Man viewing laptop
Compliance10 junho, 2021

Análise de auditoria: A amostragem é suficiente para teste de controles internos

Por:Stefan Davis

Virtualmente cada auditor, seja interno ou externo, deve testar a eficácia dos procedimentos de controle internos.

Para um auditor externo, testes de eficácia de controles internos permitem que você tenha o conforto de uma afirmação sem a necessidade de testar de forma substantiva. Para um auditor interno, uma parte significativa de sua função é fornecer garantia para o gerenciamento e para o comitê de auditoria sobre a eficácia de controle interno, especialmente se sua organização estiver sujeita aos requisitos da Sarbanes-Oxley.

Teoria de amostragem

Tradicionalmente, a amostragem seria usada para testar a eficácia de controle interno, usando diretriz de tamanho de amostra, normalmente algo como:

  • Para um controle que opere mensalmente, teste 2
  • Para um controle que opere semanalmente, teste 8
  • Para um controle que opere diariamente, teste 30
  • Para um controle que opera mais de uma vez por dia, teste 30

A lógica por trás da diretriz é que se o controle tiver operado de forma eficaz para os exemplos amostrados, você pode ter a segurança de que ele operou sempre de forma eficaz.

Realidade da amostragem

Infelizmente, frequentemente não é bem esse o caso; como auditores, vemos isso repetidamente em empresas de grande porte e bem conhecidas, que parecem ter ambientes de controle robustos. Elas obtêm uma resposta do tipo “Este aqui” ou “Dessa vez”:

  1. Todos os “Desembolsos além do limite” devem ser aprovados por dois diretores, mas “este aqui” foi incrivelmente urgente, portanto, somente uma assinatura foi fornecida
  2. O controle de estoque para mercadorias de alto valor deve ser conduzido semanalmente, mas “dessa vez” isso não foi feito por 2 semanas porque a pessoa responsável estava fora do escritório
  3. As ordens de compra devem ser criadas e aprovadas por 2 pessoas diferentes - mas “esta aqui” foi liberada para os fornecedores sem aprovação ou aprovada pelo criador da ordem de compra.
  4. Supõe-se que os Diretores Financeiros não sejam capazes de lançar diários, mas “dessa vez”, o acesso ao sistema não foi configurado corretamente, portanto eles podem
  5. As faturas de compra acima de $100.000 devem ser aprovadas pelo CEO, mas “essa aqui” foi a única que passou, portanto foi assinada somente pelo CFO

Quando ocorrências como essas são identificadas usando a amostragem com alguns itens, fica claro que pode haver muitas outras não registradas. Ainda de mais preocupação, ao usar uma amostra, você potencialmente tem uma probabilidade muito alta de não identificar essas falhas de controle específicas. Considere:

  • Se você tiver somente 2 amostras de um controle mensal, há 83% de chance de você ter perdido uma falha de controle específica durante o ano
  • Se você testar 8 exemplos de um controle semanal, há 85% de chance de você ter perdido uma falha de controle específica durante o ano
  • Se você testar 30 exemplos de um controle diário (considerando que ele seja realizado nos dias da semana), há 88% de chance de você não ter identificado uma falha de controle específica
  • Se você testar 30 exemplos de um controle que opere mais de uma vez por semana, há 99% chance (ou superior) de não ter identificado uma falha específica

Uma solução

A única maneira de obter qualquer garantia real sobre a eficácia de operação de um procedimento de controle interno é testar cada instância dessa operação.

Agora, se o controle for conduzido totalmente off-line, fora de qualquer sistema, isso provavelmente será impraticável. Entretanto a maioria dos controles são agora evidenciados em algum lugar em sistemas computadorizados da empresa. Ao obter um download de transações desses sistemas, você pode testar muito facilmente o controle em relação a 100% das transações, usando Ferramentas de Auditoria Auxiliadas por Computador (CAATs; também conhecidas como “análise de dados de auditoria” ou “análise de dados”)

Como um exemplo, vamos ver o que pode acontecer para o “Este aqui” e “Dessa vez” de nossos 5 cenários de amostra acima quando utilizamos a ferramenta de análise de dados:

  1. Extraia facilmente todas as transações aprovadas com menos de dois aprovadores. Para aquelas com dois aprovadores, você pode associar esses aprovadores a uma lista de gestores/diretores para garantir que eles tenham a autoridade de aprovação e os limites
    Veja o vídeo
  2. Resume o registro de controle de estoque por semana e local para garantir que todos os locais foram contados ao menos uma vez por semana
    Veja o vídeo
  3. Use um relatório de exceção para extrair todas as entradas onde o criador ou aprovador sejam os mesmos onde não haja nenhuma aprovação
    Veja o vídeo
  4. Corresponda as transações de diário ao registro de acesso de sistema aprovado para identificar todas as transações inseridas pelo pessoal não aprovado
    Veja o vídeo
  5. Extraia todas as faturas de compra acima de $100.000 onde os aprovadores não incluam o CEO
    Veja o vídeo

Com a ferramenta de análise de dados, todas essas análises podem ser conduzidas em uma questão de minutos. E, cada um desses testes podem se tornar repetíveis para uma execução regular ou, se necessário, por diferentes auditores. Esses são apenas alguns poucos exemplos, mas a análise de dados pode ser usada de muitas formas diferentes para testar uma ampla gama de controles internos.

 

Sampling theory

Traditionally, sampling would be used to test internal control effectiveness, using sample size guidance, usually something like this:

  • For a control that operates monthly, test 2
  • For a control that operates weekly, test 8
  • For a control that operates daily, test 30
  • For a control that operates more than once a day, test 30

The logic behind this guidance is that if the control has operated effectively for the sampled instances, you can be comfortable that it has operated effectively every time.

Sampling reality

Unfortunately, in reality this is often not the case – as auditors we see it time and time again in well-known, large organizations, which appear to have strong controls environments. They get a case of the “This one’s” or “This time’s”:

  1. All “Disbursements over limit” are meant to be approved by two directors but “this one” was incredibly urgent so only one signature was provided
  2. Inventory counts for high value goods should be conducted weekly, but, “this time” they were not done for 2 weeks while the responsible person was out of office
  3. Purchase orders should to be created and approved by 2 different people – “this one” managed to be released to suppliers without approval or approved by the creator of the PO
  4. The Finance Director is not supposed to be able to post journals, but “this time” their system access has not been setup correctly, so they can
  5. Purchase invoices over $100,000 should be approved by the CEO, but “this one” was only just over so was just signed by the CFO

When occurrences like these are identified using sampling with a few items, it is clear that there may be many, many others that are missed. Of even more concern, when using sampling, you potentially have a very high likelihood of missing these single control failures. Consider:

  • If you only test 2 examples of a monthly control, there is an 83% chance you’ll miss a single control failure during the year
  • If you test 8 examples of a weekly control, there is an 85% chance you’ll miss a single control failure
  • If you test 30 examples of a daily control (assuming it is carried out on weekdays), there is an 88% chance you’ll miss a single control failure
  • If you test 30 examples of a control that operates more than once a day, there could be a 99% chance (or higher) that you’ll miss a single failure
Stefan Davis
Stefan Davis
Senior Product Manager
Stefan is the co-founder of TeamMate Analytics and an expert on the application of Data Analytics to Audit. He started his career with KPMG in the UK, working in External and Internal Audit for a huge range of clients from small owner-managed businesses to global FTSE100 companies, including many well-known Manufacturers, Retailers and Financial institutions.
Solução
TeamMate+ Audit
Gestão de Auditoria
Saiba Mais

Insights relacionados

  • BRF e TeamMate+: Navegando em um cenário de auditoria interna em evolução 
    Estudo de caso
    Compliance
    abril 01, 2024
    BRF e TeamMate+: Navegando em um cenário de auditoria interna em evolução 
    Gerenciar a equipe de auditoria interna em várias culturas e locais pode ser difícil e exigir muitos recursos, especialmente quando se trata de cumprir o rigoroso escrutínio de vários órgãos reguladores.
    Saber mais
  • Auditoria ágil: Repensando o plano de auditoria
    Documento técnico/conteúdo editorial
    Compliance
    Contabilidade e tributação
    Finanças
    maio 26, 2021
    Auditoria ágil: Repensando o plano de auditoria
    A cada ano, a maioria dos departamentos de auditoria tira a poeira da avaliação de risco do ano anterior como um ponto de partida para o próximo ano.
    Saber mais
  • 10 etapas para resolver problemas de mercado em um processo de auditoria interna
    Documento técnico/conteúdo editorial
    Compliance
    Contabilidade e tributação
    Finanças
    maio 20, 2021
    10 etapas para resolver problemas de mercado em um processo de auditoria interna
    Recentemente falei com um auditor que estava lamentando sobre sua empresa estar contratando...
    Saber mais
Back To Top