Auditoria Interna é uma atividade de consultas e garantias independente e objetiva, criada para acrescentar valor e aprimorar as operações de uma empresa. Com uma abordagem disciplinar e sistemática, ela ajuda na conquista dos objetivos de uma empresa, avaliando e aprimorando a eficiência do gerenciamento de risco, controle e processos de governança. A auditoria serve como aliada do gerenciamento, a fim de garantir que todos os processos funcionem adequadamente.

Auditores internos devem fornecer opiniões objetivas e sem viés, serem independentes das operações avaliadas e reportar ao comitê de auditoria, um setor de governança independente que oferece suporte aos conselho administrativo.

Os resultados da auditoria interna fornecem relatórios com os riscos mais relevantes, para que estes possam ser tratados, além de sugestões de melhorias em processos que não estão funcionando como deveriam.

Um processo de auditoria interna pode ser resumido em quatro etapas:

  1. Planejamento: definir objetivos e escopos da auditoria
  2. Trabalho de Campo: quando os auditores avaliam os procedimentos da unidade de negócios auditada
  3. Relatório: um relatório escrito que detalha os resultados do trabalho de campo, contendo as observações da auditoria e recomendações para melhorias.
  4. Acompanhamento: executado em situações encontradas em auditorias passadas para determinar se as ações corretivas estão sendo usadas e se os resultados estão sendo alcançados.

Conheça nossas oportunidades

Trabalho da Auditoria Interna

As metodologias de auditoria bancária costumam envolver diversos cargos hierárquicos e várias reuniões em quase todas as etapas. Este é um exemplo da primeira etapa: os auditores relatam seus planejamentos do trabalho de campo para o coordenador; este leva ao gerente; o gerente repassa para o superintendente que, por sua vez, entrega ao diretor para aprovação.

Devido a esquemas de controle de acesso complicados nos sistemas de legado e à falta de documentação, os auditores não costumam ter acesso aos dados. Portanto, eles dependem da equipe auditada para obter a maioria das provas para suas análises, o que atrasa a execução do trabalho de campo e demanda muito tempo da equipe auditada.

No Nubank, a equipe de Auditoria Interna trabalha com os setores de negócios desde o começo. Os auditores têm acesso a todos os bancos de dados e sabem como consultá-los, agilizando o processo e causando o mínimo de impacto possível nos negócios. Eles também mapeiam todas as atividades executadas pela empresa, fazem uma análise baseada em risco para definir os setores que serão auditados.

Os trabalhos de campo são mais rápidos; um resultado da quebra de hierarquia e remoção de barreiras entre auditores e dados dos negócios. Contudo, embora os resultados do trabalho de campo apresentem ótimas ideias e oportunidades de melhorias, eles sempre apresentam uma “imagem” do processo no momento em que a auditoria aconteceu.

Para ir além desse escopo e cobrir mais riscos, tivemos que avaliar continuamente a eficiência dos controles internos. Para isso, decidimos automatizar os procedimentos de auditoria por meio de dados e programação, implementando uma metodologia de Auditoria Contínua que combinasse com nossa forma de trabalhar.

Os procedimentos que gostaríamos de fazer continuamente são:

  • avaliar a eficácia dos sistemas de controle internos e identificar riscos potenciais;
  • conferir a eficiência das operações de rotina do banco;
  • avaliar a confiabilidade e precisão dos registros e relatórios financeiros;
  • garantir que os procedimentos condizem com os requisitos legais e reguladores.

O que é Auditoria Contínua?

A auditoria contínua é um método usado para executar o controle e as avaliações de risco de forma automática e frequente. Essa técnica inclui testes programados de auditoria interna no ambiente analítico, fornecendo informações rápidas sobre violações de controle, regras, exceções e anomalias nos Indicadores-chave de Risco (KRI: Key Risk Indicators, em inglês). O paradigma de análises periódicas de auditoria é transformado em um processo ativo e iterativo, provendo informações valiosas e oportunas para reagir aos riscos.

Isso significa que avançamos e treinamos todos os auditores para que tivessem habilidades de programação suficientes para realizar seus próprios testes de auditoria contínua no ambiente analítico. Eles têm independência para criar, atualizar e monitorar um teste, além de poderem acompanhar os resultados.

A Auditoria Contínua é um assunto em alta entre os auditores. No Nubank, decidimos fazer do nosso jeito: usar tecnologia e softwares, assim como fazemos para reinventar todos os nossos produtos financeiros.

Nós não criamos o conceito de Auditoria Contínua, nós o reinventamos usando a tecnologia disponível, como o Nubank fez com os Cartões de Crédito.

A equipe de Auditoria monitora os resultados de todos os testes contínuos e entra em contato com a equipe responsável quando alguma delas apresenta resultados negativos ou insatisfatórios. Um resultado insatisfatório em um teste contínuo será tratado exatamente como uma descoberta de auditoria. Os detentores do risco, juntamente com a equipe de auditoria e equipes adicionais, quando necessário, elaboram um plano de ação para mitigar o risco e/ou corrigir o processo. A equipe de Auditoria Interna acompanha a implementação do plano.

A auditoria contínua transforma testes de Auditoria Interna em alarmes automatizados. Ela converte uma fotografia estática em um filme constante.

Os testes de Auditoria Contínua podem ser comparados a testes automatizados em Engenharia de Software. Os desenvolvedores escrevem trechos de códigos que verificam se o comportamento do aplicativo está de acordo com suas especificações. Com os Testes de Auditoria, buscamos verificar automaticamente se um processo de uma determinada área de negócios está funcionando como deveria, conforme a regulamentação ou políticas internas.

Como conseguimos

Vai de conceitos de design da engenharia de software (uma interface no ambiente analítico da empresa) a belas visualizações de dados que ajudam a equipe de auditoria a entender e coletar panoramas sobre o desempenho/saúde geral da empresa.

Dados são pilares fundamentais no Nubank. Buscamos democratizar o acesso a eles, portanto, a maioria dos nossos dados está disponível no nosso ambiente analítico. Isso, por si só, fornece valores aos auditores, permitindo uma análise mais rápida e com panoramas em qualquer direção.

Porém, buscando alcançar o nível de automação desejado, decidimos usar o poder total do nosso ambiente analítico para gerar uma interface simples e eficaz para que os auditores criem novos testes.

Durante o trabalho de campo, os auditores usam a linguagem de programação Scala para consultar dados no nosso ambiente analítico (com Spark SQL). Quando decidem criar um teste de auditoria automatizado, eles simplesmente geram um novo objeto do Scala implementando um contrato pré-determinado. No Scala, esse contrato se chama Trait, um modelo que define como um Teste de Auditoria Contínua deve ser implementado. Confira abaixo um recorte da interface criada para facilitar/simplificar a implementação de Testes de Auditoria Contínua no nosso ETL:

É preciso configurar alguns campos nessa Trait, como:

  • Os tipos de risco que o teste cobre (Financeiro, Regulatório, Operacional etc.)
  • A frequência da execução do teste (diária, semanal, mensal etc.)

Monitorando os resultados

Após a criação do teste, ele é executado periodicamente, e todo seu progresso é salvo no ambiente analítico. Quando uma falha é detectada, por exemplo, se o resultado não atende às expectativas (dentro de um limite), a equipe de auditoria recebe uma alerta.

Por exemplo, se criarmos um teste para verificar se estamos aprovando clientes menores de idade, ele contará a quantidade de clientes menores de idade aprovados em um determinado dia; como não queremos contradizer a política interna, o resultado esperado é 0. Se for maior que 0, pode haver um problema operacional.

Resumindo, quando um risco potencial se torna real com base no cenário programado, os auditores são alertados automaticamente para trabalharem no possível problema que a empresa está enfrentando.

Visualizando

Como adoramos dados, não ficamos satisfeitos apenas com os resultados dos nossos testes; queremos métricas de tudo relacionado aos nossos testes de auditoria contínua, como:

  • Quantos testes estão sendo acionados?
  • Quais áreas são mais suscetíveis a riscos potenciais?
  • Estamos cumprindo todas as regulamentações que nossos testes cobrem?

Nós criamos painéis e visualizações com métricas coletadas dos nossos testes de auditoria contínua, e também verificamos o histórico de execução de um teste específico.

Relatando

Diferente do trabalho de campo, que tem uma duração específica, os Testes de Auditoria Contínua são executados automaticamente em uma determinada frequência e se um problema for identificado, a equipe de auditoria entra em contato com a área responsável para que esta elabore um plano para mitigá-lo.

O resultado do trabalho de campo é um relatório com descobertas de auditoria e com os planos de ação para solucioná-las. Contudo, a Auditoria Contínua é diferente nesse aspecto, pois cada problema identificado por um Teste de Auditoria Contínua é tratado com um plano de ação imediatamente.

Nesse cenário, surge uma questão: como relataríamos as descobertas de auditoria geradas por essa metodologia? Deveríamos emitir um relatório sempre que um teste identificar um problema?

O objetivo de um Relatório de Auditoria é apresentar os problemas identificados pela equipe de auditoria ao Comitê de Auditoria (Membros Externos Independentes) e ao Conselho Administrativo da empresa.

Considerando que planos de ação são criados juntamente com área de negócios quando os testes identificam problemas, e para evitar a emissão de vários relatórios em pouco tempo, decidimos publicar relatórios trimestrais para a metodologia de Auditoria Contínua.

Além de descrever as descobertas da auditoria daquele período, o Relatório de Auditoria Contínua também apresenta uma visão geral da evolução dessa metodologia, como quais processos e/ou áreas novas estão sendo auditadas continuamente e quais os principais riscos estão sendo tratados.

Resumo / Conclusão

Estamos nos preparando para um futuro onde a maioria das Auditorias Internas serão realizadas com a metodologia de auditoria contínua que estamos desenvolvendo, combinando conceitos da engenharia de software e análise de dados. Para a maioria das equipes de Auditoria Interna, esse é o futuro da auditoria.

Atualmente, a auditoria contínua nos ajuda nos seguintes tópicos:

  • saber antecipadamente onde nossa defesa não está funcionando direito e consequentemente priorizar os riscos identificados antes que se tornem um grande problema;
  • garantir o cumprimento das regulamentações, testando-as continuamente;
  • estarmos mais preparados do que qualquer outra empresa para inquéritos de regulamentação, quando for necessário;
  • aprimorar a supervisão de riscos gerais e de controles;
  • automatizar conjuntos de provas de auditoria.

No Nubank, o futuro está acontecendo agora: nossos controles estão sendo testados automaticamente, sem interação humana, enquanto você lê este artigo.

Conheça nossas oportunidades