Dados são algo poderoso. O papel essencial que a análise de dados desempenha na profissão de auditoria da atualidade não pode ser enfatizado o suficiente, especialmente à luz da transformação digital que ocorre em todas as indústrias. Muitos auditores usam os dados de uma ou outra forma.
Nas Linhas de Frente: Orientado por dados (data-driven) vs. Informado por dados (data-informed)
Blogs Maosen Cai, CIA, CISA, CMA, FRM nov 10, 2021
Dados são algo poderoso. O papel essencial que a análise de dados desempenha na profissão de auditoria da atualidade não pode ser enfatizado o suficiente, especialmente à luz da transformação digital que ocorre em todas as indústrias. Muitos auditores usam os dados de uma ou outra forma. Auditores internos "orientados por dados" fazem uso de conjuntos abundantes de dados e técnicas analíticas para alcançar insights de auditoria valiosos e inesperados. Enquanto isso, auditores internos "informados por dados" baseiam-se em sabedoria profissional, experiência e pragmatismo para realizar trabalhos de auditoria, usando quaisquer dados que encontrarem como suporte para seu raciocínio e julgamento.
Seja orientado ou informado por dados, nenhum dos dois está absolutamente certo ou errado. No entanto, os extremos de qualquer estilo podem ter consequências negativas. Ser puramente informado de dados pode ser usado como desculpa para evitar o trabalho árduo de destilar dados. Por outro lado, os auditores orientados por dados podem ser tentados a analisar excessivamente tudo o que aparece, sem dar um passo para trás e olhar para o quadro geral, guiados pelo julgamento humano.
Os auditores devem, portanto, buscar um equilíbrio entre os dois extremos. Na verdade, existem armadilhas comuns que os auditores internos devem buscar evitar, para aproveitar todo o potencial da análise de dados.
Focar Apenas nos Desconhecidos Já Conhecidos
Ao planejar um trabalho de auditoria, os auditores geralmente compilam facilmente uma lista de riscos e preocupações com base em um entendimento anterior e nas informações disponíveis. A partir daí, os auditores constroem uma série de procedimentos analíticos e métricas para comprovar ou refutar o ceticismo do auditor. Essa é uma abordagem de "encontrar os desconhecidos já conhecidos" e é, sem dúvida, fundamental para o desenvolvimento de um programa de análise de dados de auditoria. No entanto, os auditores que contam apenas com essa abordagem podem perder o que poderia ser sua arma secreta – "encontrar os desconhecidos ainda desconhecidos", ou seja, encontrar riscos ou anomalias que não estavam no radar do auditor inicialmente.
De fato, é mais fácil falar do que fazer. Uma abordagem é os auditores conduzirem uma análise exploratória de quaisquer métricas principais de negócios que estejam acessíveis, ou de conjuntos de dados relacionados ao escopo da auditoria, antes de finalizar um plano de auditoria. Esperançosamente, isso alinhará fatos e números com as premissas do auditor e criará oportunidades para ajustar o plano de auditoria com considerações mais pertinentes.
Presumir que os Dados Estão Limpos e Organizados
Lixo entra, lixo sai. Qualquer programa de análise de dados é tão bom quanto os dados que o alimentam, e os auditores geralmente precisam compilar dados em formas e padrões díspares e de fontes diferentes. Isso sujeita os auditores a camadas adicionais de risco de qualidade de dados, tanto de dados ruins em sua forma original quanto de erros/omissões durante o processo de compilação de dados. Pular direto para a análise de tais dados sem uma verificação sanitária pode produzir resultados de auditoria enganosos, colocando em risco a reputação do departamento de auditoria.
Limpar os dados recebidos pode aumentar a carga de trabalho inicial em qualquer jornada de análise. Mas o processo de limpeza dos dados pode ser um exercício valioso por si só, visto que os conjuntos de dados inválidos, uma vez identificados, podem revelar padrões importantes para investigação posterior. Como diz o ditado, "o diabo está nos detalhes".
Misturar Correlação e Causalidade
Corroborados pelos dados e algoritmos certos, os auditores devem estar no caminho certo para identificar alguns padrões ou anomalias nos dados. No entanto, os auditores também podem se precipitar à conclusão de que acharam uma "mina" de descobertas de auditoria e decidir seguir por esse caminho. Até que haja mais evidências, os auditores devem ter em mente que essas pistas estão apenas correlacionadas com um possível problema e podem não representar toda a verdade ou se qualificar como descoberta de auditoria.
Neste caso, um auditor prudente pararia e refletiria sobre duas perguntas subjacentes antes de tomar outras medidas:
- Há outras pistas que forneceriam um ponto de vista oposto?
- O que não foi coletado ou não está aparente nos dados? Por exemplo, há viés na coleta dos dados?
Reporte de Dados: Adotando a Sobrecarga de Informações
Ao preparar um relatório, os auditores podem se sentir tentados pela vontade de mostrar ao público (principalmente aos executivos) todas as partes da análise, como evidência do trabalho árduo realizado e da robustez do processo. É um erro compreensível, mas isso realmente força o público a repetir o laborioso processo pelo qual o auditor passou para chegar à conclusão. Em vez disso, os auditores devem se fazer três perguntas antes de continuar, relacionadas a quem, o quê e como:
- A quem você está comunicando?
- O que você deseja que seu público saiba ou faça?
- Como você pode usar os dados para ajudar a comunicar sua mensagem?
Dito isso, a única maneira de os auditores evitarem com sucesso essas armadilhas de análise de dados é por meio da prática. Com experiência, uma abordagem equilibrada e bom senso, a análise de dados pode ser um guia indispensável e uma ferramenta para ajudar os auditores internos a agregar mais valor à profissão.