Auditoria Contínua_CCM - Instituto dos Auditores Internos do Brasil

Auditoria Contínua
CCM – Continuous Control Monitoring
AUDITORIA INTERNA NO CONBRAI 2009.
Juliana Pereira
Ernst & Young
Agenda
•
•
•
•
•
•
Contexto
Revendo os Conceitos sobre Controles
Por quê Focar em Controles Automáticos
Oportunidades Existentes
Como Implementar Monitoramento Contínuo
Alguns Exemplos
Contexto – Gestão de Riscos
Gestão de Riscos – Tendências e Perspectivas
Melhores Práticas ganham destaque no contexto de crise global:
• Mudança de atitude: Risco representa ameaças, mas também
oportunidades. A Gestão de Riscos deve ser uma ferramenta
para proteger e estimular a melhoria de performance,
colaborando para a identificação de oportunidades e
agregando valor ao negócio
• Alinhamento e Integração: Adotar uma visão mais holística
dos riscos para entender melhor as interdependências e o
impacto agregado
• Pro - atividade: As Companhias estão mais ativas e
receptivas ao tema
• Tolerância ao Risco: Definir tolerância e apetite ao risco
• Comunicação em nível de Board: A Gestão de Riscos
é tratada com mais frequência no nível executivo e de
Conselho da organização. Companhias criaram Comitês
focados na Gestão de Riscos
• Habilidades específicas: Alocação de recursos
especializados para endereçar os riscos do negócio (ex:
quantificação dos riscos)
• Monitoramento: Monitoramento contínuo dos riscos
tornou-se mais robusto
• Governança: A Gestão de Riscos deve estar inserida no
modelo de “Governança” da organização.
• Transparência: Compartilhamento de dados, tomada de
decisão e comunicação uniforme na organização
Fonte – (1) Ernst & Young (November 2007), Strategic Business Risk 2008: the top 10 risks for business
Contexto – Gestão de Riscos
Resultados da Pesquisa de Gestão de Riscos
•
O investimento com gerenciamento de riscos, relacionado aos requerimentos regulatórios
e de conformidade, aumentou significativamente na última década
•
O número de Funções de risco aumentou para atender a conformidade destes
requerimentos
–
•
•
Aproximadamente 70% das Companhias possuem sete ou mais funções de riscos em silos
A cobertura e o foco destas funções de riscos aumentaram a dificuldade de gerenciamento
–
Mais de 60% das Companhias acreditam em sobreposição de Funções de risco por dois ou mais
profissionais
–
Mais de 40% das Companhias acreditam que existem riscos que não são administrados por suas
funções de riscos
–
Mais de 90% das Companhias concordam que existem oportunidades de melhoria nos esforços de
gerenciamento de riscos
A maioria das Companhias acreditam que podem obter retorno de seus investimentos em
Gestão de Riscos
–
Mais de 40% das Companhias acreditam que podem obter uma cobertura de riscos maior com um
gasto menor
Fonte – Ernst & Young Risk Survey – results to date through 29 June 2009
Contexto – Gestão de Riscos
Considerações importantes para balanceamento dos riscos, custos e valor
Risco
Valor
Risco
•
•
•
•
•
Conhecemos e compreendemos nossos
Riscos?
Nossa exposição está adequada e alinhada
às Estratégias Corporativas?
Fazemos uso de uma plataforma de
gerenciamento de riscos comum onde
alinhamos todas as funções de
gerenciamento de riscos?
Mantemos um processo de atribuição e
revisão de responsabilidade pelos riscos
claramente definidos?
Suportamos canais de comunicação
integrados e conectados tanto Botton-up
como Top-down?
Existe reporte adequado para os
stakeholders para suportar o processo de
tomada de decisão e melhorar nossa
performance?
Risco
Custo
Custo
•
Valor
•
•
•
•
•
•
•
Focamos nos riscos que de fato são
relevantes?
Temos Funções de riscos duplicadas?
Temos um balanceamento adequado
de controles automáticos x manuais?
Tecnologia e conhecimento são
balanceados para melhorar a
produtividade?
Recursos eficientes são utilizados
para reduzir o tempo de avaliação dos
riscos?
Temos a estratégia de utilizar fontes
alternativas para reduzir custos?
Existem estratégias de diminuição dos
custos?
Valor
Custo
•
•
•
•
•
Obtemos retorno de nossos investimentos
em Gestão de Riscos?
Estamos melhorando nossos processos
através da Gestão de Riscos?
Temos o nível de exposição adequado para
obter vantagem competitiva e agregar valor
ao nosso Negócio?
As funções de risco permitem a
identificação dos riscos e suportam a
tomada de decisão quanto aos níveis de
tolerância aceitos?
As funções de riscos contribuem na
avaliação contínua das iniciativas
estratégicas da companhia (projetos de
capital, aquisições, integração etc.)
Contexto – SOX 404
Monitorar controles
chave definidos pela
organização.
COSO FRAMEWORK
Os Requerimentos de SOX
Identificar controles que mitiguem riscos
Controles que forneçam razoável segurança que erros significativos não
ocorram;
Controles podem ser automatizados e/ou manuais.
§ Ciclo de compras/pagamentos
§ Despesas de viagem
§ Cartões Corporativos
§ Folha de pagamento
§ Ciclo de vendas/recebimentos
§ Contabilidade
Contexto – SOX 404
Controles gerais de TI x Controles de aplicação
A Tecnologia da Informação possui um papel essencial em controles internos pois muitos dados
financeiros dependem de sistemas
Contas
Significativas
Processos
Aplicações
Contas a
Pagar
Contas a
Receber
Folha
Pagto
Ativo
Fixo
Controles Automáticos
De Aplicações
etc.
Aplicações de Âmbito Geral na Empresa
Tecnologia da Informação
Segurança e
Networking de
Informações
Desenvolvimento &
Operações
Gestão de TI
Suporte Técnico &
Gestão DBs
Controles Gerais
de TI
Contexto – A reavaliação do papel da AI
O que move o
gap?
Gap de valor
O Gap de geração de valor
Gap de competências
Metodologia e Ferramentas
Insights
sobre o
negócio
Controles e
Compliance
Não-Negociavel
•
Gap de metodologia e ferramentas
–
–
–
–
–
–
–
–
Abordagem tradicional.
Não dirigida ao risco do negócio.
Foco em unidades auditáveis e localizações
geográficas.
Uso limitado de data analytics.
Treinamentos e desenvolvimento limitados.
Falta de priorização efetiva.
Falta de vontade em mudar.
Sem foco em melhoria dos processos chave.
Fonte – Ernst & Young (November 2008), Global Internal Audit Survey
•
Relevente para o negócio
Advisor
estratégico/
valor gerado
Areas críticas
Gap de competências
–
–
–
–
–
Ausência de modelo de rotação.
Falta de recurso em determinadas áreas.
• IT, IFRS, tesouraria, impostos;
• Prevenção e detecção de fraude.
Atividade da auditoria = recursos disponíveis.
Papel tradicional da auditoria limita o escopo.
Competências chave da indústria.
Dentro desse cenário, o que deve mudar no mundo de controles
internos ? Como estar preparado ?
• O que podemos fazer de
? ?
?
forma melhor ?
• Como ser mais produtivo ?
• Como as novas tecnologias
podem nos ajudar ?
• Quais as prioridades ?
• Quanto devemos investir ?
• Qual a melhor solução
tecnológica ?
Monitoramento Contínuo de Controles (CCM)
CCM ( Continuos Control Monitoring ) é um
conjunto integrado de processos e técnicas,
possibilitados pela tecnologia, que
pretendem ajudar a organização a:
–
Identificar deficiências de controle
–
Localizar em que ponto as deficiências
de controle são exploradas
–
Quantificar o efeito do descumprimento
de controles de forma a entender mais
claramente os riscos
–
Sanar as deficiências de controle pela
raiz
–
Automatizar o monitoramento contínuo
do ambiente de controle
–
Aumentar a eficiência e a eficácia dos
processos de controle
–
Impedir que certos riscos se
concretizem
Um ambiente eficaz de CCM permite
que a organização tenha o equilíbrio
certo entre controles manuais e
automatizados para detectar e impedir
falhas nos controles
Motivadores para se falar sobre CCM
QUESTÕES:
•
•
•
•
CUSTO DA CONFORMIDADE
– A maioria das organizações gasta tempo e
dinheiro significativos para estar em
conformidade com os reguladores e se
preocupam com o alto custo envolvido
CONTROLES MANUAIS
– Muitos dos controles que as organizações
adotam são manuais e intensivos em mãode-obra
RETORNO QUESTIONÁVEL
– Na maioria dos casos, o benefício do
investimento em SOX não é imediatamente
visível para a empresa e o custo de manter
um ambiente de controles manuais não é
sustentável
ESCOPO & CUSTOS GERAIS DE AUDITORIA
– A gestão do escopo e os custos de auditoria
são uma preocupação crescente, tanto da
perspectiva de auditoria interna como de
auditoria externa
IMPLICAÇÕES:
•
NECESSIDADE DE SER MAIS EFICIENTE
– A maioria das organizações acredita que
precisam fazer algo para ser mais
eficientes na automação e no
monitoramento de controles
•
NECESSIDADE DE UMA MELHOR RELAÇÃO
CUSTO-BENEFÍCIO
– A maioria das organizações não
consegue sustentar os custos mais
elevados de conformidade a longo prazo
•
FERRAMENTAS & SOLUÇÕES DE SOFTWARE
– Os fornecedores de software estão
desenvolvendo e promovendo
ativamente novas ferramentas e
técnicas para automatizar o
monitoramento de controles (i.e.,
Approva, Applimation, Logical Apps,
ACL, Virsa, etc.)
Por quê usar mais controles automáticos ?
Source: IT Control Objectives for Sarbanes-Oxley, 2nd Edition
Por quê começar ?
Situação Atual
• Grande quantidade de controles manuais
• Custo elevado de conformidade
Situação Futura Desejada
• Ambiente de controles com melhor relação
custo-benefício
• Monitoramento eficiente dos controles
• Novas soluções de software
• Exceções de controle durante a auditoria anual
• Excesso de confiança nos controles de
detecção
• Número elevado de casos de descumprimento
dos controles
• Foco na conformidade vs. riscos operacionais e
do negócio
• Economias de custo e eficiências geradas por
CCM
• Aumento do número de controles automatizados
• Conscientização contínua sobre risco digital
• Aumento no uso de controles preventivos
• Redução do número de casos de
descumprimento
• Abordar riscos operacionais e do negócio
Sustentabilidade
Considerações: antes de construir um programa de CCM…
1. Crie a fundação de seu programa
de CCM
2. Gerencie o ciclo de vida de seu
programa de CCM
2. Automatize seus controles
usando ferramentas de sistemas
Considerações: antes de construir um programa de CCM…
•Controles de acesso e segregação de funções:
1. Crie a fundação de seu programa
de CCM
Um programa completo de CCM
contempla componentes de
prevenção de risco, detecção,
remediação e compliance.
A maioria das empresas, ao iniciar
um trabalho de CCM, foca
imediatamente em automatização
de controles.
Apesar de crítico, recomendamos
que um processo de CCM contemple
também as seguintes etapas:
•
Minimizam risco de fraudes e garantem a
utilização de alçadas pré-definidas
•
Uma estratégia de CCM deve contemplar
monitoramento de gestão de acessos e
SOD
• Avaliar configurações de sistema e processos
para definir transações que ocorram fora do
ambiente de application controls
• Contemplar controles de modificações de Master
Data, não somente transações
Considerações: antes de construir um programa de CCM…
• Desenho do processo
2. Gerencie o ciclo de vida de seu
programa de CCM
•
Entendimento do objetivo do processo
•
Entendimento de que controles devem ser
monitorados
• Desenvolvimento de regras de negócio
•
Para criar e sustentar um programa
de CCM, as organizações precisam
entender todo o ciclo de vida do
programa, que contempla:
CCM só é efetivo à medida que ele
monitora regras pré definidas
• Otimizar controles
• Validação e racionalização de exceções
• Monitoramento efetivos das soluções para os
gaps identificados durante o monitoramento
contínuo
• Otimização de processo
Considerações: antes de construir um programa de CCM…
• Avaliação do framework de controles atual
3. Automatize seus controles
usando ferramentas de sistemas
• Exercitar e estressar todas as possibilidades de
automatização
• Realizar o monitoramente através da utilização
de ferramentas do próprio sistema ou de mercado
A maximização de controles
automatizados versus a gradual
diminuição de controles manuais
propiciam às organizações a
possibilidade de atender seus
objetivos de ganho de eficiência no
monitoramento de controles
Como Começar ?
Índice de Controles
Automáticos
Inventário dos Processos
Priority
Project Name
1
IT Asset
Landscape
2
Privacy
Diagnostic
Solutions
Alignment
Controls
Optimization
End User
Computing
Control
Revie w
Vendor
Manage ment
Description
Sponsor
Contact
High level study of potential
Sa lluzzo
risk areas and development of
strea mlined audit and IT risk
remedia tion needs including
consideration of control work
being documented under
various projects.
Umbrella review of various
Sa lluzzo
regulatory requirements
regarding data privac y andSignificant Mega
Processes
security that are most
significant to ABC’s global
Cash
business and an assessment
of Receipts
the processes, procedures and
te chnology to ensure
complia nce.
Evaluate application portfolio
Webber
for efficiency and effectiveness
in meeting strategic business
needs.
Evaluate SOX documentation
Webber
for opportunitie s to leverage
application controls.
For the spreadsheets/ databases Webber
[End User Computing (EUC)]
that support a significant
business proce ss where Cash
the
importance is assessed asDisbursements
high
/
or critical, identify and
Payables
recommend policy/procedure
to support audit reliance.
Determine a roadmap to
Webber
address risks related to
outsourcing IT processes.
Provide detailed risk
assessment and risk
management guidance.
Appx.
Size
Appx
Start
Resource s
Required
150
16-Sep
Mgr and Sr
Mgr
Grossberg
Resource
Contact
500
1-Jan
Senior for
8 weeks
Leizerov
LOU
ü
600
120/
process
400
Sr Mgr,
Mgr & Sr
for 6-8
we eks
Sr Mgr,
Mgr & Sr
Análise de Controles de
Processos do Negócio
Sr Mgr,
for 4
200 and Recording
Sr Mgr and
A/P--Receipt
Mgr for 4
(invoices)
we eks
Applications by Region
Asia Pacific
North America
APS
OneGlobe
SAP
APS
AccPac
CitiDirect
MultiCash
AccPac
EMEA
Desk Bank
Latin America
RM
Grossberg
SM Banking
DBS Web Banking
Grossberg
Hexagon Client
Hexagon Server
Levy
Mgr & Sr
Cash Receipts--Lockbox
AP/Cash Disbursements
-we eks
Wire & Check
Mellon Telecash
NA
N/A
SAP
AccPac
AccPac
OneGlobe
Desk Bank
JPMC Insight
MultiCash
PNC Bank
IDDC Direct
Grossberg
AccPac
RM
OneGlobe
SAP
AccPac
Cash Disbursements--Imprest
NA
Excel
NA
NA
AP/Procurement Card
NA
OneGlobe
NA
NA
NA
Works
NA
NA
AccPac
OneGlobe
SAP
AccPac
AP Sub-Contractors
Conhecimento do
Cliente
Schedule, Staffing &
Notes
80% Complete
Process Inventory
Sub Processes
Cash Receipts--Wire and
Checks In Office
Experiências
Externas
Excel
RM
•
Fluxogramas
dos
Processos do
Negócio
(Riscos &
Controles)
Workshop
• Corrigir
• Identificar Controles Compensatórios
• Validar O que Poderia
Dar Errado (WCGWs)
• Avaliar/ Otimizar
Controles
• Identificar Falhas nos
Controle
Controles a Serem • Identificar Controles a
Serem Automatizados
Automatizados
Aplicação
Relatório de
• Emitir Relatório & AperfeiçoarExceções
• Entender o Processo
Validar
Exceções
Desenvolvimento
das Regras
Limites
Excedidos
Identificar Transferências acima de 100 Mil
Acesso a Transações
Críticas
Usuários com Acessos irrestritos
Registros Nãoautorizados
Ajustes Contábeis sem Identificação
Mudanças de
Configuração
Fornecedores com Pagamentos Duplicados
Transações Nãoautorizadas
Controles
Monitorados
Usuários que Liberaram Depósitos
Bloqueados
Registros Duplicados
Fornecedores com Pagamentos Iguais
Falta ou Ausência de
Dados
Aprovações Atípicas Indefinidas
Segregação de
Funções
Acesso Para Criar Fornecedores Diferente
de Pagadores
Dados incorretos
Bens Recebidos no Mesmo Dia da Ordem de
Compra
Alguns Exemplos
O que pode dar errado ?
Exemplos de métricas de CCM
Por onde começar ?
Representação
Representação Gráfica
Gráfica de
de Controles
Controles Integrados
Integrados
Conciliações
Conciliações
Contábeis
Contábeis
Documentação
Documentação
SOX
SOX
Controles
Controles
Manuais
Manuais
Controles
Controles de
de
Dados
Dados Cadastrais
Cadastrais
Controles
Controles de
de
Transações
Transações
Controles
Controles
Configuráveis
Configuráveis
Controles
Controles de
de
Acesso
Acesso
Segregação
Segregação de
de
Funções
Funções
Controles
Controles de
de
Interface
Interface
Controles
Controles Gerais
Gerais do
do Ambiente
Ambiente de
de Informática
Informática
Foco: Vulnerabilidades , Quantidade de controles manuais, Nível de Automação do Processo
Ponto de vista tradicional sobre CCM
Abordagem
Abordagem de
de Avaliação
Avaliação Baseada
Baseada em
em Risco,
Risco, Top-Down
Top-Down
Avaliar
Controles
Controlesaa Nível
Nível da
da Administração
Administração
Racionalização
Racionalização de
de Controles
Controles
Melhorar
Otimização
Otimizaçãode
de Controles
Controles
Monitorar
Monitoramento
de Controles
Manter Nossa Empresa Longe de Problemas
Promover Conformidade Sustentável com a
Melhor Relação Custo-Benefício
Ponto de vista da Ernst & Young sobre CCM
Abordagem
Abordagem de
de Avaliação
Avaliação Baseada
Baseada em
em Risco,
Risco, Top-Down
Top-Down
Avaliar
Controles
Controlesaa Nível
Nível da
da Administração
Administração
Racionalização
Racionalização de
de Controles
Controles
Melhorar
Otimização
Otimizaçãode
de Controles
Controles
Monitorar
Conformidade
Conformidade &&
Monitoramento
Monitoramento de
de
Controles
Controles
Manter Nossa Empresa Longe de Problemas
Promover Conformidade Sustentável com a
Melhor Relação Custo-Benefício
Monitoramento
de Controles
Monitoramento
Monitoramento do
do
Desempenho
Desempenho do
do
Negócio
Negócio && Suporte
Suporte àà
Tomada
Tomada de
de
Decisões
Decisões
Tornar Nossa Empresa Melhor
Promover Melhorias dos Processos &
Operacionais
Explorando possibilidades
Somente para
para fins
fins ilustrativos
ilustrativos
Somente
Perguntas para serem respondidas pelas organizações
Quão efetivo é o uso de CCM ou Data Analytics na sua organização:
► Quão dependente você é de um número reduzido de pessoas para obtenção de dados do
sistema?
► Quantas regras de CCM ou Data Analytics permaneceram inalteradas desde sua criação?
► Em que grau você integra técnicas de Data Analytics em novos processos?
► Seus auditores fazem um exercício pro ativo de verificar como incluir Data Analytics em
100% de suas auditorias?
Muito obrigado
Palestrante:
Juliana Pereira
[email protected]
Diretora