realizar avaliações de

controles e riscos por meio de procedimentos computacionais,

concomitantemente ao funcionamento dos sistemas que estão sendo

verificados, de forma a substituir o trabalho convencional de auditoria e/ou

torná-lo mais abrangente e tempestivo.

23 Canadian Institute of Chartered Accountants / American Institute of Certified Public Accountants

31

Segundo REZAEE; ELAM; SHARBATOGHLIE (2001), a Auditoria

continua é um processo de coleta e avaliação de evidências para determinar a

eficiência e eficácia em tempo real dos sistemas contábeis na proteção de

ativos, mantendo a integridade dos dados e produzindo informações

financeiras confiáveis.

A auditoria contínua não é um novo tipo de auditoria. É uma técnica,

como a entrevista, o exame ou a circularização, que utiliza indicadores e

alertas seletivos automatizados (gatilhos) para identificação de ocorrências

diferentes dos padrões preestabelecidos. Ela é integrada e orientada para a

produção de informação de auditoria por meio da análise de dados24. O termo

contínua tem caráter de evolução. Sua abordagem é dinâmica, pois concentra-

se nas relações dos eventos que compõem o fluxo de trabalho, a partir do

conhecimento da arquitetura dos processos críticos organizacionais, visando

imprimir pro-atividade na detecção e na medição do risco de desvios reais ou

potenciais, incluindo fatores desencadeantes, para evitar a exposição além do

limite tolerado pela empresa.

As principais vantagens da auditoria contínua são exigir menos

custos de funcionamento e ser mais tempestiva, exata e compreensiva.

Cabe destacar que as informações resultantes da Auditoria Continua

retroalimentam a base de conhecimento da mesma forma que as demais

produzidas pela Auditoria Interna; e, que a abordagem antecipada da Auditoria

Continua não prejudica a identificação e o tratamento de achados.

Uma vez descritos os pontos relevantes das abordagens,

planejamentos, procedimentos e técnicas de auditoria interna, cabe apresentar,

no capítulo 3, os benefícios e os riscos que essas novas tecnologias podem

trazer para o mercado financeiro; e, como devemos nos capacitar para obter o

maior proveito desses recursos numa visão de auditoria.

24 Análise de dados é definida como o processo de inspeção, limpeza, transformação, e modelagem de dados com o objetivo de encontrar a informação útil, sugerindo conclusões, e apoiando a tomada de decisão

32

3.1 Blockchain & o Processo de Auditoria

Blockchain is going to have a profound impact not just on financial services, but on the world of business and society as a whole. Alex Tapscott.

Segundo a Psaila (2017), o uso do blockchain permitirá que as

auditorias totalmente automatizadas sejam uma realidade.

Pela sua estrutura, o blockchain é inerentemente resistente à

modificação de qualquer dado armazenado. Essa característica permite seu

uso como fonte de verificação para as transações realizadas. Por exemplo, ao

invés de pedir a clientes seus extratos bancários, ou enviar solicitações de

confirmação a terceiros (circularização25), os auditores podem verificar

facilmente as transações por meio dos registros de blockchain publicamente

disponíveis, nos sítios http://www.blockchain.info ou http: // www.

blockexplorer.com. Seguindo essa tendência os testes substantivos baseados

em amostras em breve serão raros, pois os auditores usarão os blockchains

para testar toda a população de transações dentro do período sob observação.

Assim, a avaliação da existência, ocorrência, precisão e integridade das

informações das demonstrações financeiras poderá ser automatizada.

Ademais, o fato do Blockchain trabalhar em pseudo-tempo real permitirá

avaliações contínuas on-line ao longo de todo o período sob auditoria, ao invés

de avaliações retrospectivas ao final do período. Essa extensa cobertura

melhorará drasticamente a relação entre os riscos e limitações nos trabalhos

de auditoria; e, a automação deste processo de verificação gerará eficiência

nos custos dos procedimentos de auditoria, como também redução no tempo

de execução.

25 É o procedimento substantivo de auditoria realizado junto a fontes independentes externas à empresa auditada, como clientes, fornecedores, bancos, advogados, cujas informações e ou resultados consubstanciam em evidência corroborativa.

CAPÍTULO III

AUDITORIA FINANCEIRA NA ERA DIGITAL

33

3.2. Riscos da Era Digital

Despite the decline in the overall cost, companies in this year’s study are having larger breaches. IBM 12th annual Cost of Data Breach Study

Uma violação de dados pode ocorrer devido a aplicativos na rede,

malware, backdoors, acessos remotos, vírus e muito mais. Quando isso

acontece, não se perde apenas propriedade intelectual, dados financeiros e de

clientes. Há a substituição dos funcionários de TI, a perda de reputação da

empresa e do valor da marca. Ademais, o custo estimado de uma brecha nos

dados de uma organização é de US $ 3,62 milhões.26

Uma opção para evitar isso é o Blockchain, pois suas transações são

altamente seguras. Mas, segundo Psaila (2017) fraudes não podem ser

totalmente erradicadas simplesmente com o seu uso, uma vez que sua adoção

dependente altamente da segurança do ambiente subjacente. Por exemplo, se

um empregado de uma organização acidental, ou deliberadamente, envia um

bitcoin para um endereço / destinatário errado ou não autorizado, atualmente,

não há como reverter essa transação. Se uma empresa sofre um ataque de

phishing27, não há um departamento de fraudes para o qual reportar o

incidente, uma vez que, no Blockchain, não há administração central. Se uma

chave privada for perdida, por um mau funcionamento de software ou

hardware, a companhia perde o acesso a qualquer moeda virtual associada a

essa chave privada. Eles não serão mais acessíveis a qualquer pessoa e

estarão efetivamente fora de circulação para sempre.

Considerando os casos apresentados, primeiramente, os auditores

necessitam avaliar se os controles automatizados são efetivos para validar

transações antes de serem executadas. No segundo, devem determinar se os

controles internos estão operando efetivamente para prevenir e detectar

26 IBM 12th annual Cost of Data Breach Study 27 é uma fraude eletrônica que visa adquirir informações como senhas, dados de cartões de crédito e dados pessoais geralmente por meio de e-mails espúrios, URLs falsas ou envenenamento do servidor DNS.

34

ataques de phishing. No último, devem certificar-se que há procedimentos

eficazes de recuperação de desastres, bem como procedimentos de backup e

restauração. Esses procedimentos de mitigação de perdas também devem ser

avaliados para verificar se os controles que abordam os riscos associados à

cadeia de blocos podem ser invocados.

Logo, de acordo com Psailla (2017), para estar em condições de

fornecer o nível de segurança adequado para o uso do Blockchain e evitar uma

violação de dados, os processos de auditoria precisam avançar para a

avaliação da eficácia operacional dos controles internos de TI.

3.2.1 Caso Ethereum 28

Failure is an amazing data point that tells you which direction not to go. Payal Kadakia29

Em julho de 2017, uma falha na Parity Wallet30 permitiu que 150 mil

ETHs fossem roubados. Na época, algo equivalente a US$ 30 milhões. O

problema foi corrigido no dia 19 do mesmo mês e, no dia seguinte, uma nova

versão dos contratos das carteiras passou a vigorar. Todavia, o novo código

trouxe outra vulnerabilidade. Ela permitiu a um usuário transformar o contrato

da biblioteca da Parity Wallet em uma carteira multi-signatário e, assim, se

tornar proprietário dela. Um desenvolvedor encontrou o problema

“acidentalmente” e o reportou a empresa. Pouco tempo depois, um usuário

realizou o procedimento resultando na eliminação do código de biblioteca da

Parity. Não há relatos de roubos ou perdas, mas o problema tornou as carteiras

multi-sig ativas desde 20 de julho inutilizáveis. Estima-se que 600 mil ETHs

estejam inacessíveis, quantidade equivalente a US$ 150 milhões, mas alguns

cálculos chegam a US$ 280 milhões. Em nota de 08/11/2017, a Parity afirmou

que está investigando o problema e estudando todas as possíveis implicações

e soluções. A companhia não informou a quantidade de usuários afetados.

28 Ethereum (ETH) é, depois do Bitcoin, a criptomoeda mais valorizada que existe atualmente. 29 CEO da fitness startup ClassPass sediada em New York. 30 Parity Technologies (anteriormente Ethcore) é um cliente da Ethereum que opera essa moeda virtual.

35

Cabe frisar que a causa dessa fraude não estava relacionada a

deficiências na tecnologia Blockchain, mas sim numa vulnerabilidade no

software que foi usado para gerenciar as carteiras Ethereum.

3.3 Novos Recursos & Nova Abordagem

Before you become too entranced with gorgeous gadgets and mesmerizing video displays, let me remind you that information is not knowledge, knowledge is not wisdom, and wisdom is not foresight. Each grows out of the other, and we need them all. Arthur C. Clarke

Com o advento da era digital, os mercados, o ambiente de negócios,

a concorrência e as necessidades dos clientes vêm mudando rapidamente. Em

função disso, constata-se que a Auditoria Interna precisa estar integrada a todo

espectro do risco numa abordagem holística. De forma que as auditorias

puramente retrospectivas se tornaram inadequadas. E, as ferramentas para

responder e se adaptar a essa nova realidade estão nessas próprias

tecnologias disruptivas. Portanto, é necessário conhecê-las e usá-las

efetivamente.

Uma delas é a mineração de dados com seus softwares, pois

alcançam resultados robustos, uma vez que permitem a análise de todo o

universo auditável. No caso do sistema financeiro, atualmente, os dados dos

processos críticos concentram-se em ambientes virtuais, pois até os

documentos estão sendo digitalizados. Logo, o setor de TI tornou-se vital, seja

pela concentração de informações em si, seja pela viabilização dos trabalhos

de auditoria continua por meio da extração dos metadados.

Logo, os auditores são obrigados a compreender os riscos específicos

para uma entidade decorrentes de TI e como a entidade está respondendo a

36

esses riscos através da implementação de controles específicos. A ferramenta

mais utilizada para isso é o Cobit.31

Outra é o Blockchain, que está evoluindo para adequar-se ao uso em

sistemas corporativos e privados. Em outubro de 2016, a Accenture divulgou a

criação de um protótipo que permite que o Blockchain seja editado32 em

circunstâncias excepcionais como erros humanos, exigências legais /

regulatórias, falhas ou outras complicações. O projeto visa os blockchains

privados, também denominados permissionados, que são aqueles gerenciados

por administradores designados sob regras de governança pré-estabelecida,

focando, assim, em bancos, seguradoras e mercados de capitais.

Essas são apenas duas novas tecnologias de um ambiente

empresarial cada vez mais complexo e ágil que pressionam os auditores a criar

uma nova mentalidade e uma nova forma de auditar, mais dinâmica e flexível,

com resultados mais imediatos. Como também a capacitarem-se para manter a

qualidade de sua assessoria e consultoria à alta administração quanto a

garantia da eficácia e da eficiência da gestão de riscos; dos controles internos;

do processo de governança; e, quanto ao alcance dos objetivos. Nesse

contexto, a auditoria continua, estratégica, integrada, baseada em risco

apresentasse como a melhor alternativa, no momento, para a análise dessas e

das demais transformações digitais.

3.4. Capacitação

I will spend as much money as I need to make sure my little girls go to Chinese schools, because the best skill I can give to two people born in 2003 and 2008 is to know Asia and to speak Mandarin fluently. Jim Rogers33

31 Control Objectives for Information and related Technology. É um framework focado na governança de TI, mantido pelo ISACA, que apresenta um conjunto de diretrizes baseadas em auditoria para processos, práticas e controles de TI, visando integridade, confiabilidade, segurança e redução de risco. 32 Essa edição, preservando as principais características criptográficas, é possível por meio da utilização de uma nova variação da função hash, de forma a deixar uma indicação que o bloco foi alterado. 33 Empresário americano, investidor, viajante, comentador financeiro e co-fundador do Quantum Fund e criador do Rogers International Commodities Index (RICI).

37

Segundo a pesquisa da Deloitte de 2014, a crise mundial ocasionada

pelas operações de subprime34 tornaram o setor financeiro menos atraente

para a geração milênio. Mas, as inovações nos serviços digitais, nos meios de

pagamento e nos investimentos estão criando novas carreiras no ramo. Em

função disso, os bancos e os fundos, agora, estão procurando estudantes com

experiência e habilidades digitais. Características como visão analítica, trabalho

em equipe, comunicação e liderança permanecem desejáveis. Contudo, além

disso, busca-se candidatos que saibam programar; conheçam processamento

paralelo, agrupamento de dados, análise estatística; e, entendam de

cibersegurança. Nesse novo cenário, a mídia social, especialmente o Linkedin,

vem sendo usada como meio de recrutamento.

Em relação ao treinamento em Auditoria, Moscato e Boekman (2014),

propõem o uso de plataformas virtuais 3-D, pois ponderam que esse método

apresenta as seguintes vantagens:

- o ambiente virtual é visual, interativo, divertido e contém uma

riqueza que não pode ser aprendida com abordagens de estudo de caso

tradicionais.

- um custo significativamente menor que o real, considerando um

simulador projetado para replicar devidamente as características de um

ambiente real de auditoria.

- o aprimoramento das habilidades de observação do auditor, que

são necessárias em qualquer visita que farão no mundo real.

- a apreensão dos principais elementos que compõe uma conclusão

de auditoria pelo uso do modelo do AII35 de apresentação dos resultados da

auditoria

- o aperfeiçoamento de um estilo de escrita conciso e eficiente, que

enfatiza a importância de enquadrar os problemas relevantes de forma

compreensível e consistente.

34 Crise financeira motivada pela concessão de empréstimos hipotecários de alto risco (em inglês: subprime loan ou subprime mortgage) 35 Auditor Internal Institute = Instituo de Auditores Internos

38

- o incremento na habilidade de avaliar o que realmente é um achado

importante, de uma descoberta de menor relevância, por meio da classificação

dos resultados da auditoria conforme a prioridade.

Independente da forma de capacitação, algumas habilidades digitais

já se tornaram fundamentais para a atividade do auditor hoje como computação

cognitiva, analytics-driven insights e processamento de linguagem natural

(PNL).36 Os auditores digitais devem usar a inteligência artificial para aumentar

ou substituir suas habilidades tradicionais; e, devem usar data minnig para

transformar rapidamente dados estruturados e desestruturados em

informações valiosas de auditoria que auxiliem na tomada de decisões. Além

disso, os auditores digitais devem ser capazes de aproveitar o poder do

processamento de linguagem natural para gerar automaticamente relatórios de

auditoria e comunicados em forma legível para os humanos.

36 Sistemas de geração de linguagem natural convertem informação de bancos de dados de computadores em linguagem compreensível ao ser humano e sistemas de compreensão de linguagem natural convertem ocorrências de linguagem humana em representações mais formais, mais facilmente manipuláveis por programas de computador.

39

CONCLUSÃO

It is a capital mistake to theorize before one has data. Arthur Conan Doyle

Nos últimos anos, houve um rápido crescimento no número de

empresas baseadas em tecnologia que entram no setor de serviços

financeiros. Apesar disso, o impacto real dessas empresas ainda é incerto. A

evolução desse cenário pode levar a uma interação bastante colaborativa entre

FinTech e banco tradicional ou pode mudar drasticamente os modelos de

negócios existentes.

Um dos expoentes dessa revolução é o Blockchain. Embora essa

tecnologia ofereça propriedades intrinsecamente seguras, é o ser humano que

codifica o software necessário para integrar e interagir a cadeia de blocos. E,

como salientamos nesse estudo, se o ambiente de TI não for seguro, o

blockchain não o será.

Considerando que focamos nossa pesquisa no sistema financeiro,

onde atualmente os processos críticos concetram-se em ambientes virtuais e

no fato dos seres humanos serem falíveis e corruptíveis, o advento de novos

produtos e serviços digitais expõe os bancos a fraudes e a irregularidades

ainda não totalmente previstas e cujos riscos ainda não foram devidamente

mapeados. Ademais, o ambiente de negócios está cada vez mais ágil e

auditorias retrospectivas não apresentam a tempestividade necessária à

agregação de valor ao trabalho do auditor.

Logo, os auditores precisam entender essa nova realidade e se

capacitar para atuar eficaz e eficientemente. Nesse sentido, devem aprender

programação (principalmente SQL, Phyton e R), computação cognitiva,

processamento de linguagem natural, dataminig, processamento paralelo,

agrupamento de dados, análise estatística, cibersegurança entre outros. E,

utilizar esse novo ferramental na reedição do cabedal teórico da auditoria

interna.

40

Assim, adotando todo o arcabouço epistemológico descrito ao longo

desse trabalho, evidencia-se que o planejamento da auditoria interna na Era

Digital deve ser estratégico, integrado, baseado em riscos e com foco em

sistemas, por meio de softwares visando a observação de todo o universo de

dados (mineração), para que haja a ampliação na cobertura da análise de

risco; a priorização de outliers, juntamente com a identificação de tendências e

predições nas áreas de maior risco; e, a detecção de irregularidades e fraudes.

Pois, embora essas últimas não sejam o foco das atividades de auditoria, sua

prevenção, por meio da utilização de indicadores e alertas seletivos

automatizados, quantifica a perda potencial não incorrida e,

consequentemente, a eficácia do trabalho realizado. Como também mitiga

eventos que possam abalar o sistema financeiro.

Mas a mudança de paradigma da auditoria em direção à auditoria

contínua não é isenta de obstáculos e de dificuldades, como os investimentos

necessários (não sendo pacífica a análise do retorno de um investimento deste

tipo); a necessidade de apoio da gestão; o domínio de novas competências; e,

a disponibilidade de uma infraestrutura tecnológica apropriada.

Daí a necessidade de estar integrada com as demais atividades da

organização e da própria auditoria; e, ser planejada juntamente com a

estratégia da empresa. No ambiente atual, só por meio da técnica de

continuidade a auditoria atuará tempestivamente e garantirá a assessoria e a

consultoria à alta administração, agregará valor à empresa, colaborará na

melhoria os processos da organização e a auxiliará ativamente na consecução

de seus objetivos.

41

REFERÊNCIAS BIBLIOGRÁFICAS

1. ___________. BrainyQuote. Disponível em: https://www.brainyquote.com/ quotes/. Consultado em: 28/01/17.

2. ___________. Ponemon Cost of Data Breach Study. Disponível em: https://www.ibm.com/security/data-breach. Consultado em:27/01/17.

3. ALECRIM, Emerson. Milhões de dólares em Ethereum estão congelados por causa de bug. Disponível em: https://tecnoblog.net/227742/ falha-congela-ethereum/. Consultado em: 08/11/2017

4. ANDOILE, Stephen J. The 2th Digital Revolution. Idea Group Inc, 2005 5. BARBIERI, José C. e ÁLVARES, Antonio C.T. Organizações

inovadoras: estudos e casos brasileiros. FGV, 2003. 6. BRANT, Danielle. Bancos do Brasil testam tecnologia do bitcoin

para baratear os custos. Disponível em: http://www1.folha.uol.com.br/mercado /2017/09/1922103-bancos-do-brasil-testam-tecnologia-do-bitcoin-para-baratear-os-custos.shtml. Consultado em: 01/12/17.

7. CHARTERED INSTITUTE OF INTERNAL AUDITORS. Risk Based Internal Auditing. Disponível em: https://www.iia.org.uk/resources/risk-management/risk-based-internal-auditing/ . Consultado em: 27/01/17.

8. CHRISTENSEN, Clayton M. Disruptive Technologies Catching the Wave. Harvard Business Review, 1995

9. DELOITTE. The Millennial Survey 2014. Disponível em: https://www2.deloitte.com/br/pt/pages/about-deloitte/articles/2014-millennial-survey-positive-impact.html. Consultado em: 12/10/17

10. FLINT, David Philosophy and Principles of Auditing: An Introduction. Palgrave Macmillan, 1988

11. INSTITUT FRANÇAIS DE L’AUDIT ET DU CONTRÔLE INTERNES. Élaborer Le Plan Stratégique de L'audit Interne. Julliet,2012. Disponível em https://chapters.theiia.org/montreal/ChapterDocuments/ guide%20pratique%20-0Elaborer%20le%20plan%20strat%C3%A9gique 20de%20l%27audit%20interne%20%282012%29.pdf. Consultado em 12/10/17.

12. LEE, Thomas A. Company Auditing. Cenage Learning,1986. 13. MAUTZ, Robert K. & SHARAF, Hussein A. The Philosophy of Auditing.

American Accounting Association, 1961. 14. MOELLER, Robert R. Brink’s Modern Internal Auditing. John Wiley &

Sons, 2009. 15. MORENO, Nilton A. Inovações na Organizações Empresariais.

Disponível em: http://www.techoje.com.br/site/techoje/categoria/Detalhe _artigo/428. Consultado em: 27/10/17.

16. MOSCATO, Donald R. Computer Assisted Auditing Techniques: An Illustrative Approach. Rye Brook, 1995.

42

17. MOSCATO, Donald R., BOEKMAN, Diana M.E. Using 3-D Virtual Worlds as a Plataform Experimental Case Study In Information Auditing, 2014.

18. PICKETT, Spencer K. H. Audit Planning: a risk-based approach. John Wiley & Sons, 2006.

19. PORTAL DE AUDITORIA. Procedimentos de Auditoria. Disponível em: https://portaldeauditoria.com.br/procedimentos-de-auditoria-auditoria-interna/. Consultado em: 27/01/17.

20. PORTER, Michael E. Vantagem Competitiva. Campus, 1992 21. PSAILA, Sandro. Blockchain: A game change for audit process.

Disponível em: https://www2.deloitte.com/mt/en/pages/audit/articles/mt-blockchain-a-game-changer-for-audit.html. Consultado em 27/01/18.

22. MARQUES, Diego Banco Central do Brasil projeta uso da Blockchain em várias áreas como teste para a tecnologia no país Disponível em: https://guiadobitcoin.com.br/banco-central-do-brasil-projeta-uso-da-blockchain-em-varias-areas-como-teste-para-a-tecnologia-no-pais/. Consultado em 01/12/17

23. NAKAMOTO, Satoshi. Bitcoin: A peer-to-peer electronic cash system, 2008.

24. REZAEE, Zabihollah; ELAM, Rick; SHARBATOGHLIE, Ahmad. Continuous auditing: the audit of the future. Managerial Auditing Journal, v. 16, n. 3, p. 150-8. 2001.

25. ROCHA, Luciano. ABNT anuncia encontros sobre blockchain em São Paulo e no Rio de Janeiro. Disponível em: https://www.criptomoe dasfacil.com/abnt-anuncia-encontros-sobre-blockchain-em-sao-paulo-e-no-rio-de-janeiro/ Consultado em: 01/12/17

26. SCHUMPETER, Joseph A. 1912. The Theory of Economic Development, tenth printing 2004, Transaction Publishers, New Brunswick, New Jersey

27. THE INSTITUTE OF INTERNAL AUDITORS. Practice Guide: Developing The Internal Audit Strategic Plan. Disponível em: https://na.theiia.org/standards-guidance/recommendedguidance/practice-guides/Pages /Developing-the-Internal-Audit-Strategic-Plan-Practice-Guide.aspx. Consultado em 28/01/2017.

28. UTTERBACK, James M. Mastering the dynamics of innovation. Harward Business School Press, Boston, 1994

29. WHITTINGTON, Ray & PANY, Kurt. Principles of Auditing and Other Assurance Services. McGraw-Hill, 2014

43

ÍNDICE

AGRADECIMENTOS ................................................................................................................................ 3

DEDICATÓRIA ........................................................................................................................................ 4

RESUMO ................................................................................................................................................ 5

METODOLOGIA...................................................................................................................................... 6

SUMÁRIO .............................................................................................................................................. 7

INTRODUÇÃO ........................................................................................................................................ 8

CAPÍTULO I ERA DIGITAL .................................................................................................................... 10

1.1. REVOLUÇÃO DIGITAL ............................................................................................................................ 10 1.2. INOVAÇÃO DISRUPTIVA ......................................................................................................................... 11 1.3. INOVAÇÕES DIGITAIS NO MERCADO FINANCEIRO ....................................................................................... 12

1.3.1. Blockchain ................................................................................................................................ 13 1.3.2. Moedas Virtuais ....................................................................................................................... 14

1.4. ESTÁGIO DA TECNOLOGIA BLOCKCHAIN NO SISTEMA FINANCEIRO ................................................................... 15

CAPÍTULO II AUDITORIA INTERNA ..................................................................................................... 17

2.1 HISTÓRICO ........................................................................................................................................... 17 2.2 EPISTEMOLOGIA .................................................................................................................................... 18 2.3. ABORDAGENS DA AUDITORIA INTERNA ..................................................................................................... 19 2.4. PLANEJAMENTO DE AUDITORIA BASEADA NA GESTÃO DE RISCOS .................................................................. 21 2.5. PLANEJAMENTO ESTRATÉGICO DE AUDITORIA INTERNA ............................................................................... 23 2.6. PROCEDIMENTOS DE AUDITORIA ............................................................................................................. 26

2.6.1 Fraude & Erro ............................................................................................................................ 28 2.7. TÉCNICAS DE AUDITORIA ....................................................................................................................... 29

2.7.1 Ferramentas de Auditoria Auxiliadas por Computador ............................................................ 29 2.7.2. Auditoria Continua ................................................................................................................... 30

CAPÍTULO III AUDITORIA FINANCEIRA NA ERA DIGITAL ...................................................................... 32

3.1 BLOCKCHAIN & O PROCESSO DE AUDITORIA ............................................................................................... 32 3.2. RISCOS DA ERA DIGITAL ......................................................................................................................... 33

3.2.1 Caso Ethereum ......................................................................................................................... 34 3.3 NOVOS RECURSOS & NOVA ABORDAGEM ................................................................................................. 35 3.4. CAPACITAÇÃO...................................................................................................................................... 36

CONCLUSÃO ........................................................................................................................................ 39

REFERÊNCIAS BIBLIOGRÁFICAS ............................................................................................................ 41

ÍNDICE ................................................................................................................................................. 43