CCM - Rutgers Accounting Web

Continuous
Control
Monitoring
Metodologia de Implementação
Wilson Luiz Gellacic
Partner
1
Agenda
• Revendo os Conceitos sobre Controles
• Por quê Focar em Controles Automáticos
• Oportunidades Existentes
• Como Implementar Monitoramento Contínuo
• Alguns Exemplos
• O Futuro Bate à nossa Porta
2
Atividade
Preparar a Documentação e Avaliar Controles Abordagem SOX
Contas contábeis e sistemas relacionados
Avaliar
/Monitorar
Documentação e controles
Processo
2003
Financial
Statements
Demonstrações
financeiras
Contas
Significativas
?
Processos
significativos
Riscos inerentes
e de negócio
Riscos: O que
Poderia dar errado?
Controles
Assertivas
Identificar controles que mitiguem riscos
• Controles que forneçam razoável segurança que erros significativos não ocorram;
• Controles podem ser automatizados e/ou manuais.
• Exemplo: Conta de Estoque:
Existência: produtos finais são registrados quando disponíveis
Processo: processo de remessa do armazém
O Que Pode Dar Errado? Carregamento não ser registrado
Controle: realizar contagem de inventário todo mês
3
Testes/
Monitoramento
Controles gerais de TI x Controles de aplicação
A Tecnologia da Informação possui um papel essencial em controles internos
pois muitos dados financeiros dependem de sistemas
Contas
Significativas
Processos
Aplicações
Contas a
Pagar
Contas a
Receber
Folha
Pagto
Ativo
Fixo
Controles Automáticos
De Aplicações
etc.
Aplicações de Âmbito Geral na Empresa
Tecnologia da Informação
Segurança e
Networking de
Informações
4
Desenvolvimento &
Operações
Gestão de TI
Suporte Técnico &
Gestão DBs
Controles Gerais
de TI
O ambiente atual de tecnologia permite explorar novas
possibilidades em controles automáticos
Departamento
Provedor
de
Acesso
Remoto
Data Center
Estação
Local
Firewall
Firewall
Internet
Firewall
Parceiro de
Negócios
Intranet
Home Office
Funcionário em Trânsito
5
Servidor de
Informações Públicas
Por quê usar mais controles automáticos ?
Source: IT Control Objectives for Sarbanes-Oxley, 2nd Edition
6
Tecnologia e Negócios estão cada vez mais integrados
Negócio
F
O
R
N
E
C
E
D
O
R
E
S
Business Strategy + Process
e-Business Services
Knowledge Management
Supply
Chain
Management
Enterprise
Resource
Planning
Customer
Customer
Relationship
Management
Management
Business Intelligence
e-Business Services
Web + IT Integration
Tecnologia
7
C
L
I
E
N
T
E
S
Dentro desse cenário, o que deve mudar no mundo de
controles internos ? Como estar preparado ?
• O que podemos fazer de forma
? ?
?
melhor ?
• Como ser mais produtivo ?
• Como as novas tecnologias
podem nos ajudar ?
• Quais as prioridades ?
• Quanto devemos investir ?
• Qual a melhor solução
tecnológica ?
Monitoramento Contínuo de Controles (CCM)
CCM ( Continuos Control Monitoring ) é um
conjunto integrado de processos e
técnicas, possibilitados pela tecnologia, que
pretendem ajudar a organização a:
– Identificar deficiências de controle
– Localizar em que ponto as deficiências de
controle são exploradas
– Quantificar o efeito do descumprimento de
controles de forma a entender mais
claramente os riscos
– Sanar as deficiências de controle pela raiz
– Automatizar o monitoramento contínuo do
ambiente de controle
– Aumentar a eficiência e a eficácia dos
processos de controle
– Impedir que certos riscos se concretizem
9
• Um ambiente eficaz de CCM permite
que a organização tenha o equilíbrio
certo entre controles manuais e
automatizados para detectar e
impedir falhas nos controles
Motivadores para se falar sobre CCM
Questões
• CUSTO DA CONFORMIDADE
–
A maioria das organizações gasta tempo e
dinheiro significativos para estar em conformidade
com os reguladorers e se preocupam com o alto
custo envolvido
• CONTROLES MANUAIS
–
Muitos dos controles que as organizações adotam
são manuais e intensivos em mão-de-obra
Implicações
• NECESSIDADE DE SER MAIS
EFICIENTE
–
• NECESSIDADE DE UMA MELHOR
RELAÇÃO CUSTO-BENEFÍCIO
–
• RETORNO QUESTIONÁVEL
–
•
ESCOPO & CUSTOS GERAIS DE AUDITORIA
–
10
Na maioria dos casos, o benefício do investimento
em SOX não é imediatamente visível para a
empresa e o custo de manter um ambiente de
controles manuais não é sustentável
A gestão do escopo e os custos de auditoria são
uma preocupação crescente, tanto da perspectiva
de auditoria interna como de auditoria externa
A maioria das organizações acredita que precisam
fazer algo para ser mais eficientes na automação e
no monitoramento de controles
A maioria das organizações não consegue sustentar
os custos mais elevados de conformidade a longo
prazo
• FERRAMENTAS & SOLUÇÕES DE
SOFTWARE
–
Os fornecedores de software estão desenvolvendo e
promovendo ativamente novas ferramentas e
técnicas para automatizar o monitoramento de
controles (i.e., Approva, Applimation, Logical Apps,
Virsa, etc.)
CCM pode ajudar as organizações a
reduzir os esforços de auditoria e
gestão de riscos
11
Limites
Excedidos
Identificar Transferências acima de 100 Mil
Acesso a Transações
Críticas
Usuários com Acessos irrestritos
Registros Nãoautorizados
Ajustes Contábeis sem Identificação
Mudanças de
Configuração
Fornecedores com Pagamentos Duplicados
Transações Nãoautorizadas
Controles
Monitorados
Usuários que Liberaram Depósitos
Bloqueados
Registros Duplicados
Fornecedores com Pagamentos Iguais
Falta ou Ausência de
Dados
Aprovações Atípicas Indefinidas
Segregação de
Funções
Acesso Para Criar Fornecedores Diferente
de Pagadores
Dados incorretos
Bens Recebidos no Mesmo Dia da Ordem de
Compra
Alguns Exemplos
O que pode dar errado ?
Exemplos de métricas de CCM
Por quê começar ?
Situação Atual
• Grande quantidade de controles manuais
• Custo elevado de conformidade
• Novas soluções de software
• Exceções de controle durante a auditoria
anual
• Excesso de confiança nos controles de
detecção
• Número elevado de casos de
descumprimento dos controles
• Foco na conformidade vs. riscos
operacionais e do negócio
12
Situação Futura Desejada
• Ambiente de controles com melhor relação custobenefício
• Monitoramento eficiente dos controles
• Economias de custo e eficiências geradas por
CCM
• Aumento do número de controles automatizados
• Conscientização contínua sobre risco digital
• Aumento no uso de controles preventivos
• Redução do número de casos de descumprimento
• Abordar riscos operacionais e do negócio
Sustentabilidade
Por onde começar ?
Representação
Representação Gráfica
Gráfica de
de Controles
Controles Integrados
Integrados
Conciliações
Conciliações
Contábeis
Contábeis
Documentação
Documentação
SOX
SOX
Controles
Controles
Manuais
Manuais
Controles
Controles de
de
Dados
Dados Cadastrais
Cadastrais
Controles
Controles de
de
Transações
Transações
Controles
Controles
Configuráveis
Configuráveis
Controles
Controles de
de
Acesso
Acesso
Segregação
Segregação de
de
Funções
Funções
Controles
Controles de
de
Interface
Interface
Controles
Controles Gerais
Gerais do
do Ambiente
Ambiente de
de Informática
Informática
Foco: Vulnerabilidades , Quantidade de controles manuais, Nível de Automação do Processo
13
Como Começar ?
Inventário dos Processos
Priority
Project Name
1
IT Asset
Landscape
2
Privacy
Diagnostic
Solutions
Alignment
Controls
Optimization
End User
Computing
Control
Revie w
Vendor
Manage ment
Description
Sponsor
Contact
High level study of potential
Sa lluzzo
risk areas and development of
strea mlined audit and IT risk
remedia tion needs including
consideration of control work
being documented under
various projects.
Umbrella review of various
Sa lluzzo
regulatory requirements
regarding data privac y andSignificant Mega
Processes
security that are most
significant to ABC’s global
Cash
business and an assessment
of Receipts
the processes, procedures and
te chnology to ensure
complia nce.
Evaluate application portfolio
Webber
for efficiency and effectiveness
in meeting strategic business
needs.
Evaluate SOX documentation
Webber
for opportunitie s to leverage
application controls.
For the spreadsheets/ databases Webber
[End User Computing (EUC)]
that support a significant
business proce ss where Cash
the
importance is assessed asDisbursements
high
/
or critical, identify and
Payables
recommend policy/procedure
to support audit reliance.
Determine a roadmap to
Webber
address risks related to
outsourcing IT processes.
Provide detailed risk
assessment and risk
management guidance.
Appx.
Size
Appx
Start
Resource s
Required
150
16-Sep
Mgr and Sr
Mgr
Grossberg
Resource
Contact
500
1-Jan
Senior for
8 weeks
Leizerov
LOU
ü
600
120/
process
400
Sr Mgr,
Mgr & Sr
for 6-8
we eks
Sr Mgr,
Mgr & Sr
Sr Mgr,
for 4
200 and Recording
Sr Mgr and
A/P--Receipt
Mgr for 4
(invoices)
we eks
North America
APS
OneGlobe
SAP
APS
AccPac
CitiDirect
MultiCash
EMEA
AccPac
Desk Bank
Latin America
RM
Grossberg
SM Banking
DBS Web Banking
Grossberg
Hexagon Client
Hexagon Server
Levy
Mellon Telecash
NA
N/A
SAP
AccPac
AccPac
OneGlobe
Desk Bank
JPMC Insight
MultiCash
PNC Bank
IDDC Direct
Grossberg
AccPac
RM
OneGlobe
SAP
AccPac
Cash Disbursements--Imprest
NA
Excel
NA
NA
AP/Procurement Card
NA
OneGlobe
NA
NA
NA
Works
NA
NA
AccPac
OneGlobe
SAP
AccPac
AP Sub-Contractors
Excel
RM
•
Fluxogramas
dos
Processos do
Negócio
(Riscos &
Controles)
Workshop
• Entender o Processo
• Validar O que Poderia
Dar Errado (WCGWs)
• Avaliar/ Otimizar
Controles
• Identificar Falhas nos
Controle
Controles a Serem • Identificar Controles a
Serem Automatizados
Automatizados
Aplicação
Relatório de
Exceções
• Emitir Relatório & Aperfeiçoar
• Corrigir
• Identificar Controles Compensatórios
14
Conhecimento do
Cliente
Análise de Controles de
Processos do Negócio
Applications by Region
Asia Pacific
Mgr & Sr
Cash Receipts--Lockbox
AP/Cash Disbursements
-we eks
Wire & Check
Experiências
Externas
Schedule, Staffing &
Notes
80% Complete
Process Inventory
Sub Processes
Cash Receipts--Wire and
Checks In Office
Índice de Controles
Automáticos
Validar
Exceções
Desenvolvimento
das Regras
Ponto de vista tradicional sobre CCM
Abordagem
Abordagem de
de Avaliação
Avaliação Baseada
Baseada em
em Risco,
Risco, Top-Down
Top-Down
Avaliar
Controles
Controlesaa Nível
Nível da
da Administração
Administração
Racionalização
Racionalização de
de Controles
Controles
Melhorar
Otimização
Otimizaçãode
de Controles
Controles
Monitorar
Monitoramento
de Controles
Manter Nossa Empresa Longe de Problemas
Promover Conformidade Sustentável com a
Melhor Relação Custo-Benefício
15
Ponto de vista da Ernst & Young sobre CCM
Abordagem
Abordagem de
de Avaliação
Avaliação Baseada
Baseada em
em Risco,
Risco, Top-Down
Top-Down
Avaliar
Controles
Controlesaa Nível
Nível da
da Administração
Administração
Racionalização
Racionalização de
de Controles
Controles
Melhorar
Otimização
Otimizaçãode
de Controles
Controles
Monitorar
Conformidade
Conformidade &&
Monitoramento
Monitoramento de
de
Controles
Controles
Manter Nossa Empresa Longe de Problemas
Promover Conformidade Sustentável com a
Melhor Relação Custo-Benefício
16
Monitoramento
de Controles
Monitoramento
Monitoramento do
do
Desempenho
Desempenho do
do
Negócio
Negócio && Suporte
Suporte àà
Tomada
Tomada de
de
Decisões
Decisões
Tornar Nossa Empresa Melhor
Promover Melhorias dos Processos &
Operacionais
Explorando possibilidades
Somente para
para fins
fins ilustrativos
ilustrativos
Somente
17
Muito obrigado
Palestrante:
Wilson Luiz Gellacic
[email protected]
Sócio
18