Auditor robô? A Inteligência Artificial como aliada da Auditoria

Lembro-me de um dos primeiros contatos que tive com uma auditoria. Dois auditores estavam reclusos em uma sala que tinha em seu centro uma mesa de para umas 8 pessoas. O que me assustou na época não foi o caráter de sigilo daquela porta que vivia fechada e trancada, mas sim na montoeira de papeis que estavam sobre ela. Eram documentos da área que estava sendo auditada por aqueles dois auditores.

Já há algum tempo que a função de Auditoria vem evoluindo. Com mais processos cobertos pelos sistemas e com mais dados sobre eles, as áreas de auditoria conseguem utilizar ferramentas de processamento de dados para avaliar os riscos e controles de forma mais ampla e eficiente, deixando de fazer amostras das situações para verificá-las em sua totalidade. Soma-se a isso a disponibilidade de dados fora da estrutura padrão dos sistemas da empresa e que também podem ser utilizados. Volume, variedade e velocidade de crescimento dos dados disponíveis; a auditoria pegando carona no Big Data.

Fazendo a avaliação de forma automática através do processamento de dados, a auditoria pode ampliar não só a abrangência de sua verificação, mas também a frequência. Essa é um dos princípios do conceito da Auditoria Contínua: análise tempestiva e constante dos riscos e controles.

Com mais dados, mais testes se tornam possíveis. Com as ferramentas computacionais, mais frequentes são os testes. Isso pode gerar uma quantidade alta de eventos identificados que requerem a análise não só dos donos dos processos auditados, mas também dos auditores. Contudo, essas equipes não crescem no mesmo ritmo.

Uma das principais atividades em um processo de Auditoria Contínua é refinar os testes, ou seja, buscar que eles tragam o mínimo possível de falsos positivos e que identifiquem apenas o que realmente for problema. Entretanto, isso é feito a partir do ajuste das regras que foram definidas para os testes e esse ajuste é manual e depende do julgamento atento dos auditores. Isso exige tempo e dedicação deles.

Essa questão, portanto, é uma oportunidade para a aplicação de técnicas de Inteligência Artificial. Podemos aproveitar as bases do conceito da Auditoria Contínua para tornar mais automático o ajuste das regras dos testes.

Como os donos dos processos precisam responder aos casos apontados pelos testes, indicando se é um problema ou não (com a confirmação dos auditores), temos o que chamamos em Inteligência Artificial de "Aprendizado Supervisionado". Isso significa que temos uma base de dados com os eventos identificados pelos testes e a indicação se eles deveriam ter sido marcados ou se eram falsos positivos, ou seja, a resposta "correta" que o teste deveria dar.

Assim, poderíamos complementar os testes com métodos que proporcionariam novos "filtros" na identificação de eventos sem a necessidade de mexer o tempo todo em suas regras. Se há falsos positivos sendo marcados, o modelo pode "aprender" a não repetir isso para eventos em situações semelhantes aos falsos positivos. Essa "semelhança" é determinada a partir de algoritmos computacionais e estatísticos. Conforme novas respostas vão surgindo o modelo vai se adaptando sozinho.

Os métodos de análise supervisionada que mais se encaixam nessa proposta são os de classificação. Dentre eles podemos destacar as redes neurais, que são muito usadas em algoritmos de detecção de fraude, como nos cartões de crédito.

Vale ressaltar que essa ideia não elimina a importância do auditor, principalmente no início do "aprendizado" do modelo. O julgamento do auditor é importante para a criação e o desenho do teste e para acompanhar o sentido para o qual o modelo está caminhando. E também não é mágica: não basta simplesmente "plugar" o método computacional e estatístico que os eventos sairão corretos.

A Inteligência Artificial pode ser uma aliada bastante útil à Auditoria em um contexto tão desafiador que se apresenta.