Auditoria Contínua_CCM - Instituto dos Auditores Internos do Brasil
Transcrição
Auditoria Contínua_CCM - Instituto dos Auditores Internos do Brasil
Auditoria Contínua CCM – Continuous Control Monitoring AUDITORIA INTERNA NO CONBRAI 2009. Juliana Pereira Ernst & Young Agenda • • • • • • Contexto Revendo os Conceitos sobre Controles Por quê Focar em Controles Automáticos Oportunidades Existentes Como Implementar Monitoramento Contínuo Alguns Exemplos Contexto – Gestão de Riscos Gestão de Riscos – Tendências e Perspectivas Melhores Práticas ganham destaque no contexto de crise global: • Mudança de atitude: Risco representa ameaças, mas também oportunidades. A Gestão de Riscos deve ser uma ferramenta para proteger e estimular a melhoria de performance, colaborando para a identificação de oportunidades e agregando valor ao negócio • Alinhamento e Integração: Adotar uma visão mais holística dos riscos para entender melhor as interdependências e o impacto agregado • Pro - atividade: As Companhias estão mais ativas e receptivas ao tema • Tolerância ao Risco: Definir tolerância e apetite ao risco • Comunicação em nível de Board: A Gestão de Riscos é tratada com mais frequência no nível executivo e de Conselho da organização. Companhias criaram Comitês focados na Gestão de Riscos • Habilidades específicas: Alocação de recursos especializados para endereçar os riscos do negócio (ex: quantificação dos riscos) • Monitoramento: Monitoramento contínuo dos riscos tornou-se mais robusto • Governança: A Gestão de Riscos deve estar inserida no modelo de “Governança” da organização. • Transparência: Compartilhamento de dados, tomada de decisão e comunicação uniforme na organização Fonte – (1) Ernst & Young (November 2007), Strategic Business Risk 2008: the top 10 risks for business Contexto – Gestão de Riscos Resultados da Pesquisa de Gestão de Riscos • O investimento com gerenciamento de riscos, relacionado aos requerimentos regulatórios e de conformidade, aumentou significativamente na última década • O número de Funções de risco aumentou para atender a conformidade destes requerimentos – • • Aproximadamente 70% das Companhias possuem sete ou mais funções de riscos em silos A cobertura e o foco destas funções de riscos aumentaram a dificuldade de gerenciamento – Mais de 60% das Companhias acreditam em sobreposição de Funções de risco por dois ou mais profissionais – Mais de 40% das Companhias acreditam que existem riscos que não são administrados por suas funções de riscos – Mais de 90% das Companhias concordam que existem oportunidades de melhoria nos esforços de gerenciamento de riscos A maioria das Companhias acreditam que podem obter retorno de seus investimentos em Gestão de Riscos – Mais de 40% das Companhias acreditam que podem obter uma cobertura de riscos maior com um gasto menor Fonte – Ernst & Young Risk Survey – results to date through 29 June 2009 Contexto – Gestão de Riscos Considerações importantes para balanceamento dos riscos, custos e valor Risco Valor Risco • • • • • Conhecemos e compreendemos nossos Riscos? Nossa exposição está adequada e alinhada às Estratégias Corporativas? Fazemos uso de uma plataforma de gerenciamento de riscos comum onde alinhamos todas as funções de gerenciamento de riscos? Mantemos um processo de atribuição e revisão de responsabilidade pelos riscos claramente definidos? Suportamos canais de comunicação integrados e conectados tanto Botton-up como Top-down? Existe reporte adequado para os stakeholders para suportar o processo de tomada de decisão e melhorar nossa performance? Risco Custo Custo • Valor • • • • • • • Focamos nos riscos que de fato são relevantes? Temos Funções de riscos duplicadas? Temos um balanceamento adequado de controles automáticos x manuais? Tecnologia e conhecimento são balanceados para melhorar a produtividade? Recursos eficientes são utilizados para reduzir o tempo de avaliação dos riscos? Temos a estratégia de utilizar fontes alternativas para reduzir custos? Existem estratégias de diminuição dos custos? Valor Custo • • • • • Obtemos retorno de nossos investimentos em Gestão de Riscos? Estamos melhorando nossos processos através da Gestão de Riscos? Temos o nível de exposição adequado para obter vantagem competitiva e agregar valor ao nosso Negócio? As funções de risco permitem a identificação dos riscos e suportam a tomada de decisão quanto aos níveis de tolerância aceitos? As funções de riscos contribuem na avaliação contínua das iniciativas estratégicas da companhia (projetos de capital, aquisições, integração etc.) Contexto – SOX 404 Monitorar controles chave definidos pela organização. COSO FRAMEWORK Os Requerimentos de SOX Identificar controles que mitiguem riscos Controles que forneçam razoável segurança que erros significativos não ocorram; Controles podem ser automatizados e/ou manuais. § Ciclo de compras/pagamentos § Despesas de viagem § Cartões Corporativos § Folha de pagamento § Ciclo de vendas/recebimentos § Contabilidade Contexto – SOX 404 Controles gerais de TI x Controles de aplicação A Tecnologia da Informação possui um papel essencial em controles internos pois muitos dados financeiros dependem de sistemas Contas Significativas Processos Aplicações Contas a Pagar Contas a Receber Folha Pagto Ativo Fixo Controles Automáticos De Aplicações etc. Aplicações de Âmbito Geral na Empresa Tecnologia da Informação Segurança e Networking de Informações Desenvolvimento & Operações Gestão de TI Suporte Técnico & Gestão DBs Controles Gerais de TI Contexto – A reavaliação do papel da AI O que move o gap? Gap de valor O Gap de geração de valor Gap de competências Metodologia e Ferramentas Insights sobre o negócio Controles e Compliance Não-Negociavel • Gap de metodologia e ferramentas – – – – – – – – Abordagem tradicional. Não dirigida ao risco do negócio. Foco em unidades auditáveis e localizações geográficas. Uso limitado de data analytics. Treinamentos e desenvolvimento limitados. Falta de priorização efetiva. Falta de vontade em mudar. Sem foco em melhoria dos processos chave. Fonte – Ernst & Young (November 2008), Global Internal Audit Survey • Relevente para o negócio Advisor estratégico/ valor gerado Areas críticas Gap de competências – – – – – Ausência de modelo de rotação. Falta de recurso em determinadas áreas. • IT, IFRS, tesouraria, impostos; • Prevenção e detecção de fraude. Atividade da auditoria = recursos disponíveis. Papel tradicional da auditoria limita o escopo. Competências chave da indústria. Dentro desse cenário, o que deve mudar no mundo de controles internos ? Como estar preparado ? • O que podemos fazer de ? ? ? forma melhor ? • Como ser mais produtivo ? • Como as novas tecnologias podem nos ajudar ? • Quais as prioridades ? • Quanto devemos investir ? • Qual a melhor solução tecnológica ? Monitoramento Contínuo de Controles (CCM) CCM ( Continuos Control Monitoring ) é um conjunto integrado de processos e técnicas, possibilitados pela tecnologia, que pretendem ajudar a organização a: – Identificar deficiências de controle – Localizar em que ponto as deficiências de controle são exploradas – Quantificar o efeito do descumprimento de controles de forma a entender mais claramente os riscos – Sanar as deficiências de controle pela raiz – Automatizar o monitoramento contínuo do ambiente de controle – Aumentar a eficiência e a eficácia dos processos de controle – Impedir que certos riscos se concretizem Um ambiente eficaz de CCM permite que a organização tenha o equilíbrio certo entre controles manuais e automatizados para detectar e impedir falhas nos controles Motivadores para se falar sobre CCM QUESTÕES: • • • • CUSTO DA CONFORMIDADE – A maioria das organizações gasta tempo e dinheiro significativos para estar em conformidade com os reguladores e se preocupam com o alto custo envolvido CONTROLES MANUAIS – Muitos dos controles que as organizações adotam são manuais e intensivos em mãode-obra RETORNO QUESTIONÁVEL – Na maioria dos casos, o benefício do investimento em SOX não é imediatamente visível para a empresa e o custo de manter um ambiente de controles manuais não é sustentável ESCOPO & CUSTOS GERAIS DE AUDITORIA – A gestão do escopo e os custos de auditoria são uma preocupação crescente, tanto da perspectiva de auditoria interna como de auditoria externa IMPLICAÇÕES: • NECESSIDADE DE SER MAIS EFICIENTE – A maioria das organizações acredita que precisam fazer algo para ser mais eficientes na automação e no monitoramento de controles • NECESSIDADE DE UMA MELHOR RELAÇÃO CUSTO-BENEFÍCIO – A maioria das organizações não consegue sustentar os custos mais elevados de conformidade a longo prazo • FERRAMENTAS & SOLUÇÕES DE SOFTWARE – Os fornecedores de software estão desenvolvendo e promovendo ativamente novas ferramentas e técnicas para automatizar o monitoramento de controles (i.e., Approva, Applimation, Logical Apps, ACL, Virsa, etc.) Por quê usar mais controles automáticos ? Source: IT Control Objectives for Sarbanes-Oxley, 2nd Edition Por quê começar ? Situação Atual • Grande quantidade de controles manuais • Custo elevado de conformidade Situação Futura Desejada • Ambiente de controles com melhor relação custo-benefício • Monitoramento eficiente dos controles • Novas soluções de software • Exceções de controle durante a auditoria anual • Excesso de confiança nos controles de detecção • Número elevado de casos de descumprimento dos controles • Foco na conformidade vs. riscos operacionais e do negócio • Economias de custo e eficiências geradas por CCM • Aumento do número de controles automatizados • Conscientização contínua sobre risco digital • Aumento no uso de controles preventivos • Redução do número de casos de descumprimento • Abordar riscos operacionais e do negócio Sustentabilidade Considerações: antes de construir um programa de CCM… 1. Crie a fundação de seu programa de CCM 2. Gerencie o ciclo de vida de seu programa de CCM 2. Automatize seus controles usando ferramentas de sistemas Considerações: antes de construir um programa de CCM… •Controles de acesso e segregação de funções: 1. Crie a fundação de seu programa de CCM Um programa completo de CCM contempla componentes de prevenção de risco, detecção, remediação e compliance. A maioria das empresas, ao iniciar um trabalho de CCM, foca imediatamente em automatização de controles. Apesar de crítico, recomendamos que um processo de CCM contemple também as seguintes etapas: • Minimizam risco de fraudes e garantem a utilização de alçadas pré-definidas • Uma estratégia de CCM deve contemplar monitoramento de gestão de acessos e SOD • Avaliar configurações de sistema e processos para definir transações que ocorram fora do ambiente de application controls • Contemplar controles de modificações de Master Data, não somente transações Considerações: antes de construir um programa de CCM… • Desenho do processo 2. Gerencie o ciclo de vida de seu programa de CCM • Entendimento do objetivo do processo • Entendimento de que controles devem ser monitorados • Desenvolvimento de regras de negócio • Para criar e sustentar um programa de CCM, as organizações precisam entender todo o ciclo de vida do programa, que contempla: CCM só é efetivo à medida que ele monitora regras pré definidas • Otimizar controles • Validação e racionalização de exceções • Monitoramento efetivos das soluções para os gaps identificados durante o monitoramento contínuo • Otimização de processo Considerações: antes de construir um programa de CCM… • Avaliação do framework de controles atual 3. Automatize seus controles usando ferramentas de sistemas • Exercitar e estressar todas as possibilidades de automatização • Realizar o monitoramente através da utilização de ferramentas do próprio sistema ou de mercado A maximização de controles automatizados versus a gradual diminuição de controles manuais propiciam às organizações a possibilidade de atender seus objetivos de ganho de eficiência no monitoramento de controles Como Começar ? Índice de Controles Automáticos Inventário dos Processos Priority Project Name 1 IT Asset Landscape 2 Privacy Diagnostic Solutions Alignment Controls Optimization End User Computing Control Revie w Vendor Manage ment Description Sponsor Contact High level study of potential Sa lluzzo risk areas and development of strea mlined audit and IT risk remedia tion needs including consideration of control work being documented under various projects. Umbrella review of various Sa lluzzo regulatory requirements regarding data privac y andSignificant Mega Processes security that are most significant to ABC’s global Cash business and an assessment of Receipts the processes, procedures and te chnology to ensure complia nce. Evaluate application portfolio Webber for efficiency and effectiveness in meeting strategic business needs. Evaluate SOX documentation Webber for opportunitie s to leverage application controls. For the spreadsheets/ databases Webber [End User Computing (EUC)] that support a significant business proce ss where Cash the importance is assessed asDisbursements high / or critical, identify and Payables recommend policy/procedure to support audit reliance. Determine a roadmap to Webber address risks related to outsourcing IT processes. Provide detailed risk assessment and risk management guidance. Appx. Size Appx Start Resource s Required 150 16-Sep Mgr and Sr Mgr Grossberg Resource Contact 500 1-Jan Senior for 8 weeks Leizerov LOU ü 600 120/ process 400 Sr Mgr, Mgr & Sr for 6-8 we eks Sr Mgr, Mgr & Sr Análise de Controles de Processos do Negócio Sr Mgr, for 4 200 and Recording Sr Mgr and A/P--Receipt Mgr for 4 (invoices) we eks Applications by Region Asia Pacific North America APS OneGlobe SAP APS AccPac CitiDirect MultiCash AccPac EMEA Desk Bank Latin America RM Grossberg SM Banking DBS Web Banking Grossberg Hexagon Client Hexagon Server Levy Mgr & Sr Cash Receipts--Lockbox AP/Cash Disbursements -we eks Wire & Check Mellon Telecash NA N/A SAP AccPac AccPac OneGlobe Desk Bank JPMC Insight MultiCash PNC Bank IDDC Direct Grossberg AccPac RM OneGlobe SAP AccPac Cash Disbursements--Imprest NA Excel NA NA AP/Procurement Card NA OneGlobe NA NA NA Works NA NA AccPac OneGlobe SAP AccPac AP Sub-Contractors Conhecimento do Cliente Schedule, Staffing & Notes 80% Complete Process Inventory Sub Processes Cash Receipts--Wire and Checks In Office Experiências Externas Excel RM • Fluxogramas dos Processos do Negócio (Riscos & Controles) Workshop • Corrigir • Identificar Controles Compensatórios • Validar O que Poderia Dar Errado (WCGWs) • Avaliar/ Otimizar Controles • Identificar Falhas nos Controle Controles a Serem • Identificar Controles a Serem Automatizados Automatizados Aplicação Relatório de • Emitir Relatório & AperfeiçoarExceções • Entender o Processo Validar Exceções Desenvolvimento das Regras Limites Excedidos Identificar Transferências acima de 100 Mil Acesso a Transações Críticas Usuários com Acessos irrestritos Registros Nãoautorizados Ajustes Contábeis sem Identificação Mudanças de Configuração Fornecedores com Pagamentos Duplicados Transações Nãoautorizadas Controles Monitorados Usuários que Liberaram Depósitos Bloqueados Registros Duplicados Fornecedores com Pagamentos Iguais Falta ou Ausência de Dados Aprovações Atípicas Indefinidas Segregação de Funções Acesso Para Criar Fornecedores Diferente de Pagadores Dados incorretos Bens Recebidos no Mesmo Dia da Ordem de Compra Alguns Exemplos O que pode dar errado ? Exemplos de métricas de CCM Por onde começar ? Representação Representação Gráfica Gráfica de de Controles Controles Integrados Integrados Conciliações Conciliações Contábeis Contábeis Documentação Documentação SOX SOX Controles Controles Manuais Manuais Controles Controles de de Dados Dados Cadastrais Cadastrais Controles Controles de de Transações Transações Controles Controles Configuráveis Configuráveis Controles Controles de de Acesso Acesso Segregação Segregação de de Funções Funções Controles Controles de de Interface Interface Controles Controles Gerais Gerais do do Ambiente Ambiente de de Informática Informática Foco: Vulnerabilidades , Quantidade de controles manuais, Nível de Automação do Processo Ponto de vista tradicional sobre CCM Abordagem Abordagem de de Avaliação Avaliação Baseada Baseada em em Risco, Risco, Top-Down Top-Down Avaliar Controles Controlesaa Nível Nível da da Administração Administração Racionalização Racionalização de de Controles Controles Melhorar Otimização Otimizaçãode de Controles Controles Monitorar Monitoramento de Controles Manter Nossa Empresa Longe de Problemas Promover Conformidade Sustentável com a Melhor Relação Custo-Benefício Ponto de vista da Ernst & Young sobre CCM Abordagem Abordagem de de Avaliação Avaliação Baseada Baseada em em Risco, Risco, Top-Down Top-Down Avaliar Controles Controlesaa Nível Nível da da Administração Administração Racionalização Racionalização de de Controles Controles Melhorar Otimização Otimizaçãode de Controles Controles Monitorar Conformidade Conformidade && Monitoramento Monitoramento de de Controles Controles Manter Nossa Empresa Longe de Problemas Promover Conformidade Sustentável com a Melhor Relação Custo-Benefício Monitoramento de Controles Monitoramento Monitoramento do do Desempenho Desempenho do do Negócio Negócio && Suporte Suporte àà Tomada Tomada de de Decisões Decisões Tornar Nossa Empresa Melhor Promover Melhorias dos Processos & Operacionais Explorando possibilidades Somente para para fins fins ilustrativos ilustrativos Somente Perguntas para serem respondidas pelas organizações Quão efetivo é o uso de CCM ou Data Analytics na sua organização: ► Quão dependente você é de um número reduzido de pessoas para obtenção de dados do sistema? ► Quantas regras de CCM ou Data Analytics permaneceram inalteradas desde sua criação? ► Em que grau você integra técnicas de Data Analytics em novos processos? ► Seus auditores fazem um exercício pro ativo de verificar como incluir Data Analytics em 100% de suas auditorias? Muito obrigado Palestrante: Juliana Pereira [email protected] Diretora
Documentos relacionados
Manual de Controles Internos e Compliance
O controle está associado à diminuição da incerteza em relação a eventos futuros. Tudo está sob controle se o grau de dúvida em relação aos procedimentos de todas as atividades, e suas conseqüência...
Leia mais