A mineração de processos fornece uma nova abordagem para coletar evidências de auditoria, analisando automaticamente toda a população de logs de eventos registrados no sistema de TI de uma empresa. Ou seja, os processos de negócio da empresa e as ações realizadas por seus colaboradores são capturados cronologicamente no log de eventos para análise. Este artigo tem como objetivo explicar como os auditores podem usar mineração de processos no processo de auditoria, especialmente em testes de controles internos sobre relatórios financeiros. Especificamente, os autores usam o ciclo de compra para pagamento como um exemplo de como a análise de logs de eventos fornece aos auditores informações exclusivas que podem ajudar em tais testes.
Usando Process Mining no Processo de Auditoria
Existem quatro fases no processo de auditoria:
- Planejar e projetar uma abordagem de auditoria
- Executar testes de controles e testes substantivos de transações
- Executar procedimentos analíticos e testes de detalhes de saldos
- Concluir a auditoria e emitir um relatório de auditoria (Alvin A. Arens, Randall J. Elder e Mark S. Beasley, Auditing and Assurance Services: An Integrated Approach, 14ª edição, Prentice Hall, 2012).
Como a mineração de processos analisa o ciclo de negócios de uma empresa por meio da inspeção de registros de eventos armazenados nos sistemas de informações contábeis, os auditores achariam a mineração de processos mais útil na primeira e na segunda fases do processo de auditoria. A utilização de Process Mining na primeira fase do processo de auditoria é descrita na próxima seção, enquanto a seção subsequente cobre a aplicação de Process Mining na segunda fase.
Planejar e projetar.
A primeira fase do processo de auditoria é planejar e projetar a abordagem de auditoria. Na mineração de processos, um mapa de processos e estatísticas de processos podem ser usados para ajudar os auditores a entender o processo de negócios de uma empresa.
Ao examinar o mapa do processo e as estatísticas, os auditores podem responder às seguintes perguntas:
- Quantas atividades estão no processo de negócios da empresa e todas são relevantes para o negócio (auxiliam na identificação dos controles-chave)?
- Qual atividade ocorre com mais frequência no processo de negócios?
- Qual é o principal processo de negócios para esta organização?
- Quantos funcionários estão envolvidos no processo de negócios da empresa e quais são as responsabilidades dos funcionários (chave para identificar possíveis violações de segregação de funções)?
- Quais são as datas e horas de início e término para cada instância de processo e qual é o carimbo de data / hora de cada atividade (ajuda na identificação de problemas de corte)?
Em geral, os auditores podem avaliar a eficácia dos sistemas de controle interno, uma etapa essencial na avaliação do risco de controle. A mineração de processos permite que os auditores façam uma análise detalhada dos ciclos de transação. Como tal, os auditores podem substituir os procedimentos manuais de auditoria, como a repetição dos fluxos de transações ou testes de controles usando amostragem; assim, a eficácia e eficiência da auditoria são aumentadas.
Testes de controles internos.
De acordo com a seção 404 da Lei Sarbanes-Oxley de 2002 (SOX), é fundamental que os auditores avaliem o sistema de controle interno de uma empresa e identifiquem o que pode dar errado. A mineração de processos pode ser uma ferramenta poderosa para ajudar os auditores na execução de testes de controles internos. Além disso, as informações armazenadas no log de eventos também podem fornecer evidências de auditoria relacionadas a afirmações de gerenciamento relevantes.
Durante a segunda fase do processo de auditoria, a mineração de processos também pode ser útil ao realizar testes substantivos de transações para inspecionar o processo relacionado ao saldo da transação. Por exemplo, se o saldo do pagamento não estiver correto devido a pagamentos duplicados do pedido de compra X, isso pode ser descoberto ao analisar o processo do pedido de compra X.
Leia o artigo original (em inglês) em CPA Journal