A Inteligência Artificial (IA) está transformando as funções de negócios em todos os setores e os auditores internos devem considerar oportunidades para expandir ou simplificar o trabalho que realizamos. Por exemplo, as avaliações de riscos tradicionalmente se concentravam na realização de várias entrevistas, na análise de anotações e na pontuação de riscos com base em informações predominantemente subjetivas. Aproveitando os modelos de linguagem ampla (LLMs) e outros recursos generativos , os auditores internos podem agora superar os desafios comumente enfrentados na coleta de dados e na identificação de riscos. Com a ascensão da IA, os auditores internos devem abordar a integração da IA como uma ferramenta suplementar para auxiliar em nosso trabalho, entendendo que não podemos substituir o julgamento do auditor.
O impacto revolucionário da avaliação de riscos baseada em IA na auditoria interna
Entendendo as avaliações de risco baseadas em IA
As avaliações de risco tradicionais dependem muito da experiência humana e de processos de revisão manual. Por outro lado, as avaliações de risco baseadas em IA usam algoritmos avançados para prever possíveis riscos e identificar padrões que os humanos podem ignorar. Em uma de suas aplicações mais simples, a IA pode capturar anotações de reuniões e sintetizar o conteúdo em um resumo. A reunião deve apontar os riscos e fornecer informações reais sobre os riscos comerciais se for bem estruturada. Dada a complexidade e a subjetividade, a equipe de auditoria pode decidir sobre as classificações de risco usando essas anotações. Os auditores internos devem reconhecer que a IA, embora poderosa, deve aumentar - e não substituir - o ceticismo profissional e o julgamento informado. A precisão dos insights orientados pela IA depende muito da qualidade dos dados e da aplicação apropriada do modelo.
Aplicativos complementares de avaliação de risco com IA
Muitas vezes, pode ser difícil imaginar uma tecnologia emergente em uso. Abaixo estão várias maneiras pelas quais as técnicas de avaliação de riscos baseadas em IA poderiam impactar os desafios comuns de auditoria interna.
Identificação de riscos em novas áreas
Os auditores internos são frequentemente chamados para avaliar e auditar áreas em que a equipe tem pouca experiência. No passado, a equipe poderia ter se envolvido em longas pesquisas, tentando encontrar informações sobre riscos ou programas de auditoria para comprar, apenas para descobrir que as informações podem não funcionar para seu setor específico. Agora, uma simples solicitação usando IA pode fornecer uma grande quantidade de informações.
Por exemplo, usando um LLM como o ChatGPT, você pode usar um prompt como "Forneça uma lista de riscos comuns que um auditor interno deve avaliar em um processo de aquisição em uma empresa de manufatura da Fortune 500". Esse prompt retorna mais de 20 riscos a serem considerados (veja abaixo). É claro que não podemos simplesmente copiar os resultados e considerar nossa avaliação concluída, mas essas informações podem levar a reuniões significativamente mais produtivas com os líderes da organização, quando nos apresentamos com um melhor entendimento dos riscos específicos que podem fazer parte de seu dia a dia. Isso pode ser visto como um ponto de partida, mas o auditor ainda deve dedicar o tempo necessário para validar e aprender mais para garantir que tenha um entendimento verdadeiro e possa falar de forma inteligente sobre o assunto.
Exemplo de resultados de prompt do ChatGPT
Sugestão: Forneça uma lista de riscos comuns que um auditor interno deve avaliar em um processo de aquisição em uma empresa de manufatura da Fortune 500.
Resultados:
Aqui está uma lista concisa dos riscos comuns do processo de aquisição que os auditores internos normalmente avaliam em uma empresa de manufatura da Fortune 500:
Riscos estratégicos:
- Desalinhamento entre a estratégia de aquisição e os objetivos corporativos.
- Dependência excessiva dos principais fornecedores, o que leva à vulnerabilidade da cadeia de suprimentos.
Riscos operacionais:
- Gerenciamento ineficaz de fornecedores, resultando em qualidade inferior ou atraso nas entregas.
- Falha em realizar adequadamente a devida diligência e o monitoramento contínuo do fornecedor.
- Interrupções devido ao fornecimento único sem planos de contingência adequados.
- Fraude em aquisições, como fraude em licitações, propinas ou cenários de conflito de interesses.
Riscos financeiros:
- Excesso de custos devido a um planejamento ou previsão de aquisição inadequados.
- Termos contratuais desfavoráveis que levam a perdas ou obrigações financeiras.
- Má visibilidade das despesas, resultando na perda de oportunidades de economia ou ineficiências.
- Pagamentos duplicados ou não autorizados a fornecedores.
Riscos de conformidade e regulatórios:
- Violações de requisitos regulatórios, incluindo a Lei de Práticas de Corrupção no Exterior (FCPA) ou leis antissuborno e anticorrupção.
- Não conformidade com regulamentos de importação/exportação ou sanções comerciais.
- Falha em aderir às políticas de gerenciamento de contratos e às autoridades de aprovação.
Riscos tecnológicos:
- Segurança e controles inadequados nos sistemas de compras ou ERP, com risco de violações de dados ou fraudes.
- Dados mestre imprecisos ou incompletos (informações sobre fornecedores ou itens) que levam a ineficiências ou erros.
- Falha na proteção de informações confidenciais de fornecedores e contratos.
Riscos de reputação:
- Envolver fornecedores que utilizam práticas antiéticas, incluindo trabalho infantil, violações ambientais ou condições de trabalho inseguras.
- Reação pública negativa devido à má gestão das considerações de sustentabilidade ou ESG nas práticas de aquisição.
Riscos da cadeia de suprimentos e do fornecedor:
- Insolvência do fornecedor ou instabilidade financeira que afeta a continuidade.
- Desastres naturais, eventos geopolíticos ou outras interrupções que afetem fontes de suprimento essenciais.
- A falta de diversificação dos fornecedores causa risco de concentração.
Ver demonstração
TeamMate+ AI Editor
Duração: 3 minutos e 55 segundos
Análise aprimorada de entrevistas e documentos
As avaliações de risco tradicionais dependem muito de entrevistas e revisões de documentos, que consomem muito tempo e, muitas vezes, estão sujeitas a vieses humanos na interpretação. A avaliação de riscos baseada em IA transforma esse processo, analisando relatórios de auditoria anteriores, dados organizacionais e tendências do setor para gerar perguntas de entrevista personalizadas para domínios de risco específicos. A IA pode capturar e transcrever as anotações da reunião durante a entrevista para avaliação, liberando a equipe de auditoria para se concentrar na conversa em vez de fazer anotações. Após a entrevista, a IA pode identificar padrões, contradições e percepções em várias entrevistas que os humanos poderiam deixar passar, criando uma compreensão mais abrangente do cenário de risco. Os auditores ainda devem estar cientes de que a IA não consegue entender a intenção e os comentários feitos, que podem ser uma linguagem única dentro do contexto da cultura da organização, e devem sempre revisar e verificar as anotações conforme necessário.
A quantidade de informações que podem ser analisadas em uma avaliação de riscos pode ser esmagadora, especialmente para equipes menores. A avaliação de riscos com tecnologia de IA pode extrair, resumir e sintetizar rapidamente informações de diversas fontes, incluindo políticas, procedimentos, contratos, relatórios de conformidade e atas de reuniões.
Para demonstrar essa aplicação da IA, muitos líderes empresariais usarão um aplicativo como o Otter.ai para capturar e resumir as anotações da reunião (veja abaixo). Isso é feito além da transcrição completa da reunião e de um esboço com marcadores de toda a reunião.
Exemplo de resumo de reunião do Otter.ai
Visão geral
A reunião discutiu várias questões de conformidade com a SOX de TI. Paul apresentou os tópicos ITGCs, ITACs e análise de dados. Mary destacou o desafio de fazer benchmarking de alguns controles para reduzir os testes anuais para cada dois anos. Sue observou a abertura do auditor externo para opções de benchmarking para controles de aplicativos. Joy discutiu o uso do TeamMate para análise de dados. O grupo também debateu o escopo das políticas de senha e dos controles de gerenciamento de mudanças.
Itens de ação
- Avalie as implicações de escopo do uso do TeamMate para testes de controle.
- Analise o processo de gerenciamento de contas funcionais/serviços e o acesso a elas.
- Implementar melhorias nos controles de gerenciamento de mudanças, incluindo a divisão de controles e a adição de monitoramento.
- Discuta com os auditores externos o potencial de benchmarking e de definição de linhas de base para controles de aplicativos configuráveis.
- Avalie as implicações de controle SOX do uso da autenticação baseada em PIN.
- Automatize o fluxo de trabalho de aprovação de mudanças usando um software e considere adicionar um controle de monitoramento.
Projeto e avaliação de controle
A avaliação de riscos com IA aumenta significativamente a capacidade do auditor de avaliar os controles existentes e recomendar melhorias. A avaliação avançada de riscos com IA pode analisar várias estruturas de controle, como o NIST CSF, ISOs e outros padrões do setor, para comparar os controles de uma organização com as práticas recomendadas. Por exemplo, um prompt de IA pode fornecer uma referência para comparação.
Sugestão: Considerando as estruturas de controle de TI disponíveis, quais são os elementos comuns de um forte controle de gerenciamento de mudanças?
Resultados:
Os elementos comuns de controles sólidos de gerenciamento de mudanças nas estruturas de TI disponíveis (como ITIL, COBIT, ISO 27001, NIST CSF e COSO) normalmente incluem:
1. Política formalizada de gerenciamento de mudanças: Procedimentos documentados que definem claramente os requisitos, processos, funções e responsabilidades para o gerenciamento de mudanças de TI.
2. Documentação de solicitação de mudança: Formulários ou sistemas padronizados para capturar e enviar solicitações de mudança detalhadas, incluindo escopo, justificativa comercial, riscos e resultados esperados.
3. Avaliação de risco e impacto: Uma avaliação formal para identificar, avaliar e mitigar os riscos associados às mudanças propostas, considerando o impacto nos sistemas de TI, nos processos comerciais e nas obrigações de conformidade.
4. Conselho consultivo de mudanças (CAB): Uma equipe independente ou multifuncional responsável por avaliar, autorizar e supervisionar mudanças significativas, garantindo objetividade e representação adequada das partes interessadas.
5. Fluxo de trabalho de aprovação e autorização: Protocolos de aprovação claramente definidos, garantindo a revisão e a autorização adequadas pela gerência ou pelos proprietários da empresa antes da implementação.
6. Segregação de funções (SOD): Garantir a separação entre as pessoas que solicitam, desenvolvem, testam, aprovam e implementam alterações para evitar ações não autorizadas ou não intencionais.
7. Teste e validação: Procedimentos para testar adequadamente as alterações (teste de unidade, teste de integração do sistema, teste de aceitação do usuário) para garantir a funcionalidade, a segurança e o desempenho antes da implementação.
8. Planos de back-out e recuperação: Procedimentos e instruções claramente definidos para reverter ou reverter as alterações se a implementação falhar ou afetar negativamente a funcionalidade do sistema.
9. Implementação controlada e gerenciamento de versões: Processos documentados para a migração controlada de alterações para ambientes de produção, geralmente gerenciados por meio de janelas de manutenção definidas para minimizar as interrupções operacionais.
10. Monitoramento e revisão pós-implementação: Monitoramento das mudanças implementadas e realização de revisões estruturadas para verificar se as mudanças atingiram os objetivos, não introduziram novos riscos e proporcionaram os benefícios pretendidos.
11. Documentação e trilha de auditoria: Documentação detalhada e registros que capturam todas as fases do ciclo de vida da mudança, facilitando a responsabilidade, a rastreabilidade e a prontidão da auditoria.
Esses elementos proporcionam uma eficácia de controle consistente, alinham as mudanças de TI com os objetivos comerciais, mantêm a integridade operacional e garantem a conformidade normativa com as estruturas de controle de TI padrão do setor.
Além de fornecer uma referência, a IA também pode comparar suas políticas existentes para procurar possíveis lacunas de design. É claro que isso deve ser feito com cautela, e o upload de informações internas confidenciais normalmente não é permitido pela maioria das organizações. No entanto, você pode ter acesso a ferramentas de IA aprovadas que podem ajudar se você consultar a sua equipe de segurança de TI.
Transformação contínua do monitoramento de riscos
Embora o monitoramento contínuo não seja novidade para a auditoria interna, a avaliação de riscos com IA simplifica nossa capacidade de aproveitar os resultados. Diferentemente do monitoramento contínuo tradicional, que se concentra em anomalias, a avaliação de riscos com IA detecta inconsistências em vários relatórios de monitoramento que podem indicar riscos emergentes. Esse recurso amplia o monitoramento além das saídas de dados individuais para abranger as quantidades potencialmente vastas de informações não estruturadas que fluem pelas organizações modernas.
Quando os riscos são identificados, a avaliação de riscos com tecnologia de IA pode gerar alertas que incluem a anomalia e suas possíveis implicações, ações sugeridas e partes interessadas afetadas. Ao analisar padrões de dados históricos, a avaliação de riscos com IA pode prever riscos emergentes, permitindo que os auditores abordem as ameaças antes que elas se materializem. Essa capacidade preditiva transforma a auditoria interna de uma função de detetive em uma função preventiva, aumentando significativamente seu valor para a organização.
Por exemplo, poderíamos implementar um controle de monitoramento contínuo que fosse executado diariamente para comparar uma listagem de funcionários ativos com usuários em aplicativos específicos. Esse controle geraria um relatório de exceção para os usuários que precisam ser removidos. Atualmente, as soluções sofisticadas de gerenciamento de identidade usam IA para monitorar todos os aplicativos em uma rede, removendo automaticamente os usuários encerrados assim que eles são marcados como encerrados no principal aplicativo de recursos humanos.Desafios e considerações sobre a implementação da avaliação de riscos com IA
Apesar de seu potencial transformador, a implementação da avaliação de riscos baseada em IA na auditoria interna apresenta desafios únicos que devem ser cuidadosamente abordados para que seus benefícios sejam percebidos.
Preocupações com a qualidade e a privacidade dos dados
A avaliação de riscos com IA requer dados de alta qualidade para produzir resultados confiáveis. As organizações devem garantir estruturas robustas de governança de dados que abordem especificamente os casos de uso da avaliação de riscos com IA, incluindo princípios de minimização de dados. A integridade das avaliações de riscos depende inteiramente da qualidade das entradas de dados, o que torna a governança de dados um fator crítico de sucesso para a implementação da avaliação de riscos baseada em IA.
As técnicas de preservação da privacidade são essenciais ao usar informações confidenciais em sistemas de avaliação de riscos baseados em IA. Os auditores internos geralmente lidam com dados confidenciais sobre funcionários, clientes e operações, criando riscos significativos à privacidade se não forem gerenciados adequadamente. Os processos de detecção e mitigação de viés de dados devem ser estabelecidos para evitar a perpetuação de vieses históricos na avaliação de riscos com IA.
Seleção e validação de modelos
Nem todos os modelos de IA são adequados para aplicativos de auditoria, e mesmo aqueles usados como exemplos neste artigo só devem ser usados com a aprovação da sua equipe de segurança de TI. Pode ser necessário um ajuste fino para adaptar modelos de uso geral a contextos específicos de auditoria. Os modelos genéricos de linguagem ampla geralmente não têm o conhecimento especializado das normas de auditoria, dos requisitos regulatórios e dos riscos específicos do setor para uma avaliação de risco confiável baseada em IA. Mais uma vez, a IA não substitui o conhecimento e o julgamento do auditor, mas é uma ferramenta para aumentar nosso trabalho.
Os mecanismos de transparência devem permitir que os auditores entendam como as conclusões foram alcançadas. Os modelos de caixa preta que não podem explicar seu raciocínio são inadequados para aplicativos de avaliação de risco com IA, nos quais a justificativa das conclusões é essencial. Os auditores devem priorizar abordagens de IA explicáveis que forneçam fundamentos claros para as avaliações e recomendações de riscos.
Desenvolvimento de habilidades e adaptação cultural
As equipes de auditoria interna precisam de novas habilidades para alavancar a avaliação de riscos baseada em IA de forma eficaz. Programas de alfabetização em IA estão sendo desenvolvidos especificamente para auditores por organizações como The IIA e ISACA, com foco na interseção da metodologia de auditoria e dos recursos de IA. Esses programas devem enfatizar a avaliação crítica dos resultados da IA, em vez de apenas a operação técnica, permitindo que os auditores mantenham o ceticismo profissional ao trabalhar com ferramentas de avaliação de riscos baseadas em IA.
A experiência imediata em engenharia é fundamental para a obtenção de resultados confiáveis dos sistemas de avaliação de risco com tecnologia de IA. A qualidade dos resultados depende muito de como as perguntas e instruções são formuladas. As habilidades de avaliação de resultados ajudam os auditores a distinguir entre insights valiosos e alucinações de IA. A avaliação de riscos com IA pode, às vezes, produzir informações plausíveis, mas incorretas, o que torna essencial a avaliação crítica.
Governança e ética
Uma forte governança é essencial ao implantar a avaliação de riscos baseada em IA na auditoria interna. Políticas de uso claras devem definir os aplicativos e limites apropriados para a IA dentro da função de auditoria. Essas políticas devem especificar quais decisões podem ser assistidas por IA em comparação com aquelas que exigem julgamento humano, criando barreiras que impeçam a dependência excessiva de sistemas automatizados.
As estruturas éticas devem abordar questões como transparência, justiça e responsabilidade na auditoria assistida por IA. As decisões críticas de risco devem sempre incluir uma revisão humana substancial, com documentação clara dos casos em que os auditores anulam ou modificam as avaliações geradas pela avaliação de risco baseada em IA.
Práticas recomendadas para implementar a avaliação de riscos com IA
Para maximizar os benefícios e, ao mesmo tempo, mitigar os riscos, as funções de auditoria interna devem considerar várias práticas recomendadas que se mostraram eficazes em várias implementações.
Comece com casos de uso focados
Comece com aplicativos bem definidos em que a avaliação de riscos com IA possa oferecer um valor claro. O resumo de documentos para revisões de políticas é um excelente ponto de partida, oferecendo ganhos imediatos de eficiência com risco relativamente baixo. A geração de perguntas para entrevistas em domínios específicos de risco representa outro aplicativo de baixo risco e alto valor. O desenvolvimento de cenários para riscos emergentes permite que as organizações aproveitem os recursos criativos da avaliação de riscos com IA e, ao mesmo tempo, mantenham total controle humano sobre as avaliações de riscos resultantes.
Estabelecer critérios de avaliação claros
Definir métricas para medir a eficácia da avaliação de riscos com IA para garantir que a tecnologia ofereça valor real. Acompanhe a economia de tempo, os novos riscos identificados e o feedback das partes interessadas sobre a clareza e a capacidade de ação dos insights para medir o impacto prático das avaliações aprimoradas da avaliação de riscos com IA.
Implementar uma abordagem humana no circuito
Garantir que a supervisão humana permaneça central no processo por meio de funções definidas para a IA e para os humanos. As organizações devem distinguir claramente entre as tarefas em que a avaliação de risco com IA fornece recomendações e aquelas que exigem julgamento humano. Crie protocolos de revisão para os resultados da avaliação de riscos baseada em IA antes que eles influenciem as decisões e documente as instâncias em que o julgamento humano substitui as recomendações da IA.
Desenvolver estratégias de estímulo especializadas
Crie uma biblioteca de prompts eficazes para tarefas comuns de avaliação de riscos com tecnologia de IA para maximizar a consistência e a qualidade. Os prompts de identificação de riscos que incorporam cenários específicos do setor ajudam as avaliações de riscos com IA a produzir inventários de riscos mais relevantes e abrangentes. Prompts bem elaborados podem orientar o sistema para uma análise multifatorial que reflita melhor a complexidade dos riscos organizacionais.
Colaboração entre funções
Estabeleça parcerias com outros departamentos para maximizar o valor da avaliação de riscos baseada em IA. Trabalhe com a TI para garantir que a infraestrutura técnica da organização ofereça suporte aos aplicativos de avaliação de riscos com IA. Envolva-se com o setor de conformidade e jurídico para abordar considerações regulatórias e a permissão de soluções de IA. Colabore com as unidades de negócios para validar cenários de risco e recomendações de controle.
Conclusão
A avaliação de riscos com IA representa uma mudança de paradigma na forma como os auditores internos abordam o gerenciamento de riscos. À medida que a avaliação de riscos alimentada por IA continua a evoluir, os auditores internos que adotarem essa tecnologia mantendo o ceticismo e o julgamento profissionais, definirão o futuro da profissão e serão capacitados por ela a entregar avaliações de riscos mais estratégicas e voltadas para o futuro do que nunca. As funções de auditoria mais bem-sucedidas serão aquelas que veem a avaliação de riscos com IA não como um substituto para a expertise humana, mas como uma extensão poderosa, combinando o melhor julgamento do auditor com recursos computacionais para criar insights de riscos que nenhum deles poderia alcançar sozinho.
1 Este artigo contém exemplos de aplicativos de IA. Eles são apenas para fins ilustrativos e não são um endosso.
Inscreva-se abaixo para receber mensalmente Expert Insights em sua caixa de entrada
Não vê o formulário abaixo?
Para ver o formulário, você precisará alterar suas configurações de cookies. Clique no botão abaixo para atualizar suas preferências para aceitar todos os cookies. Para obter mais informações, leia o nosso Aviso de privacidade e cookies.