Virtualmente cada auditor, seja interno ou externo, deve testar a eficácia dos procedimentos de controle internos.
Para um auditor externo, testes de eficácia de controles internos permitem que você tenha o conforto de uma afirmação sem a necessidade de testar de forma substantiva. Para um auditor interno, uma parte significativa de sua função é fornecer garantia para o gerenciamento e para o comitê de auditoria sobre a eficácia de controle interno, especialmente se sua organização estiver sujeita aos requisitos da Sarbanes-Oxley.
Teoria de amostragem
Tradicionalmente, a amostragem seria usada para testar a eficácia de controle interno, usando diretriz de tamanho de amostra, normalmente algo como:
- Para um controle que opere mensalmente, teste 2
- Para um controle que opere semanalmente, teste 8
- Para um controle que opere diariamente, teste 30
- Para um controle que opera mais de uma vez por dia, teste 30
A lógica por trás da diretriz é que se o controle tiver operado de forma eficaz para os exemplos amostrados, você pode ter a segurança de que ele operou sempre de forma eficaz.
Realidade da amostragem
Infelizmente, frequentemente não é bem esse o caso; como auditores, vemos isso repetidamente em empresas de grande porte e bem conhecidas, que parecem ter ambientes de controle robustos. Elas obtêm uma resposta do tipo “Este aqui” ou “Dessa vez”:
- Todos os “Desembolsos além do limite” devem ser aprovados por dois diretores, mas “este aqui” foi incrivelmente urgente, portanto, somente uma assinatura foi fornecida
- O controle de estoque para mercadorias de alto valor deve ser conduzido semanalmente, mas “dessa vez” isso não foi feito por 2 semanas porque a pessoa responsável estava fora do escritório
- As ordens de compra devem ser criadas e aprovadas por 2 pessoas diferentes - mas “esta aqui” foi liberada para os fornecedores sem aprovação ou aprovada pelo criador da ordem de compra.
- Supõe-se que os Diretores Financeiros não sejam capazes de lançar diários, mas “dessa vez”, o acesso ao sistema não foi configurado corretamente, portanto eles podem
- As faturas de compra acima de $100.000 devem ser aprovadas pelo CEO, mas “essa aqui” foi a única que passou, portanto foi assinada somente pelo CFO
Quando ocorrências como essas são identificadas usando a amostragem com alguns itens, fica claro que pode haver muitas outras não registradas. Ainda de mais preocupação, ao usar uma amostra, você potencialmente tem uma probabilidade muito alta de não identificar essas falhas de controle específicas. Considere:
- Se você tiver somente 2 amostras de um controle mensal, há 83% de chance de você ter perdido uma falha de controle específica durante o ano
- Se você testar 8 exemplos de um controle semanal, há 85% de chance de você ter perdido uma falha de controle específica durante o ano
- Se você testar 30 exemplos de um controle diário (considerando que ele seja realizado nos dias da semana), há 88% de chance de você não ter identificado uma falha de controle específica
- Se você testar 30 exemplos de um controle que opere mais de uma vez por semana, há 99% chance (ou superior) de não ter identificado uma falha específica
Uma solução
A única maneira de obter qualquer garantia real sobre a eficácia de operação de um procedimento de controle interno é testar cada instância dessa operação.
Agora, se o controle for conduzido totalmente off-line, fora de qualquer sistema, isso provavelmente será impraticável. Entretanto a maioria dos controles são agora evidenciados em algum lugar em sistemas computadorizados da empresa. Ao obter um download de transações desses sistemas, você pode testar muito facilmente o controle em relação a 100% das transações, usando Ferramentas de Auditoria Auxiliadas por Computador (CAATs; também conhecidas como “análise de dados de auditoria” ou “análise de dados”)
Como um exemplo, vamos ver o que pode acontecer para o “Este aqui” e “Dessa vez” de nossos 5 cenários de amostra acima quando utilizamos a ferramenta de análise de dados:
- Extraia facilmente todas as transações aprovadas com menos de dois aprovadores. Para aquelas com dois aprovadores, você pode associar esses aprovadores a uma lista de gestores/diretores para garantir que eles tenham a autoridade de aprovação e os limites
Veja o vídeo - Resume o registro de controle de estoque por semana e local para garantir que todos os locais foram contados ao menos uma vez por semana
Veja o vídeo - Use um relatório de exceção para extrair todas as entradas onde o criador ou aprovador sejam os mesmos onde não haja nenhuma aprovação
Veja o vídeo - Corresponda as transações de diário ao registro de acesso de sistema aprovado para identificar todas as transações inseridas pelo pessoal não aprovado
Veja o vídeo - Extraia todas as faturas de compra acima de $100.000 onde os aprovadores não incluam o CEO
Veja o vídeo
Com a ferramenta de análise de dados, todas essas análises podem ser conduzidas em uma questão de minutos. E, cada um desses testes podem se tornar repetíveis para uma execução regular ou, se necessário, por diferentes auditores. Esses são apenas alguns poucos exemplos, mas a análise de dados pode ser usada de muitas formas diferentes para testar uma ampla gama de controles internos.