78b6f131be1a352cf83f878e20ff950d.ppt
- Количество слайдов: 49
Os Novos Desafios da Auditoria e Monitoração Contínua Michael Alles Miklos A. Vasarhelyi Rutgers Business School
Auditoria Contínua Índice • Introdução • Uma Economia em Tempo Real • Teoria • Ambiente • Exemplos • Implantação • Conclusões CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 3
Auditoria Contínua Introdução • Eletronização – Pagamentos, recebimentos, investimentos, tesouraria, etc. – Dell, Federal Express, American Airlines, etc. • Auditoria Contínua – É a eletronização dos processos de aferição “à la auditoria”. – Verificação de dados rapidamente – Transmissão de dados em tempo real – Minimização de erros – Aferição e confiabilidade de processos chave CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 4
Auditoria Contínua Índice • Introdução • Uma Economia em Tempo Real • Teoria • Ambiente • Exemplos • Implantação • Conclusões CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 5
Auditoria Contínua Latências XBRL CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 6
Auditoria Contínua Uma Economia em Tempo Real • Classificação de Processos Corporativos – Processos que são mantidos por sistemas em tempo real, – Processos que são monitorados quase que em uma base contínua, – Processos que são altamente dependentes, e – Processos dos quais decisões oportunas proporcionam uma vantagem competitiva. • XML (Extensible Markup Language) – XBRL para relatórios financeiros • Gerenciamento de dinheiro em tempo real • Gerenciamento de contas a pagar e receber • Implantação do sistema “just in time” CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 7
Auditoria Contínua Índice • Introdução • Uma Economia em Tempo Real • Teoria • Ambiente • Exemplos • Implantação • Conclusões CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 8
Auditoria Contínua uma Historia • Laboratórios Bell (AT&T) 1986 – 1991 • CICA/AICPA – 1999 – o livro vermelho • Simpósios de auditoria continua na Rutgers 1999 • Lei Sarbanes Oxley 2002 • IIA – 2005 – GTAG # 3 • Car. Lab Fundado – 2002 • Surveys (pesquisas) da ACL e PWC 20052007 CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 9
Auditoria Contínua The Audit Maturity Model (2009) Traditional Emerging Maturing Continuous CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 10
Auditoria Contínua Teoria de Auditoria Contínua • Auditoria Contínua de Dados (ACD) • Monitoramento Contínuo de Controles (MCC) • Monitoramento e avaliação contínua de risco (MACR) – Administração de risco corporativo (ERM) CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 11
Auditoria Contínua Monitoramento e Avaliação de Riscos Contínuos Auditoria Contínua de Dados Monitoramento de Controles Contínua Figura 2: Auditoria Contínua CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 12
Auditoria Contínua ACD (Auditoria Continua de Dados) • Monitoramento de – – Métricas de processos chave usando índices analíticos (KPIs) Transações comerciais Dados de arquivo-mestre Eventos especiais • Periodização de relatórios de auditoria • Controlável dentro de um programa de deterrence e prioridades estratégicas • Exemplos: AT&T, HCA, Seguradora, HP, IBM, etc. CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 13
Auditoria Contínua MCC (Monitoramento Controles) Continuo de • Monitoramento de – Controle de autorização e acesso – Configuração de sistema – Parâmetros determinantes de processos administrativos • Exemplos: Siemens, BD, Talecris • Em grandes sistemas integrados (ERPs) progressivamente se tornará impossivel auditar sem AC CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 14
Auditoria Contínua Monitoramento e Avaliação Contínua de Risco (MACR) • Contribui com informação para planejamento de auditoria • Parameteriza as contribuições da evidencia provida pela auditoria tradicional, ACD e MCC • Medem fatores de risco em uma base contínua • Integra diferentes cenários de risco em quadros quantitativos CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 15
Auditoria Contínua Índice • Introdução • Uma Economia em Tempo Real • Teoria • Ambiente • Exemplos • Implantação • Conclusões CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 16
Auditoria Contínua Ambiente • Surgimento de uma indústria – ACL – Idea – Approva – Oversight – SAP GRC – Varios outros inclusive Mc. Affeee produtos de segurança CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 17
Auditoria Contínua Índice • Introdução • Uma Economia em Tempo Real • Teoria • Ambiente • Exemplos • Implantação • Conclusões CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 18
AT&T (Bell Laboratories)
Auditoria Contínua CPAS VISÃO GERAL Sistemas Estação de trabalho Relatórios do Sistema Operacional FD-nível 2 Relatório Operacional FD-nível 1 Relatório Operacional Filtro Alarme FD-nível 0 Diagrama de Fluxo de Dados Relatórios Análises Medidas Base de Dados Figura 4: Auditoria Contínua de dados na AT&T CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 20
Auditoria Contínua Flow. Front - Visualisador de Diagrama Interativo de Fluxo - AT&T Bell Laboratories - Murray Hill, NJ fernsu fer Data: 04/01/89 Data Definida RPC: Silver Springs Flow. Front Hierarquia Traçar gráfico nível 1 Recalcular Medidas PE: 60 Ajuda Texto Sair Sistema de Faturamento - Visão Geral Gráfico S Valor Pagamento Visão Geral 99 100 97 99 98 95 100 99 85 67 23 0 100 Dados Trans 98 60 Faturamento 98 40 Percentual Faturado Tra 20 Atualizaç 80 Percentual de Contas Faturadas com Sucesso Inquérito 3/16 Pro 3/17 3/18 3/21 3/22 3/23 3/24 3/25 3/28 3/29 3/30 3/31 4/1/89 Média: 89. 076923 Desvio Padrão: 21. 872591442494 Erros Figura 5: Indicadores Analíticos Sistema CPAS CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 21
Auditoria Contínua Flow. Front - Visualisador de Diagrama Interativo de Fluxo - AT&T Bell Laboratories - Murray Hill, NJ fernsu fer Data: 04/01/89 RPC: Silver Springs Data Definida Recalcular Medidas PE: 60 Traçar gráfico nível 1 Ajuda Flow. Front Hierarquia Texto Sair Sistema de Faturamento - Módulo de Faturamento por Cliente Base de Dados do Cliente Atualizaç Faturamento Valor Pagament o Extrato De Contas De Clientes 1000 Calcular Valor de Dívida 1000 Atualizar Informações de Faturamento Visão Geral Arquivos de Diário Formatar Fatura Inquérito Contas Desaparecidas: 10 998 2 Processamento De Erros 988 Arquivos de Diário Tabelas Erros Imprimir Fatura 0 Figura 6: Fluxograma e Número de Transações no CPAS CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 22
HCA
Auditoria Contínua Pesquisa em HCA • Experimentação de modelagem de supply chain • Erros básicos – Erros de dados – Erros de integridade referencial • Modelagem matemática para identificar anomalias (1) Variância = |Valor medido (metric) – Valor de base (modelo) (2) Se Variância > variância aceitável Emitir um Alerta CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 24
Auditoria Contínua Sistema de Auditoría Contínua Baseado em Dados Monitoramento Automático Analítico: Equações Contínuas Alarmes de Anomalias Verificação Automática de Transação Alarmes de Exceções Responsabilidade dos Funcionários da Empresa Depósito de Dados Comerciais Panorama do Sistema da Empresa Vendas Contas a Receber Gerenciamento de Materiais Recursos Humanos Encomendas Contas a Pagar Figura 7: Arquitetura de um Sstema de Auditoria Contínua de Dados CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 25
Itau Unibanco
Auditoria Contínua Projeto Itau Unibanco • 1600 agências • 18 testes analíticos – – Reduz falsos positivos Facilita análises de auditoria Rotina automatizada Monitoração de créditos de risco • Software – FOCUS para extração de dados – SAS e outros • Indicadores chave • Reduziu tempo de auditoria de 160 h para 40 h • Emissão de 200 a 400 alertas por semana CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 27
Auditoria Contínua Questões referentes ao Itau Unibanco • Quais processos devem ser monitorados on-line? • Este monitoramento deve ser em nível de mainframe ou numa estação de trabalho (workstation)? • A que nível de detalhe filtros de contas estão a ser desenvolvidos para extrair erros de transações? • Como escolher os padrões - base nível de emissão de uma alerta para minimizar os falsos positivos e falsos negativos? • Como deve ser projetado o painel para auditoria contínua? Devería-se focar nos resultados financeiros, em processos, ou outras variáveis em particular, eventos, etc. ? CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 28
Siemens
Auditoria Contínua Projeto Siemens • Foco é automatizar auditoria dos sistemas SAP • 68% das ações de auditoria podem ser automatizadas • Que provas seriam realmente exigidas em uma nova auditoria, de sistemas extremamente automatizados, se uma nova metodologia de auditoria é projetada a partir do zero? • Quais são os efeitos (visíveis e invisíveis) da auditoria remota? CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 30
Auditoria Contínua Sistema Piloto CMBPC na Siemens Companhia A SAP SYS PD 2 Companhia B SAP SYS. P 88 Companhia C SAP SYS. P 51 Company D SAP SYS. P 40 Comum - Extrações em uma Base Contínua Armazenamento de Dados Relacionados Retorno de Alertas para Companhias Regras CO. A • Sys= PD 2 • Co = W 001&W 103 • COA – WX 01 • Etc… Dados para Análise CA Analisador • Checar AAS 1. 02. 00 – F XX= o enviar alerta 4 • Checar AAS 1. 02. 10 – F Y = X enviar alerta 5 • etc Regras CO. D • Sys= P 40 • Co = 001 • CDA - 1000 • Etc… Alertas para: • Gerenciamento • Auditoria • Etc Alertas Alerta 1: Dlat XXX, Mensagem = YYY Alerta 2 : Dlat HHH, Mensagem = KKK Alerta 3 : Dlat = OOO, Mensagem = AAA Workflow de Comunicação / Portal Alerta 4 : Dlat = GGG, Mensagem = LLL Figura 8: Arquitetura de um Sistema de Monitoramento de Controles Proposto para a Siemens CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 31
Auditoria Contínua Modelagem de Comparação de Dados • Monitoramento deveria ser realizado a qual nível de agregação? • Que tipo de erros é encontrado em fluxos de dados? Como podem estes ser classificados? Como se relacionam estes erros às deficiências do controle interno? • Quais são as latências intrínsecas da cadeia de valor? Como o modelo de cadeia de valor e modelado integrando estas latências? • Se transações são avaliadas como errôneas, é possível corrigi-las automaticamente? CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 32
Seguradora de Grande Porte Monitoramento / auditoria de “wires” (remessas electronicas)
Auditoria Contínua Seguradora • Avaliação de wires remetidos para detecção de fraudes, fraquesas em controles, e outros problemas • Trabalho feito em paralelo com o processo de auditoria interna • Trabalho evoluiu em direção à criação de um Sistema Especialista com uma serie de regras para extração de eventos de caráter dúbio • Auditores verificam as transações assinaladas e propõe regras de verificação • Uma vez refinado o processo a frequencia da verificação aumenta CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 34
Outros Projetos em Andamento
Auditoria Contínua Outros Projetos • Monitoramento de KPIs (key perfornance indicators) – – Firma de liderança mundial em produtos ao consumidor Com manufatura em mais de 100 paises E distribuição em mais de 160 países Detecção de anomalias • Monitoramento de atividades bancárias – – – BSA Money Laundering Sistema baseado em regras Unindo uma série de requisitos Multiplas fontes (credito, depositos e saques, etc. . ) CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 36
Auditoria Contínua Índice • Introdução • Uma Economia em Tempo Real • Teoria • Ambiente • Exemplos • Implantação • Conclusões CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 37
Auditoria Contínua Seis Passos 1) Criação de áreas prioritárias 2) Identificação de monitoramento e regras de auditoria, 3) Determinação da freqüência do processo, 4) Configuração de parâmetros de auditoria contínua 5) Dar seguimento, e 6) Comunicar os resultados CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 38
Auditoria Contínua Implementação de AC 1. Área de Prioridade 6. Ação e reação 2. Regra Painel de Controle de Auditoria 5. Seguimento CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 3. Frequência 4. Parametrização 39
Auditoria Contínua Elementos de Automação Progressiva Economic events Eventos events Econômicos Sensoriamento Organização de Processamento de dados e Processo de Armazenamento 1 Organização de Processamento de dados e Processo de Armazenamento 2 Entrega Integração entre sistemas Execução Tomada de decisão Automática CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 40
Auditoria Contínua Índice • Introdução • Uma Economia em Tempo Real • Teoria • Ambiente • Exemplos • Implantação • Conclusões CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 41
Auditoria Contínua Conclusões • Organizações devem examinar o âmbito dos seus processos para aplicações e o “tradeoff”. • Auditoria contínua possibilita o mapeamento de riscos. • A auditoria contínua acontecerá ao longo da série de empresas. • Organizações financeiras e processos financeiros corporativos serão os inovadores. • Avanços em TI devem ser complementados por avanços na modelagem analítica. CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 42
Auditoria Contínua Conclusões • O advento do XML, XBRL e outros padrões de interoperabilidade irão acelerar auditoria contínua e permitir uma cooperação inter-organizacional de auditoria de processos. • A comunidade acadêmica tem liderado o pensamento em auditoria contínua. • A integração das instalações de auditoria contínua em software integrados (ERPs) permitirá alguns dos benefícios para fluir a organizações menores. CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 43
Auditoria Contínua Visite-nos • Conferencias – Anualmente em Newark 1 a semana de novembro – Estes anos junto com a CONTECSI (4 de junho de 2009) – Thessalonika (18 de Maio de 2009) • http: //raw. rutgers. edu – Inclui um grande numero de materiais sobre as conferencias (videos), papers, e noticias • miklosv@rutgers. edu CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 44
Slides Extras
Auditoria Contínua The Audit Maturity Model (1) Stage 1 Stage 2 Stage 3 Stage 4 Traditional Audit Emerging Maturing Continuous Audit Objectives • Assurance on the financial reports presented by management • Effective control monitoring • Verification of the quality of controls and operational results Approach • Traditional interim and year-end audit IT/Data access • Case by case basis • Data is captured during the audit process • Traditional plus some key monitoring processes • Repeating key extractions on cycles • Usage of alarms as evidence • Continuous control monitoring • Systematic monitoring of processes with data capture • Improvements in the quality of data • Creation of a critical meta-control structure • Audit by exception Audit Automation • Manual processes separate IT audit • Audit management software • Work paper preparation software • Automated monitoring module • Alarm and follow-up process & CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu • Complete data access • Audit data warehouse, production, finance, benchmarking and error history • Continuous monitoring and immediate response • Most of audit automated 47
Auditoria Contínua The Audit Maturity Model (2) Stage 1 and Management audit functions Analytic methods of Stage 3 Stage 4 Traditional Audit management sharing Stage 2 Emerging Maturing Continuous Audit • Independent and Adversarial • Independent with some core monitoring shared • Purposeful Parallel systems and common infrastructures • Financial organization supervises audit and matrix to Board of director • Some degree of coordination between the areas of risk, auditing and compliance IT audit works independently • Financial ratios at sector level/account level • Shared systems and resources where natural process synergies allow • IA and IT audit coordinate risk management and share automatic audit processes • Auditing links financial to operational processes • KPI level monitoring • Structural continuity equations • Monitoring at transaction level CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu • Centralized and integrates with risk management, compliance and SOX/ layer with external audit. • Corporate models of the main sectors of the business • Early warning system 48
Auditoria Contínua Monitoramento e Avaliação Contínua de Risco ERM Corporativo Auditoria Contínua Monitoramento Contínuo de Controles Figura 3: Usando ERM para auditoria contínua CONTECSI 6 - Alles e Vasarhelyi http: //raw. rutgers. edu 49