Auditoria Contínua CCM -ContinuousControlMonitoring AUDITORIA INTERNA by omf20943

VIEWS: 0 PAGES: 25

									         Auditoria Contínua
 CCM – Continuous Control Monitoring
AUDITORIA INTERNA NO CONBRAI 2009.




                 Juliana Pereira
                 Ernst & Young
                   Agenda
•   Contexto
•   Revendo os Conceitos sobre Controles
•   Por quê Focar em Controles Automáticos
•   Oportunidades Existentes
•   Como Implementar Monitoramento Contínuo
•   Alguns Exemplos
Contexto – Gestão de Riscos
Gestão de Riscos – Tendências e Perspectivas

Melhores Práticas ganham destaque no contexto de crise global:

• Mudança de atitude: Risco representa ameaças, mas também                                                 • Comunicação em nível de Board: A Gestão de Riscos
  oportunidades. A Gestão de Riscos deve ser uma ferramenta                                                  é tratada com mais frequência no nível executivo e de
  para proteger e estimular a melhoria de performance,                                                       Conselho da organização. Companhias criaram Comitês
  colaborando para a identificação de oportunidades e                                                        focados na Gestão de Riscos
  agregando valor ao negócio
                                                                                                           • Habilidades específicas: Alocação de recursos
• Alinhamento e Integração: Adotar uma visão mais holística                                                  especializados para endereçar os riscos do negócio (ex:
  dos riscos para entender melhor as interdependências e o                                                   quantificação dos riscos)
  impacto agregado
                                                                                                           • Monitoramento: Monitoramento contínuo dos riscos
• Pro - atividade: As Companhias estão mais ativas e                                                         tornou-se mais robusto
  receptivas ao tema
                                                                                                           • Governança: A Gestão de Riscos deve estar inserida no
• Tolerância ao Risco: Definir tolerância e apetite ao risco                                                 modelo de “Governança” da organização.

                                                                                                           • Transparência: Compartilhamento de dados, tomada de
                                                                                                             decisão e comunicação uniforme na organização

  Fonte – (1) Ernst & Young (November 2007), Strategic Business Risk 2008: the top 10 risks for business
Contexto – Gestão de Riscos
Resultados da Pesquisa de Gestão de Riscos
     •       O investimento com gerenciamento de riscos, relacionado aos requerimentos regulatórios
             e de conformidade, aumentou significativamente na última década
     •       O número de Funções de risco aumentou para atender a conformidade destes
             requerimentos
               –     Aproximadamente 70% das Companhias possuem sete ou mais funções de riscos em silos

     •       A cobertura e o foco destas funções de riscos aumentaram a dificuldade de gerenciamento
               –     Mais de 60% das Companhias acreditam em sobreposição de Funções de risco por dois ou mais
                     profissionais
               –     Mais de 40% das Companhias acreditam que existem riscos que não são administrados por suas
                     funções de riscos
               –     Mais de 90% das Companhias concordam que existem oportunidades de melhoria nos esforços de
                     gerenciamento de riscos
     •       A maioria das Companhias acreditam que podem obter retorno de seus investimentos em
             Gestão de Riscos
               –     Mais de 40% das Companhias acreditam que podem obter uma cobertura de riscos maior com um
                     gasto menor
   Fonte – Ernst & Young Risk Survey – results to date through 29 June 2009
Contexto – Gestão de Riscos
Considerações importantes para balanceamento dos riscos, custos e valor

                               Valor                      Risco           Valor                       Risco
               Risco                                                                                                  Valor




                       Custo
                                                                  Custo                                       Custo

•   Conhecemos e compreendemos nossos                                                      •   Obtemos retorno de nossos investimentos
                                               •   Focamos nos riscos que de fato são
    Riscos?                                        relevantes?
                                                                                               em Gestão de Riscos?
•   Nossa exposição está adequada e alinhada   •   Temos Funções de riscos duplicadas?
                                                                                           •   Estamos melhorando nossos processos
    às Estratégias Corporativas?               •   Temos um balanceamento adequado
                                                                                               através da Gestão de Riscos?
•   Fazemos uso de uma plataforma de                                                       •   Temos o nível de exposição adequado para
                                                   de controles automáticos x manuais?
    gerenciamento de riscos comum onde                                                         obter vantagem competitiva e agregar valor
                                               •   Tecnologia e conhecimento são
    alinhamos todas as funções de                  balanceados para melhorar a
                                                                                               ao nosso Negócio?
    gerenciamento de riscos?                       produtividade?
                                                                                           •   As funções de risco permitem a
•   Mantemos um processo de atribuição e       •   Recursos eficientes são utilizados
                                                                                               identificação dos riscos e suportam a
    revisão de responsabilidade pelos riscos                                                   tomada de decisão quanto aos níveis de
                                                   para reduzir o tempo de avaliação dos
    claramente definidos?                                                                      tolerância aceitos?
                                                   riscos?
•   Suportamos canais de comunicação           •   Temos a estratégia de utilizar fontes
                                                                                           •   As funções de riscos contribuem na
    integrados e conectados tanto Botton-up        alternativas para reduzir custos?
                                                                                               avaliação contínua das iniciativas
    como Top-down?                             •   Existem estratégias de diminuição dos
                                                                                               estratégicas da companhia (projetos de
•   Existe reporte adequado para os                                                            capital, aquisições, integração etc.)
                                                   custos?
    stakeholders para suportar o processo de
    tomada de decisão e melhorar nossa
    performance?
Contexto – SOX 404                                                                               Monitorar controles
Os Requerimentos de SOX                                                                          chave definidos pela
                                                                                                 organização.




                              COSO FRAMEWORK




                        Identificar controles que mitiguem riscos

                        Controles que forneçam razoável segurança que erros significativos não
                        ocorram;
                        Controles podem ser automatizados e/ou manuais.

              § Ciclo de compras/pagamentos             § Folha de pagamento
              § Despesas de viagem                      § Ciclo de vendas/recebimentos
              § Cartões Corporativos                    § Contabilidade
Contexto – SOX 404
Controles gerais de TI x Controles de aplicação
A Tecnologia da Informação possui um papel essencial em controles internos pois muitos dados
financeiros dependem de sistemas



                                                            Contas
                                                         Significativas


                                                               Processos


                                                           Aplicações
                                                                                                                    Controles Automáticos
                                       Contas a
                                        Pagar
                                                    Contas a
                                                    Receber
                                                                  Folha
                                                                  Pagto
                                                                            Ativo
                                                                             Fixo
                                                                                         etc.                           De Aplicações

                                             Aplicações de Âmbito Geral na Empresa

                                                  Tecnologia da Informação
                       Segurança e
                                              Desenvolvimento &                                 Suporte Técnico &
                                                                                                                         Controles Gerais
                       Networking de                                      Gestão de TI
                       Informações               Operações                                         Gestão DBs
                                                                                                                              de TI
Contexto – A reavaliação do papel da AI
O Gap de geração de valor




                                                Gap de valor
           O que move o                                                                            Gap de competências
           gap?
                                                                       Metodologia e Ferramentas                                Advisor
                                                                                                       Insights               estratégico/
                                                                                                       sobre o                valor gerado
                                                                           Controles e                 negócio
                                                                           Compliance


                                                                         Não-Negociavel       Relevente para o negócio         Areas críticas
       •      Gap de metodologia e ferramentas                                           •   Gap de competências
                –     Abordagem tradicional.                                                  –    Ausência de modelo de rotação.
                –     Não dirigida ao risco do negócio.                                       –    Falta de recurso em determinadas áreas.
                –     Foco em unidades auditáveis e localizações                                      • IT, IFRS, tesouraria, impostos;
                      geográficas.                                                                    • Prevenção e detecção de fraude.
                –     Uso limitado de data analytics.                                         –    Atividade da auditoria = recursos disponíveis.
                –     Treinamentos e desenvolvimento limitados.                               –    Papel tradicional da auditoria limita o escopo.
                –     Falta de priorização efetiva.                                           –    Competências chave da indústria.
                –     Falta de vontade em mudar.
                –     Sem foco em melhoria dos processos chave.
 Fonte – Ernst & Young (November 2008), Global Internal Audit Survey
Dentro desse cenário, o que deve mudar no mundo de controles
              internos ? Como estar preparado ?


                                       • O que podemos fazer de
               ? ?                      forma melhor ?
             ?
                                       • Como ser mais produtivo ?
                                       • Como as novas tecnologias
                                        podem nos ajudar ?
                                       • Quais as prioridades ?
                                       • Quanto devemos investir ?
                                       • Qual a melhor solução
                                        tecnológica ?
Monitoramento Contínuo de Controles (CCM)
    CCM ( Continuos Control Monitoring ) é um
    conjunto integrado de processos e técnicas,
    possibilitados pela tecnologia, que
    pretendem ajudar a organização a:

     –   Identificar deficiências de controle

     –   Localizar em que ponto as deficiências
         de controle são exploradas

     –   Quantificar o efeito do descumprimento
         de controles de forma a entender mais
         claramente os riscos

     –   Sanar as deficiências de controle pela
         raiz

     –   Automatizar o monitoramento contínuo
         do ambiente de controle
                                                   Um ambiente eficaz de CCM permite
     –   Aumentar a eficiência e a eficácia dos   que a organização tenha o equilíbrio
         processos de controle                    certo entre controles manuais e
                                                  automatizados para detectar e impedir
     –   Impedir que certos riscos se             falhas nos controles
         concretizem
Motivadores para se falar sobre CCM
  QUESTÕES:                                            IMPLICAÇÕES:

  •   CUSTO DA CONFORMIDADE
       – A maioria das organizações gasta tempo e
          dinheiro significativos para estar em
          conformidade com os reguladores e se         •   NECESSIDADE DE SER MAIS EFICIENTE
          preocupam com o alto custo envolvido              – A maioria das organizações acredita que
                                                               precisam fazer algo para ser mais
  •   CONTROLES MANUAIS                                        eficientes na automação e no
       – Muitos dos controles que as organizações              monitoramento de controles
          adotam são manuais e intensivos em mão-
          de-obra                                      •   NECESSIDADE DE UMA MELHOR RELAÇÃO
                                                           CUSTO-BENEFÍCIO
  •   RETORNO QUESTIONÁVEL                                  – A maioria das organizações não
       – Na maioria dos casos, o benefício do                  consegue sustentar os custos mais
          investimento em SOX não é imediatamente              elevados de conformidade a longo prazo
          visível para a empresa e o custo de manter
          um ambiente de controles manuais não é       •   FERRAMENTAS & SOLUÇÕES DE SOFTWARE
          sustentável                                       – Os fornecedores de software estão
                                                               desenvolvendo e promovendo
  •   ESCOPO & CUSTOS GERAIS DE AUDITORIA                      ativamente novas ferramentas e
       – A gestão do escopo e os custos de auditoria           técnicas para automatizar o
          são uma preocupação crescente, tanto da              monitoramento de controles (i.e.,
          perspectiva de auditoria interna como de             Approva, Applimation, Logical Apps,
          auditoria externa                                    ACL, Virsa, etc.)
Por quê usar mais controles automáticos ?




       Source: IT Control Objectives for Sarbanes-Oxley, 2nd Edition
Por quê começar ?
                                                        Situação Futura Desejada
     Situação Atual
                                                        • Ambiente de controles com melhor relação
     • Grande quantidade de controles manuais
                                                          custo-benefício
     • Custo elevado de conformidade
                                                        • Monitoramento eficiente dos controles
     • Novas soluções de software
                                                        • Economias de custo e eficiências geradas por
                                                          CCM
     • Exceções de controle durante a auditoria anual
                                                        • Aumento do número de controles automatizados
     • Excesso de confiança nos controles de
       detecção
                                                        • Conscientização contínua sobre risco digital
     • Número elevado de casos de descumprimento
                                                        • Aumento no uso de controles preventivos
       dos controles
                                                        • Redução do número de casos de
     • Foco na conformidade vs. riscos operacionais e
                                                          descumprimento
       do negócio
                                                        • Abordar riscos operacionais e do negócio

                                           Sustentabilidade
Considerações: antes de construir um programa de CCM…


1. Crie a fundação de seu programa
              de CCM




                                     2. Gerencie o ciclo de vida de seu
                                            programa de CCM




                                                                           2. Automatize seus controles
                                                                          usando ferramentas de sistemas
Considerações: antes de construir um programa de CCM…
                                     •Controles de acesso e segregação de funções:
1. Crie a fundação de seu programa        •   Minimizam risco de fraudes e garantem a
              de CCM                          utilização de alçadas pré-definidas
                                          •   Uma estratégia de CCM deve contemplar
                                              monitoramento de gestão de acessos e
  Um programa completo de CCM                 SOD
    contempla componentes de
   prevenção de risco, detecção,     • Avaliar configurações de sistema e processos
                                     para definir transações que ocorram fora do
     remediação e compliance.
                                     ambiente de application controls
A maioria das empresas, ao iniciar   • Contemplar controles de modificações de Master
   um trabalho de CCM, foca          Data, não somente transações
imediatamente em automatização
          de controles.

 Apesar de crítico, recomendamos
que um processo de CCM contemple
   também as seguintes etapas:
Considerações: antes de construir um programa de CCM…
                                     • Desenho do processo
2. Gerencie o ciclo de vida de seu        •   Entendimento do objetivo do processo
       programa de CCM
                                          •   Entendimento de que controles devem ser
                                              monitorados
                                     • Desenvolvimento de regras de negócio
                                          •   CCM só é efetivo à medida que ele
                                              monitora regras pré definidas
                                     • Otimizar controles
Para criar e sustentar um programa
                                     • Validação e racionalização de exceções
 de CCM, as organizações precisam
  entender todo o ciclo de vida do   • Monitoramento efetivos das soluções para os
     programa, que contempla:        gaps identificados durante o monitoramento
                                     contínuo
                                     • Otimização de processo
Considerações: antes de construir um programa de CCM…
                                      • Avaliação do framework de controles atual
  3. Automatize seus controles        • Exercitar e estressar todas as possibilidades de
 usando ferramentas de sistemas       automatização
                                      • Realizar o monitoramente através da utilização
                                      de ferramentas do próprio sistema ou de mercado



    A maximização de controles
 automatizados versus a gradual
 diminuição de controles manuais
   propiciam às organizações a
   possibilidade de atender seus
objetivos de ganho de eficiência no
   monitoramento de controles
                                                                                                                                                                                                 Como Começar ?
                                                                                                                                                                                                                         Índice de Controles    Experiências        Conhecimento do
                                                                                                                                                                                                                            Automáticos           Externas              Cliente
Inventário dos Processos
 Priority   Project Name           Description           Sponsor    Contact    Appx.    Appx     Resource s    Resource       LOU    Schedule, Staffing &
                                                                                Size    Start    Required      Contact                      Notes
     1      IT Asset       High level study of potential     Sa lluzzo           150    16-Sep   Mgr and Sr   Grossberg       ü     80% Complete




                                                                                                                                                                                               Análise de Controles de
            Landscape      risk areas and development of                                         Mgr
                           strea mlined audit and IT risk
                           remedia tion needs including
                           consideration of control work
                           being documented under                                                               Process Inventory
                           various projects.
     2      Privacy        Umbrella review of various        Sa lluzzo           500     1-Jan   Senior for   Leizerov                        Applications by Region
            Diagnostic     regulatory requirements                                               8 weeks
                           regarding data privac y andSignificant Mega




                                                                                                                                                                                                Processos do Negócio
                           security that are most         Processes              Sub Processes                  Asia Pacific          North America             EMEA       Latin America
                           significant to ABC’s global
                                                     Cash
                           business and an assessment of Receipts        Cash Receipts--Wire and                      APS                OneGlobe                SAP           APS
                           the processes, procedures and                 Checks In Office                            AccPac              CitiDirect           MultiCash
                           te chnology to ensure                                                                                                                              AccPac
                           complia nce.                                                                          Desk Bank                                                      RM
            Solutions      Evaluate application portfolio    Webber              600             Sr Mgr,      Grossberg
            Alignment      for efficiency and effectiveness                                      Mgr & Sr       SM Banking
                           in meeting strategic business                                         for 6-8
                           needs.                                                                we eks       DBS Web Banking
            Controls       Evaluate SOX documentation        Webber              120/            Sr Mgr,      Grossberg
            Optimization   for opportunitie s to leverage                     process            Mgr & Sr      Hexagon Client
                           application controls.                                                              Hexagon Server
            End User       For the spreadsheets/ databases Webber                400             Sr Mgr,      Levy
            Computing      [End User Computing (EUC)]                    Cash Receipts--Lockbox & Sr
                                                                                             Mgr                                      Mellon Telecash            NA            N/A
            Control        that support a significant                                            for 4
            Revie w        business proce ss where Cash
                                                      the                                  we --
                                                                         AP/Cash Disbursementseks                    AccPac              OneGlobe                SAP          AccPac
                           importance is assessed as high
                                                     Disbursements /     Wire & Check
                           or critical, identify and                                                             Desk Bank              JPMC Insight          MultiCash         RM




                                                                                                                                                                                                                                                               • Entender o Processo
                           recommend policy/procedure
                                                     Payables
                           to support audit reliance.                                                                                    PNC Bank            IDDC Direct
            Vendor         Determine a roadmap to            Webber              200
                                                                         A/P--Receipt and Recording and
                                                                                             Sr Mgr           Grossberg
                                                                                                                   AccPac                OneGlobe                SAP
            Manage ment    address risks related to                                          Mgr for 4                                                                        AccPac
                           outsourcing IT processes.
                                                                         (invoices)          we eks                  Excel                                                      RM
                           Provide detailed risk




                                                                                                                                                                                           •   Fluxogramas
                           assessment and risk                           Cash Disbursements--Imprest                  NA                    Excel                NA             NA
                           management guidance.




                                                                                                                                                                                                                                               Workshop
                                                                         AP/Procurement Card                          NA                 OneGlobe                NA             NA




                                                                                                                                                                                                                                                               • Validar O que Poderia
                                                                                                                      NA                   Works                 NA             NA
                                                                         AP Sub-Contractors                          AccPac              OneGlobe                SAP          AccPac




                                                                                                                                                                                               dos
                                                                                                                                                                                               Processos do                                                      Dar Errado (WCGWs)
                                                                                                                                                                                               Negócio                                                         • Avaliar/ Otimizar
                                                                                                                                                                                               (Riscos &                                                         Controles
                                                                                                                                                                                               Controles)
                                                                                                                                                                                                                                                               • Identificar Falhas nos
                                                                                                                                                                                                                                                                 Controle
                                                                                                                                                                                                                                        Controles a Serem • Identificar Controles a
                   Aplicação
                                                                                                                                                                                                                                         Automatizados      Serem Automatizados




                              Relatório de                                                                                                                                                                                   Validar                       Desenvolvimento
 • Emitir Relatório & AperfeiçoarExceções                                                                                                                                                                                   Exceções                       das Regras
 • Corrigir
 • Identificar Controles Compensatórios
                                     Exemplos de métricas de CCM
                                Limites
                                                               Identificar Transferências acima de 100 Mil
                               Excedidos
                          Acesso a Transações
                                                                    Usuários com Acessos irrestritos
                                Críticas
                             Registros Não-
                                                                  Ajustes Contábeis sem Identificação
                              autorizados
O que pode dar errado ?




                                                                                                             Alguns Exemplos
                             Mudanças de
                                                               Fornecedores com Pagamentos Duplicados
                             Configuração
                                                  Controles
                            Transações Não-      Monitorados       Usuários que Liberaram Depósitos
                              autorizadas                                     Bloqueados

                          Registros Duplicados                   Fornecedores com Pagamentos Iguais

                          Falta ou Ausência de
                                                                    Aprovações Atípicas Indefinidas
                                 Dados
                            Segregação de                      Acesso Para Criar Fornecedores Diferente
                               Funções                                      de Pagadores
                                                               Bens Recebidos no Mesmo Dia da Ordem de
                           Dados incorretos
                                                                               Compra
                        Por onde começar ?


                   Representação Gráfica de Controles Integrados
                   Representação Gráfica de Controles Integrados

              Conciliações
              Conciliações        Documentação
                                  Documentação            Controles
                                                          Controles
               Contábeis
               Contábeis              SOX
                                      SOX                 Manuais
                                                           Manuais

              Controles de
              Controles de         Controles de
                                   Controles de            Controles
                                                           Controles
            Dados Cadastrais
            Dados Cadastrais       Transações
                                    Transações           Configuráveis
                                                         Configuráveis

              Controles de
              Controles de        Segregação de
                                  Segregação de          Controles de
                                                         Controles de
                Acesso
                Acesso               Funções
                                     Funções              Interface
                                                           Interface

                    Controles Gerais do Ambiente de Informática
                    Controles Gerais do Ambiente de Informática



Foco: Vulnerabilidades , Quantidade de controles manuais, Nível de Automação do Processo
   Ponto de vista tradicional sobre CCM

Avaliar                   Abordagem de Avaliação Baseada em Risco, Top-Down
                          Abordagem de Avaliação Baseada em Risco, Top-Down

                                   Controles a Nível da Administração
                                   Controles a Nível da Administração

          Melhorar                    Racionalização de Controles
                                      Racionalização de Controles

                                        Otimização de Controles
                                        Otimização de Controles

                     Monitorar



                                           Monitoramento
                                            de Controles




                                 Manter Nossa Empresa Longe de Problemas
                                 Promover Conformidade Sustentável com a
                                      Melhor Relação Custo-Benefício
            Ponto de vista da Ernst & Young sobre CCM

        Avaliar                   Abordagem de Avaliação Baseada em Risco, Top-Down
                                  Abordagem de Avaliação Baseada em Risco, Top-Down

                                          Controles a Nível da Administração
                                          Controles a Nível da Administração

                  Melhorar                   Racionalização de Controles
                                             Racionalização de Controles

                                               Otimização de Controles
                                               Otimização de Controles

                             Monitorar



                                                                                             Monitoramento do
                                                                                             Monitoramento do
     Conformidade &
     Conformidade &                              Monitoramento                                Desempenho do
                                                                                              Desempenho do
    Monitoramento de
    Monitoramento de                             de Controles                               Negócio & Suporte à
                                                                                            Negócio & Suporte à
        Controles
        Controles                                                                               Tomada de
                                                                                                Tomada de
                                                                                                 Decisões
                                                                                                 Decisões



Manter Nossa Empresa Longe de Problemas                                           Tornar Nossa Empresa Melhor
Promover Conformidade Sustentável com a                                        Promover Melhorias dos Processos &
     Melhor Relação Custo-Benefício                                                       Operacionais
                            Somente para fins ilustrativos
                            Somente para fins ilustrativos
Explorando possibilidades
             Perguntas para serem respondidas pelas organizações



Quão efetivo é o uso de CCM ou Data Analytics na sua organização:

► Quão dependente você é de um número reduzido de pessoas para obtenção de dados do
sistema?

► Quantas regras de CCM ou Data Analytics permaneceram inalteradas desde sua criação?

► Em que grau você integra técnicas de Data Analytics em novos processos?

► Seus auditores fazem um exercício pro ativo de verificar como incluir Data Analytics em
100% de suas auditorias?
Muito obrigado


        Palestrante:


     Juliana Pereira
 juliana.pereira@br.ey.com
         Diretora

								
To top