CCM - Rutgers Accounting Web
Transcrição
CCM - Rutgers Accounting Web
Continuous Control Monitoring Metodologia de Implementação Wilson Luiz Gellacic Partner 1 Agenda • Revendo os Conceitos sobre Controles • Por quê Focar em Controles Automáticos • Oportunidades Existentes • Como Implementar Monitoramento Contínuo • Alguns Exemplos • O Futuro Bate à nossa Porta 2 Atividade Preparar a Documentação e Avaliar Controles Abordagem SOX Contas contábeis e sistemas relacionados Avaliar /Monitorar Documentação e controles Processo 2003 Financial Statements Demonstrações financeiras Contas Significativas ? Processos significativos Riscos inerentes e de negócio Riscos: O que Poderia dar errado? Controles Assertivas Identificar controles que mitiguem riscos • Controles que forneçam razoável segurança que erros significativos não ocorram; • Controles podem ser automatizados e/ou manuais. • Exemplo: Conta de Estoque: Existência: produtos finais são registrados quando disponíveis Processo: processo de remessa do armazém O Que Pode Dar Errado? Carregamento não ser registrado Controle: realizar contagem de inventário todo mês 3 Testes/ Monitoramento Controles gerais de TI x Controles de aplicação A Tecnologia da Informação possui um papel essencial em controles internos pois muitos dados financeiros dependem de sistemas Contas Significativas Processos Aplicações Contas a Pagar Contas a Receber Folha Pagto Ativo Fixo Controles Automáticos De Aplicações etc. Aplicações de Âmbito Geral na Empresa Tecnologia da Informação Segurança e Networking de Informações 4 Desenvolvimento & Operações Gestão de TI Suporte Técnico & Gestão DBs Controles Gerais de TI O ambiente atual de tecnologia permite explorar novas possibilidades em controles automáticos Departamento Provedor de Acesso Remoto Data Center Estação Local Firewall Firewall Internet Firewall Parceiro de Negócios Intranet Home Office Funcionário em Trânsito 5 Servidor de Informações Públicas Por quê usar mais controles automáticos ? Source: IT Control Objectives for Sarbanes-Oxley, 2nd Edition 6 Tecnologia e Negócios estão cada vez mais integrados Negócio F O R N E C E D O R E S Business Strategy + Process e-Business Services Knowledge Management Supply Chain Management Enterprise Resource Planning Customer Customer Relationship Management Management Business Intelligence e-Business Services Web + IT Integration Tecnologia 7 C L I E N T E S Dentro desse cenário, o que deve mudar no mundo de controles internos ? Como estar preparado ? • O que podemos fazer de forma ? ? ? melhor ? • Como ser mais produtivo ? • Como as novas tecnologias podem nos ajudar ? • Quais as prioridades ? • Quanto devemos investir ? • Qual a melhor solução tecnológica ? Monitoramento Contínuo de Controles (CCM) CCM ( Continuos Control Monitoring ) é um conjunto integrado de processos e técnicas, possibilitados pela tecnologia, que pretendem ajudar a organização a: – Identificar deficiências de controle – Localizar em que ponto as deficiências de controle são exploradas – Quantificar o efeito do descumprimento de controles de forma a entender mais claramente os riscos – Sanar as deficiências de controle pela raiz – Automatizar o monitoramento contínuo do ambiente de controle – Aumentar a eficiência e a eficácia dos processos de controle – Impedir que certos riscos se concretizem 9 • Um ambiente eficaz de CCM permite que a organização tenha o equilíbrio certo entre controles manuais e automatizados para detectar e impedir falhas nos controles Motivadores para se falar sobre CCM Questões • CUSTO DA CONFORMIDADE – A maioria das organizações gasta tempo e dinheiro significativos para estar em conformidade com os reguladorers e se preocupam com o alto custo envolvido • CONTROLES MANUAIS – Muitos dos controles que as organizações adotam são manuais e intensivos em mão-de-obra Implicações • NECESSIDADE DE SER MAIS EFICIENTE – • NECESSIDADE DE UMA MELHOR RELAÇÃO CUSTO-BENEFÍCIO – • RETORNO QUESTIONÁVEL – • ESCOPO & CUSTOS GERAIS DE AUDITORIA – 10 Na maioria dos casos, o benefício do investimento em SOX não é imediatamente visível para a empresa e o custo de manter um ambiente de controles manuais não é sustentável A gestão do escopo e os custos de auditoria são uma preocupação crescente, tanto da perspectiva de auditoria interna como de auditoria externa A maioria das organizações acredita que precisam fazer algo para ser mais eficientes na automação e no monitoramento de controles A maioria das organizações não consegue sustentar os custos mais elevados de conformidade a longo prazo • FERRAMENTAS & SOLUÇÕES DE SOFTWARE – Os fornecedores de software estão desenvolvendo e promovendo ativamente novas ferramentas e técnicas para automatizar o monitoramento de controles (i.e., Approva, Applimation, Logical Apps, Virsa, etc.) CCM pode ajudar as organizações a reduzir os esforços de auditoria e gestão de riscos 11 Limites Excedidos Identificar Transferências acima de 100 Mil Acesso a Transações Críticas Usuários com Acessos irrestritos Registros Nãoautorizados Ajustes Contábeis sem Identificação Mudanças de Configuração Fornecedores com Pagamentos Duplicados Transações Nãoautorizadas Controles Monitorados Usuários que Liberaram Depósitos Bloqueados Registros Duplicados Fornecedores com Pagamentos Iguais Falta ou Ausência de Dados Aprovações Atípicas Indefinidas Segregação de Funções Acesso Para Criar Fornecedores Diferente de Pagadores Dados incorretos Bens Recebidos no Mesmo Dia da Ordem de Compra Alguns Exemplos O que pode dar errado ? Exemplos de métricas de CCM Por quê começar ? Situação Atual • Grande quantidade de controles manuais • Custo elevado de conformidade • Novas soluções de software • Exceções de controle durante a auditoria anual • Excesso de confiança nos controles de detecção • Número elevado de casos de descumprimento dos controles • Foco na conformidade vs. riscos operacionais e do negócio 12 Situação Futura Desejada • Ambiente de controles com melhor relação custobenefício • Monitoramento eficiente dos controles • Economias de custo e eficiências geradas por CCM • Aumento do número de controles automatizados • Conscientização contínua sobre risco digital • Aumento no uso de controles preventivos • Redução do número de casos de descumprimento • Abordar riscos operacionais e do negócio Sustentabilidade Por onde começar ? Representação Representação Gráfica Gráfica de de Controles Controles Integrados Integrados Conciliações Conciliações Contábeis Contábeis Documentação Documentação SOX SOX Controles Controles Manuais Manuais Controles Controles de de Dados Dados Cadastrais Cadastrais Controles Controles de de Transações Transações Controles Controles Configuráveis Configuráveis Controles Controles de de Acesso Acesso Segregação Segregação de de Funções Funções Controles Controles de de Interface Interface Controles Controles Gerais Gerais do do Ambiente Ambiente de de Informática Informática Foco: Vulnerabilidades , Quantidade de controles manuais, Nível de Automação do Processo 13 Como Começar ? Inventário dos Processos Priority Project Name 1 IT Asset Landscape 2 Privacy Diagnostic Solutions Alignment Controls Optimization End User Computing Control Revie w Vendor Manage ment Description Sponsor Contact High level study of potential Sa lluzzo risk areas and development of strea mlined audit and IT risk remedia tion needs including consideration of control work being documented under various projects. Umbrella review of various Sa lluzzo regulatory requirements regarding data privac y andSignificant Mega Processes security that are most significant to ABC’s global Cash business and an assessment of Receipts the processes, procedures and te chnology to ensure complia nce. Evaluate application portfolio Webber for efficiency and effectiveness in meeting strategic business needs. Evaluate SOX documentation Webber for opportunitie s to leverage application controls. For the spreadsheets/ databases Webber [End User Computing (EUC)] that support a significant business proce ss where Cash the importance is assessed asDisbursements high / or critical, identify and Payables recommend policy/procedure to support audit reliance. Determine a roadmap to Webber address risks related to outsourcing IT processes. Provide detailed risk assessment and risk management guidance. Appx. Size Appx Start Resource s Required 150 16-Sep Mgr and Sr Mgr Grossberg Resource Contact 500 1-Jan Senior for 8 weeks Leizerov LOU ü 600 120/ process 400 Sr Mgr, Mgr & Sr for 6-8 we eks Sr Mgr, Mgr & Sr Sr Mgr, for 4 200 and Recording Sr Mgr and A/P--Receipt Mgr for 4 (invoices) we eks North America APS OneGlobe SAP APS AccPac CitiDirect MultiCash EMEA AccPac Desk Bank Latin America RM Grossberg SM Banking DBS Web Banking Grossberg Hexagon Client Hexagon Server Levy Mellon Telecash NA N/A SAP AccPac AccPac OneGlobe Desk Bank JPMC Insight MultiCash PNC Bank IDDC Direct Grossberg AccPac RM OneGlobe SAP AccPac Cash Disbursements--Imprest NA Excel NA NA AP/Procurement Card NA OneGlobe NA NA NA Works NA NA AccPac OneGlobe SAP AccPac AP Sub-Contractors Excel RM • Fluxogramas dos Processos do Negócio (Riscos & Controles) Workshop • Entender o Processo • Validar O que Poderia Dar Errado (WCGWs) • Avaliar/ Otimizar Controles • Identificar Falhas nos Controle Controles a Serem • Identificar Controles a Serem Automatizados Automatizados Aplicação Relatório de Exceções • Emitir Relatório & Aperfeiçoar • Corrigir • Identificar Controles Compensatórios 14 Conhecimento do Cliente Análise de Controles de Processos do Negócio Applications by Region Asia Pacific Mgr & Sr Cash Receipts--Lockbox AP/Cash Disbursements -we eks Wire & Check Experiências Externas Schedule, Staffing & Notes 80% Complete Process Inventory Sub Processes Cash Receipts--Wire and Checks In Office Índice de Controles Automáticos Validar Exceções Desenvolvimento das Regras Ponto de vista tradicional sobre CCM Abordagem Abordagem de de Avaliação Avaliação Baseada Baseada em em Risco, Risco, Top-Down Top-Down Avaliar Controles Controlesaa Nível Nível da da Administração Administração Racionalização Racionalização de de Controles Controles Melhorar Otimização Otimizaçãode de Controles Controles Monitorar Monitoramento de Controles Manter Nossa Empresa Longe de Problemas Promover Conformidade Sustentável com a Melhor Relação Custo-Benefício 15 Ponto de vista da Ernst & Young sobre CCM Abordagem Abordagem de de Avaliação Avaliação Baseada Baseada em em Risco, Risco, Top-Down Top-Down Avaliar Controles Controlesaa Nível Nível da da Administração Administração Racionalização Racionalização de de Controles Controles Melhorar Otimização Otimizaçãode de Controles Controles Monitorar Conformidade Conformidade && Monitoramento Monitoramento de de Controles Controles Manter Nossa Empresa Longe de Problemas Promover Conformidade Sustentável com a Melhor Relação Custo-Benefício 16 Monitoramento de Controles Monitoramento Monitoramento do do Desempenho Desempenho do do Negócio Negócio && Suporte Suporte àà Tomada Tomada de de Decisões Decisões Tornar Nossa Empresa Melhor Promover Melhorias dos Processos & Operacionais Explorando possibilidades Somente para para fins fins ilustrativos ilustrativos Somente 17 Muito obrigado Palestrante: Wilson Luiz Gellacic [email protected] Sócio 18
Documentos relacionados
Auditoria Contínua_CCM - Instituto dos Auditores Internos do Brasil
Promover Melhorias dos Processos &
Leia mais